Skip to content

BGH: Auskunftsanspruch aus Art. 15 DSGVO umfasst alle Schreiben der betroffenen Person an die verantwortliche Stelle

BGH,
Urteil vom 16.04.2024
VI ZR 223/21
DSGVO Art. 15 Abs. 1, 3


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO alle Schreiben der betroffenen Person an die verantwortliche Stelle umfasst.

Leitsatz des BGH:
Zum Auskunftsanspruch aus Art. 15 Abs. 1 und 3 DSGVO (Anschluss an Senatsurteil vom 5. März 2024 - VI ZR 330/21).

BGH, Urteil vom 16. April 2024 - VI ZR 223/21 - OLG Stuttgart - LG Stuttgart

Aus den Entscheidungsgründen:
1. Die Klägerin hat aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen Anspruch auf Überlassung von Abschriften der bei der Beklagten gespeicherten, von ihr selbst verfassten Erklärungen (Auskunftsbegehren zu a).

a) Art. 15 DSGVO ist in zeitlicher Hinsicht anwendbar. Die Datenschutz-Grundverordnung bezieht sich auch auf Verarbeitungsvorgänge, die vor dem 25. Mai 2018 als dem Anwendungsdatum der Datenschutz-Grundverordnung (Art. 99 Abs. 2 DSGVO) ausgeführt wurden, wenn das Auskunftsersuchen nach diesem Datum vorgebracht wurde (vgl. EuGH, Urteil vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 36). Nach den Feststellungen des Berufungsgerichts hat die Klägerin mit Schreiben vom 3. April 2019 von der Beklagten Auskunft und Überlassung von Kopien verlangt.

b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Recht auf Auskunft über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 14; vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.).

c) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 5. März 2024 - VI ZR 330/21, juris Rn. 16; vom 6. Februar 2024 - VI ZR 15/23, WM 2024, 555 Rn. 8; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

d) Danach handelt es sich bei den von der Klägerin verfassten Erklärungen, die der Beklagten vorliegen (Auskunftsbegehren zu a), ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Erklärungen fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 17).


Den Volltext der Entscheidung finden Sie hier:

LG Lüneburg: 500 Euro Schadensersatz aus Art . 82 DSGVO wegen Zusendung von Werbemails nach Widerruf der Einwilligung

LG Lüneburg
Urteil vom 07.12.2023
5 O 6/23


Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.

Aus den Entscheidungsgründen:
1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.

3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).

Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).

Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).

Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).

Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.

4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.

5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.

Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:

"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."

Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.

Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.

In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."

Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.

Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.

Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.


Den Volltext der Entscheidung finden Sie hier:

LAG Rheinland-Pfalz: Kein Schadensersatzanspruch aus Art. 82 DSGVO wegen verspäteter Auskunftserteilung nach Art. 15 DSGVO

LAG Rheinland-Pfalz
Urteil vom 08.02.2024
5 Sa 154/23


Das LAG Rheinland-Pfalz hat entschieden, dass eine verspätete Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
In der Sache ist die Berufung der Beklagten begründet; die Anschlussberufung der Klägerin ist unbegründet. Die Beklagte ist nicht verpflichtet, an die Klägerin Schadensersatz zu zahlen. Das erstinstanzliche Urteil ist deshalb aufzuheben und die Klage abzuweisen.

Die Klägerin hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO, weil die Beklagte ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DSGVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Beklagte der Klägerin die nach § 15 Abs. 3 Satz 1 DSGVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat.

1. Die Beklagte hat auf das formelhafte Auskunftsverlangen der Klägerin vom 13. Juli 2022, eingegangen am 14. Juli 2022, nicht innerhalb der Monatsfrist des § 12 Abs. 3 Satz 1 DSGVO geantwortet. Ihre Auskunft vom 30. August 2022 ging erst am 2. September 2022 und damit (unstreitig) verspätet bei der Klägerin ein.

a) Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch.

Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DSGVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DSGVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 Satz 3 der DSGVO der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH 04.05.2023 - C-300/21) auf eine Art und Weise weit ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gemäß Art. 15 Abs. 1 DSGVO als solche sind somit nicht haftungsauslösend (vgl. LAG Düsseldorf 28.11.2023 - 3 Sa 285/23 - PM Nr. 29/2023; LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 78 ff; LAG Hamm 02.12.2022 - 19 Sa 756/22 - Rn. 150 ff mwN).

b) Der von der Klägerin angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar (ebenso LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 82). Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Klägerin bestanden haben soll. Die Beklagte weist zutreffend darauf hin, dass die Daten der Klägerin nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Beklagte - entgegen der Ansicht der Klägerin - im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig.

Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Klägerin über die nicht fristgerechte Antwort der Beklagten auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft (vgl. Schlussanträge des Generalanwalts vom 06.10.2022 im Verfahren C-300/21), um einen immateriellen Schaden annehmen zu können.

Dieses Auslegungsergebnis steht im Einklang mit der Rechtsprechung des EuGH, der in seinem Urteil vom 4. Mai 2023 (Rechtssache C-300/21 Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DSGVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen (Rn. 42). Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv. Art. 82 DSGVO darstellen (Rn. 50).

c) Im Streitfall ist es der Klägerin nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden im Sinne der Norm darzulegen.

Die Klägerin macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit 6 Ca 738/22 (LAG Rheinland-Pfalz 5 Sa 155/23). Dort verlangt sie von der Beklagten ua. ein angemessenes Schmerzensgeld von mindestens € 30.000,00 wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Beklagten auf ihr Auskunftsbegehren betrachtet die Klägerin als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Beklagte habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Klägerin keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Beklagten mit Datum vom 29. Juni 2022 abhebt.

Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 Satz 1 DSGVO um 18 Tage verspätete Antwort der Beklagten auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Halbsatz 2 DSGVO erschöpfte, zu einer „Demütigung “ der Klägerin geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Klägerin ist bei der gebotenen objektiven Betrachtungsweise, d.h. ohne Rücksicht auf das subjektive Empfinden der Klägerin, nicht erkennbar. Soweit die Klägerin geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Beklagten, in der Zeit vom 12. Juli bis 14. September 2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Das Auskunftsverlangen der Klägerin vom 13. Juli 2022 ist bei der Beklagten am 14. Juli 2022 eingegangen, die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO am 15. August 2022 (einem Montag) abgelaufen. Die Arbeitsunfähigkeit der Klägerin begann bereits am 12. Juli 2022. Die verspätete Auskunft der Beklagten kann auf der Zeitschiene für diesen Arbeitsunfähigkeitszeitraum nicht ursächlich gewesen sein. Hinzu kommt, dass die Klägerin behauptet, sie habe aufgrund der beiden Abmahnungen der Beklagten vom 29. Juni 2022 unter starken gesundheitlichen Beeinträchtigungen (ua. Schlafstörungen, Schweißausbrüchen, starkes Unwohlsein) gelitten. Der teils widersprüchliche Sachvortrag der Klägerin ist nicht geeignet, einen Kausalzusammenhang zwischen ihrer psychischen Erkrankung und der nicht fristgerechten Auskunft schlüssig darzulegen. Bei objektiver Betrachtung ist das Auskunftsbegehren der Klägerin eine Reaktion auf die Abmahnung wegen Verletzung des Datenschutzes, und nicht umgekehrt. Das belegt schon die zeitliche Abfolge.

2. Die Beklagte ist nicht zum Schadensersatz verpflichtet, weil sie der Klägerin nicht bereits mit der erteilten Auskunft vom 30. August 2022 die geforderte Datenkopie nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Beklagten.

Die Klägerin hat sich in ihrem schriftlichen Auskunftsbegehren vom 13. Juli 2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Halbsatz 2 DSGVO beschränkt. Ansonsten hat sie - unbestimmt - verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 Satz 1 DSGVO grundsätzlich nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird (vgl. BAG 16.12.2021 - 2 AZR 235/21 - Rn. 33 mwN). Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. Hier hat sich die Beklagte in Ziff. 3 des Teilvergleichs vom 1. Juni 2023 bereit erklärt, der Klägerin (in einem zu vereinbarenden Termin mit ihrem Vorgesetzten) Einsicht in die über sie gespeicherten personenbezogenen Daten zu ermöglichen, wenn ihr „die Klägerin vorher mitteilt, welche genauen Daten sie zu sehen wünscht“. Anders als die Klägerin meint, bestand vor der Konkretisierung ihres Einsichtsbegehrens kein rechtswidriger Zustand. Ihr Vorwurf, die Beklagte habe sie über „viele Monate“ benachteiligt, weil sie ihr mit der Auskunft keine Datenkopie zur Verfügung gestellt hat, ist nicht berechtigt.


Den Volltext der Entscheidung finden Sie hier:

BMDV: Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Stand 07.03.2024

Der Regierungsentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG (Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG) liegt nunmehr mit Stand vom 07.03.2024 vor.

Aus dem Entwurf:
A. Problem und Ziel
§ 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045) (TTDSG) bestimmt, dass eine unabhängige Stelle Dienste anerkennen kann, die unter anderem nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten. Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer (§ 2 Absatz 2 Nummer 6 TTDSG) zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies oder ähnlich funktionierenden Trackingtechnologien. Anhand der im Cookie oder durch ähnliche Trackingtechnologien gespeicherten Informationen kann der Webserver unter anderem den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2, L 74 vom 4.3.2021, S. 35) eingewilligt hat. Eine Ausnahme vom Erfordernis einer Einwilligung in den Einsatz von Cookies oder ähnlichen Trackingtechnologien besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder wenn der Einsatz unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Endnutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, dass personenbezogene Daten verarbeitet werden. Die in Artikel 6 Absatz 1 Buchstabe b bis f der Verordnung (EU) 2016/679 vorgesehenen Möglichkeiten, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach einer Einwilligung in den Einsatz der unterschiedlichen Arten von Cookies oder ähnlicher Trackingtechnologien fragen. In der Praxis erfolgt dies mittels sogenannter Einwilligungsbanner. Einwilligungsbanner dienen den Anbietern von Telemedien auch dazu, Einwilligungen in die weitere Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 einzuholen, sodass Endnutzer häufig mit einer Vielzahl von Einwilligungsbannern im Internet Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffene Entscheidung darüber, ob er eine Einwilligung gegenüber einem Anbieter von Telemedien erteilt oder nicht erteilt, und sie übermitteln diese Entscheidung dem Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einwilligung oder die Nichterteilung der Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Nachfrage beim Endnutzer nach § 25 Absatz 1 Satz 1 TTDSG angewiesen. Die Endnutzer werden durch die Reduzierung von Einwilligungsanfragen entlastet.

§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch eine Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates Folgendes zu regeln:

- die Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren, die ein Dienst zur Einwilligungsverwaltung anbieten muss, um anerkannt zu werden,

- das Verfahren der Anerkennung und

- die technischen und organisatorischen Maßnahmen, damit Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbieter von Telemedien die über einen eingebundenen anerkannten Dienst zur Einwilligungsverwaltung verwalteten Einstellungen der Endnutzer hinsichtlich der Einwilligung nach § 25 Absatz 1 TTDSG berücksichtigen können.

Mit dieser Rechtsverordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung soll den Endnutzern ein transparentes Werkzeug zur Verfügung stehen, mittels dessen sie ihre Einwilligungen erteilen oder nicht erteilen und ihre Entscheidungen jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine unabhängige Stelle soll für die Endnutzer und die Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen, und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen der Endnutzer nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne den Endnutzer bei der Inanspruchnahme ihres Dienstes durch die Einblendung ihres Einwilligungsbanners stören zu müssen. Neben der Verwaltung von erteilten und nicht erteilten Einwilligungen nach § 25 Absatz 1 TTDSG, die sich auf das Speichern und das Auslesen von Informationen auf Endeinrichtungen des Endnutzers beziehen, können die anerkannten Dienste zur Einwilligungsverwaltung auch, soweit es mit den Vorgaben von § 26 TTDSG und dieser Rechtsverordnung vereinbar ist, weitere Dienste für die Endnutzer übernehmen. Hierzu zählen beispielsweise die Geltendmachung von Datenschutz-Betroffenenrechten oder die Verwaltung von Einwilligungen in die Verarbeitung personenbezogener Daten. Letzteres kann insbesondere dann für Endnutzer und Anbieter von Telemedien vorteilhaft sein, wenn der Einsatz eines Cookies oder einer ähnlichen Trackingtechnologie die einwilligungsbedürftige Verarbeitung personenbezogener Daten zur Folge hat.


Den vollständigen Entwurf finden Sie hier:

EuGH-Generalanwalt: Werden personenbezogene Daten durch Selbstöffnung des Betroffenen offensichtlich öffentlich erlaubt dies nicht die Verarbeitung zum Zweck der personalisierten Werbung

EuGH-Generalanwalt
Schlussanträge vom 25.04.2024
C-446/21
Offenlegung von Daten gegenüber der Öffentlichkeit
Maximilian Schrems gegen Meta Platforms Ireland Limited, vormals Facebook Ireland Limited


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Selbstöffnung des Betroffenen
zwar dazu führt, dass personenbezogene Daten "offensichtlich öffentlich" sind, dies aber nicht die Verarbeitung zum Zweck der personalisierten Werbung erlaubt.

Die Pressemitteilung des EuGH:
Generalanwalt Rantos: Die öffentliche Äußerung der eigenen sexuellen Orientierung durch den Nutzer eines sozialen Netzwerks macht dieses Datum „offensichtlich öffentlich“, doch erlaubt dies nicht dessen Verarbeitung zum Zweck der personalisierten Werbung

Im Laufe des Jahres 2018 legte Meta Platforms Ireland ihren Nutzern in der Europäischen Union neue Nutzungsbedingungen für Facebook vor. Die Einwilligung zu diesen Bedingungen ist erforderlich, um sich registrieren oder auf von Facebook bereitgestellte Konten und Dienste zugreifen zu können. Herr Maximilian Schrems, ein Facebook-Nutzer und Aktivist im Bereich des Datenschutzes, hat diese Bedingungen akzeptiert. Er habe oft Werbung, die auf homosexuelle Personen abgezielt habe, und Einladungen zu entsprechenden Veranstaltungen erhalten. Diese Werbungen hätten sich nicht unmittelbar auf seine sexuelle Orientierung gestützt, sondern auf die Analyse seiner Interessen. Da er mit der Behandlung seiner Daten unzufrieden war, und diese sogar für rechtswidrig hielt, klagte Herr Schrems vor den österreichischen Gerichten. In der darauffolgenden Zeit erwähnte er öffentlich bei einer Podiumsdiskussion seine sexuelle Orientierung, veröffentlichte darüber aber nichts auf seinem Facebook-Profil.

Der Oberste Gerichtshof hat Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) 1 . Er möchte vom Gerichtshof wissen, ob ein Netzwerk wie Facebook personenbezogene Daten, über die es verfügt, ohne zeitliche Einschränkung für Zwecke der zielgerichteten Werbung analysieren und verarbeiten darf. Des Weiteren fragt er den Gerichtshof, ob eine Äußerung einer Person über die eigene sexuelle Orientierung anlässlich einer Podiumsdiskussion die Verarbeitung von anderen diesbezüglichen Daten zu dem Zweck erlaubt, dieser Person personalisierte Werbung anzubieten.

Zur ersten Frage schlägt Generalanwalt Athanasios Rantos dem Gerichtshof vor, zu entscheiden, dass die DSGVO dem entgegenstehe, dass personenbezogene Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach der Zeit verarbeitet würden. Das nationale Gericht habe auf der Grundlage insbesondere des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt seien. Zur zweiten Frage vertritt der Generalanwalt vorbehaltlich der dem Obersten Gerichtshof obliegenden Sachprüfungen die Ansicht, dass der Umstand, dass sich Herr Schrems bei einer öffentlichen Podiumsdiskussion in vollem Bewusstsein über die eigene sexuelle Orientierung geäußert habe, eine Handlung darstellen könne, mit der er dieses Datum im Sinne der DSGVO „offensichtlich öffentlich gemacht“ habe. Er weist darauf hin, dass Daten über die sexuelle Orientierung zwar in die Kategorie besonders geschützter Daten fielen, für die ein Verarbeitungsverbot gelte, doch gelte dieses Verbot dann nicht, wenn diese Daten von der betroffenen Person offensichtlich öffentlich gemacht worden seien. Eine solche Stellungnahme erlaube jedoch für sich genommen nicht die Verarbeitung zum Zweck der personalisierten Werbung.


Das Ergebnis der Schlussantraäge:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,

– dass er der Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegensteht und

– dass es Sache des vorlegenden Gerichts ist, unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sind.

2. Art. 5 Abs. 1 Buchst. b in Verbindung mit Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen,

– dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer öffentlichen Podiumsdiskussion zwar eine Handlung darstellen kann, mit der die betroffene Person dieses Datum im Sinne von Art. 9 Abs. 2 Buchst. e dieser Verordnung „offensichtlich öffentlich gemacht“ hat, jedoch für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung erlaubt.

Die vollständigen Schlussanträge finden Sie hier:

LG Kiel: Unzulässige Klage eines Abgeordneten gegen Meta / Facebook wegen der automatisierten Kontrolle von Facebook-Messenger-Chatverläufen auf illegale Inhalte

LG Kiel
Urteil vom 04.04.2024
13 O 40/23


Das LG Kiel hat vorliegend die Klage eines Abgeordneten gegen Meta / Facebook wegen der automatisierten Kontrolle von Facebook-Messenger-Chatverläufen auf illegale Inhalte als unzulässig abgewiesen (fehlende internationale Zuständigkeit und zu unbestimmter Antrag).

Aus den Entscheidungsgründen:
1. Das Landgericht Kiel ist international nicht zuständig.

Eine Zuständigkeit folgt bereits nicht aus Art. 7 Nr. 2 EuGVVO. Danach kann eine Person, die ihren Wohnsitz im Hoheitsgebiet eines Mitgliedstaates hat, in einem anderen Mitgliedstaat u.a. dann, wenn eine Handlung, die einer unerlaubten Handlung gleichgestellt ist vor dem Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist, verklagt werden. Diese Voraussetzungen sind vorliegend nicht erfüllt.
Zwar hat die Beklagte ihren Sitz im Hoheitsgebiet eines Mitgliedstaates, nämlich in Irland. Denn gemäß Art. 63 Abs. 1 Buchst. a), Abs. 2 EuGVVO haben Gesellschaften und juristische Personen für die Anwendung der Verordnung ihren Wohnsitz an dem Ort, an dem sich u.a. ihr satzungsmäßiger Sitz befindet.

Allerdings liegt der Ort des Eintritts des schädigenden Ereignisses nicht im Gerichtsbezirk des Landgerichts Kiel, sondern am Ort des Interessenmittelpunktes des Klägers in Brüssel. Der Begriff des Anknüpfungspunktes, der Ort, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ ist, wie der Begriff der unerlaubten Handlung, autonom auszulegen. International zuständig nach Art. 7 Nr. 2 EuGVVO ist das Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht. Das schädigende Ereignis i.S.d. Nr. 2 ist sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens (vgl. BeckOK ZPO/Thode, 51. Ed. 1.12.2023, Brüssel Ia-VO Art. 7 Rn. 81, 82 mwN). Der Erfolgsort liegt dort, wo das geschützte Rechtsgut tatsächlich oder voraussichtlich verletzt wird, d.h. an dem Ort, an dem „die schädigenden Auswirkungen des haftungsauslösenden Ereignisses zu Lasten des Betroffenen eintreten“ (vgl. EuGH EuZW 1995, 248 Rn. 28 – Shevill und andere/Presse Alliance). Der Ort der mittelbaren Folgeschäden ist für die Zuständigkeitsbegründung gem. Nr. 2 nicht relevant. Bei Internetdelikten, insbesondere bei Persönlichkeitsrechtsverletzungen im Internet ist Erfolgsort der Ort des Interessenmittelpunktes (vgl. BeckOK IT-Recht/Rühl, 12. Ed. 1.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 15). Der Ort, an dem eine Person den Mittelpunkt ihrer Interessen hat, entspricht im Allgemeinen ihrem gewöhnlichen Aufenthalt. Jedoch kann eine Person den Mittelpunkt ihrer Interessen auch in einem anderen Mitgliedstaat haben, in dem sie sich nicht gewöhnlich aufhält, sofern andere Indizien wie die Ausübung einer beruflichen Tätigkeit einen besonders engen Bezug zu diesem Staat herstellen können (EuGH, NJW 2012, 137 Rn. 49).

Der Kläger hat schon nicht darzulegen vermocht, dass sein Interessenmittelpunkt im Gerichtsbezirk des Landgerichts Kiel liegt. Auch der nach dem Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 erfolgte weitere Vortrag des Klägers, er habe in Kiel eine Eigentumswohnung sowie familiäre Beziehungen, ist vorliegend nicht ausreichend, um den Interessenmittelpunkt, nach den dargestellten Maßstäben, des Klägers in Kiel zu begründen. Vielmehr bestimmt sich der Interessenmittelpunkt des Klägers aufgrund seiner Tätigkeit als Abgeordneter im Europäischen Parlament in Brüssel. Die berufliche Tätigkeit des Klägers als Abgeordneter bestimmt im Wesentlichen seinen derzeitigen Aufenthaltsort. So unterhält der Kläger ebenfalls eine Wohnung in Brüssel, um seiner parlamentarischen Arbeit nachgehen zu können. Dass der Kläger in Brüssel keine Familie hat, ist insofern für die Entscheidung über den tatsächlichen Interessenmittelpunkt unerheblich.

Selbst wenn man diesen Vortrag für ausreichend erachten würde, wäre der Kläger insofern beweisfällig geblieben. Denn er hat auch auf den Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 keinen Beweis angeboten.

Eine internationale Zuständigkeit des Landgerichts Kiel folgt auch nicht aus Art. 17 Abs. 1, 18 EuGVVO. Nach Art. 17 Abs. 1 lit. c) EUGVVO bestimmt sich die Zuständigkeit unbeschadet des Artikels 6 und des Artikels 7 Nr. 5 nach diesem Abschnitt (heißt hier: Art. 18 EuGVVO), wenn ein Vertrag oder Ansprüche aus einem Vertrag, den eine Person, der Verbraucher, zu einem Zweck geschlossen hat, der nicht der beruflichen oder gewerblichen Tätigkeit dieser Person zugerechnet werden kann, Gegenstand des Verfahren sind und wenn der andere Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. Diese Voraussetzungen liegen nicht vor.

Der Kläger hat nicht als Verbraucher den Vertrag mit der Beklagten geschlossen. Der Verbraucherbegriff ist eng auszulegen und anhand der Stellung dieser Person innerhalb des konkreten Vertrags in Verbindung mit dessen Natur und Zielsetzung und nicht anhand ihrer subjektiven Stellung zu bestimmen (EuGH, NJW 2018, 1003 Rn. 29).

Bei Verträgen, die sowohl privaten als auch beruflichen oder gewerblichen Zwecken dienen, liegt kein Verbrauchergeschäft vor, es sei denn, der beruflich-gewerbliche Zweck ist derart nebensächlich, dass er im Gesamtzusammenhang des betreffenden Geschäfts nur eine ganz untergeordnete Rolle spielt (EuGH NJW 05, 653; Mankowski IPRax 05, 503). Vorliegend hat der Kläger die streitgegenständliche F-Seite „X“ im Januar 2019 aus Anlass seiner Kandidatur zur Europawahl 2019 für Wahlkampfzwecke eingerichtet. Die Einrichtung der F-Seite und damit auch die Nutzung des F-Messengers diente hiernach ausschließlich beruflichen Zwecken des Klägers.

Entgegen der Auffassung des Klägers stellt seine Tätigkeit als Abgeordneter auch eine berufliche Tätigkeit dar. Von Art. 17 EuGVVO werden nach ständiger Rechtsprechung des EuGH nur Verträge erfasst, die eine Einzelperson ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen allein zu dem Zweck schließt, ihren Eigenbedarf beim privaten Verbrauch zu decken (EuGH, EuZW 2022, 1061 Rn. 53, beck-online). Es ist entgegen der Auffassung des Klägers auch nicht danach zu unterscheiden, ob es sich bei der beruflichen oder gewerblichen Tätigkeit um eine selbständige Tätigkeit oder eine abhängige Beschäftigung handelt. Es ist lediglich zu ermitteln, ob der Vertrag ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen geschlossen worden ist (EuGH, EuZW 2022, 1061 Rn. 54, beck-online). Hierbei sind insbesondere die mit dem Abschluss dieses Vertrags verfolgten gegenwärtigen oder zukünftigen Ziele zu berücksichtigen (EuGH, EuZW 2023, 420 Rn. 28).

Diesen Grundsätzen zufolge ist der streitgegenständliche Vertrag ausschließlich im Zusammenhang mit den beruflichen bzw. politischen Interessen des Klägers und seiner Tätigkeit als Abgeordneter abgeschlossen worden. Der Kläger nutzt die F-Seite unstreitig ausschließlich zu diesen beruflichen Zwecken. Auch die Einrichtung der F-Seite erfolgte einzig zu Wahlkampfzwecken im Hinblick auf die Europawahl im Mai 2019.

2. Darüber hinaus ist der Klageantrag nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 Alt. 2 ZPO. Unterlassungsanträge müssen so konkret gefasst sein, dass bei einer Rechtsverteidigung und der Vollstreckung klar ist, worauf sich das Verbot erstreckt (vgl. Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO, Rn. 13b).

Dabei genügt die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm in der Regel nicht (vgl. BGH, Urteil vom 4. Oktober 2007 – I ZR 143/04 –, Rn. 14, juris; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39, juris).

Unter Berücksichtigung dieser Grundsätze genügt der vom Kläger gestellte Unterlassungsantrag dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 Alt. 2 ZPO nicht.

Der Unterlassungsantrag bezieht sich verallgemeinert darauf es zu unterlassen, „den Inhalt und die näheren Umstände von mittels „F-Messenger“ versandten Nachrichten von und an den Kläger zur Suche nach möglicherweise rechtswidrigen Inhalten oder Kontaktaufnahmen automatisiert zu analysieren, zu kontrollieren und an Dritte weiterzugeben“. Dieser Antrag gibt lediglich formelhaft die Voraussetzungen des § 3 Abs. 3 TTDSG in verallgemeinerter Form wieder, ohne dabei konkret auf das begehrte Verbot einzugehen. Wie der Kläger mit Schriftsatz vom 27.02.2024 (Bl. 325 f. d.A.) klargestellt hat, begehrt er das Unterlassen einer allgemeinen Kontrolle/Analyse und Weitergabe seiner Nachrichten und gerade nicht nur im Hinblick auf kinderpornografische Inhalte (sog. CSAM). Wie eine anderweitige Kontrolle der Beklagten indes aussehen soll, trägt der Kläger nicht vor.

Insoweit genügt der Antrag gerade nicht noch den Bestimmtheitserfordernissen des § 253 Abs. 2 Nr. 2 ZPO. Dies ist wäre dann der Fall, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, GRUR 2017, 537 Rn. 12 - Konsumgetreide, mwN; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39). Diese Voraussetzungen sind vorliegend nicht erfüllt. Auch unter Heranziehung des Sachvortrags des Klägers ist nicht ersichtlich, welche Verhaltensweise der Kläger von der Beklagten tatsächlich begehrt.

3. Darüber hinaus fehlt es dem Kläger auch an einem erforderlichen Rechtsschutzbedürfnis. Mit dem Erfordernis des Rechtsschutzbedürfnisses als Einschränkung des durch Art. 20 Abs. 3 GG iVm Art. 2 Abs. 1 GG verfassungsrechtlich abgesicherten Justizgewährleistungsanspruchs (lediglich) soll verhindert werden, dass die Gerichte als Teil der Staatsgewalt unnütz oder gar unlauter bemüht werden oder ein gesetzlich vorgesehenes Verfahren zur Verfolgung zweckwidriger und insoweit nicht schutzwürdiger Ziele ausgenutzt wird. Es sollen solche Klagebegehren nicht in das Stadium der Begründetheitsprüfung gelangen, die – gemessen am Zweck des Zivilprozesses – ersichtlich eines staatlichen Rechtsschutzes durch eine materiell-rechtliche Prüfung nicht bedürfen (vgl. BGH, NJW-RR 2022, 660 Rn. 16).

Vorliegend fehlt es an diesen Voraussetzungen.

Zum einen kann der Kläger seine von ihm aufgeführten Interessen effektiver und schneller durchsetzen, indem er in den Chats manuell die „Ende-zu-Ende“- Verschlüsselung aktiviert (vgl. OLG Hamm, GRUR 2023, 1791 Rn. 217 f.). Eine Kontrolle der Nachrichten auf kinderpornografische Inhalte ist insofern nach dem übereinstimmenden Parteivortrag nicht mehr möglich.

Zum anderen geht es dem Kläger vorliegend nicht um den Schutz seiner Individualinteressen, sondern um die Durchsetzung einer politischen Kampagne. Dies kann indes nicht im Rahmen eines Zivilprozesses verfolgt werden.


Den Volltext der Entscheidung finden Sie hier:

LAG Düsseldorf: Kein Schadensersatzanspruch aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 DSGVO

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23


Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person



(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.



Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.



(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"


LG Paderborn: Widerspruch gegen weitere Zusendung von Werbung per E-Mail muss vom Versender sofort umgesetzt werden

LG Paderborn
Urteil vom 12.03.2024
2 O 35/23


Das LG Paderborn hat entschieden, dass ein Widerspruch gegen die weitere Zusendung von Werbung per E-Mail vom Versender sofort umgesetzt werden muss.

Aus den Entscheidungsgründen:
Letztlich kann aber dahinstehen, ob die Beklagte einen hinreichenden Werbehinweis gem. § 7 Abs. 3 Nr. 4 UWG erteilt hat, da das anwaltliche Schreiben vom 14.09.2023 jedenfalls als Widerspruch im Sinne des § 7 Abs. 3 Nr. 3 UWG gegen (weitere) Werbe-E-Mails zu verstehen war.

Die Verwendung der Adresse für die eigene Direktwerbung des Unternehmers ist ausgeschlossen, wenn der Kunde ihrer Verwendung zu Werbezwecken widersprochen hat. Der Widerspruch gegen die Verwendung der elektronischen Postadresse zum Zwecke der Übersendung von Werbung nach § 7 Abs. 3 Nr. 3 UWG ist formlos möglich und setzt nicht voraus, dass der Kunde selbst bestimmte Einstellungen im “Kundenverwaltungssystem” des Unternehmens tätigt.

Hat der Beworbene einer Werbung mittels elektronischer Post wirksam iSd § 7 Abs. 3 Nr. 3 widersprochen, so ergibt sich die Unzulässigkeit der Werbung, weil dem Unternehmer der entgegenstehende Wille des Beworbenen dann erkennbar ist.

Soweit sich die Beklagte hiernach gem. Art. 12 Abs. 3 DSGVO eine Bearbeitungsdauer von bis zu einem Monat ausbedingen will, kann sie damit nicht durchdringen.

Art. 21 Abs. 3 DSGVO stellt klar, dass nach Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung, die Daten für diese Zwecke nicht mehr verarbeitet werden dürfen. Art. 12 Abs. 3 DSGVO sieht hingegen lediglich eine Bearbeitungsdauer von bis zu einem Monat für die Bereitstellung von Informationen vor; nicht für die Umsetzung des Widerspruchs. Ein datenschutzrechtliches Informationsrecht nimmt die Klägerin aber nicht für sich in Anspruch.

Der Verwender ist gehalten, den Widerspruch umgehend zu respektieren, d.h., dass die Umsetzung unverzüglich zu erfolgen hat. Diesem Maßstab hat die Beklagte nicht genügt. Nach dem Werbewiderspruch vom 14.09.2023 hat die Beklagte noch 5 (weitere) Werbe-E-Mails an die Klägerin versandt.

Die Beklagte kann sich auch nicht darauf zurückziehen, dass eine bereits angelaufene Werbeaktion nicht mehr gestoppt werden könne. Wenn durch die Betätigung des Abmeldelinks die Zusendung weiterer Werbe-E-Mails verhindert werden kann, dann muss dieses für die Beklagte nach Eingang des Widerspruchs erst Recht – unverzüglich - möglich sein. Die durch die Beklagte zu Rate gezogene Orientierungshilfe der DSK zur Umsetzungsfrist des Werbewiderspruchs nach Art. 21 Abs. 3 DSGVO bezieht sich unzweifelhaft auf postalische Werbung. Ein

Bearbeitungszeitraum hinsichtlich des Werbewiderspruchs in Bezug auf E-Mail-Werbung kann daraus nicht abgeleitet werden.

Der entscheidende Referenzrahmen für die Beklagte war nicht, dass diese nach Betätigung des Abmeldelinks durch die Klägerin am 26.09.2023, den Stopp weiterer Werbe-E-Mails bis zum 04.10.2023 umsetzte, sondern inwieweit die Beklagte auf den Widerspruch vom 14.09.2023 tätig geworden ist. Die Umsetzung des Werbewiderspruchs vom 14.09.2023 war auf vor dem Hintergrund der selbst skizierten Anforderungen der Beklagten unzureichend. Insbesondere die Zusendung von insgesamt drei (weiteren) Werbe-E-Mails nach Betätigung des Abmeldelinks ist mit einer zügigen Umsetzung des Werbewiderspruchs nicht in Einklang zu bringen.

Da die Voraussetzungen des § 7 Abs. 3 UWG nicht vorliegen und die Klägerin der Zusendung (weiterer) Werbe-E-Mails widersprochen hat, war im Unterlassungstenor auch keine Einschränkung dahingehend vorzunehmen, dass Bestandskundenwerbung grds. erlaubt ist.

Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch das festgestellte rechtsverletzende Verhalten der Beklagten indiziert. (vgl. BGH, Urteil vom 14.03.2017, Az. VI ZR 721/15). Die Abgabe einer strafbewehrten Unterlassungserklärung hat die Beklagte nach den Feststellungen der Kammer abgelehnt.

Die Klägerin kann auch die Erstattung der vorgerichtlichen Rechtsanwaltskosten iHv 652,60 € von der Beklagten verlangen.

Der Verletzte, der seinen Unterlassungsanspruch auf §§ 823 Abs. 1, 1004 Abs. 2

BGB stützt, hat einen Anspruch auf Erstattung der Abmahnkosten, wenn die Abmahnung begründet war. Lässt sich der Verletzte bei der Abmahnung anwaltlich vertreten, so hat der Verletze die gesetzlichen Gebühren des Rechtsanwalts nach dem Rechtsanwaltsvergütungsgesetz zu tragen, wenn die Beauftragung eines Rechtsanwalts zur Wahrnehmung der Rechte erforderlich und zweckmäßig war. Die Beauftragung eines Rechtsanwalts zur Abmahnung eines Verstoßes gegen einen deliktsrechtlichen Tatbestand ist nur dann nicht notwendig, wenn der Abmahnende selbst über eine hinreichende eigene Sachkunde zur zweckentsprechenden Rechtsverfolgung eines unschwer zu erkennenden Verstoßes verfügt (vgl. BGH, Urt. v. 12.09. 2013 – I ZR 208/12 = GRUR 2013, 1259).


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein begründen noch keinen Schadensersatzanspruch aus Art. 82 DSGVO - Nachweis eines immateriellen Schadens erforderlich

EuGH
Urteil vom 11.04.2024
C-741/21


Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Datenschutzbehörde muss grundsätzlich tätig werden wenn sie bei Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/2
Land Hessen (Handlungspflicht der Datenschutzbehörde)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen


Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.


Die vollständigen Schlussanträge finden Sie hier:




BGH: Zur Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO

BGH
Urteil vom 05.03.2024
VI ZR 330/21
DSGVO Art. 15 Abs. 3


Der BGH hat sich in dieser Entscheidung mit der Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO befasst.

Leitsatz des BGH:
Zum Begriff "Kopie der personenbezogenen Daten" in Art. 15 Abs. 3 DSGVO.

BGH, Urteil vom 5. März 2024 - VI ZR 330/21 - OLG München - LG München I

Aus den Entscheidungsgründen:
b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Auskunftsrecht über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.). Auf dieser Grundlage hat die Klägerin nur Anspruch auf Überlassung von Kopien der von ihr verfassten, bei den Beklagten vorhandenen Schreiben und E-Mails.

aa) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind - wovon das Berufungsgericht zu Recht ausgegangen ist - Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 6. Februar 2024 - VI ZR 15/23, zVb; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

bb) Mit ihrem vom Berufungsgericht zuerkannten Antrag verlangt die Klägerin - wie erläutert -, ihr eine Abschrift von Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen zu überlassen, in denen personenbezogene Daten der Klägerin enthalten sind, die die Beklagten verarbeiten. Nach den Ausführungen unter aa) handelt es sich zwar bei den von der Klägerin verfassten Schreiben und E-Mails, die den Beklagten vorliegen, ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Schreiben und E-Mails fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden.

Demgegenüber handelt es sich - entgegen der Ansicht des Berufungsgerichts - weder bei Schreiben und E-Mails der Beklagten, noch bei Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und auch nicht bei Zeichnungsunterlagen für Kapitalanlagen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten. Zwar ist bei internen Vermerken wie Telefonnotizen oder Gesprächsprotokollen, die festhalten, wie sich die Klägerin telefonisch oder in persönlichen Gesprächen äußerte, denkbar, dass der Vermerk ausschließlich Informationen über die Klägerin enthält. Es kann jedoch nicht davon ausgegangen werden, dass dies in allen Fällen so ist. Deshalb ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass - wie von ihr gefordert - alle diese Dokumente im Gesamten als Kopie zu überlassen sind. Zwar kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken unabhängig vom Erfordernis, eine vollständige Auskunft zu erteilen, dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; Senatsurteil vom 6. Februar 2024 - VI ZR 15/23, zVb; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.). Die Klägerin hat aber weder in den Vorinstanzen dazu vorgetragen noch ist sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.


Den Volltext der Entscheidung finden Sie hier:

LG Düsseldorf: Art. 15 DSGVO ist eine Marktverhaltensregel nach § 3a UWG - Verstoß kann von Verbraucherschutzvereinen abgemahnt werden

LG Düsseldorf
15.03.2024
34 O 41/23

Das LG Düsseldorf hat entschieden, dass Art. 15 DSGVO eine Marktverhaltensregel nach § 3a UWG ist. Ein Verstoß kann von Verbraucherschutzvereinen abgemahnt werden

Aus den Entscheidungsgründen:
Der Unterlassungsanspruch zu 2) ist begründet gemäß § 8 Abs. 3 Nr. 3, Abs. 1, § 3, 3a UWG i.V.m. Art. 15 DSGVO.

1. Der Kläger ist als qualifizierte Einrichtung im Sinne des § 8 Abs. 3 Nr. 3 UWG klagebefugt (EuGH, Urteil vom 28.04.2022 – C-319/20 – Meta Platforms Ireland; Köhler/Bornkamm/Feddersen, UWG, 42. Auflage 2024, § 3a UWG, Rn. 1.40b ff.).

2. In der Auskunftserteilung liegt eine geschäftliche Handlung im Sinne des § 2 Abs. 1 Nr. 2 UWG, weil sie im Zusammenhang mit der Durchführung eines (vermeintlichen) Vertrags über Waren steht. Die Beklagte hat Herrn … erst knapp zwei Monate nach seinem Auskunftsbegehren (Anlage K 4) die geforderte datenschutzrechtliche Auskunft (Anlage K 5) erteilt und damit gegen Marktverhaltensregelungen verstoßen.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in der Vorschrift nachfolgend aufgezählten Informationen. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO hat der Unternehmer einer betroffenen Person die Auskunft nach Art. 15 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats zu erteilen. Diese Frist hat die Beklagte unstreitig nicht eingehalten. Bei Art. 12 Abs. 3, Art. 15 DSGVO handelt es sich um Marktverhaltensvorschriften im Sinne des § 3a UWG. Marktverhalten ist jede Tätigkeit auf einem Markt, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt. Eine Norm regelt das Marktverhalten, wenn sie einen Wettbewerbsbezug aufweist, indem sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleitung berührt wird. Dabei genügt, dass die Vorschrift zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezweckt. Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (vgl. statt aller: OLG Stuttgart, Urteil vom 27.02.2020 – 2 U 257/19 – Reifensofortverkauf, m.w.N.).

Unter Zugrundelegung dieses Maßstabs handelt es sich bei Art. 12, Art. 15 DSGVO um Marktverhaltensregelungen. Die Auskunftspflicht und die diesbezügliche Frist dienen dem Verbraucherschutz. Sie flankieren die Informationspflichten des Unternehmers nach Art. 13 DSGVO, wonach der Verantwortliche im Sinne von Art. 4 DSGVO vor der Entgegennahme personenbezogener Daten des Interessenten über bestimmte Umstände zu informieren hat. Beide Informations- bzw. Auskunftspflichten dienen dem Interesse des Verbrauchers und sonstigen Marktteilnehmers, eine geschäftliche Entscheidung zu treffen. Bei den Informationspflichten nach Art. 13 DSGVO dienen sie dem Verbraucher zur Entscheidung, ob er mit dem Unternehmen überhaupt in Kontakt treten möchte (vgl. OLG Stuttgart, a.a.O.). Die Auskunftspflicht nach Art. 15 DSGVO und die Frist in Art. 12 DSGVO dienen im Nachgang zur Geschäftsanbahnung der Vertragsabwicklung. Sie ermöglichen damit dem Verbraucher eine geschäftliche Entscheidung über sein weiteres Handeln in diesem Geschäftskontakt zu treffen.

4. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Die Spürbarkeitsklausel hat den Zweck, solche Fälle des Verstoßes gegen eine Marktverhaltensregelung von der Verfolgung auszunehmen, die keine nennenswerte Auswirkung auf andere Marktteilnehmer haben. Denn daran besteht kein Interesse der Allgemeinheit. Ein Verbot ist vielmehr nur dann erforderlich, wenn dies der Schutz der Verbraucher, der Mitbewerber oder der sonstigen Marktteilnehmer erfordert. Das ist aber nur dann der Fall, wenn sich die unlautere geschäftliche Handlung tatsächlich auf die anderen Marktteilnehmer auswirkt oder doch auswirken kann (Köhler/Bornkamm/Feddersen, a.a.O., Rn. 1.96). Bei den Verbrauchern und sonstigen Marktteilnehmern geht es in erster Linie darum, eine informierte und freie geschäftliche Entscheidung (§ 2 Abs.1 Nr. 1 UWG) treffen zu können (Köhler/Bornkamm/Feddersen, a.a.O., Rn. 1.98). Da die fristgerechte Auskunftserteilung dem Verbraucher ermöglicht, die weitere Durchführung eines Vertrags oder Geschäftskontakts zu gestalten, ist ein hiergegen gerichteter Verstoß als spürbar zu bewerten. Denn sie dient letztlich der informierten Entscheidung.


Den Volltext der Entscheidung finden Sie hier:

BGH: Kommanditist hat keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art. 17 Abs. 1 DSGVO

BGH
Beschluss vom 23.01.2024
II ZB 8/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1, § 106 Abs. 1, Abs. 2 Nr. 2 Buchst. a, § 162 Abs. 1; HRV § 40 Nr. 5 Buchst. c

Der BGH hat entschieden, dass ein Kommanditist keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Kommanditist hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Kommanditist hat keinen Anspruch auf Einschränkung der Verarbeitung seines Geburtsdatums und seines Wohnorts durch das Registergericht aus Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1 DS-GVO.

BGH, Beschluss vom 23. Januar 2024 - II ZB 8/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:


BGH: GmbH-Geschäftsführer hat keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art. 17 Abs. 1 DSGVO

BGH
Beschluss vom 23.01.2024
II ZB 7/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; GmbHG § 7 Abs. 1, § 10 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1; HRV § 24 Abs. 1, § 43 Nr. 4 Satz Buchst. b


Der BGH hat entschieden, dass ein GmbH-Geschäftsführer keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.

c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DS-GVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.

BGH, Beschluss vom 23. Januar 2024 - II ZB 7/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform - keine anonymen IFG-Anfragen

BVerwG
Urteil vom 20.03.2024
6 C 8.22


Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.

Die Pressemitteilung des Gerichts:
Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz

Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.

Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.

Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).

Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.

BVerwG 6 C 8.22 - Urteil vom 20. März 2024

Vorinstanzen:
OVG Münster, OVG 16 A 857/21 - Urteil vom 15. Juni 2022 -
VG Köln, VG 13 K 1190/20 - Urteil vom 18. März 2021 -