Skip to content

OVG Koblenz: Lehrer hat keinen Anspruch auf Entfernung von Fotos seiner Person aus Schuljahrbuch wenn er freiwillig bei entsprechendem Fototermin fotografiert wurde

OVG Koblenz
Beschluss vom 02.04.2020
2 A 11539/19.OVG


Das OVG Kobenz hat entschieden, dass ein Lehrer keinen Anspruch auf Entfernung von Fotos seiner Person aus einem Schuljahrbuch hat, wenn er freiwillig bei einem entsprechendem Fototermin fotografiert wurde

Die Pressemitteilung des Gerichts:

Kein Anspruch eines Lehrers auf Beseitigung von Fotos aus Schuljahrbuch

Ein Lehrer, der sich bei einem Fototermin in der Schule freiwillig mit Schulklassen hat ablichten lassen, hat keinen Anspruch auf Entfernung der im Jahrbuch der Schule veröffentlichten Bilder. Dies entschied das Oberverwaltungsgericht Rheinland-Pfalz in Koblenz.

Der Kläger ist Studienrat im rheinland-pfälzischen Schuldienst. Bei einem Fototermin in der Schule ließ er sich mit einer Schulklasse und einem Oberstufenkurs fotografieren. Die Schule gab, wie bereits im Jahr zuvor, ein Jahrbuch mit den Abbildungen sämtlicher Klassen und Kurse nebst den jeweiligen Lehrkräften heraus. Nachdem der Kläger sich zunächst erfolglos innerhalb der Schulverwaltung gegen die Veröffentlichung der Fotos gewandt hatte, erhob er Klage vor dem Verwaltungsgericht. Er machte geltend, dass die Publikation sein Persönlichkeitsrecht verletze. Er habe kein Einverständnis zur Veröffentlichung der Bilder erteilt, sondern stehe einer solchen vielmehr ablehnend gegenüber. Er habe sich nur ablichten lassen, weil eine Kollegin ihn überredet habe. Den wahren Verwendungszweck der Fotos habe er nicht gekannt.

Das Verwaltungsgericht Koblenz wies die Klage ab (vgl. Pressemitteilung des Verwaltungsgerichts Koblenz Nr. 33/2019 vom 23. September 2019). Nach dem Kunsturhebergesetz bedürfe es keiner Einwilligung in die Veröffentlichung der Fotos im Jahrbuch der Schule, weil diese Bildnisse aus dem Bereich der Zeitgeschichte seien. Dies ergebe sich aus der dafür erforderlichen Abwägung der wechselseitigen Interessen. Ein Informationsinteresse der Öffentlichkeit bestehe auch bei Veranstaltungen von regionaler oder lokaler Bedeutung. Eine solche Bedeutung hätten die Jahrbücher mit den Klassenfotos für die Angehörigen der Schule. Demgegenüber seien die Rechte des Klägers nur geringfügig beeinträchtigt worden. Er sei im dienstlichen Bereich in einer völlig unverfänglichen, gestellten Situation aufgenommen worden und die Bilder seien in keiner Weise unvorteilhaft oder ehrverletzend. Selbst wenn eine Einwilligung erforderlich gewesen sein sollte, wäre diese aber auch zumindest konkludent erteilt worden, weil der Kläger sich mit den beiden Schülergruppen habe ablichten lassen. Er habe gewusst oder jedenfalls wissen müssen, dass die Schule derartige Klassenfotos bereits in der Vergangenheit für Jahrbücher verwendet habe. Es stelle ein widersprüchliches Verhalten dar, die Veröffentlichung von Fotos einerseits strikt abzulehnen und sich andererseits auf Fotos ablichten zu lassen, die offensichtlich dem Zweck der Veröffentlichung dienten.

Das Oberverwaltungsgericht bestätigte diese Entscheidung und lehnte den Antrag des Klägers auf Zulassung der Berufung ab. Der Kläger habe keine Gründe dargelegt, warum entgegen der nachvollziehbaren Wertung des Verwaltungsgerichts in der Abwägung zwischen dem Informationsinteresse und der Persönlichkeitsrechte die klägerischen Belange hätten höher zu bewerten sein müssen. Auch den vom Verwaltungsgericht aufgezeigten Widerspruch in seinem Verhalten habe er nicht überzeugend auflösen können.

Beschluss vom 2. April 2020, Aktenzeichen: 2 A 11539/19.OVG

BayObLG: Staatsanwaltschaft muss gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen solange Verjährungsfrist noch läuft

BayObLG
Beschluss v. 27.01.2020
203 VAs 1846/19

Das BayobLG hat entschieden, dass die Staatsanwaltschaft gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen, solange die Verjährungsfrist noch läuft.

Aus den Entscheidungsgründen:

"Der Antrag auf gerichtliche Entscheidung ist nach § 23 Abs. 1 und 2 EGGVG statthaft und auch im Übrigen zulässig, ein Vorschaltverfahren (§ 21 StVollstrO) ist entbehrlich. In der Sache hat der Antrag keinen Erfolg.

Der Antragsteller hat weder Anspruch auf Berichtigung, noch auf Löschung der durch die Staatsanwaltschaft Coburg gespeicherten Daten (§ 500 Abs. 1, Abs. 2 Nr. 1 StPO i.V.m. §§ 75 Abs. 1, Abs. 2 BDSG, 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO).

1. Das Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 ist am 26.11.2019 in Kraft getreten (BGBl. I 2019, S. 1774 ff.). § 500 Abs. 1 StPO erklärt hinsichtlich der Verarbeitung personenbezogener Daten Teil 3 des Bundesdatenschutzgesetzes für entsprechend anwendbar. Insoweit handelt es sich um eine eigenständige Normierung ohne Verweis auf die Datenschutzgrundverordnung (DSGVO); auch das Bayerische Datenschutzgesetz (BayDSG) ist damit grundsätzlich nicht anwendbar.

Der Antragsteller hat danach gemäß § 500 Abs. 1 StPO i.V.m. § 75 Abs. 1 BDSG einen Berichtigungsanspruch, wenn gespeicherte personenbezogene Daten unrichtig oder unvollständig sind. Er hat nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 2 BDSG, § 500 Abs. 2 Nr. 1 StPO i.V.m. § 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO (als ergänzende Sonderregelungen) einen Löschungsanspruch hinsichtlich gespeicherter personenbezogener Daten, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Einstellung, die die Wiederaufnahme (wie bei § 170 Abs. 2 StPO) nicht hindert, mit Eintritt der Verjährung.

2. Es besteht kein Berichtigungsanspruch, da die gespeicherten Daten nicht unrichtig und nicht unvollständig sind:

a) Der Tatvorwurf ist zu Recht gespeichert. Der Gegenstand eines Ermittlungsverfahrens muss zweifelsfrei erfasst sein, insbesondere auch um den Eintritt der Verjährung konkret bestimmen zu können, der - wie vorgehend dargestellt - maßgeblich ist für den Zeitpunkt der Löschung. Der Senat erachtet es deshalb nicht für zielführend, gespeicherte Datensätze mit Phantasieparagraphen (§ 999 StGB) zu verfälschen. Das Interesse der Strafverfolgungsbehörden an der Speicherung der Daten geht dem Interesse des Beschuldigten an der Vermeidung einer Stigmatisierung vor.

Der Senat folgt nicht dem Beschluss des Oberlandesgerichts Frankfurt vom 20.07.2010 (Az.: 3 VAs 19/10). Von einer Speicherung des urpsrünglichen Deliktsvorwurfes wurde dort nur wegen der „Besonderheiten“ des Falles abgesehen; welche „Besonderheiten“ dies sein sollen, ist jedoch nicht ersichtlich. Vorliegender Fall weist dagegen von vorneherein keine Besonderheiten auf. Das Ermittlungsverfahren wurde eingestellt, weil - wie in vielen Ermittlungsverfahren - kein konkreter Tatnachweis geführt werden konnte, und nicht etwa wegen erwiesener Unschuld, was eine andere Beurteilung rechtfertigen könnte.

b) Gespeichert ist, dass das Verfahren am 26.11.2018 eingestellt wurde, da Tatbestand, Rechtswidrigkeit oder Schuld nicht nachweisbar sind. Es ist nicht erforderlich, dass die Vorschrift des § 170 Abs. 2 StPO auch noch ausdrücklich genannt wird, da die gewählte Formulierung eindeutig ergibt, dass eine Sachbehandlung nach § 170 Abs. 2 StPO erfolgt ist.

2. Es besteht auch kein Löschungsanspruch:

Wie oben ausgeführt, ist eine Löschung erst dann vorzunehmen, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Verfahrenseinstellung nach § 170 Abs. 2 StPO mit Eintritt der Verjährung. Totschlag verjährt nach § 78 Abs. 3 Nr. 1 StGB in dreißig Jahren. Während des Laufs der Verjährungsfrist ist die Datenspeicherung zur Aufgabenerfüllung der Staatsanwaltschaft erforderlich, weil während dieses Zeitraums neue Beweismittel auftauchen könnten, die Anlass zur Wiederaufnahme der Ermittlungen geben. Eine Einstellung nach § 170 Abs, 2 StPO steht einer solchen Wiederaufnahme der Ermittlungen nicht entgegen."


Den Volltext der Entscheidung finden Sie hier:



VG Berlin: DSGVO gewährt kein Recht auf "Bereinigung" einer Schülerakte bei einem Schulwechsel - Kein Zweckwegfall da Daten für Aufgabenerfüllung der Schule erforderlich sind

VG Berlin
Beschluss vom 28.02.2020
VG 3 L 1028.19


Das VG Berlin hat entschieden, dass die DSGVO kein Recht auf "Bereinigung" einer Schülerakte bei einem Schulwechsel gewährt. Insbesondere liegt kein Zweckwegfall vor, da die Daten für die Aufgabenerfüllung der Schule erforderlich sind.

Die Pressemitteilung des Gerichts:

Kein Recht auf „Bereinigung“ einer Schülerakte bei Schulwechsel

Ein Schüler, dessen Schülerakte zahlreiche Eintragungen aufweist, kann bei einem Schulwechsel nicht deren „Bereinigung“ unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verlangen. Das hat das Verwaltungsgericht Berlin in einem Eilverfahren entschieden.

Die Antragsteller sind ein dreizehnjähriger Schüler und seine Eltern. Der Schüler besuchte ab dem Schuljahr 2018/2019 ein Gymnasium in Berlin, welches er nach einem Gewaltvorfall verließ; das Probejahr bestand er nicht. Sodann besuchte er die achte Jahrgangsstufe einer anderen Berliner Schule, wobei es zu zahlreichen, in seiner Schülerakte dokumentierten Vorfällen kam. Diese Schülerakte halten die Antragsteller aus verschiedenen Gründen für fehlerhaft und diskriminierend. Deren Übersendung in dieser Form an die Privatschule, die der Schüler nunmehr besuchen wolle, gefährde seine Aufnahme. Die Antragsteller begehren deshalb im Wege des vorläufigen Rechtsschutzes im Wesentlichen die Entfernung bestimmter Seiten der Schülerakte.

Die 3. Kammer hat den Antrag zurückgewiesen. Der geltend gemachte Anspruch auf Bereinigung bestehe nicht. Zwar gebe es nach der DSGVO unter bestimmten Voraussetzungen einen Anspruch auf Löschung von Daten, insbesondere, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dies sei hier aber nicht der Fall. Die Daten seien weiter notwendig. Die Schuldatenverordnung des Landes Berlin sehe ausdrücklich vor, dass ein Schulwechsel gerade keinen Zweckwegfall begründe. Denn nur so könne die Schülerakte ihren Zweck erfüllen, die Entwicklung der Persönlichkeit und des Verhaltens des Schülers über seine Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten über einen längeren Zeitraum nachvollziehbar zu machen. Die personenbezogenen Daten seien aber auch nicht unrechtmäßig verarbeitet worden. Nach dem Berliner Schulgesetz dürften Schulen nämlich personenbezogene Daten von Schülerinnen und Schülern und ihren Erziehungsberechtigten verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen, schulbezogenen Aufgaben erforderlich ist. Soweit es etwa um die Speicherung von personenbezogenen Daten von Schülern über Pflichtverletzungen und deren pädagogische und rechtliche Folgen gehe, sei die Speicherung für die Aufgabenerfüllung der Schule erforderlich, da die Auswahl einer zukünftigen pädagogischen Maßnahme stets auch von der Beurteilung des Verhaltens des Schülers in vergleichbaren zurückliegenden Situationen abhängig sei.

Gegen die Entscheidung kann Beschwerde beim Oberverwaltungsgericht Berlin-Brandenburg eingelegt werden.

Beschluss der 3. Kammer vom 28. Februar 2020 (VG 3 L 1028.19)


VG Mainz: Keine einstweilige Anordnung mit Ziel der Wiederaufnahme und Fortsetzung eines Beschwerdeverfahrens nach Art. 77 DSGVO zur Durchsetzung zivilrechtlicher Ansprüche

VG Mainz
Beschluss vom 29.08.2019
1 L 605/19.MZ


Das VG Mainz hat in diesem Fall den Erlass einer einstweiligen Anordnung mit dem Ziel der Wiederaufnahme und Fortsetzung eines Beschwerdeverfahrens nach Art. 77 DSGVO zur Vorbereitung der Durchsetzung zivilrechtlicher Ansprüche abgelehnt.

Aus den Entscheidungsgründen:

I. Es bestehen bereits Zweifel an der Zulässigkeit des Antrags.

Der Verwaltungsrechtsweg ist gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz – BDSG – eröffnet. Das Verwaltungsgericht Mainz ist zuständig. Die örtliche Zuständigkeit ergibt sich hier entweder aus § 52 Nr. 5, Nr. 3 Sätze 3 und 5 Verwaltungsgerichtsordnung – VwGO – oder aus der spezielleren Regelung des § 20 Abs. 3 BDSG (so z.B. Neun/Lubitzsch, BB 2017, 2563 (2564); Pötters/Werkmeister, DS-GVO, 2. Aufl. (2018), Art. 78 Rn. 19). Nach § 52 Nr. 5, Nr. 3 Sätze 3 und 5 VwGO ist das Verwaltungsgericht zuständig, in dessen Bezirk der Antragsgegner seinen Sitz hat. Entsprechend der Regelung in § 52 Nr. 3 Satz 3 VwGO, der auch bei Verpflichtungsklagen Anwendung findet (vgl. W.-R. Schenke, VwGO, 24. Aufl. (2018), § 52 Rn. 12, VG Würzburg, Urteil vom 18. März 2010 – W 1 K 09.1244 –, juris, Rn. 14 f.; ebenso VG Düsseldorf, Urteil vom 19. Mai 2011 – 6 K 4205/10 –, juris, Rn. 19), fehlt es der Antragstellerin an einem Sitz oder Wohnsitz im Zuständigkeitsbereich des Antragsgegners, denn sie gibt an in Spanien zu wohnen. Auch nach § 20 Abs. 3 BDSG ist hier das Verwaltungsgericht Mainz als das Gericht, in dessen Bezirk der Landesbeauftragte für den Datenschutz und die Informationsfreiheit – LfDI – als Aufsichtsbehörde seinen Sitz hat, örtlich zuständig.

Der Antrag der Antragstellerin, der auf eine Fortsetzung des Verfahrens gerichtet ist, ist statthaft gemäß § 123 Abs. 1 VwGO. Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach kann ein gerichtlicher Rechtsbehelf eingelegt werden, wenn sich die Aufsichtsbehörde nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der nach Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat. Allerdings hat der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen. Spezieller und damit vorrangig ist vorliegend der gerichtliche Rechtsbehelf gegen die Abschlussverfügung des LfDI nach Art. 78 Abs. 1 DSGVO. Der Antrag ist hier allerdings nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des Antragsgegners. Art. 78 Abs. 1 DSGVO ist aber nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse (in der Regel Verwaltungsakte) der Aufsichtsbehörde beschränkt, sondern umfasst darüber hinaus auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person (Art. 19 Abs. 4 Grundgesetz – GG –), was sich auch aus dem unionsrechtlichen Grundsatz des effet utile (Art. 4 Abs. 3 des Vertrags über die Europäische Union – EUV –) folgern lässt (vgl. auch Mundil, in: BeckOK DatenschutzR, 28. Ed. (2017), DS-GVO, Art. 78 Rn. 7).

Es ist vorliegend bereits fraglich, ob die Antragstellerin ein Rechtsschutzbedürfnis auf Erlass der begehrten einstweiligen Anordnung hat. Dies kann aber im Ergebnis offenbleiben, da ihr Antrag jedenfalls unbegründet ist (dazu II.). Das Rechtsschutzbedürfnis kann fehlen, wenn der Erlass der einstweiligen Anordnung für den Antragsteller offensichtlich keinerlei rechtliche oder tatsächliche Vorteile bringen kann (vgl. nur W.-R. Schenke, in Kopp/Schenke, VwGO, 22. Aufl. (2016), Vorb. § 40 Rn. 38). Dies könnte hier der Fall sein, da die Antragstellerin mit dem von ihr gestellten Antrag (nur) eine Fortsetzung des Beschwerdeverfahrens erzielen könnte, dessen Ausgang aber offen wäre. Die von der Antragstellerin eigentlich begehrte Auskunft würde sie bei einem Erfolg des Antrags auf Erlass der beantragten einstweiligen Anordnung nicht – jedenfalls nicht unmittelbar und nicht mit Gewissheit – erhalten. Der Antragsgegner selbst kann die begehrte Auskunft nicht erteilen, da er über sie nicht verfügt. Der Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde ist umstritten: So wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann, andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann (vgl. zum Meinungsstand Neun/Lubitzsch, BB 2017, 2563 (2564)). Es spricht nach der im Eilverfahren gebotenen summarischen Prüfung der Sach- und Rechtslage nach Auffassung der Kammer einiges dafür, dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen (so auch SG Frankfurt (Oder), Gerichtsbescheid vom 8. Mai 2019 – S 49 SF 8/19 – openjur; Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. (2018), Art. 77, Rn. 17; Pötters/Werkmeister, in: Gola, DS-GVO, Art. 77 Rn. 7). Danach kann eine betroffene Person nur Ermessensfehler rügen. Hier begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Verfahrens beantragt, die ihr keinen unmittelbaren Vorteil bringen kann.

II. Nach § 123 Abs. 1 Verwaltungsgerichtsordnung – VwGO – kann das Verwaltungsgericht einstweilige Anordnungen in Bezug auf den Streitgegenstand oder zur Regelung eines vorläufigen Zustandes hinsichtlich eines streitigen Rechtsverhältnisses treffen, wenn entweder die Gefahr besteht, dass durch eine Veränderung des bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte (§ 123 Abs. 1 Satz 1 VwGO), oder wenn die Regelung notwendig ist, um vom Antragsteller wesentliche Nachteile abzuwenden (§ 123 Abs. 1 Satz 2 VwGO). Der durch die begehrte einstweilige Anordnung vorläufig zu sichernde Anspruch (Anordnungsanspruch) und die Notwendigkeit einer vorläufigen Regelung (Anordnungsgrund) müssen jeweils glaubhaft gemacht worden sein (§ 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 Zivilprozessordnung – ZPO –). Eine Vorwegnahme der Hauptsache ist dabei grundsätzlich unzulässig. Sie kommt mit Blick auf das Gebot des effektiven Rechtsschutzes nach Art. 19 Abs. 4 Grundgesetz – GG – nur dann in Betracht, wenn ansonsten kein effektiver Rechtsschutz gewährt werden kann.

Unter Beachtung dieser Grundsätze ist die begehrte einstweilige Anordnung nach summarischer Prüfung der Sach- und Rechtslage nicht zu erlassen. Die Antragstellerin hat einen Anordnungsgrund (1.) nicht glaubhaft gemacht. Es kann damit offenbleiben, ob ein Anordnungsanspruch besteht (2.).

1. Es liegt bereits kein Anordnungsgrund vor, da die Antragstellerin schon nicht hinreichend glaubhaft gemacht hat, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist.

Die Antragstellerin hat vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH. Ansonsten würden „erste“ Ansprüche zum 31. Dezember 2019 verjähren.

Dieser Vortrag der Antragstellerin genügt nicht den Anforderungen an die Glaubhaftmachung eines Anordnungsgrundes im einstweiligen Rechtsschutzverfahren. Die von der Antragstellerin überreichte Anlage SWM 15, die einen Auszug aus einem Schriftsatz der B. GmbH aus einem anderen, nicht näher bezeichneten Gerichtsverfahren enthält, gibt allein die Behauptung der B. GmbH wieder, dass diese vom früheren Anwalt der Antragstellerin bestimmte Informationen erhalten habe, die eine „Briefkastenfirma“ der Antragstellerin in Spanien belegten. Es bleibt gleichwohl unklar und ist von der Antragstellerin nicht ansatzweise substantiiert worden, welche konkreten Ansprüche die Antragstellerin gegen ihren früheren Prozessbevollmächtigten geltend macht oder geltend machen möchte, welche Pflichtverletzungen sie ihm vorwirft, ob und welcher Schaden ersetzt werden soll und aufgrund welcher Vorschriften diese etwaigen zivilrechtlichen Ansprüche ihrer Auffassung nach bis Ende des Jahres 2019 verjähren.

Insofern ist darüber hinaus zu berücksichtigen, dass der Verjährungseintritt gemäß § 204 Abs. 1 Nr. 1 Bürgerliches Gesetzbuch – BGB – durch Klageerhebung gehemmt werden kann. Dies hat gemäß § 209 BGB zur Folge, dass der Zeitraum, während dessen die Verjährung gehemmt wird, nicht in die Verjährung einberechnet wird. Für die Klageerhebung reicht es aus, dass sie den gemäß § 253 Abs. 2 der Zivilprozessordnung – ZPO – notwendigen Inhalt aufweist, also insbesondere die Parteien und das Gericht bezeichnet sowie den Klagegegenstand, den Klagegrund und einen bestimmten Klageantrag enthält. Weiterhin muss die Klage schlüssig sein. Mit einem schlüssigen Tatsachenvortrag wird der Darlegungslast grundsätzlich bereits genügt. Nicht erforderlich ist es hingegen, dass bereits mit der Klageerhebung Beweismittel vorgelegt werden. Diese werden schließlich in der Regel nur dann erforderlich, wenn die Gegenpartei den Vortrag des Klägers bestreitet und der Kläger auch die Beweislast trägt (vgl. etwa Saenger, ZPO, 8. Aufl. (2019), § 253 Rn. 12, beck-online). Die von der Antragstellerin angeführte, vorgeblich drohende Verjährung etwaiger zivilrechtlicher Ansprüche ließe sich somit durch eine Klageerhebung hemmen, ohne dass im Zeitpunkt der Klageerhebung die von der Antragstellerin gegenüber der B. GmbH beanspruchten Auskünfte zur Substantiierung ihrer zivilrechtlichen Klage bereits vorliegen.

Aus der von der Antragstellerin vorgebrachten Anlage SWM 15 ergibt sich ferner, dass – nach dem genannten Aktenzeichen zu schließen – im Jahr 2016 gegen den vormaligen Prozessbevollmächtigten der Antragstellerin bereits ein Gerichtsverfahren beim Landgericht D. anhängig gemacht wurde. Ob und wie dieses Verfahren bereits abgeschlossen ist, ob eine etwaige Verjährung etwaiger Ansprüche nun überhaupt noch eintreten kann oder derzeit noch weitere Gerichtsprozesse anhängig sind, hätte die Antragstellerin ebenfalls näher darlegen müssen, um den Anordnungsgrund ihres Antrags auf Erlass einer einstweiligen Anordnung glaubhaft zu machen.

Es sind damit keinerlei Gründe ersichtlich, aufgrund derer es der Antragstellerin nicht zugemutet werden könnte, den Ausgang des Hauptsachverfahrens abzuwarten.

2. Wegen des Fehlens eines Anordnungsgrundes kann im vorliegenden Verfahren dahinstehen, ob die Antragstellerin einen Anordnungsanspruch geltend gemacht hat. Es kann daher insbesondere offenbleiben und dem Hauptsacheverfahren vorbehalten werden, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Nicht zu entscheiden ist somit auch, wie weitgehend das Auskunftsrecht betroffener Personen nach Art. 15 DSGVO ist, insbesondere ob und wie das Auskunftsrecht beschränkt werden kann und inwieweit sich die B. GmbH auf etwaige solcher Ausnahmen vom Auskunftsrecht der Antragstellerin berufen kann (vgl. zu Reichweite und Ausnahmen etwa Franck, in: Gola, DS-GVO, 2. Aufl. (2018), Art. 15, Rn. 5 ff., 33 ff.).


Den Volltext der Entscheidung finden Sie hier:




KG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend - voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung

KG Berlin
Urteil vom 20.12.2019
5 U 9/18


Das KG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und die voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung darstellt.

Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das KG Berlin - zulässig und keine Irreführung.

Die Pressemitteilung des vzbv:

Facebook verstößt gegen Datenschutzrecht - Kammergericht Berlin gibt Klage des vzbv in vielen Punkten statt

Voreinstellungen zur Verwendung persönlicher Daten stellen keine informierte Einwilligung dar.

Gericht bestätigt Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen.

Werbung mit „Facebook ist und bleibt kostenlos“ ist erlaubt.

Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen gegen Verbraucher- und Datenschutzrecht. Dazu gehören eine Klausel zur Nutzung des Profilbilds für kommerzielle Zwecke sowie die voreingestellte Aktivierung eines Ortungsdienstes, der Chat-Partnern den Aufenthaltsort verrät. Das hat das Kammergericht in Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Der vzbv darf demnach bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gerichtlich vorgehen. Der Werbeslogan „Facebook ist und bleibt kostenlos“ ist hingegen laut Kammergericht nicht irreführend. Damit bestätigten die Richter ein Urteil des Landgerichts Berlin vom Januar 2018.

„Nicht zum ersten Mal wird Facebook wegen des sorglosen Umgangs mit den Daten seiner Nutzerinnen und Nutzer verurteilt“, sagt Heiko Dünkel vom Team Rechtsdurchsetzung beim vzbv. „Das Kammergericht hat dabei klargestellt, dass Verbraucherzentralen gegen Verstöße gegen die DSGVO vorgehen können.“

Privatsphäre-Einstellungen schon angekreuzt
Mit seiner Klage hatte der vzbv insgesamt 26 Einzelverstöße beanstandet. Das Kammergericht folgte der Rechtsauffassung des Verbandes in vielen Punkten. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen vorbelegt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das eigene Facebook-Profil für jeden schnell und leicht auffindbar. Die dafür jeweils nötige Einwilligung in Datennutzungen kann nach Auffassung des Gerichts nicht über ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer erst abwählen muss, wenn er damit nicht einverstanden ist.

Auch eine Reihe von Geschäftsbedingungen untersagte das Gericht. So erklärten sich Nutzer damit einverstanden, dass Facebook ihren Namen und ihr Profilbild „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagte, dass sie sich schon vorab mit allen künftigen Änderungen der Facebook-Datenrichtlinie einverstanden erklären. Solche vorformulierten Erklärungen erfüllen nach Auffassung des Senats nicht die Voraussetzungen an eine wirksame Einwilligung in die Datennutzung.
Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt.

Kein Zweifel an Klagebefugnis des vzbv
Das Kammergericht stellte eindeutig klar, dass der vzbv auch nach Inkrafttreten der DSGVO berechtigt ist, Datenschutzverstöße durch Unternehmen gerichtlich zu verfolgen. Entsprechende Klagerechte im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb seien anwendbar. Dafür brauche es auch nicht den Auftrag eines betroffenen Verbrauchers.

Werbung „Facebook ist und bleibt kostenlos“ bleibt zulässig
Der Slogan „Facebook ist und bleibt kostenlos“ ist nach dem Kammergerichtsurteil hingegen zulässig. Der vzbv hatte die Werbung als irreführend kritisiert, da Verbraucher die Facebook-Nutzung indirekt mit ihren Daten zahlen müssten, mit denen Facebook seinen Gewinn erzielt. Nach Auffassung des Kammergerichts bezieht sich die Werbung jedoch nur darauf, dass die Dienste ohne Geldzahlungen oder andere Vermögenseinbußen genutzt werden können. Der Senat wies außerdem die Klage gegen einzelne Klauseln aus der Datenrichtlinie des Unternehmens ab. Bei diesen handele es sich nicht um Allgemeine Geschäftsbedingungen.

Die Revision gegen das Urteil ist nicht zugelassen. Beide Parteien haben aber noch die Möglichkeit, Nichtzulassungsbeschwerde beim Bundesgerichtshof einzulegen.

Urteil des Kammergerichts vom 20.12.2019, Az. 5 U 9/18 – nicht rechtkräftig


Den Volltext der Entscheidung finden Sie hier:

LG Hamburg: Spiegel-Berichterstattung über Zuwendung von Pharmafirma an einen Arzt zulässig - auch kein Verstoß gegen Datenschutz da Medienprivileg gilt

LG Hamburg
Urteil vom 20.09.2019
324 O 305/18

Aus den Entscheidungsgründen:

"1. Dem Kläger steht der gegen die Beklagte geltend gemachte Anspruch unter keinem rechtlichen Gesichtspunkt zu.

Hier gelten die Erwägungen wie im Rechtsstreit zum Az. 324 O 236/16 entsprechend. Die Kammer hat im Urteil ausgeführt:

„a. Ein solcher Unterlassungsanspruch ergibt sich insbesondere nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG, Art. 8 EMRK, da die streitgegenständlichen Datenbank-Einträge den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Bei dem allgemeinen Persönlichkeitsrecht handelt sich um einen offenen Tatbestand, bei dem die Feststellung einer rechtswidrigen Verletzung eine ordnungsgemäße Abwägung aller Umstände des konkreten Einzelfalles unter Beachtung des Grundsatzes der Verhältnismäßigkeit voraussetzt (Palandt-Sprau, Bürgerliches Gesetzbuch, 77. Auflage 2018, § 823 BGB Rn. 95). Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt. Im Streitfall hat eine Abwägung zwischen dem Recht des Klägers auf Schutz seines allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK auf der einen Seite und dem Recht der Beklagten auf Meinungs- und Pressefreiheit nach Art. 5 Abs. 1 GG, Art. 10 Abs. 1 EMRK auf der anderen Seite zu erfolgen. Unter Berücksichtigung aller relevanten Gesichtspunkte ergibt die Abwägung vorliegend, dass die streitgegenständlichen Veröffentlichungen den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Im Einzelnen:

(1) Sofern sich der Kläger darauf beruft, dass die streitgegenständlichen Datenbank-Einträge unwahre Tatsachenbehauptungen enthielten, ist davon prozessual nicht auszugehen. Zwar kommt es bei der verfassungsrechtlich gebotenen Abwägung zwischen dem allgemeinen Persönlichkeitsrecht und der Freiheit der Meinungsäußerung für die Zulässigkeit einer Äußerung maßgeblich mit darauf an, ob es sich um wahre oder unwahre Tatsachenbehauptungen handelt. Denn Tatsachenbehauptungen, die nicht zur verfassungsmäßig vorausgesetzten Meinungsbildung beitragen können, sind nicht geschützt; das ist bei bewusst oder erwiesen unwahren Tatsachenbehauptungen der Fall (BVerfG, Beschluss vom 16.03.1999, 1 BvR 734/98, Juris Rn. 30; Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Auflage 2018, Kap. 6 Rn. 14). Wahre Tatsachenbehauptungen sind dagegen in weitem Umfang hinzunehmen, denn das Persönlichkeitsrecht verleiht seinem Träger keinen Anspruch darauf, nur so in der Öffentlichkeit dargestellt zu werden, wie es ihm genehm ist (vgl. BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Abs. 4. b)). Prozessual ist jedoch nicht davon auszugehen, dass die Datenbank-Einträge dem Rezipienten ein unwahres Verständnis vermitteln.

(a) Nach dem Verständnis des unvoreingenommenen und verständigen Durchschnittsempfängers (vgl. Wenzel, Das Recht der Wort- und Bildberichterstattung, Kap. 4 Rn. 4 m.w.Nw.) sind die Datenbank-Einträge dahingehend zu verstehen, dass die Beklagte behauptet, der Kläger habe tatsächlich Zuwendungen im Wert von insgesamt 534,00 Euro erhalten. Dagegen ist nicht auf das von der Beklagten zu Grunde gelegte Verständnis abzustellen, die Pharmaindustrie habe angegeben, dass der Kläger Zuwendungen im Wert von 534,00 Euro erhalten habe.

So enthält bereits der die Datenbank von 2015 präsentierende Artikel (Anlage K 1) ausgehend vom Wortlaut zahlreiche Aussagen dahingehend, dass die Datenbank tatsächlich erfolgte Zahlungen dokumentiert (Überschrift „W. v. G. h. m. A. b.?“; „Für mehr als 20.000 Ärzte und Fachkreisangehörige in Deutschland ist jetzt bekannt, wie viel Geld sie 2015 von Pharmafirmen erhalten haben.“; „Die Recherche von "C." und S. O. zeigt, wohin das Geld geflossen ist.“; „Hat Ihr Arzt 2015 von Pharmafirmen Geld angenommen?“; „Wem und wofür wurde das Geld gezahlt? Offengelegt wurden die Zahlungen an Ärzte, Apotheker und Angehörige medizinischer oder pharmazeutischer Heilberufe - zusammengefasst als "Angehörige der Fachkreise". Ärzte und Fachkreisangehörige haben Geld für Vorträge, Fortbildungen und Beratung erhalten, dazu gehört auch die Übernahme von Reise- und Übernachtungskosten sowie Tagungs- und Teilnahmegebühren. Medizinische Institutionen bekamen zudem Geld für Sponsoring, Spenden und Stiftungen.“). Zwar wird in dem Artikel auf die Quelle der Daten hingewiesen („Die Daten haben Rechercheure von "C." und S. O. aus mehreren Dutzend Listen zusammengetragen, die von den Pharmaunternehmen einzeln veröffentlicht wurden“) und es wird mitgeteilt, dass die zusammengetragenen Daten mitunter von zweifelhafter Qualität waren bzw. Unstimmigkeit enthielten („Auch die Qualität der Daten erschien in einzelnen Fällen zweifelhaft, etwa wenn die angegebenen Summen nicht mit den aufgelisteten Zahlungen übereinstimmen“; „Haben Sie eine Anmerkung zu den Daten oder eine Unstimmigkeit in den Angaben entdeckt? Dann melden Sie sich bitte unter der Adresse e.@ c..org, damit wir die Datenbank weiter optimieren können.“). Für den Leser entsteht im weiteren Kontext aber das Verständnis, die Beklagte habe die Daten bereinigt, d.h. geklärt („In unserer Datenbank können Sie die zusammengeführten und bereinigten Angaben für rund 20.000 Ärzte und Fachkreisangehörige im Detail erkunden.“). Aufgrund dessen geht der Rezipienten davon aus, dass die Beklagte tatsächlich erfolgte Zahlungen dokumentiert und sich somit sich auf die Richtigkeit der Angaben der Pharmaunternehmen beruft.

Gleiches gilt für die Datenbank 2016 (Anlage K 2), die mit einem inhaltlich weitgehend gleichlautenden Artikel präsentiert wird. Darüber hinaus insinuieren auch weitere, in 2016 gegenüber dem Vorjahr neuen Äußerungen, dass die Datenbank tatsächlich erfolgte Zuwendungen darstellt („Mehr als 562 Millionen Euro ließen Pharmakonzerne im vergangenen Jahr Ärzten, Apothekern, Heilberuflern und medizinischen Institutionen zukommen. Ein Teil davon lässt sich bis ins Detail nachvollziehen: Mehr als 16.500 Ärzte und Fachkreisangehörige haben zugestimmt, als Zahlungsempfänger namentlich genannt zu werden. Die Recherche von S. O. und "C." zeigt, wohin das Geld geflossen ist.“; „Sind an einer Adresse mehrere Personen oder Institutionen eingetragen, dann zeigt das Tooltip den Empfänger mit der höchsten Gesamtsumme. Über einen Link im Tooltip können Sie in der Datenbank alle weiteren Empfänger sowie eine Aufschlüsselung nach Kategorien einsehen.“).

(b) Sofern die streitgegenständlichen Datenbank-Einträge also die Behauptung der Beklagten enthalten, der Kläger habe in den Jahren 2015/2016 Zuwendungen in Höhe von insgesamt 534,00 Euro von Pharmakonzernen erhalten, ist diese Behauptung prozessual als wahr anzusehen. Angesichts der Ehrenrührigkeit der Tatsachenbehauptung trägt grundsätzlich die Beklagte analog § 186 StGB die Darlegungs- und Beweislast für die Richtigkeit der von ihr getroffenen Aussage. Unstreitig hat das Pharmaunternehmen B.- C. AG die in den Einträgen genannten Beträge an Reisekosten betreffend den Kläger veröffentlicht (vgl. Anlage B 15). Daraus ergibt sich zwar nicht zwangsläufig die Richtigkeit der Zuwendung, aber jedenfalls in einem ersten Schritt, dass das Pharmaunternehmen eine solche Zahlung veröffentlicht hat. Der Kläger bestreitet die Richtigkeit der behaupteten Zuwendung lediglich mit Nichtwissen. Angesichts des substantiierten – und unstreitigen – Vortrags der Beklagten dürfte dieses Bestreiten des Klägers mit Nichtwissen jedoch nicht ausreichend sein. Denn das Ob und Wie der Zuwendung fällt grundsätzlich in die Sphäre des Klägers, sodass sich diese nicht einfach auf ein behauptetes Nichtwissen zurückziehen kann. Das gilt sowohl für direkte Zuwendungen (Honorare) als auch die hier allein fraglichen indirekten Zuwendungen (Übernahme von Reisekosten). Denn auch wenn es richtig sein mag, dass der Kläger keine genaue Kenntnis über die Höhe der von dem Pharmaunternehmen übernommenen Reisekosten haben mag, so ist er jedenfalls in der Lage, Angaben dazu zu machen, ob er im betreffenden Zeitraum eine Veranstaltung besucht hat, für die überhaupt von dem Pharmaunternehmen zu tragende Reisekosten anfallen konnten, und wenn ja in welchem Umfang (Ort, Dauer, Transportmittel, Unterkunft, etc.). Zu all diesen Umständen hat der Kläger jedoch nicht vorgetragen. Mangels substantiierten Bestreitens ist prozessual somit von der Wahrheit der mit den Datenbank-Einträgen verbreiteten Tatsachenbehauptung auszugehen.

(2) Entgegen der Argumentation des Klägers wird er auch nicht dadurch in seinem allgemeinen Persönlichkeitsrecht verletzt, dass die Datenbank-Einträge schwerwiegende Auswirkungen für ihn haben. Bei den Datenbank-Einträgen handelt es sich prozessual um wahre Tatsachen aus der Sozialsphäre des Klägers. Berichterstattungen aus der Sozialsphäre dürfen nur im Falle schwerwiegender Auswirkungen auf das Persönlichkeitsrecht des Betroffenen mit negativen Sanktionen verknüpft werden, so etwa, wenn eine Stigmatisierung, soziale Ausgrenzung oder Prangerwirkung droht (BGH, Urteil vom 20.12.2011, VI ZR 261/10 – Kommunistischer Bund; Urteil vom 17.11.2009, VI ZR 226/08; Urteil vom 21.11.2006, VI ZR 259/05). Ein solcher Fall schwerwiegender Auswirkungen ist vorliegend jedoch nicht gegeben. Im Einzelnen:

(a) Die Datenbank-Einträge führen nicht zu einer Stigmatisierung des Klägers. Nach dem Bundesverfassungsgericht können Stigmatisierungen aufgrund gesellschaftlicher, also nicht allein der Verantwortung des Betroffenen zuzuschreibender, Einschätzungs- und Verhaltensmechanismen einen Entzug der sozialen Anerkennung, eine soziale Isolierung und eine grundlegende Verunsicherung und Selbstentwertung des Betroffenen in zahlreichen Lebensbereichen zur Folge haben. Die freie Entfaltung der Persönlichkeit wird dadurch nachhaltig erschwert, ohne dass dies zu den üblichen Grenzen der Entfaltungschancen oder zu den nachteiligen Reaktionen anderer gezählt werden könnte, die man als Folge eigener Entscheidungen oder Verhaltensweisen hinzunehmen hat (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 48).

Eine solche Stigmatisierung ergibt sich nicht aus den streitgegenständlichen Datenbank-Einträgen selbst. Zwar enthält ein Datenbank-Eintrag mit einem roten Punkt die Aussage, der betreffende Arzt habe Geld in einer bestimmten Höhe von der Pharmaindustrie angenommen. Im Zusammenspiel mit der weiteren Berichterstattung der Beklagten wird dem Leser auch das Verständnis vermittelt, dass sich daraus jedenfalls das Risiko ergibt, dass der Arzt Entscheidungen betreffend Verschreibung von Medikamenten, Behandlungen o.ä. trifft, die in irgendeiner Art und Weise davon beeinflusst sind. Dies ist für den Arzt grundsätzlich ehrabträglich. Die Kritik wird durch die Präsentation der Beklagten noch verstärkt, weil die ursprünglich nur schwer zugänglichen Daten hier in einer sehr leicht auffindbaren Form präsentiert werden, die Ärzte mit einem roten Punkt markiert werden und neben ihnen ein wenig schmeichelhaftes Symbol eines Männchens mit einem Geldsack erscheint. Dennoch führt diese Darstellung zur Überzeugung der Kammer nicht zu einem derart starken Entzug der sozialen Anerkennung und Isolierung des Betroffenen, dass von einer Stigmatisierung die Rede sein könnte. Zu berücksichtigen ist zum einen, dass hier Kritik an der – prozessual wahren – Tatsache der Zuwendungen der Pharmaindustrie an Ärzte, konkret den Kläger, geäußert wird. Weiterhin ist zu berücksichtigen, dass es sich um Zuwendungsbeträge im zwei- bzw. unteren dreistelligen Bereich handelt, was auch nach dem Verständnis des Lesers nicht zu einer gravierenden Einwirkung auf das berufliche Verhalten der Ärzte führen dürfte. Schließlich ist zu berücksichtigen, dass die Ärzte selbst in die Veröffentlichung der Daten eingewilligt haben, wenn auch wohl nicht mit der Vorstellung einer derart nutzerfreundlichen Datenbank.

Die Präsentation in der Datenbank ist auch nicht deshalb rechtswidrig – so die Argumentation des Klägers – weil zusammen mit den Einträgen, anders als bei den Veröffentlichungen der Pharmaunternehmen, nicht der Transparenzkodex veröffentlicht wird, aus dem hervorgeht, dass alle Zuwendungen mit der geltenden Rechtslage übereinstimmten. Denn die Beklagte erweckt in ihrer Berichterstattung an keiner Stelle wahrheitswidrig das Verständnis, dass diese Zuwendungen strafbar seien, weshalb ein ausdrücklicher Hinweis auf den Transparenzkodex im Rahmen der Datenbankeinträge nicht erforderlich ist.

Eine Stigmatisierung des Klägers folgt auch nicht aus dem Inhalt der begleitenden Artikelserie unter dem Stichwort „Euros für Ärzte“ (Anlagenkonvolut B 2). Diese ist zur Auslegung des Inhalts der streitgegenständlichen Datenbank-Einträge zwar heranzuziehen. Die Argumentation des Klägers, ihm werde durch die Berichterstattung insgesamt vorgeworfen, dass er korrumpierbar sei, sich grundlos bereichert habe und ein Spielball der Pharmaindustrie sei, überzeugt jedoch nicht. Zwar ist es richtig, dass die Serie „Euros für Ärzte“ deutliche Kritik an finanziellen Zuwendungen der Pharmaindustrie an Ärzte äußert. Es wird in der gesamten Berichterstattung aber nicht die Behauptung aufgestellt, dass Ärzte, die solche Zuwendungen erhalten, korrupt seien (was ja auch ein strafrechtlich relevantes Verhalten voraussetzte), noch dass dies konkret für den Kläger gelte. Die Berichterstattung zeigt lediglich Zusammenhänge und mögliche Risiken auf, die im Rahmen der Zusammenarbeit von Ärzten mit Pharmaunternehmen entstehen können.

Schließlich folgt eine Stigmatisierung des Klägers auch nicht aus der Gegenüberstellung der Ärzte mit einem roten Punkt auf der einen Seite und der Ärzte mit einem grünen Punkt (sog. „Null-Euro-Ärzte“) auf der anderen Seite. Zwar verlässt die Beklagte hier ihr selbst erklärtes Ansinnen, lediglich die von der Pharmaindustrie veröffentlichten Daten aufzubereiten, und trifft eine eigene Aussage über „saubere“ Ärzte. Das erscheint schon deshalb problematisch, weil die Beklagte nicht überprüft, ob die sich registrierenden Ärzte tatsächlich keine Zuwendungen erhalten haben. Allein ein Abgleich mit den veröffentlichten Namenslisten ist nicht ausreichend, weil auch die Möglichkeit besteht, dass die betreffenden Ärzte zwar Zuwendungen erhalten haben, der Veröffentlichung ihres Namens aber nicht zugestimmt haben. Allerdings trifft die Beklagte nach dem Verständnis des Rezipienten über die „Null-Euro-Ärzte“ nicht die Aussage, diese hätten tatsächlich keine Zuwendung erhalten. Vielmehr enthält der Eintrag eines „Null-Euro-Arztes“ lediglich die Aussage, der betreffende Arzt bzw. die betreffende Ärztin habe gegenüber C. versichert, keine Zuwendung erhalten zu haben; eine eigene Aussage über die Richtigkeit dieser Angabe trifft die Beklagte also gerade nicht. Angesichts dessen erscheint die Gegenüberstellung grüner und roter Punkte nicht in vergleichbarem Maße ehrabträglich, da den Angaben der Pharmaindustrie lediglich die eigenen Aussagen von (anderen) Ärzten gegenübergestellt werden.

(b) Auch eine Prangerwirkung betreffend den Kläger ist vorliegend zu verneinen. Diese wird von der zivilgerichtlichen Rechtsprechung dann erwogen, wenn ein – nach Auffassung des Äußernden – beanstandungswürdiges Verhalten aus der Sozialsphäre einer breiteren Öffentlichkeit bekannt gemacht wird und sich dies schwerwiegend auf Ansehen und Persönlichkeitsentfaltung des Betroffenen auswirkt, was insbesondere dort in Betracht kommt, wo eine Einzelperson aus der Vielzahl derjenigen, die das vom Äußernden kritisierte Verhalten gezeigt haben, herausgehoben wird, um die Kritik des als negativ bewerteten Geschehens durch Personalisierung zu verdeutlichen (BVerfG, Beschluss vom 18.02.2010, 1 BvR 2477/08, Juris Rn. 25). Eine solche Prangerwirkung ist hier aber schon deshalb zu verneinen, weil der Kläger von der Beklagten gar nicht aus der Masse derjenigen, die Zuwendungen von der Pharmaindustrie erhalten haben, herausgehoben wird.

(c) Die Rechtswidrigkeit der Veröffentlichung folgt auch nicht aus datenschutzrechtlichen Erwägungen. Sofern der Kläger argumentiert, dass für die Veröffentlichung der Daten durch die Beklagte seine Einwilligung erforderlich gewesen sei, die er zwar ursprünglich erteilt habe, die aber nicht wirksam gewesen sei, und die er jedenfalls mittlerweile widerrufen habe, greift diese Argumentation ebenfalls nicht durch.

Im Ausgangspunkt darf über wahre Tatsachen aus der Sozialsphäre grundsätzlich berichtet werden. Es gibt keinen Anspruch darauf, in der Öffentlichkeit nur so dargestellt zu werden, wie man es selbst wünscht und man sich selbst sehen möchte; ein allgemeines oder gar umfassendes Verfügungsrecht über die Darstellung der eigenen Person gewährt das allgemeine Persönlichkeitsrecht nicht (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 45). Eine Einwilligung des Klägers in die Veröffentlichung ist damit grundsätzlich nicht notwendig. Allerdings kann sich nach den Grundsätzen des Datenschutzrechts ein anderes Abwägungsergebnis ergeben (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09 – Internetarchiv ksta.de, Juris Rn. 23). Nach der hier maßgeblichen DSGVO ist in bestimmten Fällen die Einwilligung des Betroffenen Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung (vgl. z.B. Art. 6 Abs. 1 lit. a) DSGVO). Jedoch gilt vorliegend für die Beklagte das Medienprivileg des § 57 Abs. 1 S. 6 RStV, wonach die ausschließlich journalistisch-redaktionelle und literarische Erhebung, Verarbeitung und Nutzung personenbezogener Daten weitgehend von den ansonsten einzuhaltenden Datenschutzbestimmungen ausgenommen ist (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09, Juris Rn. 23ff. zu § 57 RStV a.F.). Ein Unterlassungsanspruch gegen die Beklagte aufgrund datenschutzrechtlicher Erwägungen scheidet somit aus.

Darüber hinaus hat der Kläger, ohne dass es darauf ankäme, auch nicht hinreichend substantiiert vorgetragen, dass seine Einwilligung unwirksam ist. Denn das in Anlage K 7 vorgelegte Formular über die Erteilung einer Einwilligung wurde nur beispielhaft vorgelegt und gilt für den Kläger (der Zuwendungen eines ganz anderen Pharmaunternehmen erhalten haben soll) gar nicht.

Angesichts des Medienprivilegs, auf das sich die Beklagte berufen kann, kommt es auch auf einen etwaigen Widerruf der Einwilligung des Klägers nicht an.

(d) Schwerwiegende Auswirkungen für den Kläger folgen auch nicht aus einem von ihm behaupteten Eingriff in das Arzt-Patienten-Verhältnis. Ein solcher Eingriff mit schwerwiegenden Auswirkungen für den Kläger erscheint schon deshalb kaum nachvollziehbar, weil sich die Ärzte – darunter auch der Kläger – einmal selbst dem Ziel verschrieben haben, für mehr Transparenz betreffend die Zusammenarbeit von Ärzten mit Pharmaunternehmen zu sorgen. Dann ist die Kenntnis der Patienten über etwaige Zuwendungen an den Kläger zwangsläufig die Kehrseite dieses von der Pharmaindustrie wie den Ärzten gleichermaßen verfolgten Transparenz-Anliegens. Zudem führt diese Argumentation nicht insoweit zu einer Rechtswidrigkeit der Berichterstattung, als der Eingriff nicht die Schwere einer Stigmatisierung erreicht (s.o.).

(e) Ein Unterlassungsanspruch des Klägers lässt sich auch nicht damit begründen, dass sogar Suchmaschinenbetreiber dazu verpflichtet seien, die Erreichbarkeit von Internetbeiträgen durch bloße Eingabe des Namens der von diesen Beiträgen in erheblicher Weise betroffenen Person zu unterbinden (vgl. EuGH, Urteil vom 13.05.2014, C-131/12, Celex-Nr. 62012CJ0131 – Google Spain, Juris). Der „Erst-Recht-Schluss“ vom Suchmaschinenbetreiber auf die Presse greift schon nicht durch. Zudem scheitert der der „Google Spain“-Entscheidung des EuGH zu Grunde liegende datenschutzrechtliche Anspruch am Medienprivileg, auf das sich die Beklagte berufen kann (s.o.).

(f) Vor dem Hintergrund der bereits diskutierten Aspekte scheidet auch ein Anspruch des Klägers auf Anonymitätsschutz aus. Zwar ist die prozessual wahre Aussage, dass der Kläger Zuwendungen von der Pharmaindustrie angenommen hat, nach dem Gesamtverständnis der Berichterstattung der Beklagten ehrabträglich. Der Eingriff in das Persönlichkeitsrecht des Klägers ist aber nicht derart schwer, dass nicht identifizierbar über ihn berichtet werden dürfte, da ihm erkennbar kein strafbares Verhalten vorgeworfen wird, die genannten Zuwendungsbeträge sich im zwei- bzw. unteren dreistelligen Bereich bewegen und er ursprünglich selbst in seine Namensnennung eingewilligt hat.

b. Ein Unterlassungsanspruch des Klägers folgt auch nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog wegen der Verletzung seines Rechts am eingerichteten und ausgeübten Gewerbebetrieb. Ein Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb scheidet schon deshalb aus, weil der Eingriff der Beklagten nicht betriebsbezogen ist. Denn die Verletzungshandlung muss sich gerade gegen den Betrieb und seine Organisation oder gegen die unternehmerische Entscheidungsfreiheit richten und über eine bloße Belästigung oder sozial übliche Behinderung hinausgehen; mittelbare Beeinträchtigungen des Gewerbebetriebs lösen daher keine Haftung nach Abs. 1 aus, insbesondere Schadensereignisse, die nicht mit der „Wesenseigentümlichkeit“ des Betriebs in Beziehung stehen, sondern die Schädigung bestimmter Rechtsgüter betreffen, auf einer Reaktion des Unternehmens auf einen Test beruhen oder lediglich den Verdienst schmälern, aber die berufliche Tätigkeit an sich nicht beeinträchtigen (BeckOGK/Spindler, BGB, § 823 Rn. 207-210, beck-online). Diese Voraussetzung eines betriebsbezogenen Eingriffs ist vorliegend nicht erfüllt.

2. Dem Kläger steht darüber hinaus auch nicht der geltend gemachte Anspruch auf Feststellung einer Schadensersatzpflicht der Beklagten zu, da die Veröffentlichung der Datenbank-Einträge rechtmäßig war.“



Den Volltext der Entscheidung finden Sie hier:

AG Wertheim: Auskunftsanspruch nach Art. 15 DSGVO - Zwangsgeld in Höhe von 15.000 EURO gegen Unternehmen bei unvollständiger Auskunftserteilung nach Urteil

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19


Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Gera: Zur örtlichen Zuständigkeit bei Klagen gegen Landesdatenschutzbeauftragten

VG Gera
Beschluss vom 16.01.2019
2 K 2281/18 Ge


Die Entscheidungsgründe:

Der Beklagte hat die örtliche Zuständigkeit des angerufenen Gerichts gerügt, sodass das Verwaltungsgericht Gera nach Anhörung der Beteiligten vorab über seine Zuständigkeit zu entscheiden hat (§§ 83 Satz 1 i.V.m. 17a Abs. 3 GVG).

Die Klägerin wendet sich gegen eine Entscheidung des Beklagten, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat (§§ 6 Abs. 2 Ziffer 6, 8 Abs. 1 des Thüringer Datenschutzgesetzes (ThürDSG) vom 6. Juni 2018 - GVBl. S. 229 - ). Gemäß § 4 Abs. 1 ThürDSG ist der Beklagte Aufsichtsbehörde nach Artikel 51 der Verordnung (EU) 2016/679 mit Dienstsitz in Erfurt. Damit ist der Beklagte für einen Bereich zuständig, der mehrere Verwaltungsgerichtsbezirke umfasst.

Die örtliche Zuständigkeit des Verwaltungsgerichts richtet sich somit nach § 52 Ziffer 3 Satz 2 VwGO, wonach in diesem Fall das Verwaltungsgericht örtlich zuständig ist, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Die Klägerin hat ihren Wohnsitz im Bezirk des Verwaltungsgerichts Gera, sodass dieses zur Entscheidung über den Rechtsstreit örtlich zuständig ist.

Soweit der Beklagte die Auffassung vertritt, örtlich zuständig sei das Verwaltungsgericht Weimar und dies mit der bundesrechtlichen Regelung des § 20 Abs. 3, Abs. 1 BDSG begründet, ist festzustellen, dass der Anwendungsbereich des BDSG vorliegend nicht eröffnet ist. Das BDSG gilt gemäß § 1 Abs. 1 Satz 1 Nr. 2 BDSG für die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist. Da das ThürDSG gemäß § 2 Abs. 1 „… für die Verarbeitung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes… “ gilt, wurde mit dem ThürDSG eine eigene landesrechtliche Vollregelung des Datenschutzes geschaffen, sodass das BDSG bezogen auf den öffentlichen Bereich in Thüringen unanwendbar ist.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus § 9 Abs. 1 ThürDSG. Dem Sachverhalt liegt keine Streitigkeit zwischen einer öffentlichen Stelle und dem Landesbeauftragten für den Datenschutz zugrunde, sodass § 20 Abs. 3 BDSG auch nicht über die Verweisung in § 9 Abs. 1 Satz 2 ThürDSG Anwendung findet.

Schließlich ist auch § 9 Abs. 2 ThürDSG weder direkt noch analog anwendbar. Nach der Gesetzesbegründung wird in Abs. 2 - in Umsetzung von Artikel 78 Abs. 2 der Verordnung (EU) 2016/679 und Artikel 53 Abs. 2 der Richtlinie (EU) 2016/680 - der Rechtsschutz auf Fälle der Untätigkeit des Landesbeauftragten für den Datenschutz ausgedehnt (vgl. ThürLTDrs. 6/4943, Gesetzesentwurf der Landesregierung zum Thüringer Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - ThürDSAnpUG-EU -), S. 93). Eine solche Untätigkeit ist hier jedoch nicht gegeben.

Eine Analogie zur Übertragung einer gesetzlichen Regelung auf einen Sachverhalt, der von der betreffenden Vorschrift nicht erfasst wird, ist nur geboten, wenn dieser Sachverhalt mit dem geregelten vergleichbar ist, nach dem Grundgedanken der Norm und dem mit ihr verfolgten Zweck dieselbe rechtliche Bewertung erfordert und eine (unbewusste) planwidrige Regelungslücke vorliegt (vgl. BVerfGE 82, 6, 11 f., m.w.N.; BSGE 77, 102 ff.; BSGE 89, 199 ff.). Für die Bestimmung der örtlichen Zuständigkeit für die Fälle, in denen der Beauftragte eine Beschwerde für unbegründet gehalten und diese abgewiesen hat, liegt keine
planwidrige Regelungslücke vor. Für eine analoge Anwendung des § 9 Abs. 2 ThürDSG verbleibt bereits deshalb kein Raum, da sich die örtliche Zuständigkeit in diesem Fall unmittelbar aus § 52 VwGO ergibt.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus Artikel 78 Abs. 3 der Verordnung (EU) 2016/679, wonach bei Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedsstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat. Hierin ist keine Regelung über die örtliche Zuständigkeit der Gerichte im föderalen System der Bundesrepublik Deutschland zu erblicken. Nach dem Erwägungspunkt 143 der Verordnung sollten Verfahren gegen eine Aufsichtsbehörde bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mitdem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Mit dieser Regelung soll vermieden werden, dass über die Wahrnehmung der Aufgaben einer Aufsichtsbehörde ein Gericht eines anderen Mitgliedstaats entscheidet (vgl. Europäischer Rat, Dok. 16226/3/13REV3 vom 2. Dezember 2013, Ziffer 26). Welches Gericht des Mitgliedstaats sodann örtlich zuständig ist, richtet sich nach den Bestimmungen des jeweiligen Mitgliedstaats.

Hinweis: Die Beschluss ist unanfechtbar, § 83 Satz 2 VwGO.


Den Volltext der Entscheidung finden Sie hier:


LG München: Kein Anspruch gegen Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung

LG München
Urteil vom 07.11.2019
34 O 13123/19


Das LG München hat entschieden, dass kein individueller Anspruch des Kreditkartenkunden gegen das Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung besteht.

Aus den Entscheidungsgründen:

Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.

I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich - Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“

Dieser Antrag ist - auch nach Abänderung des Antrags in der mündlichen Verhandlung - nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.

Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.

Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn's dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
III.

Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).

1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).

Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf - insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.

2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.

Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.

Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.

Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.

Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.


Den Volltext der Entscheidung finden Sie hier:



ArbG Berlin: Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG und nur mit Einwilligung des Betroffenen zulässig

ArbG Berlin
Urteil vom 16.10.2019
29 Ca 5451/19


Das ArbG Berlin hat entschieden, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG ist und daher nur mit Einwilligung des Betroffenen zulässig ist.

Aus den Entscheidungsgründen:

"Die Abmahnung vom 05. Oktober 2018 sowie die Abmahnung vom 26. März 2019 wegen Nichtbenutzung des Zeiterfassungssystems ZEUS sind aus der Personalakte des Klägers zu entfernen.

Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 Satz 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (ständige Rechtsprechung des BAG, hier nur herausgreifend Urteil vom 20. Januar 2015, 9 AZR 860/13, juris).

Diese Voraussetzungen liegen im Streitfall vor. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen.

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor.

Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm „aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.

2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.

3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen (Weth/Herberger/Wächter/Sorge-Kramer B XI. Rn.-Nr. 9f mit weiteren Nachweisen).

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG).

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Nach alledem vermag die Kammer nicht festzustellen, dass vorliegend die Interessen der Beklagten das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung überwiegen.

Daher sind diese Abmahnungen aus der Personalakte des Klägers zu entfernen."


Den Volltext der Entscheidung finden Sie hier:

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



VG Ansbach: Kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen - keine Anspruchsgrundlage in DSGVO

VG Ansbach
Urteil vom 08.08.2019
AN 14 K 19.00272

Auch das VG Ansbach hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

Aus den Entscheidungsgründen:

"1.2. Die Klage ist als Leistungsklage statthaft. Der Kläger hat einen sehr umfassenden Klageantrag gestellt, und zwar im Schriftsatz vom 9. Februar 2019, ergänzt um sein Begehren im Schriftsatz vom 18. Februar 2019. Letztlich geht es ihm dabei um die Reichweite der inhaltlichen Befassung der Aufsichtsbehörde mit seiner Beschwerde sowie um aufsichtliches Einschreiten des staltung er ins Ermessen des Beklagten unter Beachtung der Rechtsauffassung des Gerichtes stellt.

Der Erwägungsgrund 143 zur DS-GVO besagt, dass ein Verfahren gegen eine Aufsichtsbehörde „im Einklang mit dem Verfahrensrecht“ des Mitgliedstaats durchzuführen ist. Die unionsrechtlichen Grundlagen haben zu den Sondervorgaben des § 20 BDSG (Bundesdatenschutzgesetz) geführt, der aber zunächst auf die allgemeinen Vorschriften der VwGO verweist, § 20 Abs. 2 BDSG.

Beim streitgegenständlichen Schreiben des Beklagten vom 21. Januar 2019 handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DS-GVO überprüfbare Maßnahme mit Außenwirkung, jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist. Der Antrag des Klägers in der Klageschrift ist dahingehend auszulegen, § 88 VwGO.

Ein Verwaltungsakt im Sinne von Art. 35 BayVwVfG setzt eine einseitige Maßnahme eines Hoheitsträgers auf dem Gebiet des öffentlichen Rechts für einen konkreten Einzelfall voraus, die Regelungswirkung mit Außenwirkung entfaltet. Vorliegend fehlt es am Regelungscharakter der Abschlussmitteilung vom 21. Januar 2019.

Das Schreiben des Beklagten vom 21. Januar 2019 ist auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen (vgl. BayVGH, B.v. 21.3.2002 - 24 ZB 01.592 -, juris). Hier sollte dem Kläger eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Zwar kommt es dafür, ob ein behördliches Schreiben eine verbindliche Regelung durch Verwaltungsakt enthält, auf eine Auslegung nach den im öffentlichen Recht entsprechend anwendbaren Normen der §§ 133, 157 BGB an. Maßgeblich ist also nicht der innere Wille der Behörde, sondern der erklärte Wille, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte, wobei Unklarheiten zu Lasten der Verwaltung gehen. Hier hat der Beklagte lediglich Auskunft darüber gegeben, dass er das Verhalten der Kreissparkasse für Rechtens erachtet und keinen Anlass für ein datenschutzaufsichtliches Einschreiten erkennt, aber nicht zu erkennen gegeben, dass in einer rechtlich ungewissen Situation die Sach- und Rechtslage in diesem Einzelfall durch eine verbindliche Feststellung mit Bindungswirkung als bestehend oder nicht bestehend festgestellt, konkretisiert bzw. individualisiert wird (s. OVG NRW, B.v. 29.9.2016 - 14 B 1056/16 -, juris).

Mangels eines Verwaltungsaktes ist die Rechtsbehelfsbelehrung:des Beklagten im Schreiben vom 21. Januar 2019 unrichtig. Es ist zwar korrekt und durch Art. 77 Abs. 2 DS-GVO sogar geboten, den Kläger auf seine Möglichkeit der Einlegung eines Rechtsmittels hinzuweisen. Die in der Rechtsbehelfsbelehrung:enthaltene Monatsfrist würde aber einen Verwaltungsakt voraussetzen, der nicht vorliegt. Der Antrag des Klägers indes ist nicht auf einen bestimmten Verwaltungsakt des Beklagten, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet (auch im Hilfsantrag), kennzeichnend für eine Leistungsklage. Hätte der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt, hätte er also seine Beschwerde gemäß Art. 77 DS-GVO in diesem Sinne an die Aufsichtsbehörde gerichtet, und hätte der Beklagte diese so gestaltete Beschwerde abgelehnt, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Für den Fall, dass es sich bei einer Abschlussmitteilung einer Aufsichtsbehörde nach der DSGVO - wie hier - um keinen Verwaltungsakt handelt, ist die Leistungsklage nach Art. 78 DSGVO statthaft. Das Klagerecht aus Art. 78 Abs. 1 DS-GVO erfasst damit umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DS-GVO (vgl. 143. Erwägungsgrund zur DS-GVO zur Ablehnung oder Abweisung von Beschwerden). Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart, so dass umfassender Rechtsschutz besteht. Zulässige Streitgegenstände können sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein. Unter rechtsverbindlich i.d.S. sind nicht nur Verwaltungsakte zu verstehen, sondern sämtliche Handlungen, die Außenwirkung besitzen, also Auswirkungen auf die Rechte des Betroffenen oder des Verantwortlichen i.S.d. DS-GVO haben können. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.

Die Rechtsansicht des Verwaltungsgerichts Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19), das bei Beschwerden nach der DS-GVO von Petitionen ausgeht, geht dabei zu weit. Ein eine Petition beantwortendes Schreiben wäre jedenfalls kein Verwaltungsakt im Sinne von § 42 VwGO (BVerwG, B.v. 1.9.1976 - VII B 101.75 -, juris; unstreitig, keine unmittelbare rechtliche Außenwirkung, sondern nur die tatsächliche Erfüllung der Verpflichtung aus Art. 17 GG; kein Gebot der Möglichkeit einer Anfechtungsklage aus Art. 19 Abs. 4 Satz 1 GG). Nach der DS-GVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DS-GVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten). Das Schreiben des Beklagten vom 21. Januar 2019 ist nicht lediglich die Beantwortung einer Petition.

1.3. Es besteht für den Kläger eine Klagebefugnis aus Art. 78 Abs. 1 DS-GVO gegen die Zurückweisung der Beschwerde des Klägers nach Art. 77 DS-GVO. Der Kläger ist ebenso klagebefugt im Sinne des § 42 Abs. 2 VwGO, denn § 42 Abs. 2 VwGO ist für die Klagebefugnis nach herrschender Ansicht analog auf die Leistungsklage anzuwenden, da die Rechtsweggarantie des Art. 19 Abs. 4 GG dann greift, wenn ein Bürger durch die öffentliche Gewalt in seinen subjektiven Rechten verletzt ist. Es ist aber fragwürdig, ob neben Art. 78 DS-GVO (Unionsrecht mit Anwendungsvorrang) § 42 VwGO insoweit überhaupt noch anwendbar ist, da die Betroffenheit in subjektivöffentlichen Rechtspositionen eine namentlich deutsche Zulässigkeitsvoraussetzung für eine Klage darstellt. Da im Hinblick auf Maßnahmen des Art. 58 DS-GVO der Kläger aber auch im Hinblick auf § 42 VwGO möglicherweise in seinen Rechten tangiert sein könnte, wären auch die Voraussetzungen des § 42 VwGO erfüllt, so dass der Kläger jedenfalls klagebefugt ist.

1.4. Aufgrund des Vorliegens einer Leistungsklage war im gegebenen Verfahren keine Klagefrist zu wahren. Die auf eine Monatsfrist hinweisende Rechtsbehelfsbelehrung:in der Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist insofern unrichtig.

1.5. Gemäß § 20 Abs. 5 Satz 1 BDSG sind die Beteiligten eines Verfahrens nach § 20 Abs. 1 Satz 1 BDSG die natürliche Person als Kläger sowie die Aufsichtsbehörde als Beklagter. Der Kläger ist Beteiligter gemäß § 20 Abs. 5 Satz 1 Nr. 1 BDSG. Beklagter ist das Bayerische Landesamt … … Zwar wäre gemäß § 78 Abs. 1 Nr. 1 VwGO die Klage gegen den Rechtsträger des Landesamtes zu richten, hier also gegen den Freistaat Bayern. Vorrangig vor § 78 VwGO ist aber § 20 Abs. 5 Satz 1 Nr. 2 BDSG als lex specialis, wonach die Aufsichtsbehörde direkt als Beklagte beteiligt ist. Mithin liegt eine unionsrechtlich durch die Selbstständigkeit der Aufsichtsbehörde bedingte abweichende bundesrechtliche Spezialregelung vor (so auch Mundil, in BeckOK, Datenschutzrecht, Wolff/Brink, 28. Edition, 1.5.2018, Rn. 5 zu § 20 BDSG, Lapp, in Gola/Heckmann, BDSG, Kommentar, 13. Auflage 2019, Rn 12 zu § 20 BDSG, Bergt in Kühling/Buchner, DS-GVO, BDSG, 2. Auflage 2018, Rn 10 zu § 20 BDSG, a. A. wohl nur Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Auflage 2018, Rn. 10 zu § 20 BDSG, ohne Begründung hierfür). Die hier zum Ausdruck kommende unionsrechtlich vorgegebene Selbstständigkeit der Aufsichtsbehörde würde im Übrigen, falls es sich beim Schreiben vom 21. Januar 2019 um einen Verwaltungsakt gehandelt hätte, dazu führen, dass gem. § 20 Abs. 6 BDSG kein Vorverfahren stattfindet.

1.6. Im vorliegenden Fall hat das Gericht von einer Beiladung der Kreissparkasse … … … abgesehen. § 20 Abs. 5 BDSG bestimmt, dass natürliche oder juristische Personen Kläger oder Antragsteller (§ 20 Abs. 5 Satz 1 Nummer 1 BDSG) sind und die Aufsichtsbehörden Beklagte oder Antraggegner (§ 20 Abs. 5 Satz 1 Nummer 2 BDSG). In § 20 Abs. 5 Satz 2 BDSG ist aber festgelegt, dass § 63 Nummer 3 und 4 VwGO nicht tangiert wird, was zur Folge hat, dass Beiladungen möglich sind. Zwar ist der Zweck einer Beiladung der der Prozessökonomie und Rechtseinheitlichkeit, wobei hier durch die Schaffung verwaltungsrechtlicher Rechtsbehelfe in den Art. 78 DS-GVO und gleichzeitig der Möglichkeit, gegen den Verantwortlichen selbst gerichtlich vorzugehen, die Existenz sich widersprechender gerichtlicher Entscheidungen für denselben Sachverhalt vom Normgeber in Kauf genommen wird. Der Prozess des Betroffenen gegen die Aufsichtsbehörde, der Prozess ggf. des Verantwortlichen (hier wäre das die Kreissparkasse … … …) gegen die Aufsichtsbehörde sowie der Prozess des Betroffenen gegen den Verantwortlichen haben unterschiedliche Streitgegenstände, da zum Beispiel der Klageantrag gegen die Aufsichtsbehörde aufgrund des weiten Entschließungs- und Auswahlermessens der Aufsichtsbehörde normalerweise nur auf ein aufsichtliches Einschreiten - wie hier - gerichtet ist, wohingegen regelmäßig ein Anfechtungsantrag im Prozess des Verantwortlichen gegen eine Anordnung der Aufsichtsbehörde eine ganz konkrete Maßnahme betrifft.

Es liegt hier kein Fall der notwendigen Beiladung im Sinne des § 65 Abs. 2 VwGO vor, da der für eine notwendige Beiladung erforderliche unmittelbare Eingriff in die Rechtsposition der Kreissparkasse … … … nicht schon durch eine gerichtliche Verpflichtung des Beklagten zum aufsichtlichen Einschreiten gegeben wäre, sondern erst durch dieses Einschreiten selbst, also die Umsetzung durch die Aufsichtsbehörde, die Kreissparkasse … … … unmittelbar betroffen wäre. Die Kreissparkasse … … … ist deshalb an dem streitigen Rechtsverhältnis zwischen dem Kläger und dem Beklagten nicht derart beteiligt, dass die Entscheidung darüber auch ihr gegenüber nur einheitlich ergehen kann, wie § 65 Abs. 2 VwGO es fordert. Vergleichbar ist dies etwa mit der Verpflichtungsklage eines Bauherrn gegen die Bauaufsichtsbehörde auf Einschreiten gegen den Nachbarn, wo gefestigter Rechtsprechung zufolge der Nachbar nicht notwendig beizuladen ist, auch falls er bereits gegen das Bauvorhaben im Verwaltungsverfahren Einwendungen erhoben haben sollte (vgl. statt vieler BVerwG, B.v. 20.5.1992 - 1 B 22.92 -, NVwZ-RR 1993, 18).

Die tatbestandlichen Voraussetzungen einer einfachen Beiladung im Sinne des § 65 Abs. 1 VwGO sind allerdings gegeben, da hier rechtliche Interessen der Kreissparkasse … … … tangiert werden können, und sich die Entscheidung in dieser Verwaltungsstreitsache auf die rechtlichen Interessen der Kreissparkasse auswirken kann. Das Gericht sah von einer Beiladung, die im Ermessen des Gerichts steht, ab, da zum einen beide Beteiligte (Kläger und Beklagter) in der mündlichen Verhandlung eine Beiladung der Kreissparkasse … … … abgelehnt haben, da das Gericht die mögliche Verletzung von Rechten der Kreissparkasse ohnehin von Amts wegen zu prüfen hatte und prüfte, und vor allen Dingen, weil das Gericht in keinem Stadium des Verfahrens davon auszugehen hatte, dass der Beklagte zu einer Maßnahme i.S.d. Art. 58 DS-GVO gegen die Kreissparkasse … … … zu verurteilen ist.

1.7. Die Zuständigkeit des Verwaltungsgerichts Ansbach ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG als Sondervorschrift zu § 52 VwGO. Gemäß § 20 Abs. 3 BDSG (vgl. auch Art. 78 Abs. 3 DS-GVO) ist für Verfahren nach § 20 Abs. 1 Satz 1 BDSG - wie hier - das Verwaltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat, mithin das Verwaltungsgericht Ansbach.

2. Die zulässige Klage ist unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DS-GVO i.V.m. Art. 57 DS-GVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse … … … gemäß Art. 58 DS-GVO.

2.1. Der Aufgabenbereich des Art. 57 DS-GVO ist eröffnet. Der Beklagte hat gemäß Art. 78 Abs. 2 DS-GVO in Verbindung mit Art. 57 Abs. 1 Buchst. f DS-GVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben. Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Mit dem Bayerischen Landesamt … hat die zuständige Datenschutzaufsichtsbehörde gehandelt. Der Anwendungsbereich der DS-GVO war eröffnet. Die Kreissparkasse … … … war sog. Verantwortlicher im Rahmen der Verarbeitung und Speicherung personenbezogener Daten des Klägers (Art. 4 Nr. 2 DS-GVO) im Rahmen einer seit dem Jahre 1985 währenden Geschäftsbeziehung. Es handelt sich durchweg auch um personenbezogene Daten des Klägers, Art. 4 Nr. 1 DS-GVO. In diese Datenverarbeitung und -speicherung hatte der Kläger eingewilligt, Art. 6 Abs. 1 Satz 1 DS-GVO (vgl. Art. 7 und Art. 4 Nr. 11 DSGVO). Die Einwilligung war freiwillig.

Art. 57 Absatz 1 Buchst. a und f DS-GVO, wonach der Beklagte die Anwendung dieser Verordnung überwachen und durchsetzen muss sowie sich mit Beschwerden einer betroffenen Person befassen muss, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten muss, wurde vom Beklagten nach Überzeugung des Gerichts beachtet. Zwar können sich aus Art. 57 DS-GVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben. Art. 57 Abs. 1 Buchst f DS-GVO ist ausschließlich an die Aufsichtsbehörde gerichtet und schafft per se keine subjektivöffentlichen Rechte der Betroffenen. Die Untersuchungspflicht des Art. 57 Abs. 1 Buchst. f DS-GVO ist aber im Gesamtzusammenhang der DS-GVO von hohem Gewicht. Art. 57 Abs. 1 Buchst. f DS-GVO enthält dezidierte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können (so wohl auch Kühling/Buchner/Boehm, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 12: „dem Bestehen eines Rechtsanspruchs ähnlich“, „weil die Vorschrift im Zusammenhang mit Art. 78 Abs. 2“ zu sehen ist), demzufolge jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn die nach den Art. 55 f. DS-GVO zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DS-GVO erhobenen Beschwerde in Kenntnis gesetzt hat. Gemäß Art. 57 Abs. 1 Buchst. f DS-GVO hat der Beklagte den Kläger innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung mit Schreiben vom 21. Januar 2019 unterrichtet, und zwar unter Beachtung von Art. 78 Abs. 2 DS-GVO, wonach der Beschwerdeführer spätestens innerhalb von drei Monaten über den Sachstand informiert werden muss.

Die Unterscheidung der DS-GVO von Aufgabennorm, Art. 57 DS-GVO, und Befugnisnorm, Art. 58 DS-GVO, ähnelt der Aufteilung im Sicherheits- und Polizeirecht. Im Bereich der DS-GVO besteht aber eine Besonderheit: Art. 57 DS-GVO, der ohnehin nicht abschließend Aufgaben normiert (vgl. Art. 57 Abs. 1 Buchst. v) ist in seiner Umfassendheit zum Beispiel nicht vergleichbar mit Art. 2 Bayerisches Polizeiaufgabengesetz (BayPAG), weil er bei der Aufgabenzuweisung dezidiert auf eine „Angemessenheit“ abstellt. Die Behandlung von individuellen Beschwerden wie hier ist unionsrechtlich restriktiv geregelt (vgl. auch Erwägungsgrund 141 Satz 2 zur DSGVO). Zwar ist es eine der vorrangigsten Aufgaben des Beklagten, Beschwerden von Betroffenen nach Art. 77 DS-GVO zu bearbeiten, zumal für die Aufsichtsbehörden (ähnlich wie für die Polizei) Hinweise und Beschwerden von Bürgern zur Erfüllung ihrer Aufgaben unverzichtbar sind. Allerdings nimmt Art. 57 Abs. 1 Buchst. f DS-GVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richtet sich auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

2.2. Der Kläger hat keinen Anspruch auf behördliches Einschreiten nach Art. 58 DS-GVO. Ein solches scheidet bereits deshalb aus, weil sich nach Befassung und Prüfung im Rahmen des Art. 57 DS-GVO keine Anhaltspunkte ergeben haben, die ein Einschreiten nach Art. 58 DS-GVO nahelegten. Ein Datenschutzrechtsverstoß des Verantwortlichen hat sich nicht aufgedrängt. Die Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist damit inhaltlich nicht zu beanstanden.

Art. 58 DS-GVO regelt das Verhältnis Aufsichtsbehörde zu Datenverantwortlichem. Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Neben dem Auswahlermessen besteht für den Beklagten auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen (vgl. das Wort „gestattet“ in Art. 58 Abs. 1 und 2 DS-GVO). Zwar sieht Art. 58 Abs. 2 DS-GVO ein Bündel verschiedener, zum Teil weitreichender Maßnahmen vor, das dem Beklagten zu Gebote steht. Die Aufsichtsbehörde entscheidet dann, ob sie beispielsweise von dem Verantwortlichen gemäß Art. 58 Abs. 1 Buchst. a eine Stellungnahme einfordert, eine Kontrolle vor Ort gemäß Art. 58 Abs. 1 Buchst. f vornimmt, oder wie hier über den Sachverhalt bereits aufgrund der vom Kläger vorgelegten Informationen und Abschriften entscheidet. Der Kläger hat grundsätzlich einen Anspruch auf Wahrung des Transparenzgebotes des Art. 12 DS-GVO, auf Auskunft gemäß Art. 15 DS-GVO, darauf, dass gemäß Art. 5 Abs. 1 Buchst. a DS-GVO seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden.

Der Kläger hätte im Übrigen selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DS-GVO indes nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DS-GVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse (so auch Gola/Nguyen, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 10 m.w.N.; außer im Fall der Ermessensreduzierung auf Null), wobei dann im Rahmen des Art. 58 DS-GVO die Aufsichtsbehörde wie erwähnt ein weites Entschließungs- und Auswahlermessen hat und Art. 58 Abs. 2 DS-GVO mit den unterschiedlich gestuften Maßnahmen dem Grundsatz der Verhältnismäßigkeit gerecht wird (vgl. Art. 58 Abs. 2 Buchst. a, b, d als mildere Maßnahmen im Vergleich zu Art. 58 Abs. 2 Buchst. f DS-GVO, so Ingold JuS 2018, 1214, 1217).

Eine Ermessensreduktion auf Null kommt nur in Betracht, wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt. Vor dem Hintergrund dieses Maßstabes ist hier von keinem Anspruch auf Einschreiten nach Art. 58 DS-GVO auszugehen: Die Einwände des Klägers gegen die Vorgehensweise des Beklagten in den Schriftsätzen sowie in der mündlichen Verhandlung greifen in der Sache nicht durch. Die Kreissparkasse … … … hat ausführlich auf die Anfragen des Klägers reagiert, alle erdenklichen Auskünfte erteilt und ebenso ihre Bereitschaft zu weiteren Auskünften zugesagt. Daher ist es nicht so, dass der Kläger, wie behauptet, seine Daten nicht vollständig erhält. Auf seine Bitte um eine Vervollständigung der Auskunft vom 30. Juli 2017 hat die Kreissparkasse … … … ihm mit Schreiben vom 2. Oktober 2018 wunschgemäß weitere Angaben gemacht, wobei die Auskunft vom 30. Juli 2018 bereits den gesetzlichen Anforderungen genügte. Es ist nicht erkennbar, worin hier ein Verstoß gegen das Transparenzgebot des Art. 12 DS-GVO vorliegen sollte. Die Vorgehensweise und Praxis der Kreissparkasse … … … entsprechen dem Erwägungsgrund 39 zur DS-GVO, da die Verarbeitung personenbezogener Daten des Klägers rechtmäßig und nach Treu und Glauben erfolgte sowie die Auskunft an den Kläger gemäß Art. 15 DS-GVO korrekt war. Gemäß Art. 5 Abs. 1 Buchst. a DS-GVO sind seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet worden. Die falsche Berufsbezeichnung des Klägers wurde seitens der Kreissparkasse in Anwendung von Art. 5 Abs. 1 Buchst. d DS-GVO sofort berichtigt. Die Abspeicherung des abgelaufenen Passes des Klägers von 1988, der bei Begründung des Vertragsverhältnisses 1985 die gültige, vom Kläger vorgelegte, Legitimation war, ist insbesondere kein Verstoß gegen Art. 15 Abs. 1 Buchst. d DS-GVO, sondern gerechtfertigt durch Art. 17 Abs. 1 Buchst. a DS-GVO, da die Kreissparkasse … … … zum Zugang des Klägers auf seine Daten dessen Legitimationsgrundlage verfügbar haben muss(te). Nichts anderes ergibt sich aus dem Erwägungsgrund 39 zur DS-GVO. Es ist auch nicht notwendig, dass die Kreissparkasse … … … durch ihre eigenen Bediensteten Kenntnisse von der Verarbeitung von elektronischen Kundenunterschriften hat. Es ist üblich und datenschutzrechtlich sowohl korrekt als auch unbedenklich, wenn sich Unternehmen weiterer Dienstleistungen Dritter bedienen, solange sie datenschutzrechtlich - wie hier - die Datensicherheit gewährleisten können; zumindest bestehen für eine gegenteilige Annahme keinerlei Anhaltspunkte."


Den Volltext der Entscheidung finden Sie hier:

Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“