Skip to content

BAG: Sonderkündigungsschutz des Datenschutzbeauftragten endet mit Absinken der Beschäftigtenzahl unter Schwellenwert - es gilt nachwirkender Sonderkündigungsschutz

BAG
Urteil vom 05.12.2019
2 AZR 223/19


Das BAG hat entschieden, dass der Sonderkündigungsschutz des Datenschutzbeauftragten mit Absinken der Beschäftigtenzahl unter den Schwellenwert endet. Es gilt dann der nachwirkende Sonderkündigungsschutz.

Leitsatz des BAG:

Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.

Den Volltext der Entscheidung finden Sie hier:



Jetzt online verfügbar - Internet World Business-Beitrag "Online-Recht 2020: Darauf müssen Unternehmen vorbereitet sein" von Rechtsanwalt Marcus Beckmann

Der Internet World Business-Beitrag "Online-Recht 2020: Darauf müssen Unternehmen vorbereitet sein" von Rechtsanwalt Marcus Beckmann" ist nun auch online verfügbar.

Sie finden den Beitrag hier:
Online-Recht 2020: Darauf müssen Unternehmen vorbereitet sein


ArbG Siegburg: Missbrauch von Kundendaten durch IT-Mitarbeiter rechtfertigt fristlose Kündigung des Arbeitsverhältnisses

ArbG Siegburg
Urteil vom 15.01.2020
3 Ca 1793/19


Das ArbG Siegburg hat entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war seit 2011 bei der Beklagten als SAP-Berater tätig. Der Kläger bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt am 26.08.2019 eine fristlose Kündigung. Er erhob dagegen Kündigungsschutzklage.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung der 3. Kammer gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Arbeitsgericht Siegburg – Aktenzeichen 3 Ca 1793/19 vom 15.01.2020.

KG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend - voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung

KG Berlin
Urteil vom 20.12.2019
5 U 9/18


Das KG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und die voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung darstellt.

Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das KG Berlin - zulässig und keine Irreführung.

Die Pressemitteilung des vzbv:

Facebook verstößt gegen Datenschutzrecht - Kammergericht Berlin gibt Klage des vzbv in vielen Punkten statt

Voreinstellungen zur Verwendung persönlicher Daten stellen keine informierte Einwilligung dar.

Gericht bestätigt Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen.

Werbung mit „Facebook ist und bleibt kostenlos“ ist erlaubt.

Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen gegen Verbraucher- und Datenschutzrecht. Dazu gehören eine Klausel zur Nutzung des Profilbilds für kommerzielle Zwecke sowie die voreingestellte Aktivierung eines Ortungsdienstes, der Chat-Partnern den Aufenthaltsort verrät. Das hat das Kammergericht in Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Der vzbv darf demnach bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gerichtlich vorgehen. Der Werbeslogan „Facebook ist und bleibt kostenlos“ ist hingegen laut Kammergericht nicht irreführend. Damit bestätigten die Richter ein Urteil des Landgerichts Berlin vom Januar 2018.

„Nicht zum ersten Mal wird Facebook wegen des sorglosen Umgangs mit den Daten seiner Nutzerinnen und Nutzer verurteilt“, sagt Heiko Dünkel vom Team Rechtsdurchsetzung beim vzbv. „Das Kammergericht hat dabei klargestellt, dass Verbraucherzentralen gegen Verstöße gegen die DSGVO vorgehen können.“

Privatsphäre-Einstellungen schon angekreuzt
Mit seiner Klage hatte der vzbv insgesamt 26 Einzelverstöße beanstandet. Das Kammergericht folgte der Rechtsauffassung des Verbandes in vielen Punkten. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen vorbelegt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das eigene Facebook-Profil für jeden schnell und leicht auffindbar. Die dafür jeweils nötige Einwilligung in Datennutzungen kann nach Auffassung des Gerichts nicht über ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer erst abwählen muss, wenn er damit nicht einverstanden ist.

Auch eine Reihe von Geschäftsbedingungen untersagte das Gericht. So erklärten sich Nutzer damit einverstanden, dass Facebook ihren Namen und ihr Profilbild „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagte, dass sie sich schon vorab mit allen künftigen Änderungen der Facebook-Datenrichtlinie einverstanden erklären. Solche vorformulierten Erklärungen erfüllen nach Auffassung des Senats nicht die Voraussetzungen an eine wirksame Einwilligung in die Datennutzung.
Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt.

Kein Zweifel an Klagebefugnis des vzbv
Das Kammergericht stellte eindeutig klar, dass der vzbv auch nach Inkrafttreten der DSGVO berechtigt ist, Datenschutzverstöße durch Unternehmen gerichtlich zu verfolgen. Entsprechende Klagerechte im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb seien anwendbar. Dafür brauche es auch nicht den Auftrag eines betroffenen Verbrauchers.

Werbung „Facebook ist und bleibt kostenlos“ bleibt zulässig
Der Slogan „Facebook ist und bleibt kostenlos“ ist nach dem Kammergerichtsurteil hingegen zulässig. Der vzbv hatte die Werbung als irreführend kritisiert, da Verbraucher die Facebook-Nutzung indirekt mit ihren Daten zahlen müssten, mit denen Facebook seinen Gewinn erzielt. Nach Auffassung des Kammergerichts bezieht sich die Werbung jedoch nur darauf, dass die Dienste ohne Geldzahlungen oder andere Vermögenseinbußen genutzt werden können. Der Senat wies außerdem die Klage gegen einzelne Klauseln aus der Datenrichtlinie des Unternehmens ab. Bei diesen handele es sich nicht um Allgemeine Geschäftsbedingungen.

Die Revision gegen das Urteil ist nicht zugelassen. Beide Parteien haben aber noch die Möglichkeit, Nichtzulassungsbeschwerde beim Bundesgerichtshof einzulegen.

Urteil des Kammergerichts vom 20.12.2019, Az. 5 U 9/18 – nicht rechtkräftig


Den Volltext der Entscheidung finden Sie hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Auf welche Gesetze und Verordnungen sich Online-Händler 2020 einstellen müssen

In Ausgabe 1/2020, S. 16 und 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Das ändert sich im neuen Jahr - Auf welche Gesetze und Verordnungen sich Online-Händler 2020 einstellen müssen".


ArbG Lübeck: 1000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO - Veröffentlichung eines Mitarbeiterfotos durch Arbeitgeber auf Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers

ArbG Lübeck
Beschluss vom 20.06.2019
1 Ca 538/19


Das ArbG Lübeck hat im Rahmen eines Prozesskostenhilfebeschlusses entschieden, dass bei Veröffentlichung eines Mitarbeiterfotos durch den Arbeitgeber auf der Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers aus Art. 82 Abs. 1 DSGVO ein Anspruch auf Schadensersatz von bis zu 1.000,00 EURO bestehen kann.


LG Hamburg: Spiegel-Berichterstattung über Zuwendung von Pharmafirma an einen Arzt zulässig - auch kein Verstoß gegen Datenschutz da Medienprivileg gilt

LG Hamburg
Urteil vom 20.09.2019
324 O 305/18

Aus den Entscheidungsgründen:

"1. Dem Kläger steht der gegen die Beklagte geltend gemachte Anspruch unter keinem rechtlichen Gesichtspunkt zu.

Hier gelten die Erwägungen wie im Rechtsstreit zum Az. 324 O 236/16 entsprechend. Die Kammer hat im Urteil ausgeführt:

„a. Ein solcher Unterlassungsanspruch ergibt sich insbesondere nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG, Art. 8 EMRK, da die streitgegenständlichen Datenbank-Einträge den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Bei dem allgemeinen Persönlichkeitsrecht handelt sich um einen offenen Tatbestand, bei dem die Feststellung einer rechtswidrigen Verletzung eine ordnungsgemäße Abwägung aller Umstände des konkreten Einzelfalles unter Beachtung des Grundsatzes der Verhältnismäßigkeit voraussetzt (Palandt-Sprau, Bürgerliches Gesetzbuch, 77. Auflage 2018, § 823 BGB Rn. 95). Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt. Im Streitfall hat eine Abwägung zwischen dem Recht des Klägers auf Schutz seines allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK auf der einen Seite und dem Recht der Beklagten auf Meinungs- und Pressefreiheit nach Art. 5 Abs. 1 GG, Art. 10 Abs. 1 EMRK auf der anderen Seite zu erfolgen. Unter Berücksichtigung aller relevanten Gesichtspunkte ergibt die Abwägung vorliegend, dass die streitgegenständlichen Veröffentlichungen den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Im Einzelnen:

(1) Sofern sich der Kläger darauf beruft, dass die streitgegenständlichen Datenbank-Einträge unwahre Tatsachenbehauptungen enthielten, ist davon prozessual nicht auszugehen. Zwar kommt es bei der verfassungsrechtlich gebotenen Abwägung zwischen dem allgemeinen Persönlichkeitsrecht und der Freiheit der Meinungsäußerung für die Zulässigkeit einer Äußerung maßgeblich mit darauf an, ob es sich um wahre oder unwahre Tatsachenbehauptungen handelt. Denn Tatsachenbehauptungen, die nicht zur verfassungsmäßig vorausgesetzten Meinungsbildung beitragen können, sind nicht geschützt; das ist bei bewusst oder erwiesen unwahren Tatsachenbehauptungen der Fall (BVerfG, Beschluss vom 16.03.1999, 1 BvR 734/98, Juris Rn. 30; Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Auflage 2018, Kap. 6 Rn. 14). Wahre Tatsachenbehauptungen sind dagegen in weitem Umfang hinzunehmen, denn das Persönlichkeitsrecht verleiht seinem Träger keinen Anspruch darauf, nur so in der Öffentlichkeit dargestellt zu werden, wie es ihm genehm ist (vgl. BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Abs. 4. b)). Prozessual ist jedoch nicht davon auszugehen, dass die Datenbank-Einträge dem Rezipienten ein unwahres Verständnis vermitteln.

(a) Nach dem Verständnis des unvoreingenommenen und verständigen Durchschnittsempfängers (vgl. Wenzel, Das Recht der Wort- und Bildberichterstattung, Kap. 4 Rn. 4 m.w.Nw.) sind die Datenbank-Einträge dahingehend zu verstehen, dass die Beklagte behauptet, der Kläger habe tatsächlich Zuwendungen im Wert von insgesamt 534,00 Euro erhalten. Dagegen ist nicht auf das von der Beklagten zu Grunde gelegte Verständnis abzustellen, die Pharmaindustrie habe angegeben, dass der Kläger Zuwendungen im Wert von 534,00 Euro erhalten habe.

So enthält bereits der die Datenbank von 2015 präsentierende Artikel (Anlage K 1) ausgehend vom Wortlaut zahlreiche Aussagen dahingehend, dass die Datenbank tatsächlich erfolgte Zahlungen dokumentiert (Überschrift „W. v. G. h. m. A. b.?“; „Für mehr als 20.000 Ärzte und Fachkreisangehörige in Deutschland ist jetzt bekannt, wie viel Geld sie 2015 von Pharmafirmen erhalten haben.“; „Die Recherche von "C." und S. O. zeigt, wohin das Geld geflossen ist.“; „Hat Ihr Arzt 2015 von Pharmafirmen Geld angenommen?“; „Wem und wofür wurde das Geld gezahlt? Offengelegt wurden die Zahlungen an Ärzte, Apotheker und Angehörige medizinischer oder pharmazeutischer Heilberufe - zusammengefasst als "Angehörige der Fachkreise". Ärzte und Fachkreisangehörige haben Geld für Vorträge, Fortbildungen und Beratung erhalten, dazu gehört auch die Übernahme von Reise- und Übernachtungskosten sowie Tagungs- und Teilnahmegebühren. Medizinische Institutionen bekamen zudem Geld für Sponsoring, Spenden und Stiftungen.“). Zwar wird in dem Artikel auf die Quelle der Daten hingewiesen („Die Daten haben Rechercheure von "C." und S. O. aus mehreren Dutzend Listen zusammengetragen, die von den Pharmaunternehmen einzeln veröffentlicht wurden“) und es wird mitgeteilt, dass die zusammengetragenen Daten mitunter von zweifelhafter Qualität waren bzw. Unstimmigkeit enthielten („Auch die Qualität der Daten erschien in einzelnen Fällen zweifelhaft, etwa wenn die angegebenen Summen nicht mit den aufgelisteten Zahlungen übereinstimmen“; „Haben Sie eine Anmerkung zu den Daten oder eine Unstimmigkeit in den Angaben entdeckt? Dann melden Sie sich bitte unter der Adresse e.@ c..org, damit wir die Datenbank weiter optimieren können.“). Für den Leser entsteht im weiteren Kontext aber das Verständnis, die Beklagte habe die Daten bereinigt, d.h. geklärt („In unserer Datenbank können Sie die zusammengeführten und bereinigten Angaben für rund 20.000 Ärzte und Fachkreisangehörige im Detail erkunden.“). Aufgrund dessen geht der Rezipienten davon aus, dass die Beklagte tatsächlich erfolgte Zahlungen dokumentiert und sich somit sich auf die Richtigkeit der Angaben der Pharmaunternehmen beruft.

Gleiches gilt für die Datenbank 2016 (Anlage K 2), die mit einem inhaltlich weitgehend gleichlautenden Artikel präsentiert wird. Darüber hinaus insinuieren auch weitere, in 2016 gegenüber dem Vorjahr neuen Äußerungen, dass die Datenbank tatsächlich erfolgte Zuwendungen darstellt („Mehr als 562 Millionen Euro ließen Pharmakonzerne im vergangenen Jahr Ärzten, Apothekern, Heilberuflern und medizinischen Institutionen zukommen. Ein Teil davon lässt sich bis ins Detail nachvollziehen: Mehr als 16.500 Ärzte und Fachkreisangehörige haben zugestimmt, als Zahlungsempfänger namentlich genannt zu werden. Die Recherche von S. O. und "C." zeigt, wohin das Geld geflossen ist.“; „Sind an einer Adresse mehrere Personen oder Institutionen eingetragen, dann zeigt das Tooltip den Empfänger mit der höchsten Gesamtsumme. Über einen Link im Tooltip können Sie in der Datenbank alle weiteren Empfänger sowie eine Aufschlüsselung nach Kategorien einsehen.“).

(b) Sofern die streitgegenständlichen Datenbank-Einträge also die Behauptung der Beklagten enthalten, der Kläger habe in den Jahren 2015/2016 Zuwendungen in Höhe von insgesamt 534,00 Euro von Pharmakonzernen erhalten, ist diese Behauptung prozessual als wahr anzusehen. Angesichts der Ehrenrührigkeit der Tatsachenbehauptung trägt grundsätzlich die Beklagte analog § 186 StGB die Darlegungs- und Beweislast für die Richtigkeit der von ihr getroffenen Aussage. Unstreitig hat das Pharmaunternehmen B.- C. AG die in den Einträgen genannten Beträge an Reisekosten betreffend den Kläger veröffentlicht (vgl. Anlage B 15). Daraus ergibt sich zwar nicht zwangsläufig die Richtigkeit der Zuwendung, aber jedenfalls in einem ersten Schritt, dass das Pharmaunternehmen eine solche Zahlung veröffentlicht hat. Der Kläger bestreitet die Richtigkeit der behaupteten Zuwendung lediglich mit Nichtwissen. Angesichts des substantiierten – und unstreitigen – Vortrags der Beklagten dürfte dieses Bestreiten des Klägers mit Nichtwissen jedoch nicht ausreichend sein. Denn das Ob und Wie der Zuwendung fällt grundsätzlich in die Sphäre des Klägers, sodass sich diese nicht einfach auf ein behauptetes Nichtwissen zurückziehen kann. Das gilt sowohl für direkte Zuwendungen (Honorare) als auch die hier allein fraglichen indirekten Zuwendungen (Übernahme von Reisekosten). Denn auch wenn es richtig sein mag, dass der Kläger keine genaue Kenntnis über die Höhe der von dem Pharmaunternehmen übernommenen Reisekosten haben mag, so ist er jedenfalls in der Lage, Angaben dazu zu machen, ob er im betreffenden Zeitraum eine Veranstaltung besucht hat, für die überhaupt von dem Pharmaunternehmen zu tragende Reisekosten anfallen konnten, und wenn ja in welchem Umfang (Ort, Dauer, Transportmittel, Unterkunft, etc.). Zu all diesen Umständen hat der Kläger jedoch nicht vorgetragen. Mangels substantiierten Bestreitens ist prozessual somit von der Wahrheit der mit den Datenbank-Einträgen verbreiteten Tatsachenbehauptung auszugehen.

(2) Entgegen der Argumentation des Klägers wird er auch nicht dadurch in seinem allgemeinen Persönlichkeitsrecht verletzt, dass die Datenbank-Einträge schwerwiegende Auswirkungen für ihn haben. Bei den Datenbank-Einträgen handelt es sich prozessual um wahre Tatsachen aus der Sozialsphäre des Klägers. Berichterstattungen aus der Sozialsphäre dürfen nur im Falle schwerwiegender Auswirkungen auf das Persönlichkeitsrecht des Betroffenen mit negativen Sanktionen verknüpft werden, so etwa, wenn eine Stigmatisierung, soziale Ausgrenzung oder Prangerwirkung droht (BGH, Urteil vom 20.12.2011, VI ZR 261/10 – Kommunistischer Bund; Urteil vom 17.11.2009, VI ZR 226/08; Urteil vom 21.11.2006, VI ZR 259/05). Ein solcher Fall schwerwiegender Auswirkungen ist vorliegend jedoch nicht gegeben. Im Einzelnen:

(a) Die Datenbank-Einträge führen nicht zu einer Stigmatisierung des Klägers. Nach dem Bundesverfassungsgericht können Stigmatisierungen aufgrund gesellschaftlicher, also nicht allein der Verantwortung des Betroffenen zuzuschreibender, Einschätzungs- und Verhaltensmechanismen einen Entzug der sozialen Anerkennung, eine soziale Isolierung und eine grundlegende Verunsicherung und Selbstentwertung des Betroffenen in zahlreichen Lebensbereichen zur Folge haben. Die freie Entfaltung der Persönlichkeit wird dadurch nachhaltig erschwert, ohne dass dies zu den üblichen Grenzen der Entfaltungschancen oder zu den nachteiligen Reaktionen anderer gezählt werden könnte, die man als Folge eigener Entscheidungen oder Verhaltensweisen hinzunehmen hat (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 48).

Eine solche Stigmatisierung ergibt sich nicht aus den streitgegenständlichen Datenbank-Einträgen selbst. Zwar enthält ein Datenbank-Eintrag mit einem roten Punkt die Aussage, der betreffende Arzt habe Geld in einer bestimmten Höhe von der Pharmaindustrie angenommen. Im Zusammenspiel mit der weiteren Berichterstattung der Beklagten wird dem Leser auch das Verständnis vermittelt, dass sich daraus jedenfalls das Risiko ergibt, dass der Arzt Entscheidungen betreffend Verschreibung von Medikamenten, Behandlungen o.ä. trifft, die in irgendeiner Art und Weise davon beeinflusst sind. Dies ist für den Arzt grundsätzlich ehrabträglich. Die Kritik wird durch die Präsentation der Beklagten noch verstärkt, weil die ursprünglich nur schwer zugänglichen Daten hier in einer sehr leicht auffindbaren Form präsentiert werden, die Ärzte mit einem roten Punkt markiert werden und neben ihnen ein wenig schmeichelhaftes Symbol eines Männchens mit einem Geldsack erscheint. Dennoch führt diese Darstellung zur Überzeugung der Kammer nicht zu einem derart starken Entzug der sozialen Anerkennung und Isolierung des Betroffenen, dass von einer Stigmatisierung die Rede sein könnte. Zu berücksichtigen ist zum einen, dass hier Kritik an der – prozessual wahren – Tatsache der Zuwendungen der Pharmaindustrie an Ärzte, konkret den Kläger, geäußert wird. Weiterhin ist zu berücksichtigen, dass es sich um Zuwendungsbeträge im zwei- bzw. unteren dreistelligen Bereich handelt, was auch nach dem Verständnis des Lesers nicht zu einer gravierenden Einwirkung auf das berufliche Verhalten der Ärzte führen dürfte. Schließlich ist zu berücksichtigen, dass die Ärzte selbst in die Veröffentlichung der Daten eingewilligt haben, wenn auch wohl nicht mit der Vorstellung einer derart nutzerfreundlichen Datenbank.

Die Präsentation in der Datenbank ist auch nicht deshalb rechtswidrig – so die Argumentation des Klägers – weil zusammen mit den Einträgen, anders als bei den Veröffentlichungen der Pharmaunternehmen, nicht der Transparenzkodex veröffentlicht wird, aus dem hervorgeht, dass alle Zuwendungen mit der geltenden Rechtslage übereinstimmten. Denn die Beklagte erweckt in ihrer Berichterstattung an keiner Stelle wahrheitswidrig das Verständnis, dass diese Zuwendungen strafbar seien, weshalb ein ausdrücklicher Hinweis auf den Transparenzkodex im Rahmen der Datenbankeinträge nicht erforderlich ist.

Eine Stigmatisierung des Klägers folgt auch nicht aus dem Inhalt der begleitenden Artikelserie unter dem Stichwort „Euros für Ärzte“ (Anlagenkonvolut B 2). Diese ist zur Auslegung des Inhalts der streitgegenständlichen Datenbank-Einträge zwar heranzuziehen. Die Argumentation des Klägers, ihm werde durch die Berichterstattung insgesamt vorgeworfen, dass er korrumpierbar sei, sich grundlos bereichert habe und ein Spielball der Pharmaindustrie sei, überzeugt jedoch nicht. Zwar ist es richtig, dass die Serie „Euros für Ärzte“ deutliche Kritik an finanziellen Zuwendungen der Pharmaindustrie an Ärzte äußert. Es wird in der gesamten Berichterstattung aber nicht die Behauptung aufgestellt, dass Ärzte, die solche Zuwendungen erhalten, korrupt seien (was ja auch ein strafrechtlich relevantes Verhalten voraussetzte), noch dass dies konkret für den Kläger gelte. Die Berichterstattung zeigt lediglich Zusammenhänge und mögliche Risiken auf, die im Rahmen der Zusammenarbeit von Ärzten mit Pharmaunternehmen entstehen können.

Schließlich folgt eine Stigmatisierung des Klägers auch nicht aus der Gegenüberstellung der Ärzte mit einem roten Punkt auf der einen Seite und der Ärzte mit einem grünen Punkt (sog. „Null-Euro-Ärzte“) auf der anderen Seite. Zwar verlässt die Beklagte hier ihr selbst erklärtes Ansinnen, lediglich die von der Pharmaindustrie veröffentlichten Daten aufzubereiten, und trifft eine eigene Aussage über „saubere“ Ärzte. Das erscheint schon deshalb problematisch, weil die Beklagte nicht überprüft, ob die sich registrierenden Ärzte tatsächlich keine Zuwendungen erhalten haben. Allein ein Abgleich mit den veröffentlichten Namenslisten ist nicht ausreichend, weil auch die Möglichkeit besteht, dass die betreffenden Ärzte zwar Zuwendungen erhalten haben, der Veröffentlichung ihres Namens aber nicht zugestimmt haben. Allerdings trifft die Beklagte nach dem Verständnis des Rezipienten über die „Null-Euro-Ärzte“ nicht die Aussage, diese hätten tatsächlich keine Zuwendung erhalten. Vielmehr enthält der Eintrag eines „Null-Euro-Arztes“ lediglich die Aussage, der betreffende Arzt bzw. die betreffende Ärztin habe gegenüber C. versichert, keine Zuwendung erhalten zu haben; eine eigene Aussage über die Richtigkeit dieser Angabe trifft die Beklagte also gerade nicht. Angesichts dessen erscheint die Gegenüberstellung grüner und roter Punkte nicht in vergleichbarem Maße ehrabträglich, da den Angaben der Pharmaindustrie lediglich die eigenen Aussagen von (anderen) Ärzten gegenübergestellt werden.

(b) Auch eine Prangerwirkung betreffend den Kläger ist vorliegend zu verneinen. Diese wird von der zivilgerichtlichen Rechtsprechung dann erwogen, wenn ein – nach Auffassung des Äußernden – beanstandungswürdiges Verhalten aus der Sozialsphäre einer breiteren Öffentlichkeit bekannt gemacht wird und sich dies schwerwiegend auf Ansehen und Persönlichkeitsentfaltung des Betroffenen auswirkt, was insbesondere dort in Betracht kommt, wo eine Einzelperson aus der Vielzahl derjenigen, die das vom Äußernden kritisierte Verhalten gezeigt haben, herausgehoben wird, um die Kritik des als negativ bewerteten Geschehens durch Personalisierung zu verdeutlichen (BVerfG, Beschluss vom 18.02.2010, 1 BvR 2477/08, Juris Rn. 25). Eine solche Prangerwirkung ist hier aber schon deshalb zu verneinen, weil der Kläger von der Beklagten gar nicht aus der Masse derjenigen, die Zuwendungen von der Pharmaindustrie erhalten haben, herausgehoben wird.

(c) Die Rechtswidrigkeit der Veröffentlichung folgt auch nicht aus datenschutzrechtlichen Erwägungen. Sofern der Kläger argumentiert, dass für die Veröffentlichung der Daten durch die Beklagte seine Einwilligung erforderlich gewesen sei, die er zwar ursprünglich erteilt habe, die aber nicht wirksam gewesen sei, und die er jedenfalls mittlerweile widerrufen habe, greift diese Argumentation ebenfalls nicht durch.

Im Ausgangspunkt darf über wahre Tatsachen aus der Sozialsphäre grundsätzlich berichtet werden. Es gibt keinen Anspruch darauf, in der Öffentlichkeit nur so dargestellt zu werden, wie man es selbst wünscht und man sich selbst sehen möchte; ein allgemeines oder gar umfassendes Verfügungsrecht über die Darstellung der eigenen Person gewährt das allgemeine Persönlichkeitsrecht nicht (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 45). Eine Einwilligung des Klägers in die Veröffentlichung ist damit grundsätzlich nicht notwendig. Allerdings kann sich nach den Grundsätzen des Datenschutzrechts ein anderes Abwägungsergebnis ergeben (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09 – Internetarchiv ksta.de, Juris Rn. 23). Nach der hier maßgeblichen DSGVO ist in bestimmten Fällen die Einwilligung des Betroffenen Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung (vgl. z.B. Art. 6 Abs. 1 lit. a) DSGVO). Jedoch gilt vorliegend für die Beklagte das Medienprivileg des § 57 Abs. 1 S. 6 RStV, wonach die ausschließlich journalistisch-redaktionelle und literarische Erhebung, Verarbeitung und Nutzung personenbezogener Daten weitgehend von den ansonsten einzuhaltenden Datenschutzbestimmungen ausgenommen ist (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09, Juris Rn. 23ff. zu § 57 RStV a.F.). Ein Unterlassungsanspruch gegen die Beklagte aufgrund datenschutzrechtlicher Erwägungen scheidet somit aus.

Darüber hinaus hat der Kläger, ohne dass es darauf ankäme, auch nicht hinreichend substantiiert vorgetragen, dass seine Einwilligung unwirksam ist. Denn das in Anlage K 7 vorgelegte Formular über die Erteilung einer Einwilligung wurde nur beispielhaft vorgelegt und gilt für den Kläger (der Zuwendungen eines ganz anderen Pharmaunternehmen erhalten haben soll) gar nicht.

Angesichts des Medienprivilegs, auf das sich die Beklagte berufen kann, kommt es auch auf einen etwaigen Widerruf der Einwilligung des Klägers nicht an.

(d) Schwerwiegende Auswirkungen für den Kläger folgen auch nicht aus einem von ihm behaupteten Eingriff in das Arzt-Patienten-Verhältnis. Ein solcher Eingriff mit schwerwiegenden Auswirkungen für den Kläger erscheint schon deshalb kaum nachvollziehbar, weil sich die Ärzte – darunter auch der Kläger – einmal selbst dem Ziel verschrieben haben, für mehr Transparenz betreffend die Zusammenarbeit von Ärzten mit Pharmaunternehmen zu sorgen. Dann ist die Kenntnis der Patienten über etwaige Zuwendungen an den Kläger zwangsläufig die Kehrseite dieses von der Pharmaindustrie wie den Ärzten gleichermaßen verfolgten Transparenz-Anliegens. Zudem führt diese Argumentation nicht insoweit zu einer Rechtswidrigkeit der Berichterstattung, als der Eingriff nicht die Schwere einer Stigmatisierung erreicht (s.o.).

(e) Ein Unterlassungsanspruch des Klägers lässt sich auch nicht damit begründen, dass sogar Suchmaschinenbetreiber dazu verpflichtet seien, die Erreichbarkeit von Internetbeiträgen durch bloße Eingabe des Namens der von diesen Beiträgen in erheblicher Weise betroffenen Person zu unterbinden (vgl. EuGH, Urteil vom 13.05.2014, C-131/12, Celex-Nr. 62012CJ0131 – Google Spain, Juris). Der „Erst-Recht-Schluss“ vom Suchmaschinenbetreiber auf die Presse greift schon nicht durch. Zudem scheitert der der „Google Spain“-Entscheidung des EuGH zu Grunde liegende datenschutzrechtliche Anspruch am Medienprivileg, auf das sich die Beklagte berufen kann (s.o.).

(f) Vor dem Hintergrund der bereits diskutierten Aspekte scheidet auch ein Anspruch des Klägers auf Anonymitätsschutz aus. Zwar ist die prozessual wahre Aussage, dass der Kläger Zuwendungen von der Pharmaindustrie angenommen hat, nach dem Gesamtverständnis der Berichterstattung der Beklagten ehrabträglich. Der Eingriff in das Persönlichkeitsrecht des Klägers ist aber nicht derart schwer, dass nicht identifizierbar über ihn berichtet werden dürfte, da ihm erkennbar kein strafbares Verhalten vorgeworfen wird, die genannten Zuwendungsbeträge sich im zwei- bzw. unteren dreistelligen Bereich bewegen und er ursprünglich selbst in seine Namensnennung eingewilligt hat.

b. Ein Unterlassungsanspruch des Klägers folgt auch nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog wegen der Verletzung seines Rechts am eingerichteten und ausgeübten Gewerbebetrieb. Ein Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb scheidet schon deshalb aus, weil der Eingriff der Beklagten nicht betriebsbezogen ist. Denn die Verletzungshandlung muss sich gerade gegen den Betrieb und seine Organisation oder gegen die unternehmerische Entscheidungsfreiheit richten und über eine bloße Belästigung oder sozial übliche Behinderung hinausgehen; mittelbare Beeinträchtigungen des Gewerbebetriebs lösen daher keine Haftung nach Abs. 1 aus, insbesondere Schadensereignisse, die nicht mit der „Wesenseigentümlichkeit“ des Betriebs in Beziehung stehen, sondern die Schädigung bestimmter Rechtsgüter betreffen, auf einer Reaktion des Unternehmens auf einen Test beruhen oder lediglich den Verdienst schmälern, aber die berufliche Tätigkeit an sich nicht beeinträchtigen (BeckOGK/Spindler, BGB, § 823 Rn. 207-210, beck-online). Diese Voraussetzung eines betriebsbezogenen Eingriffs ist vorliegend nicht erfüllt.

2. Dem Kläger steht darüber hinaus auch nicht der geltend gemachte Anspruch auf Feststellung einer Schadensersatzpflicht der Beklagten zu, da die Veröffentlichung der Datenbank-Einträge rechtmäßig war.“



Den Volltext der Entscheidung finden Sie hier:

AG Wertheim: Auskunftsanspruch nach Art. 15 DSGVO - Zwangsgeld in Höhe von 15.000 EURO gegen Unternehmen bei unvollständiger Auskunftserteilung nach Urteil

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19


Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Gera: Zur örtlichen Zuständigkeit bei Klagen gegen Landesdatenschutzbeauftragten

VG Gera
Beschluss vom 16.01.2019
2 K 2281/18 Ge


Die Entscheidungsgründe:

Der Beklagte hat die örtliche Zuständigkeit des angerufenen Gerichts gerügt, sodass das Verwaltungsgericht Gera nach Anhörung der Beteiligten vorab über seine Zuständigkeit zu entscheiden hat (§§ 83 Satz 1 i.V.m. 17a Abs. 3 GVG).

Die Klägerin wendet sich gegen eine Entscheidung des Beklagten, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat (§§ 6 Abs. 2 Ziffer 6, 8 Abs. 1 des Thüringer Datenschutzgesetzes (ThürDSG) vom 6. Juni 2018 - GVBl. S. 229 - ). Gemäß § 4 Abs. 1 ThürDSG ist der Beklagte Aufsichtsbehörde nach Artikel 51 der Verordnung (EU) 2016/679 mit Dienstsitz in Erfurt. Damit ist der Beklagte für einen Bereich zuständig, der mehrere Verwaltungsgerichtsbezirke umfasst.

Die örtliche Zuständigkeit des Verwaltungsgerichts richtet sich somit nach § 52 Ziffer 3 Satz 2 VwGO, wonach in diesem Fall das Verwaltungsgericht örtlich zuständig ist, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Die Klägerin hat ihren Wohnsitz im Bezirk des Verwaltungsgerichts Gera, sodass dieses zur Entscheidung über den Rechtsstreit örtlich zuständig ist.

Soweit der Beklagte die Auffassung vertritt, örtlich zuständig sei das Verwaltungsgericht Weimar und dies mit der bundesrechtlichen Regelung des § 20 Abs. 3, Abs. 1 BDSG begründet, ist festzustellen, dass der Anwendungsbereich des BDSG vorliegend nicht eröffnet ist. Das BDSG gilt gemäß § 1 Abs. 1 Satz 1 Nr. 2 BDSG für die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist. Da das ThürDSG gemäß § 2 Abs. 1 „… für die Verarbeitung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes… “ gilt, wurde mit dem ThürDSG eine eigene landesrechtliche Vollregelung des Datenschutzes geschaffen, sodass das BDSG bezogen auf den öffentlichen Bereich in Thüringen unanwendbar ist.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus § 9 Abs. 1 ThürDSG. Dem Sachverhalt liegt keine Streitigkeit zwischen einer öffentlichen Stelle und dem Landesbeauftragten für den Datenschutz zugrunde, sodass § 20 Abs. 3 BDSG auch nicht über die Verweisung in § 9 Abs. 1 Satz 2 ThürDSG Anwendung findet.

Schließlich ist auch § 9 Abs. 2 ThürDSG weder direkt noch analog anwendbar. Nach der Gesetzesbegründung wird in Abs. 2 - in Umsetzung von Artikel 78 Abs. 2 der Verordnung (EU) 2016/679 und Artikel 53 Abs. 2 der Richtlinie (EU) 2016/680 - der Rechtsschutz auf Fälle der Untätigkeit des Landesbeauftragten für den Datenschutz ausgedehnt (vgl. ThürLTDrs. 6/4943, Gesetzesentwurf der Landesregierung zum Thüringer Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - ThürDSAnpUG-EU -), S. 93). Eine solche Untätigkeit ist hier jedoch nicht gegeben.

Eine Analogie zur Übertragung einer gesetzlichen Regelung auf einen Sachverhalt, der von der betreffenden Vorschrift nicht erfasst wird, ist nur geboten, wenn dieser Sachverhalt mit dem geregelten vergleichbar ist, nach dem Grundgedanken der Norm und dem mit ihr verfolgten Zweck dieselbe rechtliche Bewertung erfordert und eine (unbewusste) planwidrige Regelungslücke vorliegt (vgl. BVerfGE 82, 6, 11 f., m.w.N.; BSGE 77, 102 ff.; BSGE 89, 199 ff.). Für die Bestimmung der örtlichen Zuständigkeit für die Fälle, in denen der Beauftragte eine Beschwerde für unbegründet gehalten und diese abgewiesen hat, liegt keine
planwidrige Regelungslücke vor. Für eine analoge Anwendung des § 9 Abs. 2 ThürDSG verbleibt bereits deshalb kein Raum, da sich die örtliche Zuständigkeit in diesem Fall unmittelbar aus § 52 VwGO ergibt.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus Artikel 78 Abs. 3 der Verordnung (EU) 2016/679, wonach bei Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedsstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat. Hierin ist keine Regelung über die örtliche Zuständigkeit der Gerichte im föderalen System der Bundesrepublik Deutschland zu erblicken. Nach dem Erwägungspunkt 143 der Verordnung sollten Verfahren gegen eine Aufsichtsbehörde bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mitdem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Mit dieser Regelung soll vermieden werden, dass über die Wahrnehmung der Aufgaben einer Aufsichtsbehörde ein Gericht eines anderen Mitgliedstaats entscheidet (vgl. Europäischer Rat, Dok. 16226/3/13REV3 vom 2. Dezember 2013, Ziffer 26). Welches Gericht des Mitgliedstaats sodann örtlich zuständig ist, richtet sich nach den Bestimmungen des jeweiligen Mitgliedstaats.

Hinweis: Die Beschluss ist unanfechtbar, § 83 Satz 2 VwGO.


Den Volltext der Entscheidung finden Sie hier:


LG München: Kein Anspruch gegen Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung

LG München
Urteil vom 07.11.2019
34 O 13123/19


Das LG München hat entschieden, dass kein individueller Anspruch des Kreditkartenkunden gegen das Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung besteht.

Aus den Entscheidungsgründen:

Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.

I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich - Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“

Dieser Antrag ist - auch nach Abänderung des Antrags in der mündlichen Verhandlung - nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.

Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.

Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn's dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
III.

Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).

1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).

Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf - insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.

2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.

Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.

Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.

Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.

Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.


Den Volltext der Entscheidung finden Sie hier:



VG Hannover: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO unzulässig

VG Hannover
Urteil vom 27.11.2019
10 A 820/19


Das VG Hannover hat entschieden, dass die Veröffentlichung von Fotos einer Person auf der Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach den Vorhaben des KUG und der DSGVO unzulässig ist.

Aus den Entscheidungsgründen:

"Die Verwarnung ist formell rechtmäßig.

Zuständige Aufsichtsbehörde ist hier die Beklagte. Dies ergibt sich aus § 40 Abs. 1 BDSG und § 22 Satz 1 Nr. 1 NDSG. Nach § 40 Abs. 1 BDSG bestimmt das Landesrecht die Aufsichtsbehörden nach Artikel 51 DS-GVO, die im Anwendungsbereich der DS-GVO dafür zuständig sind, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Nach § 22 Satz 1 Nr. 1 NDSG ist die Beklagte in diesem Sinne die in Niedersachsen zuständige Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen. Der Kläger ist als privatrechtlich organisierter Ortsverein einer politischen Partei eine solche nichtöffentliche Stelle (§ 2 Abs. 4 BDSG).

Im Übrigen richten sich die Anforderungen an das Verfahren gemäß Artikel 58 Abs. 4 DS-GVO nach dem Recht des betreffenden Mitgliedstaats – hier: § 1 Abs. 1 des Niedersächsischen Verwaltungsverfahrensgesetzes (NVwVfG) i. V. m. den Vorschriften des Verwaltungsverfahrensgesetzes (VwVfG) –, das im Einklang mit der Charta der Grundrechte der Europäischen Union und unter Berücksichtigung des Erwägungsgrundes 129 der DS-GVO anzuwenden und auszulegen ist.

Die Verwarnung leidet danach nicht an Form- oder Verfahrensfehlern.

Insbesondere ist der Bescheid der Beklagten vom 9. Januar 2019 hinsichtlich der Verwarnung hinreichend bestimmt (§ 1 Abs. 1 NVwVfG i. V. m. § 37 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „klar und eindeutig“). Denn in dem Bescheid werden das beanstandete Verhalten des Klägers, die Vorschrift, gegen die dieses Verhalten nach Auffassung der Aufsichtsbehörde verstoßen hat (Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO), und die wegen dieses Verstoßes gegen ihn erlassene Maßnahme (Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO) unzweifelhaft angegeben. Weitergehende Anforderungen sind insoweit nicht zu stellen, zumal durch eine Verwarnung nur ein Verstoß gegen eine Vorschrift über den Datenschutz festgestellt wird, ohne dass dem Adressaten ein ggf. näher zu bestimmendes Tun, Dulden oder Unterlassen aufgegeben wird.

Der Bescheid ist insoweit auch in formeller Hinsicht hinreichend begründet (§ 1 Abs. 1 NVwVfG i. V. m. § 39 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „Begründung“). Denn die wesentlichen tatsächlichen und rechtlichen Gründe, die die Beklagte zu ihrer Entscheidung bewogen haben, einschließlich Erwägungen zur Verhältnismäßigkeit der Maßnahme, werden angegeben. Ob die angegebenen Gründe die Entscheidung in rechtlicher Hinsicht tragen, ist eine Frage der materiellen Rechtsmäßigkeit des Verwaltungsakts.

Ferner ist der Kläger ausreichend angehört worden (§ 1 Abs. 1 NVwVfG i. V. m. § 28 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „das Recht einer jeden Person, gehört zu werden …“). Sein Vorbringen in dem Schreiben seiner Rechtsanwältin vom 16. Dezember 2018 ist von der Beklagten in ihrem Bescheid vom 9. Januar 2019 offensichtlich auch berücksichtigt worden, indem sie sich mit der Argumentation des Klägers zu § 23 KUG und zu seinem berechtigten Interesse im Hinblick auf seinen verfassungsrechtlichen Auftrag nach Artikel 21 Abs. 1 Satz 1 GG auseinandergesetzt hat.

Die Verwarnung ist auch materiell rechtmäßig.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DS-GVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DS-GVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DS-GVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DS-GVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DS-GVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offen bleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DS-GVO richtet. Denn sowohl nach den §§ 22, 23 KUG (hierzu unter a) als auch unter Berücksichtigung von Artikel 6 Abs. 1 UAbs. 1 Buchst. e und f DS-GVO (hierzu unter b) war die Veröffentlichung rechtswidrig.

a. Der Kläger beruft sich auf eine Erlaubnis zur Veröffentlichung des Fotos nach § 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO. Dies setzt voraus, dass die §§ 22 und 23 KUG auf Grundlage des Artikels 85 DS-GVO als gegenüber Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO vorrangige Rechtsvorschriften des nationalen Rechts anzusehen sind und damit auch nach Inkrafttreten der DS-GVO noch anwendbar sind.

Die Anwendbarkeit der Vorschriften des KUG seit Inkrafttreten der DS-GVO ist umstritten. Grundsätzlich genießt die DS-GVO Anwendungsvorrang vor nationalen Regelungen, da europäisches Sekundärrecht gegenüber nationalen Regelungen Anwendungsvorrang genießt (vgl. BVerfG, Beschluss vom 15.12.2015 – 2 BvR 2735/14 –, juris Rn. 37 ff. m. w. N.; EuGH, Urteil vom 15.7.1964 – Rs. 6.64 – Costa/E.N.E.L, juris). Die §§ 22, 23 KUG können deshalb nur dann angewendet werden, wenn und soweit sie sich auf Artikel 85 DS-GVO als Öffnungsklausel stützen lassen.

Nach Artikel 85 Abs. 2 DS-GVO dürfen die Mitgliedstaaten der EU Abweichungen und Ausnahmen von Kapitel 2 der DS-GVO (und damit auch von Artikel 6) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen (vgl. Grages in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Artikel 85 DSGVO Rn. 3). Dies gilt jedoch nur insoweit, als es um eine Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken geht. In diesen Fällen kann sich § 23 KUG als eine Spezifizierung von Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO qualifizieren lassen und neben der DS-GVO anwendbar sein. Ein solcher Fall ist hier aber nicht gegeben.

Der Kläger kann sich insbesondere nicht darauf berufen, dass die Verarbeitung des Fotos journalistischen Zwecken diente. Zwar ist der Begriff des Journalismus weit auszulegen (vgl. Erwägungsgrund 153 der DS-GVO). Journalismus bezeichnet die publizistische Arbeit von Journalisten bei der Presse, in Online-Medien oder im Rundfunk mit dem Ziel, Öffentlichkeit herzustellen. Der Kläger hat mit seiner Fanpage in erster Linie zum Ziel, für seine Interessen und seine Arbeit zu werben, den Erfolg der eigenen Arbeit zu veranschaulichen und sich dadurch selbst darzustellen. Bildveröffentlichungen, die der Selbstdarstellung dienen, lassen sich aber nicht mehr als eine Verarbeitung zu journalistischen Zwecken qualifizieren (vgl. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4; Lauber-Rönsberg/Hartlaub, „Personenbildnisse im Spannungsfeld zwischen Äußerungs- und Datenschutzrecht“ in NJW 2017, S. 1057, 1061).

Ob die §§ 22, 23 KUG als Normen im Sinne von Artikel 85 Abs. 1 DS-GVO für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Artikel 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Artikel 85 Abs. 1 DSGVO einen zwingend durch die Mitgliedstaaten zu erfüllenden Regelungsauftrag enthält – so die überwiegende Auffassung – oder die §§ 22, 23 KUG insoweit fortgelten können, s. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4 m. w. N.), kann offen bleiben. Denn die Voraussetzungen der §§ 22, 23 KUG liegen nicht vor.

Nach § 22 KUG dürfen Bildnisse einer Person grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet werden. Eine ausdrückliche Einwilligung liegt nicht vor. Da das KUG für das Recht am eigenen Bild keine Formerfordernisse normiert, ist zwar auch eine konkludente Einwilligung möglich (vgl. BGH, Urteil vom 11.11.2014 – VI ZR 9/14 –, juris Rn. 6). Auch eine solche liegt jedoch nicht vor. Hier hat der Kläger über die örtliche Presse zu der Veranstaltung im Sommer 2014 eingeladen. Aufgrund der Art der Veranstaltung als öffentliche Veranstaltung des Klägers, über die in der örtlichen Presse eingeladen worden ist, muss zwar damit gerechnet werden, dass Fotos erstellt werden, die in der Presse veröffentlicht werden, und man mit der Teilnahme an einer solchen Veranstaltung konkludent darin einwilligt. Keinesfalls willigt man aber mit der Teilnahme an der Veranstaltung zugleich in die Veröffentlichung von Fotos auf einer Fanpage bei Facebook ein. Eine Veröffentlichung von Bildern auf einer Fanpage einer Partei bei Facebook hat eine ganz andere Qualität als die Veröffentlichung in der Presse, zumal wenn, wie hier anzunehmen ist, keine Vereinbarung nach Artikel 26 DS-GVO zwischen Facebook und dem Betreiber der Fanpage - hier: dem Kläger - abgeschlossen wurde. Denn die Beklagte hat zutreffend darauf hingewiesen, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann. Gemäß den Nutzungsbedingungen mit Facebook werden mit dem Teilen von Inhalten, wie es der Kläger mit der Veröffentlichung des Fotos unternommen hat, weitreichende, weltweite Lizenzen an Facebook erteilt, die geteilten Inhalte zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren und öffentlich vorzuführen. In den USA, in denen die Facebook Inc. ihren Firmensitz hat, sind die Datenschutzstandards außerdem gegenüber dem europäischen Datenschutzstandard erheblich geringer.

Ohne die nach § 22 KUG erforderliche Einwilligung dürfen nach § 23 Abs. 1 KUG verbreitet werden Bildnisse aus dem Bereiche der Zeitgeschichte (Nr. 1), Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen (Nr. 2), Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (Nr. 3), und Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient (Nr. 4).

Hier liegen zwar die Voraussetzungen der Nr. 3 vor. Unter den Erlaubnistatbestand der Nr. 3 fallen Bildberichterstattungen über Menschenansammlungen verschiedenster Art wie Demonstrationen, Sportveranstaltungen, Konzerte, Karnevalsumzüge, Tagungen, Parteitage, Hochzeiten und Trauerfeiern. Voraussetzung ist, dass nicht einzelne Personen gezeigt werden, sondern ein Vorgang. Es muss sich um eine größere Anzahl von Personen handeln, so dass sich der Einzelne nicht mehr aus ihr hervorhebt (vgl. von Strobl-Albeg in Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 8 Rn. 77). Bei der öffentlichen Veranstaltung im Sommer 2014, bei der über den Bau einer Ampelanlage gesprochen wurde, handelt es sich um eine Versammlung bzw. einen ähnlichen Vorgang in diesem Sinne. Die auf dem bei Facebook veröffentlichten Foto abgebildeten Personen waren bewusst auf der Veranstaltung des Klägers und haben somit an ihr teilgenommen. Gegenüber der abgebildeten Menge treten die einzelnen der insgesamt etwa 30 Personen auch in den Hintergrund.

Die Befugnis nach § 23 Abs. 1 KUG erstreckt sich nach § 23 Abs. 2 KUG jedoch nicht auf eine Verbreitung, durch die ein berechtigtes Interesse der abgebildeten Person verletzt wird. Der Grundsatz des § 23 KUG ist ein wichtiges Korrektiv zur Wahrung des Persönlichkeitsrechts des Abgebildeten, der auch in den gesetzlichen Ausnahmefällen des § 23 Abs. 1 Nr. 1 bis 4 KUG eine Interessenabwägung vorschreibt (vgl. hierzu Götting in Urheberrecht, Kommentar, 5. Aufl. 2017, § 23 KUG Rn. 106 ff.). Die abgebildeten Personen haben – wie oben dargelegt – ein erhebliches Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Nicht nur, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann, vielmehr wird durch das Foto auf einer Fanpage auch eine – möglicherweise nicht bestehende – Zustimmung der abgebildeten Personen zu der politischen Tätigkeit des Klägers suggeriert.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit gemäß § 23 Abs. 2 KUG unzulässig.

b. Die Veröffentlichung des Fotos war auch nicht nach Artikel 6 Abs. 1 DS-GVO gerechtfertigt. Danach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort im Folgenden geregelten Bedingungen erfüllt ist. Da die abgebildeten Personen – wie oben dargelegt – nicht in die Veröffentlichung des Fotos eingewilligt haben (Artikel 6 Abs. 1 Abs. 1 Buchst. a i. V. m. Artikel 4 Nr. 11 und Artikel 7 DS-GVO), kommt hier nur der Tatbestand nach Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO in Betracht. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein „berechtigtes Interesse“ an der Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage liegt vor. Der Begriff der „berechtigten Interessen“ ist in der DS-GVO nicht definiert. Der sehr weite Begriff der „berechtigten Interessen“ erfasst jedes von der Rechtsordnung anerkannte Interesse (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 53, 54). Der Kläger hat als politische Partei ein berechtigtes Interesse daran, auch durch die öffentliche Verwendung von Fotos für seine politische Tätigkeit zu werben und damit gemäß Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken.

Die Verwendung eines Fotos, auf dem bestimmte Personen erkennbar abgebildet sind, ist aber nicht „erforderlich“. Auch der Begriff der „Erforderlichkeit“ ist in der DS-GVO nicht weiter definiert (vgl. aber Artikel 5 Abs. 1 Buchst. c DS-GVO – Grundsatz der Datenminimierung –). Unter Berücksichtigung von Erwägungsgrund 39 ist die Verarbeitung „erforderlich“, wenn kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 17, 56). Gemessen hieran war die Veröffentlichung des Fotos ohne Unkenntlichmachung der abgebildeten Personen nicht „erforderlich“, da es hier nicht darauf ankommt, dass gerade die abgebildeten Personen als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt werden, sondern es dem Kläger nur darum geht, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt hat, eine größere Anzahl von Personen interessiert. In diesem Fall reicht es aus, das Foto unter Unkenntlichmachung der abgebildeten Personen, z. B. durch Verpixelung der Gesichter, zu verwenden. Die Verwendung des Fotos mit einer Abbildung individuell erkennbarer Personen hingegen ist zur Erreichung des vom Kläger angestrebten Zwecks nicht erforderlich. Mit seinem Einwand, eine Unkenntlichmachung sei ihm aufgrund fehlender finanzieller oder organisatorischer Mittel nicht möglich, hat der Kläger schon deshalb keinen Erfolg, weil eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Zeit- und Kostenaufwand umgesetzt werden kann.

Ungeachtet dessen überwiegt aber auch das Interesse der abgebildeten Personen das Interesse des Klägers an der Verwendung der Fotos zur Werbung für seine politischen Tätigkeiten.

Bei einer Abwägung der widerstreitenden Interessen sind die „vernünftigen Erwartungen der betroffenen Person“ und die „Absehbarkeit“ einer möglichen Datenverarbeitung der betroffenen Person zu berücksichtigen (vgl. Erwägungsgrund 47). Die abgebildeten Personen haben ein Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Zwar mussten die Teilnehmer der Veranstaltung erwarten, dass unmittelbar nach der Veranstaltung im Sommer 2014, auf der erkennbar fotografiert worden ist, eine Veröffentlichung zu journalistischen Zwecken etwa in den örtlichen Tageszeitungen erfolgt. Wie oben dargelegt, fällt aber eine Veröffentlichung auf einer Fanpage, die in erster Linie der Darstellung der Partei dient, nicht darunter. Im Übrigen führt der Umstand, dass ein Presseunternehmen oder Privatpersonen Fotos anfertigen, nicht zugleich zu der Erwartung, dass andere, insbesondere der Kläger, die Fotos für eigene Zwecke veröffentlichen. Schließlich war mit einer Veröffentlichung nach vier Jahren nicht mehr zu rechnen.

Die Veröffentlichung des Fotos war entgegen der Ansicht des Klägers auch nicht nach Artikel 6 Abs. 1 UAbs. 1 Buchst. e DS-GVO gerechtfertigt.

Der Kläger kann sich nicht unmittelbar auf Artikel 6 Abs. 1 Abs. 1 Buchst. e DS-GVO berufen. Dies folgt schon daraus, dass diese Regelung selbst keine Rechtsgrundlage für eine Datenverarbeitung bildet, sondern, wie sich aus Artikel 6 Abs. 3 Satz 1 DS-GVO ergibt, auf die Umsetzung durch eine gesonderte Rechtsgrundlage im Unionsrecht oder im Recht eines Mitgliedstaates angewiesen ist. Als eine solche Rechtsgrundlage könnte hier nur § 3 BDSG oder § 3 Satz 1 NDSG in Betracht kommen. Im ersten Fall müsste der Kläger eine öffentliche Stelle des Bundes im Sinne des § 2 Abs. 1, ggf. i. V. m. Abs. 4 Satz 2 BDSG, im zweiten Fall eine öffentliche Stelle des Landes im Sinne von § 2 Abs. 2, ggf. i. V. m. Abs. 4 Satz 2 BDSG (zur Zuordnung vgl. Eßer in Auernhammer, DSGVO/BDSG, Kommentar, 6. Aufl. 2018, § 2 BDSG Rn. 24) bzw. eine öffentliche Stelle im Sinne des § 1 Abs. 1 NDSG sein. Auch dies ist nicht der Fall. Eine öffentliche Stelle im Sinne des § 2 Abs. 1 und 2 BDSG, § 1 Abs. 1 Satz 1 Nr. 1 NDSG ist der Kläger schon deshalb nicht, weil er als Ortsverein einer politischen Partei keine „öffentlich-rechtlich organisierte Einrichtung“ im Sinne dieser Vorschriften ist. Politische Parteien nehmen zwar eine öffentliche Aufgabe wahr (§ 1 Abs. 1 Satz 2 des Parteiengesetzes), sind jedoch weder funktional noch organisatorisch Teil des Staates (BVerfG, Beschluss vom 6.12.2013 – 2 BvQ 55/13 –, juris Rn. 6 m. w. N.), sondern dem gesellschaftlichen Bereich angehörende Vereinigungen von Bürgern (§ 2 des Parteiengesetzes). Der Kläger ist auch nicht als Beliehener eine öffentliche Stelle nach § 2 Abs. 4 Satz 2 BDSG oder § 1 Abs. 1 Satz 1 Nr. 2 und Satz 2 NDSG. Denn dafür müsste ihm eine „Aufgabe der öffentlichen Verwaltung“ übertragen worden sein. Um eine solche Aufgabe handelt es sich bei der öffentlichen Aufgabe einer politischen Partei nach § 1 Abs. 1 Satz 2 des Parteiengesetzes aber nicht (dazu, dass politische Parteien keine öffentliche Gewalt ausüben, vgl. auch BVerfG, a. a. O., Rn. 5 m. w. N.). Schließlich liegen auch die Voraussetzungen des § 1 Abs. 1 Satz 3 NDSG nicht vor, weil der Kläger eben keine Aufgaben der öffentlichen Verwaltung wahrnimmt und an ihm auch keine juristischen Personen des öffentlichen Rechts beteiligt sind, wie es die Vorschrift voraussetzt. Politische Parteien sind mithin nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 Satz 1 BDSG (so auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - Datenschutzkonferenz - vom 5.9.2018, dort unter 5.) und können sich daher für ihre Datenverarbeitung nicht auf die für öffentliche Stellen geltenden Rechtsgrundlagen nach Artikel 6 Abs. 3 Satz 1 DS-GVO berufen.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit weder gemäß § 23 Abs. 2 KUG noch nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e und f DS-GVO gerechtfertigt, so dass die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 DS-GVO vorliegen.

Das ihr nach Art. 58 Abs. 2 DS-GVO zustehende Ermessen (vgl. hierzu Martini/Wenzel: „Gelbe Karte von der Aufsichtsbehörde: die Verwarnung als datenschutzrechtliches Sanktionenhybrid“ in PinG 2017, S. 92, 96) hat die Beklagte rechtsfehlerfrei ausgeübt. Insbesondere ist die Verwarnung geeignet und erforderlich, um gegenüber dem Kläger das datenschutzrechtswidrige Verhalten verbindlich festzustellen. In dem nach Eingriffsintensität abgestuften Instrumentarium des Artikels 58 DS-GVO sind Warnungen und Verwarnungen die mildesten Mittel, da sie sich auf die Feststellung des Datenschutzverstoßes beschränken."


Den Volltext der Entscheidung finden Sie hier:

EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



VG Ansbach: Kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen - keine Anspruchsgrundlage in DSGVO

VG Ansbach
Urteil vom 08.08.2019
AN 14 K 19.00272

Auch das VG Ansbach hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

Aus den Entscheidungsgründen:

"1.2. Die Klage ist als Leistungsklage statthaft. Der Kläger hat einen sehr umfassenden Klageantrag gestellt, und zwar im Schriftsatz vom 9. Februar 2019, ergänzt um sein Begehren im Schriftsatz vom 18. Februar 2019. Letztlich geht es ihm dabei um die Reichweite der inhaltlichen Befassung der Aufsichtsbehörde mit seiner Beschwerde sowie um aufsichtliches Einschreiten des staltung er ins Ermessen des Beklagten unter Beachtung der Rechtsauffassung des Gerichtes stellt.

Der Erwägungsgrund 143 zur DS-GVO besagt, dass ein Verfahren gegen eine Aufsichtsbehörde „im Einklang mit dem Verfahrensrecht“ des Mitgliedstaats durchzuführen ist. Die unionsrechtlichen Grundlagen haben zu den Sondervorgaben des § 20 BDSG (Bundesdatenschutzgesetz) geführt, der aber zunächst auf die allgemeinen Vorschriften der VwGO verweist, § 20 Abs. 2 BDSG.

Beim streitgegenständlichen Schreiben des Beklagten vom 21. Januar 2019 handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DS-GVO überprüfbare Maßnahme mit Außenwirkung, jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist. Der Antrag des Klägers in der Klageschrift ist dahingehend auszulegen, § 88 VwGO.

Ein Verwaltungsakt im Sinne von Art. 35 BayVwVfG setzt eine einseitige Maßnahme eines Hoheitsträgers auf dem Gebiet des öffentlichen Rechts für einen konkreten Einzelfall voraus, die Regelungswirkung mit Außenwirkung entfaltet. Vorliegend fehlt es am Regelungscharakter der Abschlussmitteilung vom 21. Januar 2019.

Das Schreiben des Beklagten vom 21. Januar 2019 ist auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen (vgl. BayVGH, B.v. 21.3.2002 - 24 ZB 01.592 -, juris). Hier sollte dem Kläger eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Zwar kommt es dafür, ob ein behördliches Schreiben eine verbindliche Regelung durch Verwaltungsakt enthält, auf eine Auslegung nach den im öffentlichen Recht entsprechend anwendbaren Normen der §§ 133, 157 BGB an. Maßgeblich ist also nicht der innere Wille der Behörde, sondern der erklärte Wille, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte, wobei Unklarheiten zu Lasten der Verwaltung gehen. Hier hat der Beklagte lediglich Auskunft darüber gegeben, dass er das Verhalten der Kreissparkasse für Rechtens erachtet und keinen Anlass für ein datenschutzaufsichtliches Einschreiten erkennt, aber nicht zu erkennen gegeben, dass in einer rechtlich ungewissen Situation die Sach- und Rechtslage in diesem Einzelfall durch eine verbindliche Feststellung mit Bindungswirkung als bestehend oder nicht bestehend festgestellt, konkretisiert bzw. individualisiert wird (s. OVG NRW, B.v. 29.9.2016 - 14 B 1056/16 -, juris).

Mangels eines Verwaltungsaktes ist die Rechtsbehelfsbelehrung:des Beklagten im Schreiben vom 21. Januar 2019 unrichtig. Es ist zwar korrekt und durch Art. 77 Abs. 2 DS-GVO sogar geboten, den Kläger auf seine Möglichkeit der Einlegung eines Rechtsmittels hinzuweisen. Die in der Rechtsbehelfsbelehrung:enthaltene Monatsfrist würde aber einen Verwaltungsakt voraussetzen, der nicht vorliegt. Der Antrag des Klägers indes ist nicht auf einen bestimmten Verwaltungsakt des Beklagten, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet (auch im Hilfsantrag), kennzeichnend für eine Leistungsklage. Hätte der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt, hätte er also seine Beschwerde gemäß Art. 77 DS-GVO in diesem Sinne an die Aufsichtsbehörde gerichtet, und hätte der Beklagte diese so gestaltete Beschwerde abgelehnt, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Für den Fall, dass es sich bei einer Abschlussmitteilung einer Aufsichtsbehörde nach der DSGVO - wie hier - um keinen Verwaltungsakt handelt, ist die Leistungsklage nach Art. 78 DSGVO statthaft. Das Klagerecht aus Art. 78 Abs. 1 DS-GVO erfasst damit umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DS-GVO (vgl. 143. Erwägungsgrund zur DS-GVO zur Ablehnung oder Abweisung von Beschwerden). Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart, so dass umfassender Rechtsschutz besteht. Zulässige Streitgegenstände können sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein. Unter rechtsverbindlich i.d.S. sind nicht nur Verwaltungsakte zu verstehen, sondern sämtliche Handlungen, die Außenwirkung besitzen, also Auswirkungen auf die Rechte des Betroffenen oder des Verantwortlichen i.S.d. DS-GVO haben können. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.

Die Rechtsansicht des Verwaltungsgerichts Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19), das bei Beschwerden nach der DS-GVO von Petitionen ausgeht, geht dabei zu weit. Ein eine Petition beantwortendes Schreiben wäre jedenfalls kein Verwaltungsakt im Sinne von § 42 VwGO (BVerwG, B.v. 1.9.1976 - VII B 101.75 -, juris; unstreitig, keine unmittelbare rechtliche Außenwirkung, sondern nur die tatsächliche Erfüllung der Verpflichtung aus Art. 17 GG; kein Gebot der Möglichkeit einer Anfechtungsklage aus Art. 19 Abs. 4 Satz 1 GG). Nach der DS-GVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DS-GVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten). Das Schreiben des Beklagten vom 21. Januar 2019 ist nicht lediglich die Beantwortung einer Petition.

1.3. Es besteht für den Kläger eine Klagebefugnis aus Art. 78 Abs. 1 DS-GVO gegen die Zurückweisung der Beschwerde des Klägers nach Art. 77 DS-GVO. Der Kläger ist ebenso klagebefugt im Sinne des § 42 Abs. 2 VwGO, denn § 42 Abs. 2 VwGO ist für die Klagebefugnis nach herrschender Ansicht analog auf die Leistungsklage anzuwenden, da die Rechtsweggarantie des Art. 19 Abs. 4 GG dann greift, wenn ein Bürger durch die öffentliche Gewalt in seinen subjektiven Rechten verletzt ist. Es ist aber fragwürdig, ob neben Art. 78 DS-GVO (Unionsrecht mit Anwendungsvorrang) § 42 VwGO insoweit überhaupt noch anwendbar ist, da die Betroffenheit in subjektivöffentlichen Rechtspositionen eine namentlich deutsche Zulässigkeitsvoraussetzung für eine Klage darstellt. Da im Hinblick auf Maßnahmen des Art. 58 DS-GVO der Kläger aber auch im Hinblick auf § 42 VwGO möglicherweise in seinen Rechten tangiert sein könnte, wären auch die Voraussetzungen des § 42 VwGO erfüllt, so dass der Kläger jedenfalls klagebefugt ist.

1.4. Aufgrund des Vorliegens einer Leistungsklage war im gegebenen Verfahren keine Klagefrist zu wahren. Die auf eine Monatsfrist hinweisende Rechtsbehelfsbelehrung:in der Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist insofern unrichtig.

1.5. Gemäß § 20 Abs. 5 Satz 1 BDSG sind die Beteiligten eines Verfahrens nach § 20 Abs. 1 Satz 1 BDSG die natürliche Person als Kläger sowie die Aufsichtsbehörde als Beklagter. Der Kläger ist Beteiligter gemäß § 20 Abs. 5 Satz 1 Nr. 1 BDSG. Beklagter ist das Bayerische Landesamt … … Zwar wäre gemäß § 78 Abs. 1 Nr. 1 VwGO die Klage gegen den Rechtsträger des Landesamtes zu richten, hier also gegen den Freistaat Bayern. Vorrangig vor § 78 VwGO ist aber § 20 Abs. 5 Satz 1 Nr. 2 BDSG als lex specialis, wonach die Aufsichtsbehörde direkt als Beklagte beteiligt ist. Mithin liegt eine unionsrechtlich durch die Selbstständigkeit der Aufsichtsbehörde bedingte abweichende bundesrechtliche Spezialregelung vor (so auch Mundil, in BeckOK, Datenschutzrecht, Wolff/Brink, 28. Edition, 1.5.2018, Rn. 5 zu § 20 BDSG, Lapp, in Gola/Heckmann, BDSG, Kommentar, 13. Auflage 2019, Rn 12 zu § 20 BDSG, Bergt in Kühling/Buchner, DS-GVO, BDSG, 2. Auflage 2018, Rn 10 zu § 20 BDSG, a. A. wohl nur Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Auflage 2018, Rn. 10 zu § 20 BDSG, ohne Begründung hierfür). Die hier zum Ausdruck kommende unionsrechtlich vorgegebene Selbstständigkeit der Aufsichtsbehörde würde im Übrigen, falls es sich beim Schreiben vom 21. Januar 2019 um einen Verwaltungsakt gehandelt hätte, dazu führen, dass gem. § 20 Abs. 6 BDSG kein Vorverfahren stattfindet.

1.6. Im vorliegenden Fall hat das Gericht von einer Beiladung der Kreissparkasse … … … abgesehen. § 20 Abs. 5 BDSG bestimmt, dass natürliche oder juristische Personen Kläger oder Antragsteller (§ 20 Abs. 5 Satz 1 Nummer 1 BDSG) sind und die Aufsichtsbehörden Beklagte oder Antraggegner (§ 20 Abs. 5 Satz 1 Nummer 2 BDSG). In § 20 Abs. 5 Satz 2 BDSG ist aber festgelegt, dass § 63 Nummer 3 und 4 VwGO nicht tangiert wird, was zur Folge hat, dass Beiladungen möglich sind. Zwar ist der Zweck einer Beiladung der der Prozessökonomie und Rechtseinheitlichkeit, wobei hier durch die Schaffung verwaltungsrechtlicher Rechtsbehelfe in den Art. 78 DS-GVO und gleichzeitig der Möglichkeit, gegen den Verantwortlichen selbst gerichtlich vorzugehen, die Existenz sich widersprechender gerichtlicher Entscheidungen für denselben Sachverhalt vom Normgeber in Kauf genommen wird. Der Prozess des Betroffenen gegen die Aufsichtsbehörde, der Prozess ggf. des Verantwortlichen (hier wäre das die Kreissparkasse … … …) gegen die Aufsichtsbehörde sowie der Prozess des Betroffenen gegen den Verantwortlichen haben unterschiedliche Streitgegenstände, da zum Beispiel der Klageantrag gegen die Aufsichtsbehörde aufgrund des weiten Entschließungs- und Auswahlermessens der Aufsichtsbehörde normalerweise nur auf ein aufsichtliches Einschreiten - wie hier - gerichtet ist, wohingegen regelmäßig ein Anfechtungsantrag im Prozess des Verantwortlichen gegen eine Anordnung der Aufsichtsbehörde eine ganz konkrete Maßnahme betrifft.

Es liegt hier kein Fall der notwendigen Beiladung im Sinne des § 65 Abs. 2 VwGO vor, da der für eine notwendige Beiladung erforderliche unmittelbare Eingriff in die Rechtsposition der Kreissparkasse … … … nicht schon durch eine gerichtliche Verpflichtung des Beklagten zum aufsichtlichen Einschreiten gegeben wäre, sondern erst durch dieses Einschreiten selbst, also die Umsetzung durch die Aufsichtsbehörde, die Kreissparkasse … … … unmittelbar betroffen wäre. Die Kreissparkasse … … … ist deshalb an dem streitigen Rechtsverhältnis zwischen dem Kläger und dem Beklagten nicht derart beteiligt, dass die Entscheidung darüber auch ihr gegenüber nur einheitlich ergehen kann, wie § 65 Abs. 2 VwGO es fordert. Vergleichbar ist dies etwa mit der Verpflichtungsklage eines Bauherrn gegen die Bauaufsichtsbehörde auf Einschreiten gegen den Nachbarn, wo gefestigter Rechtsprechung zufolge der Nachbar nicht notwendig beizuladen ist, auch falls er bereits gegen das Bauvorhaben im Verwaltungsverfahren Einwendungen erhoben haben sollte (vgl. statt vieler BVerwG, B.v. 20.5.1992 - 1 B 22.92 -, NVwZ-RR 1993, 18).

Die tatbestandlichen Voraussetzungen einer einfachen Beiladung im Sinne des § 65 Abs. 1 VwGO sind allerdings gegeben, da hier rechtliche Interessen der Kreissparkasse … … … tangiert werden können, und sich die Entscheidung in dieser Verwaltungsstreitsache auf die rechtlichen Interessen der Kreissparkasse auswirken kann. Das Gericht sah von einer Beiladung, die im Ermessen des Gerichts steht, ab, da zum einen beide Beteiligte (Kläger und Beklagter) in der mündlichen Verhandlung eine Beiladung der Kreissparkasse … … … abgelehnt haben, da das Gericht die mögliche Verletzung von Rechten der Kreissparkasse ohnehin von Amts wegen zu prüfen hatte und prüfte, und vor allen Dingen, weil das Gericht in keinem Stadium des Verfahrens davon auszugehen hatte, dass der Beklagte zu einer Maßnahme i.S.d. Art. 58 DS-GVO gegen die Kreissparkasse … … … zu verurteilen ist.

1.7. Die Zuständigkeit des Verwaltungsgerichts Ansbach ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG als Sondervorschrift zu § 52 VwGO. Gemäß § 20 Abs. 3 BDSG (vgl. auch Art. 78 Abs. 3 DS-GVO) ist für Verfahren nach § 20 Abs. 1 Satz 1 BDSG - wie hier - das Verwaltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat, mithin das Verwaltungsgericht Ansbach.

2. Die zulässige Klage ist unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DS-GVO i.V.m. Art. 57 DS-GVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse … … … gemäß Art. 58 DS-GVO.

2.1. Der Aufgabenbereich des Art. 57 DS-GVO ist eröffnet. Der Beklagte hat gemäß Art. 78 Abs. 2 DS-GVO in Verbindung mit Art. 57 Abs. 1 Buchst. f DS-GVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben. Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Mit dem Bayerischen Landesamt … hat die zuständige Datenschutzaufsichtsbehörde gehandelt. Der Anwendungsbereich der DS-GVO war eröffnet. Die Kreissparkasse … … … war sog. Verantwortlicher im Rahmen der Verarbeitung und Speicherung personenbezogener Daten des Klägers (Art. 4 Nr. 2 DS-GVO) im Rahmen einer seit dem Jahre 1985 währenden Geschäftsbeziehung. Es handelt sich durchweg auch um personenbezogene Daten des Klägers, Art. 4 Nr. 1 DS-GVO. In diese Datenverarbeitung und -speicherung hatte der Kläger eingewilligt, Art. 6 Abs. 1 Satz 1 DS-GVO (vgl. Art. 7 und Art. 4 Nr. 11 DSGVO). Die Einwilligung war freiwillig.

Art. 57 Absatz 1 Buchst. a und f DS-GVO, wonach der Beklagte die Anwendung dieser Verordnung überwachen und durchsetzen muss sowie sich mit Beschwerden einer betroffenen Person befassen muss, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten muss, wurde vom Beklagten nach Überzeugung des Gerichts beachtet. Zwar können sich aus Art. 57 DS-GVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben. Art. 57 Abs. 1 Buchst f DS-GVO ist ausschließlich an die Aufsichtsbehörde gerichtet und schafft per se keine subjektivöffentlichen Rechte der Betroffenen. Die Untersuchungspflicht des Art. 57 Abs. 1 Buchst. f DS-GVO ist aber im Gesamtzusammenhang der DS-GVO von hohem Gewicht. Art. 57 Abs. 1 Buchst. f DS-GVO enthält dezidierte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können (so wohl auch Kühling/Buchner/Boehm, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 12: „dem Bestehen eines Rechtsanspruchs ähnlich“, „weil die Vorschrift im Zusammenhang mit Art. 78 Abs. 2“ zu sehen ist), demzufolge jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn die nach den Art. 55 f. DS-GVO zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DS-GVO erhobenen Beschwerde in Kenntnis gesetzt hat. Gemäß Art. 57 Abs. 1 Buchst. f DS-GVO hat der Beklagte den Kläger innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung mit Schreiben vom 21. Januar 2019 unterrichtet, und zwar unter Beachtung von Art. 78 Abs. 2 DS-GVO, wonach der Beschwerdeführer spätestens innerhalb von drei Monaten über den Sachstand informiert werden muss.

Die Unterscheidung der DS-GVO von Aufgabennorm, Art. 57 DS-GVO, und Befugnisnorm, Art. 58 DS-GVO, ähnelt der Aufteilung im Sicherheits- und Polizeirecht. Im Bereich der DS-GVO besteht aber eine Besonderheit: Art. 57 DS-GVO, der ohnehin nicht abschließend Aufgaben normiert (vgl. Art. 57 Abs. 1 Buchst. v) ist in seiner Umfassendheit zum Beispiel nicht vergleichbar mit Art. 2 Bayerisches Polizeiaufgabengesetz (BayPAG), weil er bei der Aufgabenzuweisung dezidiert auf eine „Angemessenheit“ abstellt. Die Behandlung von individuellen Beschwerden wie hier ist unionsrechtlich restriktiv geregelt (vgl. auch Erwägungsgrund 141 Satz 2 zur DSGVO). Zwar ist es eine der vorrangigsten Aufgaben des Beklagten, Beschwerden von Betroffenen nach Art. 77 DS-GVO zu bearbeiten, zumal für die Aufsichtsbehörden (ähnlich wie für die Polizei) Hinweise und Beschwerden von Bürgern zur Erfüllung ihrer Aufgaben unverzichtbar sind. Allerdings nimmt Art. 57 Abs. 1 Buchst. f DS-GVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richtet sich auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

2.2. Der Kläger hat keinen Anspruch auf behördliches Einschreiten nach Art. 58 DS-GVO. Ein solches scheidet bereits deshalb aus, weil sich nach Befassung und Prüfung im Rahmen des Art. 57 DS-GVO keine Anhaltspunkte ergeben haben, die ein Einschreiten nach Art. 58 DS-GVO nahelegten. Ein Datenschutzrechtsverstoß des Verantwortlichen hat sich nicht aufgedrängt. Die Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist damit inhaltlich nicht zu beanstanden.

Art. 58 DS-GVO regelt das Verhältnis Aufsichtsbehörde zu Datenverantwortlichem. Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Neben dem Auswahlermessen besteht für den Beklagten auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen (vgl. das Wort „gestattet“ in Art. 58 Abs. 1 und 2 DS-GVO). Zwar sieht Art. 58 Abs. 2 DS-GVO ein Bündel verschiedener, zum Teil weitreichender Maßnahmen vor, das dem Beklagten zu Gebote steht. Die Aufsichtsbehörde entscheidet dann, ob sie beispielsweise von dem Verantwortlichen gemäß Art. 58 Abs. 1 Buchst. a eine Stellungnahme einfordert, eine Kontrolle vor Ort gemäß Art. 58 Abs. 1 Buchst. f vornimmt, oder wie hier über den Sachverhalt bereits aufgrund der vom Kläger vorgelegten Informationen und Abschriften entscheidet. Der Kläger hat grundsätzlich einen Anspruch auf Wahrung des Transparenzgebotes des Art. 12 DS-GVO, auf Auskunft gemäß Art. 15 DS-GVO, darauf, dass gemäß Art. 5 Abs. 1 Buchst. a DS-GVO seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden.

Der Kläger hätte im Übrigen selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DS-GVO indes nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DS-GVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse (so auch Gola/Nguyen, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 10 m.w.N.; außer im Fall der Ermessensreduzierung auf Null), wobei dann im Rahmen des Art. 58 DS-GVO die Aufsichtsbehörde wie erwähnt ein weites Entschließungs- und Auswahlermessen hat und Art. 58 Abs. 2 DS-GVO mit den unterschiedlich gestuften Maßnahmen dem Grundsatz der Verhältnismäßigkeit gerecht wird (vgl. Art. 58 Abs. 2 Buchst. a, b, d als mildere Maßnahmen im Vergleich zu Art. 58 Abs. 2 Buchst. f DS-GVO, so Ingold JuS 2018, 1214, 1217).

Eine Ermessensreduktion auf Null kommt nur in Betracht, wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt. Vor dem Hintergrund dieses Maßstabes ist hier von keinem Anspruch auf Einschreiten nach Art. 58 DS-GVO auszugehen: Die Einwände des Klägers gegen die Vorgehensweise des Beklagten in den Schriftsätzen sowie in der mündlichen Verhandlung greifen in der Sache nicht durch. Die Kreissparkasse … … … hat ausführlich auf die Anfragen des Klägers reagiert, alle erdenklichen Auskünfte erteilt und ebenso ihre Bereitschaft zu weiteren Auskünften zugesagt. Daher ist es nicht so, dass der Kläger, wie behauptet, seine Daten nicht vollständig erhält. Auf seine Bitte um eine Vervollständigung der Auskunft vom 30. Juli 2017 hat die Kreissparkasse … … … ihm mit Schreiben vom 2. Oktober 2018 wunschgemäß weitere Angaben gemacht, wobei die Auskunft vom 30. Juli 2018 bereits den gesetzlichen Anforderungen genügte. Es ist nicht erkennbar, worin hier ein Verstoß gegen das Transparenzgebot des Art. 12 DS-GVO vorliegen sollte. Die Vorgehensweise und Praxis der Kreissparkasse … … … entsprechen dem Erwägungsgrund 39 zur DS-GVO, da die Verarbeitung personenbezogener Daten des Klägers rechtmäßig und nach Treu und Glauben erfolgte sowie die Auskunft an den Kläger gemäß Art. 15 DS-GVO korrekt war. Gemäß Art. 5 Abs. 1 Buchst. a DS-GVO sind seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet worden. Die falsche Berufsbezeichnung des Klägers wurde seitens der Kreissparkasse in Anwendung von Art. 5 Abs. 1 Buchst. d DS-GVO sofort berichtigt. Die Abspeicherung des abgelaufenen Passes des Klägers von 1988, der bei Begründung des Vertragsverhältnisses 1985 die gültige, vom Kläger vorgelegte, Legitimation war, ist insbesondere kein Verstoß gegen Art. 15 Abs. 1 Buchst. d DS-GVO, sondern gerechtfertigt durch Art. 17 Abs. 1 Buchst. a DS-GVO, da die Kreissparkasse … … … zum Zugang des Klägers auf seine Daten dessen Legitimationsgrundlage verfügbar haben muss(te). Nichts anderes ergibt sich aus dem Erwägungsgrund 39 zur DS-GVO. Es ist auch nicht notwendig, dass die Kreissparkasse … … … durch ihre eigenen Bediensteten Kenntnisse von der Verarbeitung von elektronischen Kundenunterschriften hat. Es ist üblich und datenschutzrechtlich sowohl korrekt als auch unbedenklich, wenn sich Unternehmen weiterer Dienstleistungen Dritter bedienen, solange sie datenschutzrechtlich - wie hier - die Datensicherheit gewährleisten können; zumindest bestehen für eine gegenteilige Annahme keinerlei Anhaltspunkte."


Den Volltext der Entscheidung finden Sie hier: