Skip to content

EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


VG München: Airbnb muss Stadt München Vermieterdaten herausgeben damit Verstöße gegen bayerisches Zweckentfremdungsrecht verfolgt werden können

VG München
Urteil vom 12.12.2018
M 9 K 18.4553

Das VG München hat entschieden, dass Airbnb der Stadt München Vermieterdaten herausgeben muss, damit Verstöße gegen das bayerische Zweckentfremdungsrecht verfolgt werden können.

Die Pressemitteilung des VG München:

Airbnb Ireland muss Identität von Gastgebern preisgeben

Airbnb Ireland muss Daten zu Gastgebern von vermittelten Wohnungen an die Landeshauptstadt München herausgeben. Dies hat die 9. Kammer des Bayerischen Verwaltungsgerichts München mit heute bekanntgegebenem Urteil vom 12. Dezember 2018 entschieden und damit die Klage der Airbnb Ireland UC abgewiesen (Az. M 9 K 18.4553).

Die Klägerin betreibt eine weltweite Online-Plattform zur Vermittlung von privaten Unterkünften. Hierauf inserieren Gastgeber anonym Wohnräume zum zeitweisen Aufenthalt. Nach dem bayerischen Zweckentfremdungsrecht ist eine Vermietung von privaten Wohnräumen länger als acht Wochen im Kalenderjahr für Zwecke der Fremdbeherbergung genehmigungspflichtig. Dadurch soll vermieden werden, dass Wohnraum dem Wohnungsmarkt entzogen wird. Darum hat die beklagte Landeshauptstadt München die Klägerin aufgefordert, sämtliche das Stadtgebiet betreffende Inserate, welche die zulässige Höchstvermietungsdauer überschreiten, mitzuteilen. Konkret soll die Klägerin für den Zeitraum Januar 2017 bis einschließlich Juli 2018 die Anschriften der angebotenen Wohnungen sowie die Namen und Anschriften der Gastgeber mitteilen.

Das Verwaltungsgericht hat entschieden, dass sich die Klägerin trotz ihres Firmensitzes in Irland aufgrund ihrer Tätigkeit im Bundesgebiet an nationale Vorschriften halten muss. Weder sei die Republik Irland für die Überwachung des Zweckentfremdungsrechts in München zuständig noch gelte irisches Recht. Das Auskunftsverlangen sei als Maßnahme zur Überwachung des Zweckentfremdungsrechts nach EU-Recht zulässig. Auch sei die Klägerin als Vermittlerin der Wohnungen verpflichtet mitzuwirken, indem sie der Beklagten die hierfür erforderlichen Daten zur Verfügung stellt. Weniger einschneidende Aufklärungsmöglichkeiten habe die Beklagte nicht. Das Zweckentfremdungsrecht und das darauf beruhende Auskunftsverlangen seien zudem verfassungsgemäß. Der Herausgabe der personenbezogenen Daten stünden keine datenschutzrechtlichen Bedenken entgegen. Auch die Androhung des Zwangsgeldes i.H.v. 300.000 Euro für den Fall der Zuwiderhandlung sei rechtmäßig.

Gegen das Urteil kann die Klägerin innerhalb eines Monats nach Bekanntgabe der vollständigen Entscheidungsgründe beim Bayerischen Verwaltungsgerichtshof in München die Zulassung der Berufung beantragen. Die Verpflichtung zur Herausgabe der Daten besteht ab Rechtskraft des Urteils.




LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

OLG Nürnberg: DSGVO gilt nicht für personenbezogene Daten Verstorbener - Datenschutzgrundverordnung

OLG Nürnberg
Beschluss vom 09.10.2018
11 W 717/18

Das OLG Nürnberg hat bestätigt, dass die Normen der DSGVO nicht für personenbezogene Daten Verstorbener gelten.

Aus den Entscheidungsgründen:

"Benutzungsbeschränkungen können sich nur aus dem PStG selbst oder aus anderen Gesetzen ergeben, die dem Schutz von Adoptierten (§ 1758 Abs. 1 BGB, § 63 Abs. 1 PStG), Transsexuellen (§ 5 Abs. 1 TSG, § 63 Abs. 2 PStG) oder sonst gefährdeten Personen dienen (§ 64 PStG). Derartige gesetzliche Vorschriften sind jedoch nicht ersichtlich. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) ist auf den Fall nicht anwendbar, da sie nach ihrem Erwägungsgrund 27 nicht die personenbezogenen Daten Verstorbener betrifft."

Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.



BAG: Eine an sich rechtmäßige offene Videoüberwachung wird nicht unverhältnismäßig wenn diese zur Ahndung von Pflichtverletzungen erst Monate später ausgewertet wird

BAG
Urteil vom 23.08.2018
2 AZR 133/18


Das Bundesarbeitsgericht hat entschieden, dass eine an sich rechtmäßige offene Videoüberwachung wird nicht unverhältnismäßig, wenn diese zur Ahndung von Pflichtverletzungen erst Monate später ausgewertet wird


Die Pressemitteilung des Gerichts:

Offene Videoüberwachung - Verwertungsverbot

Die Speicherung von Bildsequenzen aus einer rechtmäßigen offenen Videoüberwachung, die vorsätzliche Handlungen eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers zeigen, wird nicht durch bloßen Zeitablauf unverhältnismäßig, solange die Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Die Klägerin war in einem vormals von dem Beklagten betriebenen Tabak- und Zeitschriftenhandel mit angeschlossener Lottoannahmestelle tätig. Dort hatte der Beklagte eine offene Videoüberwachung installiert. Mit den Aufzeichnungen wollte er sein Eigentum vor Straftaten sowohl von Kunden als auch von eigenen Arbeitnehmern schützen. Nach dem Vortrag des Beklagten wurde im 3. Quartal 2016 ein Fehlbestand bei Tabakwaren festgestellt. Bei einer im August 2016 vorgenommenen Auswertung der Videoaufzeichnungen habe sich gezeigt, dass die Klägerin an zwei Tagen im Februar 2016 vereinnahmte Gelder nicht in die Registrierkasse gelegt habe. Der Beklagte kündigte daraufhin das Arbeitsverhältnis der Parteien außerordentlich fristlos. Die Vorinstanzen haben der dagegen gerichteten Kündigungsschutzklage stattgegeben. Das Landesarbeitsgericht hat gemeint, die Erkenntnisse aus den Videoaufzeichnungen unterlägen einem Verwertungsverbot. Der Beklagte hätte die Bildsequenzen unverzüglich, jedenfalls deutlich vor dem 1. August 2016 löschen müssen. Auf die Revision des Beklagten hat der Zweite Senat des Bundesarbeitsgerichts das Berufungsurteil hinsichtlich des Kündigungsschutzantrags aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Landesarbeitsgericht zurückverwiesen. Sollte es sich - was der Senat nach den bisherigen Feststellungen nicht beurteilen kann - um eine rechtmäßige offene Videoüberwachung gehandelt haben, wäre die Verarbeitung und Nutzung der einschlägigen Bildsequenzen nach § 32 Abs. 1 Satz 1 BDSG aF* zulässig gewesen und hätte dementsprechend nicht das durch Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht der Klägerin verletzt. Der Beklagte musste das Bildmaterial nicht sofort auswerten. Er durfte hiermit solange warten, bis er dafür einen berechtigten Anlass sah. Sollte die Videoüberwachung rechtmäßig erfolgt sein, stünden auch die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung einer gerichtlichen Verwertung der erhobenen personenbezogenen Daten der Klägerin im weiteren Verfahren nicht entgegen.

Bundesarbeitsgericht, Urteil vom 23. August 2018 - 2 AZR 133/18 -Vorinstanz: Landesarbeitsgericht Hamm, Urteil vom 20. Dezember 2017 - 2 Sa 192/17

32 Abs. 1 Satz 1 BDSG in der bis zum 25. Mai 2018 geltenden Fassung (aF) lautet:
Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.



Bayerisches Landesamt für Datenschutzaufsicht: Wann liegt Auftragsdatenverarbeitung vor - Liste mit Beispielen und Erläuterungen

Das Bayerisches Landesamt für Datenschutzaufsicht hat eine Liste mit Beispielen und Erläuterungen vorgelegt:

Was ist Auftragsverarbeitung und was nicht?

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

EuGH: Datenschutzrechtliche Vorgaben gelten auch für Religionsgemeinschaften die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten

EuGH
Urteil vom 10.07.2018
C-25/17
Tietosuojavaltuutettu / Jehovan todistajat – uskonnollinen yhdyskunta

Der EuGH hat entschieden, dass die datenschutzrechtlichen Vorgaben auch für Religionsgemeinschaften gelten, die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten. Vorliegend ging es um die Zeugen Jehovas.

Die Pressemitteilung des EuGH:

Eine Religionsgemeinschaft wie die der Zeugen Jehovas ist gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden

Die im Rahmen einer solchen Tätigkeit erfolgenden Verarbeitungen personenbezogener Daten müssen mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen im 17. September 2013 verbot die Tietosuojalautakunta (finnische Datenschutzkommission) der Jehovan todistajat – uskonnollinen yhdyskunta (Religionsgemeinschaft der Zeugen Jehovas in Finnland), im Rahmen der von ihren Mitgliedern von Tür zu Tür durchgeführten Verkündigungstätigkeit personenbezogene Daten zu erheben oder zu verarbeiten, ohne dass die rechtlichen Voraussetzungen der Verarbeitung solcher Daten eingehalten werden.

Die Mitglieder dieser Gemeinschaft machen sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können die Namen und Adressen der aufgesuchten Personen sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären. Die Gemeinschaft der Zeugen Jehovas und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den verkündigenden Mitgliedern aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen Jehovas eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet.

Das Vorabentscheidungsersuchen des Korkein hallinto-oikeus (Oberster Verwaltungsgerichtshof, Finnland) betrifft im Wesentlichen die Frage, ob die Gemeinschaft den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt, weil sich ihre Mitglieder bei der Ausübung ihrer Verkündigungstätigkeit von Tür zu Tür veranlasst sehen können, sich Notizen über den Inhalt ihrer Gespräche und insbesondere die religiöse Orientierung der von ihnen aufgesuchten Personen zu machen.

In seinem heute verkündeten Urteil stellt der Gerichtshof zunächst fest, dass die von den Mitgliedern der Gemeinschaft der Zeugen Jehovas von Tür zu Tür durchgehführte Verkündigungstätigkeit nicht unter die Ausnahmen fällt, die die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten vorsehen. Insbesondere ist diese Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit, für die diese Vorschriften nicht gelten. Der Umstand, dass die Verkündigungstätigkeit von Tür zu Tür durch das in Art. 10 Abs. 1 der Charta der Grundrechte der EU verankerte Grundrecht auf Gewissens- und Religionsfreiheit geschützt ist, verleiht ihr keinen ausschließlich persönlichen oder familiären Charakter, da sie über die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft hinausgeht.

Sodann weist der Gerichtshof einschränkend darauf hin, dass die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten nur dann auf die manuelle Verarbeitung von Daten anwendbar sind, wenn diese Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Da im vorliegenden Fall die Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, stellt sich die Frage, ob die verarbeiteten Daten in einer Datei gespeichert sind oder gespeichert
werden sollen. Insoweit gelangt der Gerichtshof zu dem Ergebnis, dass der Begriff „Datei“ jede Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so
strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

Demnach müssen die Verarbeitungen personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erfolgen, mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen. Zu der Frage, wer als für die Verarbeitung der personenbezogenen Daten Verantwortlicher angesehen werden kann, weist der Gerichtshof darauf hin, dass der Begriff „für die Verarbeitung Verantwortlicher“ mehrere an dieser Verarbeitung beteiligte Akteure betreffen kann, wobei dann jeder von ihnen den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt. Diese Akteure können in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Der Gerichtshof stellt außerdem fest, dass aus keiner Bestimmung des Unionsrechts geschlossen werden kann, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen muss. Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nimmt und damit an der Entscheidung
über die Zwecke und Mittel dieser Verarbeitung beteiligt ist, als für die Verarbeitung Verantwortlicher angesehen werden.

Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure nicht voraus, dass jeder von ihnen Zugang zu den personenbezogenen Daten hat. Im vorliegenden Fall ist davon auszugehen, dass die Gemeinschaft der Zeugen Jehovas dadurch, dass sie die Verkündigungstätigkeit ihrer Mitglieder organisiert und koordiniert und zu ihr ermuntert, gemeinsam mit ihren verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten der aufgesuchten Personen beteiligt ist, was jedoch das finnische Gericht anhand sämtlicher Umstände des vorliegenden
Falles zu beurteilen hat. Der in Art. 17 AEUV niedergelegte Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften stellt diese Würdigung nicht in Frage.

Der Gerichtshof gelangt zu dem Schluss, dass nach den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitung personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf die Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu dieser Datenverarbeitung gegeben hat.


Den Volltext der Entscheidung finden Sie hier:



SG München: Grundsatz der Datensparsamkeit gilt nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes

SG München
Urteil vom 21.06.2017
S 38 KA 1792/14


Das SG München hat entschieden, dass der Grundsatz der Datensparsamkeit nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes gilt.

Aus den Entscheidungsgründen:

Unstrittig dürfte sein, dass auch für den Notarzt eine Dokumentationspflicht besteht und mit „emDoc“ der gesetzliche Auftrag der Dokumentation in Art. 46 Abs. 1 BayRDG umgesetzt werden kann. Danach hat der Notarzt die Pflicht, die Einsätze und die dabei getroffenen aufgabenbezogenen Feststellungen und Maßnahmen zu dokumentieren. Die Dokumentation hat nach Art. 46 Abs. 3 BayRDG nach einheitlichen Grundsätzen zu erfolgen. Gemäß Art. 34 Abs. 8 BayRDG ist für den Vollzug der Abs. 2-7 und des Art. 35 (insbesondere Vollzug der Benutzungsentgeltvereinbarung) eine Zentrale Abrechnungsstelle eingeschaltet, die auch Auszahlungen auf die mit den Sozialversicherungsträgern vereinbarten oder rechtskräftig festgesetzten Kosten der Leistungserbringung an die Kassenärztliche Vereinigung Bayerns vornimmt (vgl. § 34 Abs. 8 Ziff. 5 BayRDG).

Die Einführung von “emDoc“ soll insbesondere dazu dienen, dass die gesetzlich vorgeschriebene Dokumentation (Art. 46 BayRDG) und deren Einheitlichkeit (Art. 46 Abs. 3 BayRDG) sichergestellt wird. Ferner soll sie dem Qualitätsmanagement dienen.

Wie die Dokumentation im Einzelnen für den Notarzt im Detail aussehen soll, ist allerdings gesetzlich nicht geregelt. Hierfür finden sich weder im Bayerischen Rettungsdienstgesetz (Art. 46, 47 BayRDG), noch in §§ zu 285, 294, 295 SGB V entsprechende Anhaltspunkte. In diesem Zusammenhang ist fraglich, ob die Grund-sätze der sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts (vgl. BVerfG Entscheidung vom 08.08.1978, Az. 2 BvL 8/77) und das rechtsstaatliche Gebot der Normenklarheit (vgl. BVerfG, Entscheidung vom 15.12.1983, Az. 1 BvR 209/83) eingehalten wurden.

Abgesehen davon ist die Zulässigkeit der Dokumentation nicht unbegrenzt, soweit es sich um die Erfassung personenbezogener Daten handelt. Nach Art. 47 Abs. 1 BayRDG dürfen personenbezogene Daten unter anderem nur erhoben werden, wenn dies für rettungsdienstliche Aufgaben (Art. 47 Abs. 1 Ziff. 1-6 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung erforderlich ist oder die betroffene Person eingewilligt hat. Damit wird wie in anderen gesetzlichen Regelungen (vgl. § 35 Abs. 2 SGB I i.V.m. § 67 a SGB X, § 284 Abs. 1 S. 1 SGB V, § 285 Abs. 1 und 2 SGB V) die Zulässigkeit der Erhebung von der Daten von der Erforderlichkeit abhängig gemacht. Die Erforderlichkeit der Datenerhebung nach Art. 47 Abs. 1 BayRDG ist von dem Grundsatz der Datensparsamkeit zu unterscheiden. Letzterer ist ausdrücklich in § 3a Bundesdatenschutzgesetz (BDSG) genannt. Dieser Grundsatz der Datensparsamkeit gilt jedoch im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes (BayRDG) nicht. Nach § 1 Abs. 3 BDSG gehen zwar nur andere Rechtsvorschriften des Bundes den Vorschriften des BDSG vor. Ein Nachrang gegenüber Landesgesetzen besteht somit nicht. Jedoch sind die allgemeinen Datenschutzregeln des § 285 Abs. 2 SGB V, die sich ebenfalls auf die Zulässigkeit der Erhebung personenbezogener Daten durch die Kassenärztliche Vereinigung beziehen und ebenfalls wie Art. 47 BayRDG auf die Erforderlichkeit, nicht aber die Datensparsamkeit abstellen, sowie die Datenschutzregeln des § 35 SGB I i.V.m. §§ 67 ff. SGB X heranzuziehen, so dass eine Anwendung von § 3a BDSG ausscheidet (vgl. LSG Baden-Württem-berg, Urteil vom 21.06.2016, L 11 KR 2510/15).

Nach Auffassung des Gerichts bestehen gegen die Dokumentation, wie sie in der aktuellen Fassung (Kurz-Fassung) vorgesehen ist, rechtliche Bedenken, insbesondere vor dem Hintergrund datenschutzrechtlicher Aspekte.

Zwar hat der Datenschutzbeauftragte in seiner Stellungnahme vom 12.01.2010 zum Projekt („emDoc“) die Auffassung geäußert, „die Erhebung und Speicherung personenbezogener Daten durch die KVB im Rahmen des Projekts „emDoc“ könne zur Erfüllung rettungsdienstlicher Aufgaben im Ergebnis als erforderlich angesehen werden. Außerdem wurde auf die Begründung zur Novelle des Bayerischen Rettungsdienstgesetzes hingewiesen. Dort sei zum Ausdruck gebracht worden, dass der Gesetzgeber eine Erhebung und Speicherung personenbezogener Daten zu den in Art. 47 genannten Zwecken für zulässig erachte, weil andernfalls ein zweiter Datensatz notwendig wäre und dies in der Praxis einen erheblichen Zeitaufwand bedeuten würde (siehe Landtags-Drucksache 15/10391, Anmerkungen zu Art. 47 - Datenschutz). Die Stellungnahme bezieht sich jedoch nicht auf die aktuelle Kurz-Fassung von „emDoc“. Außerdem ist sie für das Gericht nicht bindend.

Die Beklagte beruft sich insbesondere darauf, die in „emDoc“ vorgesehenen Daten seien im Hinblick auf die Abrechnung der erbrachten Leistungen bzw. aus Gründen der Qualitätssicherung notwendig. Damit beruft sie sich auf Art. 47 Abs. 1 Ziff. 2 bzw. auf Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG. Fraglich scheint zunächst, ob es sich bei den Angaben über die Einsatzzeit, die Kreisverbandsnummer, die Wache, die Auftragsnummer des Rettungstransportwagens, die PLZ, den Einsatzort und die Alarmierungszeit um personenbezogene Daten handelt. Denn ein direkter Zusammenhang mit einer bestimmten Person besteht nicht. Es reicht aber aus, dass es sich um personenbeziehbare Daten handelt (vgl. Kassler Kommentar, Komment. zum SGB, Rn 5 zu § 284 SGB V). Personenbeziehbare Daten sind personenbezogenen Daten gleichzusetzen. Kann beispielsweise durch Zusammenfügen von Daten auf eine bestimmte Person geschlossen werden, liegen personenbeziehbare Daten vor. Die geforderten Pflichtangaben in „emDoc“ lassen nach Auffassung des Gerichts in Gesamtschau befürchten, dass eine Identifizierung möglich ist.

Soweit sich die Beklagte auf Gründe der Qualitätssicherung (Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG) bezieht, lässt sich daraus aktuell eine Erforderlichkeit nicht herleiten. Denn die Beteiligten haben übereinstimmend angegeben, dass eine Dokumentation aus Gründen der Qualitätssicherung bis zur Neuregelung von „emDoc“ ausgesetzt wurde. Insofern widerspricht sich die Beklagte, wenn sie sich auf Gründe der Qualitätssicherung beruft.

Somit ist zu prüfen, ob die Dokumentation personenbeziehbarer Daten, die vom Kläger abverlangt wird, aus sonstigen rettungsdienstlichen Gründen - mit Ausnahme der Gründe der Qualitätssicherung - erforderlich ist. Die Beklagte hält die Erhebung der Daten insbesondere zur Abrechnung der erbrachten Leistungen (Art. 47 Abs. 1 Ziff. 2 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung für erforderlich.

Auch nach der hierzu von der Beklagten vom Gericht ausdrücklich angeforderten und abgegebenen Stellungnahme ist nicht nachvollziehbar, warum die Angaben, die vom Kläger abverlangt werden und von ihm beanstandet werden, zur Abrechnung der im Notarztdienst erbrachten Leistungen erforderlich sein sollen. Bedeutsam ist, dass auch im Datenschutzrecht der Verhältnismäßigkeitsgrundsatz gilt. Der in Art. 47 BayRDG formulierte Datenschutz als Ausfluss des Persönlichkeitsrechts von Art. 2, 1 Grundgesetz verlangt, dass die Einschränkung des Rechts auf informationelle Selbstbestimmung hinreichend aus Gründen des Allgemeinwohls gerechtfertigt wird, das gewählte Mittel zur Erreichung des Zwecks geeignet und erforderlich ist und bei der Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der rechtfertigen Gründe die Grenze des Zumutbaren noch gewahrt ist (vgl. BVerfG 65, 1,41 f.; 56, 37, 41ff.). Auszuschließen und mit Datenschutzrecht nicht vereinbar ist, wenn personenbezogene Daten zu noch nicht bestimmbaren Zwecken, quasi auf Vorrat gesammelt werden (vgl. Kassler Kommentar, Komment. zum SGB, Rn 7 zu § 284).

Die obligatorischen Angaben über die Nummer des Kreisverbands, Wache des Rettungswagen, Postleitzahl, Einsatzort, Auftragsnummer der Leitstelle für den Rettungswagen dienen nach Auffassung des Gerichts nicht der Abrechnung der Leistungen des Notarztes, sondern vielmehr, wie von der Beklagten eingeräumt wird, allenfalls dem Datenabgleich bei der Zentralen Abrechnungsstelle für den Rettungsdienst Bayern GmbH (ZAST). Die Aufgabe der ZAST, einer juristischen Person des Privatrechts besteht nach Art. 34 Abs. 8 BayRDG u.a. darin, die Abrechnung der Einsätze aller Durchführenden des öffentlichen Rettungsdienstes gegenüber den Kostenträgern durchzuführen. So sind auch Auszahlungen an die Kassenärztliche Vereinigung Bayerns vorzunehmen. Ein Abgleich der Daten des Notarztes einerseits und der sonstigen Durchführenden des Rettungsdienstes ist aber speziell zur Abrechnung der Leistungen des Notarztes nicht erforderlich und nicht von Art. 47 Abs. 1 BayRDG bzw. §§ 285 Abs. 2, 295 Abs. 1 SGB V gedeckt. Letztendlich führt die „Zwischenschaltung“ der ZAST, die gesetzlich zwar in Art. 34 Abs. 8 BayRDG vorgesehen ist, dazu, dass ein „Mehr“ an Daten u.U. erforderlich ist. Diese „Zwischenschaltung“ rechtfertigt aber nicht das Erfordernis der Erhebung dieser Daten. Im Gegenteil! Je mehr Stellen die Daten zugänglich gemacht werden bzw. zugänglich zu machen sind, umso mehr besteht die Gefahr des Datenmissbrauchs. Deshalb sind bei dieser Konstellation an die Erforderlichkeit der Datenerhebung äußerst strenge Maßstäbe zu stellen. Im Übrigen erscheint die Aussage der Beklagten, die Angaben dienten der „Verifizierung“ des Einsatzes, sehr pauschal, zumal auch Art. 47 Abs. 1 Ziff. 2 BayRDG nicht von einer „Verifizierung“, sondern von der „Abwicklung“ des Einsatzes spricht. Davon abgesehen kann es nicht Aufgabe des Notarztes sein, im Nachhinein ihm zunächst nicht bekannte Daten (Kreisverbandsnummer, Nummer der Rettungswache) zu erfragen.

Ebensowenig besteht eine Erforderlichkeit der Angaben über Alarmzeit und Zeit des Einsatzendes, Postleitzahl und Einsatzort zu Abrechnungszwecken. Diese Angaben mögen bestimmte Vergütungszuschläge auslösen, sind aber nicht abrechnungsrelevant. Wenn hierzu keine Angaben gemacht werden, entfällt ein etwaiger Zuschlag. Gegen eine freiwillige Angabe - wenn also der Notarzt auch Zuschläge abrechnen will - bestehen aber keine rechtlichen Bedenken.


Den Volltext der Entscheidung finden Sie hier:



VG Bayreuth: Einsatz von Facebook Custom Audience verstößt gegen Datenschutzrecht und kann von Datenschutzbehörde untersagt werden

VG Bayreuth
Beschluss vom 08.05.2018
B 1 S 18.105


Das VG Bayreuth hat entschieden, dass der Einsatz von Facebook Custom Audience gegen Datenschutzrecht verstößt und von Datenschutzbehörde untersagt werden kann.

Aus den Entscheidungsgründen:

"Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

b) Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Antragstellerin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen (S. 24 des Klage-/Antragsschriftsatzes vom 01.02.2018).

c) Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen (vgl. hierzu Plath a.a.O., § 11 Rn. 20 m.w.N.). Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.

aa) Die Antragstellerin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind (vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.).

Soweit die Antragstellerin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Antragstellerin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird (Simitis a.a.O., § 28 Rn. 232) – die Verwendung einer zusätzlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei
E-Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält (vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“).

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.

Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Antragstellerin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. F.), würde aber vorgelagert eine rechtmäßige Datenerhebung F.s voraussetzen. Der hier zu würdigende Übermittlungsakt von der Antragstellerin an F. wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet (vgl. Plath a.a.O., § 28 Rn. 144).

Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Antragstellerin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Antragstellerin aus (dazu nachfolgend unter II. 1. a) bb)).

Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre. Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, C-468/10 und C-469/10 – juris Rn. 47 f.). Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.

bb) Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“ (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62).

Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten (vgl. dazu oben) bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden. Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte (vgl. Plath a.a.O., § 28 Rn. 124). Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Antragstellerin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen (Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.). Allein der Umstand, dass es sich um Angebote der Antragstellerin handelt, die dem Betroffenen bei F. angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Antragstellerin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Antragstellerin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an F. Personen, die ihre Daten vor diesem Datum an die Antragstellerin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Antragstellerin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei F. hochgeladen worden sind, ist somit unerheblich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann (vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.). Zu berücksichtigen ist daher auch, dass die Antragstellerin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an F. einzuholen.

Somit geht auch die Interessenabwägung zu Ungunsten der Antragstellerin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.

d) Die Datenübermittlung an F. ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.

Letztlich geht somit auch die im Rahmen des Verfahrens nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zu deren Nachteil aus. Nachdem die derzeitigen Zustände sich voraussichtlich als datenschutzwidrig darstellen, ist es geboten, diesen Zustand auch schon vor einer (rechtskräftigen) Entscheidung in der Hauptsache zu beenden."

Den Volltext der Entscheidung finden Sie hier:

Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DFK) hat sich mit einer Entschließung vom 06.06.2018 zur EuGH-Entscheidung vom 05.06.2017 - C-210/16 (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) geäußert. Nach Ansicht der DSK ist ein rechtskonformer Betrieb einer Facebook-Fanpage bzw. Facebook-Seite derzeit nicht möglich, da die Nutzer ohne Mitwirkung von Facebook keine datenschutzkonforme Seite vorhalten können.

Die Mitteilung der DSK:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.



EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

EuGH
Urteil vom 05.06.2018
C-210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ./, Wirtschaftsakademie Schleswig-Holstein GmbH


Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.

Entscheidend ist für den EuGH, dass der Betreiber einer Facebook-Seite "durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. " Ob dies generell bei Einrichtung einer Facebook-Seite der Fall ist oder die Nutzung weiterer Facebook-Funktionen erfordert, lässt der EuGH leider nicht genau erkennen. Sollten der EuGH generell die Einrichtung der Seite genügen lassen, könnten Facebook-Seiten / Facebook-Fanpages praktisch nicht mehr rechtskonform betrieben werden. Die Datenschutzbehörden sind - so der EuGH - jedenfalls befugt, in diesem Zusammenhang tätig zu werden.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.


Die Pressemitteilung des EuGH:

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen

Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46. In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese
Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats
gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen
Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.



Europäischer Rat ändert Sprachfassungen der EU-DSGVO mit Dokument vom 19.04.2018 und damit kurz vor Inkraftreten am 25.05.2018

Europäische Rat hat mit Dokument vom 19.04.2018 kurz vor Inkrafttreten die Sprachfassungen der EU-DSGVO geändert. Zwar sollen die Änderungen primär dem sprachlichen Schliff der Übersetzungen dienen, allerdings können sich durch die Änderungen im Detail auch rechtliche Abweichungen ergeben.