Skip to content

LAG Hessen: Arbeitnehmer hat Anspruch gegen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch Detektiv

LAG Hessen
Urteil vom 18.10.2021
16 Sa 380/20


Das LAG Hessen hat in diesem Fall entschieden, dass Arbeitnehmer einen Anspruch gegen seinen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch einen Detektiv hat.

Aus den Entscheidungsgründen:

Der Kläger kann von der Beklagten Zahlung von 1.500€ nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 4. Dezember 2019 verlangen.

Nach Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Verantwortlicher ist gemäß Art. 4 Nr. 7 EU-DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Aktiengesellschaft ist dies der Vorstand (Schild, BeckOK Datenschutzrecht, Wolff/Brink, DSGVO Art. 4 Rn. 89).

Anspruchsberechtigt ist der Kläger als natürliche Person.

Zu ersetzen sind sowohl materielle als auch immaterielle Schäden. Gerade bei immateriellen Schäden ist die Rechtsprechung des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss (EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183, 184). Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor (Kühling/Buchner – Ct, DS-GVO BDSG, 3. Auflage, Art. 82 DS-GVO Rn. 18a).

Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen (Kühling/Buchner – Ct, a.a.O., Rn. 18c; Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Auflage, Art. 82 DSGVO Rn. 16; BAG 19. Februar 2015 – 8 AZR 1007/13 – Rn. 23).

Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DSGVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insbesondere die letztlich schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss (Kühling/Buchner – Ct, a.a.O., Rn.23).

Die Observation des Klägers einschließlich personenbezogener Datenerhebung war rechtswidrig. Ein berechtigtes Interesse der Beklagten nach § 26 Abs. 1 S. 2 BDSG, das in der Aufdeckung einer Straftat im Beschäftigungsverhältnis liegen kann, zur Erhebung personenbezogener Daten im Wege der Observation des Klägers lag nicht vor. Zwar stellt ein versuchter Prozessbetrug eine Straftat dar, die auch eine Detektivüberwachung rechtfertigen kann. Hierfür muss jedoch ein berechtigter Anlass vorliegen.

Der Kläger hatte in dem einstweiligen Verfügungsverfahren vor dem Arbeitsgericht Frankfurt am Main 12 Ga 69/19 vorgetragen und an Eides statt versichert, dass er montags bis mittwochs 7:30 Uhr in der Regel seine beiden Kinder betreuen müsse. Nach der mündlichen Verhandlung vor dem Arbeitsgericht am 27. Mai 2019 bemerkte der Prozessbevollmächtigte der Beklagten auf der Heimfahrt im ICE XXX in Richtung B, einen Mann, von dem er in diesem Moment keinen Zweifel hatte, dass es sich hierbei um den Kläger handelte. Der Prozessbevollmächtigte der Beklagten beauftragte daraufhin eine Detektei mit der Observation des Klägers, die sodann ab 11. Juni 2019 an insgesamt 6 Tagen erfolgte.

Für diese Maßnahme bestand kein berechtigter Anlass. Es wäre dem für die Beklagte handelnden Prozessbevollmächtigten ohne weiteres möglich gewesen, die Person, die er spontan für den Kläger hielt, anzusprechen und sich zu vergewissern, ob es sich tatsächlich um den Kläger handelte. Bei dieser Gelegenheit hätte er den Kläger (sofern es sich bei ihm um die betreffende Person gehandelt haben sollte) auch direkt ansprechen können, wie es sein kann, dass er sich an einem Tag, an dem er sich regelmäßig um seine Kinder kümmern muss, in einem Zug Richtung B befindet. Selbst wenn er nicht sofort hieran gedacht haben sollte, war es ihm immer noch möglich, bis zum ersten Halt des Zuges den Wagen abzulaufen, um die betreffende Person zu finden und anzusprechen. Soweit er im Prozess ausführte, seinen Aktenkoffer nicht auf seinem Platz zurücklassen zu wollen, ist zu berücksichtigen, dass er diesen ohne weiteres auf dem kurzen Gang durch den Waggon hätte mitnehmen können. Letztlich hat er auf eine vage Vermutung hin eine Detektei mit der Observation des Klägers beauftragt.

Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher.

Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.

Der Anspruch auf Verzinsung des zugesprochenen Geldbetrags ergibt sich aus §§ 286 Absatz 1, 288 Absatz 1 BGB.


Den Volltext der Entscheidung finden Sie hier:


OLG Dresden: Löschungsanspruch aus Art. 17 DSGVO schließt Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht aus

OLG Dresden
Urteil vom 14.12.2021
4 U 1278/21


Das OLG Dresden hat entschieden, dass der Löschungsanspruch aus Art. 17 DSGVO einen Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht ausschließt.

Aus den Entscheidungsgründen:
"Es handelt sich hierbei um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit denen der Kläger als natürliche Person identifiziert werden kann. Dem steht hier nicht entgegen, dass es neben dem Kläger mit dem tatsächlichen Schuldner eine Person gibt, die denselben Namen trägt. Zu Unrecht meinen die Beklagten, ein Löschungsanspruch sei bereits deswegen ausgeschlossen, weil der Name nicht dem Kläger allein „gehöre“, sondern mehrere Personen des gleichen Namens existierten. Der Name gehört unbeschadet dessen nach Art. 4 DSGVO zu den personenbezogenen Daten, sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen (vgl. Karg in: Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr.1, a.a.O. Rn 51). Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist (vgl. Karg in Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr. 1, Rn. 46). So liegen die Dinge hier. Unstreitig ist bei beiden Beklagten nämlich nicht lediglich der Name des Klägers hinterlegt, sondern zusätzlich dessen Geburtsdatum und Wohnanschrift, mag auch letztere bei der Beklagten zu 2) mit einem Sperrvermerk versehen sein. Es kann dahinstehen, ob diese Daten in der IT der Beklagten konkret miteinander schon so verbunden sind, dass der Kläger hierüber eindeutig identifizierbar ist, weil eine solche Zusammenstellung jedenfalls im Bedarfsfall unschwer bewerkstelligt werden könnte. Dass hiergegen aufgrund der Ausgestaltung ihrer jeweiligen Datenbanksoftware Vorkehrungen getroffen worden wären, die eine solche Zuordnung und damit die konkrete Identifizierung des Klägers ausschließen, haben die Beklagten nicht behauptet und unter Beweis gestellt. Sind damit die über den Kläger gespeicherten Daten trotz der Namensidentität mit dem tatsächlichen Schuldner infolge dieser Verknüpfungsmöglichkeit personenbezogene Daten des Klägers, obliegt es den Beklagten entweder, diese Daten für sich genommen zu löschen oder durch Schutzvorkehrungen sicherzustellen, dass eine Verknüpfung, die eindeutig auf den Kläger hinweist, zukünftig ausgeschlossen ist. Dabei hat der Kläger nur einen Anspruch darauf, dass dies geschieht, nicht jedoch in welcher Weise die Beklagten hierbei vorgehen müssen. Ebenso wie im Bereich der negatorischen und quasinegatorischen Ansprüche aus § 1004 BGB, bei denen die Entscheidung, mit welchen Mitteln die Beeinträchtigung zu beseitigen ist, dem Störer überlassen bleibt und bei denen das Gericht regelmäßig davon absieht, bestimmte Maßnahmen anzuordnen (vgl. statt aller BGH, Urteil vom 14. Dezember 2017 – I ZR 184/15 –, juris; Ebbing in: Erman, BGB, 16. Aufl. 2020, § 1004 BGB, Rn. 6), hat nämlich auch der Schuldner eines Löschungsanspruchs nach Art. 17 DSGVO die Wahl, wie er eine aus der Zusammenstellung von Einzelinformationen resultierende Verletzung der Schutzrechte des Betroffenen abstellt.

b) Entgegen der Auffassung der Beklagten erfolgt die Verarbeitung der Daten des Klägers auch nicht rechtmäßig gemäß Art. 17 Abs. 1d i.V.m. Art. 6 DSGVO.

aa) Der Kläger hat seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten nicht erteilt, Art. 7, 6 Abs. 1a) DSGVO.

bb) Die Voraussetzungen von Art. 6 Abs. 1b) DSGVO sind nicht erfüllt. Danach liegt Rechtmäßigkeit vor, wenn die Verarbeitung für die Erfüllung eines Vertrages, dessen 8 Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgte. Der Kläger ist jedoch weder Vertragspartner der K...... Bank noch der Beklagten. Ob den Beklagten im Rahmen ihres Auftragsverhältnisses mit der K...... Bank oder untereinander die Daten zur Erfüllung der jeweiligen Verträge übermittelt wurden, ist unerheblich. Denn nach dem Wortlaut der Vorschrift kommt es auf die vertraglichen Beziehungen mit der betroffenen Person - dem Kläger - an.

cc) Die Beklagten können sich auch nicht mit Erfolg auf Art. 6 1c) DSGVO i.V.m. § 147 AO berufen, denn die Löschung steht den Aufbewahrungspflichten nicht entgegen.

Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei muss es sich um eine gesetzliche Pflicht handeln (vgl. Roßnagel in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 51). Die Datenverarbeitung kann erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen (vgl. Roßnagel a.a.O., Rn 54). Die Erlaubnis zur Datenverarbeitung ist auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (vgl. Roßnagel a.a.O.). Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen (vgl. Mues in Gosch, Kommentar zur Abgabenordnung, Stand 01.04.2021, § 147 B Rn. 13 - juris). Auf die Form der Korrespondenz kommt es nicht an, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind (vgl. Mues a.a.O.). Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Die Beklagten sind nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige - und aufbewahrungspflichtige Daten zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen (vgl. Bundesministerium der Finanzen: Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28.11.2019, Rn 172 - juris). Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

dd) Die Rechtmäßigkeit der Verarbeitung ergibt sich auch nicht aus Art. 6 Abs. 1f) DSGVO, denn im Rahmen der Abwägung überwiegen die Interessen des Klägers.

Nach dieser Regelung ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Begriff der berechtigten Interessen ist weit zu verstehen. Er umfasst sowohl rechtliche als auch wirtschaftliche und ideelle Interessen (vgl. Schantz in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 98). Zu den berechtigten Interessen der Beklagten zu 2) gehört das Interesse an einer möglichst hohen Effektivität der Inkassodienstleistung, also an einem möglichst effizienten Forderungsmanagement (vgl. AG Hamburg - St. Georg, Urteil vom 25.08.2020 - 912 C 145/20, Rn. 37 - juris). Die Forderungsausfälle der Gläubiger sollen so gering wie möglich gehalten werden, die notwendige Liquidität der Wirtschaftsunternehmen gewahrt und der erstattungspflichtige Schuldner so wenig wie möglich mit weiteren Kosten belastet werden (so AG Hamburg - St. Georg, a.a.O.). Im Hinblick darauf hat die Beklagte zu 2) ein Interesse daran, bei der Ermittlung des Wohnortes des Schuldners nicht erneut den Kläger zu ermitteln und diesen anzuschreiben, um erst nach Inanspruchnahme des Klägers erneut festzustellen, dass dieser nicht der richtige Schuldner ist. Dies entspricht auch dem Interesse der Beklagten zu 1), die von der Beklagten zu 2) mit einer Einwohnermeldeanfrage betraut worden ist. Auch bei ihr besteht die Gefahr, dass ihr mit den von der Auftraggeberin - der K...... Bank - mitgeteilten Kontaktdaten, die Adresse des Klägers ermittelt wird. Die Speicherung der Daten des Klägers verhindert seine erneute Inanspruchnahme. Zwingend für die Forderungseintreibung ist dies jedoch nicht. Auch ohne eine solche Speicherung bleibt die Forderungseintreibung möglich (ebenso AG Hamburg - St. Georg a.a.O.). Zwar wird der Kläger damit dem Risiko unterworfen, in der Zukunft erneut unberechtigterweise in Anspruch genommen zu werden. Diesem Risiko hat er sich aber selbst ausgesetzt, indem er die Löschung der Daten verlangt hat. Dies ist von ihm hinzunehmen (ebenso AG Hamburg - St. Georg a.a.O.).

Die Interessen des Klägers an seinem Recht zur informationellen Selbstbestimmung überwiegen im vorliegenden Fall. Bereits durch die Verarbeitung seiner Daten ohne seine Einwilligung werden seine Grundrechte aus Art. 7, 8 GRCh betroffen. Seine Daten werden bei einem Inkassounternehmen, wie der Beklagten zu 2), und einem Unternehmen, das sich mit Einwohnermeldeanfragen befasst, wie der Beklagten zu 1) gespeichert, ohne dass dies durch eine Forderungseintreibung veranlasst wäre. Die Speicherung der Daten des Klägers beruht auf der Namensidentität mit seinem Sohn und der damit verbundenen Verwechselung mit dem Schuldner. Zwar ist entgegen der Darlegung des Klägers ein Schufa-Eintrag nicht erfolgt, denn ausweislich des vorgelegten Schreibens der Schufa vom 17.04.2020 (Anlage K9) liegen dort nur positive Vertragsinformationen zu ihm vor. Gleichwohl ist es in Zukunft nicht auszuschließen, dass auf Anfrage bei den Beklagten die Daten des Klägers weiterverbreitet werden und den unzutreffenden Eindruck erwecken, ein Inkassounternehmen sei mit der Eintreibung einer Forderung gegen ihn oder mit der Ermittlung seiner Wohnanschrift beauftragt worden, was gegen seine Bonität spricht. Im Hinblick auf den hohen Wert, den die Charta der Grundrechte der Europäischen Union dem Schutz der personenbezogenen Daten in Art. 8 GRCh und damit dem Recht auf informationelle Selbstbestimmung beimisst, hat das Interesse der Beklagten an einer einfachen Beitreibung von Schulden ohne Fehlermittlungen von Anschriften zurückzustehen.

c) Der Anspruch auf Löschung entfällt auch nicht gemäß Art. 17 Abs. 3 b) DSGVO. Wie bereits unter Ziffer cc) ausgeführt steht die rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 147 AO dem Löschungsanspruch nicht entgegen.

2. Dem Kläger steht ein Anspruch gegen die Beklagten auf Unterlassung der Verarbeitung seiner personenbezogenen Daten insoweit zu, als er als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen vom 21.12.2015 geführt wird, §§ 823, 1004 BGB.

Die Geltendmachung eines Anspruchs auf Unterlassung aus §§ 823 Abs. 1 i.V.m. 1004 BGB ist neben den Rechten aus der Datenschutzgrundverordnung möglich, da nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden kann, die wiederum in das Persönlichkeitsrecht des Betroffenen gemäß Art. 1, 2 GG rechtswidrig eingreift, auch wenn ein solcher Anspruch in der Datenschutzgrundverordnung weder explizit geregelt ist noch etwa gemäß Art. 17 DSGVO über eine Auslegung ein solcher Unterlassungsanspruch anzunehmen sein könnte (Senat, Urteil vom 31.8.2021 - 4 U 324/21 - juris; Beschluss vom 19.04.2021 - 4 W 243/21 - juris; ebenso Landgericht Darmstadt, Urteil vom. 26.05.2020 - 13 O 244/19, Rn. 38 - juris; a.A. allerdings VG Regensburg, Gerichtsbescheid vom 06.08.2020 - Rn 9 K 19.1061 - juris; vgl. zum Streitstand Halder, jurisPR-ITR 4/2021 Anm. 5). Würde man einen solchen Unterlassungsanspruch verneinen, wäre kein ausreichender Individualrechtsschutz gegeben. Es ist daher nicht davon auszugehen, dass die Datenschutzgrundverordnung, weil sie keinen ausdrücklichen Unterlassungsanspruch enthält, eine Sperrwirkung entfaltet (so auch Landgericht Darmstadt, a.a.O.). Die Voraussetzungen für einen solchen Unterlassungsanspruch liegen vor. Wie bereits ausgeführt war die Verarbeitung der personenbezogenen Daten nicht rechtmäßig, auch eine Wiederholungsgefahr liegt vor. Ein rechtswidriger Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründet eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. Diese Vermutung kann entkräftet werden, wobei daran strenge Anforderungen zu stellen sind; im Grundsatz ist eine strafbewehrte Unterlassungserklärung erforderlich (vgl. Senat, Beschluss vom 18.10.2021 - 4 U 1407/21 - juris). Vorliegend haben die Beklagten die Vermutung für eine Wiederholungsgefahr nicht widerlegt. Sie bestehen vielmehr darauf, dass die Datenverarbeitung rechtmäßig war und ihnen auch zukünftig gestattet ist. Allerdings kann die Unterlassung der Verarbeitung der personenbezogenen Daten nur insoweit verlangt werden, als der Kläger als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen geführt wird. Denn es kann für die Zukunft nicht ausgeschlossen werden, dass ein anderer Gläubiger Forderungen gegen den Kläger haben wird, mit deren Eintreibung die Beklagten beauftragt werden. In diesem Rahmen kann die Berechtigung zur Datenverarbeitung nicht verneint werden. Dies gilt auch insoweit, als die Beklagten berechtigt sind, die personenbezogenen Daten des Klägers im Zusammenhang mit der vorliegenden rechtlichen Auseinandersetzung zu speichern und zu verarbeiten.

3. Dem Kläger steht kein Anspruch auf Schadensersatz gemäß § 82 Abs. 1 DSGVO gegen die Beklagten zu. Der Kläger hat den Eintritt eines kausal auf die Pflichtverletzung der Beklagten zurückzuführenden Schadens nicht schlüssig dargelegt. Der geltend gemachte Schadensersatzanspruch in Höhe von 10.000,00 € findet im Vortrag überhaupt keine Stütze. Zu seinem materiellen Schaden hat der Kläger ausgeführt, dass ihm durch die Beantragung von Meldebescheinigungen, Geburtsurkunden, Aufforderungsschreiben durch den Prozessbevollmächtigten ein Schaden von mehreren hundert Euro entstanden sei. Der Kläger hat seinen Schaden nicht beziffert, was ihm aber unschwer möglich gewesen wäre. Denn die Kosten für die Einholung von behördlichen Bestätigungen lassen sich beziffern. Soweit er vorgerichtliche Kosten seines Rechtsanwaltes behauptet, so ist dies bereits Gegenstand seines Klageantrages. Es fehlt jegliche konkrete Darlegung der Höhe des bei ihm eingetretenen Schadens.

Der Kläger hat auch einen immateriellen Schaden nicht dargelegt. Sein Vortrag ist insoweit schon widersprüchlich und nicht nachvollziehbar. Er behauptet, er sei ernsthaft in Misskredit gebracht worden, weil er unberechtigter Weise der Schufa gemeldet worden sei. Dies ist aber nicht zutreffend. Die Beklagten haben in Abrede gestellt, eine Schufa-Meldung erstattet zu haben. Aus der von vom Kläger vom 17.04.2020 (Anlage K9) vorgelegten Schufa-Auskunft ergibt sich ebenfalls keine Meldung über seine Person. Dort heißt es vielmehr ausdrücklich, dass bis zum 17.04.2020 dort ausschließlich positive Vertragsinformationen über den Kläger vorgelegen haben. Er hat in allen Bereichen die beste Ratingstufe: A und der Orientierungswert zur Bonität beträgt für ihn 113 bei einem Bereich von 100 (sehr gute Bonität) bis 600 (Insolvenzverfahren). Eine Beeinträchtigung seines Ansehens durch die Datenverarbeitung der Beklagten ist nicht ersichtlich und von ihm auch nicht nachvollziehbar dargelegt worden. Es kommt daher nicht auf die in der Rechtsprechung streitig diskutierte Frage an, ob auch wegen immaterieller Bagatellschäden ein Ausgleich erfolgen muss (vgl. Senat, Urteil vom 31.08.2021 - 4 U 324/21 - juris). Denn der Wortlaut von § 82 Abs. 1 DSGVO setzt den Eintritt eines Schadens voraus (vgl. Hanseatisches Oberlandesgericht Bremen, Beschluss vom 16.07.2021 - 1 W 18/21 - juris). Die Frage, ob bei einem immateriellen Bagatellschaden - anders an in anderen Fällen der Persönlichkeitsrechtsverletzung - eine Entschädigung zu zahlen ist, stellt sich nicht. Erst wenn der Eintritt des Schadens feststeht, ist in einem zweiten Schritt zu entscheiden, ob ein erheblicher Schaden oder ein Bagatellschaden vorliegt. Auch aus den Ausführungen im Erwägungsgrund 75 lässt sich entnehmen, dass von dem Erfordernis des Eintritts eines Schadens nicht abgesehen wird. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einer physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn ...“

4. Die Beklagten sind gemäß Art. 19 Satz 2 DSGVO verpflichtet, die Löschung der personenbezogen Daten des Klägers allen Empfängern, denen diese Daten offengelegt wurden, mitzuteilen und den Kläger davon zu unterrichten."


Den Volltext der Entscheidung finden Sie hier:


Landesdatenschutzbeauftragter RLP: Datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz eingeleitet.

Die Pressemitteilung des Landesdatenschutzbeauftragten RLP

Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein

Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die LUCA-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen wurden bereits versendet.

Hintergrund ist ein Vorfall aus dem November 2021. Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die LUCA-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten. Das Gesundheitsamt kam der Aufforderung nach und übermittelte die Daten von 21 Personen, die der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt wurden. Die Betroffenen wurden dann von der Polizei kontaktiert und zu dem Vorfall befragt. Mittlerweile haben die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, kommentiert der Landesbeauftragte Prof. Dr. Kugelmann den Vorfall. Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes geht eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürfen und eine anderen Zwecken dienende Datenverwendung unzulässig ist. „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden Pandemie das völlig falsche Signal.“ Kugelmann kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

LG Berlin: Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO umfasst nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen

LG Berlin
Urteil vom 21.12.2021
4 O 381/20


Das LG Berlin hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen umfasst.

Aus den Entscheidungsgründen:
Der Auskunfts- und Herausgabeanspruch aus § 15 DS-GVO betrifft lediglich personenbezogene Daten, nicht aber Dokumenten, die Vertragserklärungen enthalten. Zwar ist der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen; davon wären auch Beitragsanpassungsschreiben erfasst, die den Namen des Klägers enthalten. Ein derartiges am Wortlaut haftendes Verständnis ist mit dem Zweck des Auskunftsanspruchs nach Art. 15 DS-GVO unvereinbar. Die Auskünfte, die eine natürliche Person nach Art. 15 DS-GVO fordern kann, dienen primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DS-GVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf Einschränkung der Verarbeitung nach Art. 18. Zwar mag eine Auskunft über personenbezogene Daten auch Erkenntnisse und Indizien hervorbringen, die einen Anspruch nach gänzlich anderen Vorschriften begründen oder zumindest nahelegen können. Dabei handelt es aber nicht um den eigentlichen Zweck der DS-GVO, sondern um einen bloß zufälligen Nebeneffekt. Es gibt keine Anhaltspunkte dafür, dass die DS-GVO gezielt dazu geschaffen worden wäre, die grundsätzliche Struktur des deutschen Zivilprozessrechts, die jedem Anspruchsteller die Darlegung und den Beweis der ihm günstigen Tatsachen auferlegt, umzukehren (OLG Köln r+s 2021, 97 Rn. 73, beck-online). Danach sind die vorliegend antragsgegenständlichen Auskünfte nicht mehr als personenbezogen (Art. 4 Nr. 1 DS-GVO) zu verstehen, sondern als vertragsbezogen.

Den Volltext der Entscheidung finden Sie hier:

OLG Dresden: Geschäftsführer ist neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO und haftet als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO

OLG Dresden
Urteil vom 30.11.2021
4 U 1158/21


Das OLG Dresden hat entschieden, dass der Geschäftsführer einer GmbH neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO ist und persönlich als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO haftet.

Aus den Entscheidungsgründen:
1. Nach Rücknahme der Berufungen durch die Beklagten und deren Streithelfer steht ein jeweils selbstständiger Verstoß gegen die Vorschriften der DS-GVO durch die Beklagten rechtskräftig fest. Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 - nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

Die Beklagten haben auch personenbezogene Daten im Sinne des Art. 4 Ziff. 1 DS-GVO verarbeitet. Denn nach Art. 4 Ziff. 2 DS-GVO fällt hierunter das Erheben und Erfassen von Daten ebenso wie die Offenlegung durch Übermittlung oder das Abfragen sowie die Verbreitung oder eine andere Form der Bereitstellung.

Die in dieser Weise durch die Beklagten als Verantwortliche durchgeführte Datenverarbeitung war unrechtmäßig. Dabei ist unerheblich, dass der Kläger seine Einwilligung nur im Hinblick auf die Weitergabe seiner Daten zu werblichen Zwecken ausdrücklich untersagt hat. Nach der Regelungsstruktur der DS-GVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DS-GVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall, wie das Landgericht zutreffend erkannt hat. Eine Rechtfertigung nach Art. 6 Abs. 1f DS-GVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DS-GVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich. Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes im Sinne von Art. 5 Abs. 1 b DS-GVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinne einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss indessen, dass die Datenverarbeitung zur Erreichung des Zweckes nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist (Gola-Schulz, a.a.O., Art. 6 Rz. 20 m.w.N.). Dies war hier nicht der Fall. Dabei kann offenbleiben, ob nach § 2 Abs. 2 der Satzung des Beklagten zu 1) grundsätzlich nicht auch ehemaligen Straftätern oder nicht einwandfrei beleumundeten Personen die Möglichkeit einer Vereinsmitgliedschaft - in Abhängigkeit von der Art der zuvor begangenen Verfehlungen - zu gewähren wäre. Auch wenn es danach gerechtfertigt wäre, extremistische politische Gesinnungen aus dem Verein fernzuhalten oder Personen allein wegen eines gegen diese geführten Ermittlungsverfahrens von vornherein auszuschließen, so hätte es vorliegend genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern, nachdem dieser auch nach Behauptung des Beklagten zu 1) von sich aus ein gegen ihn geführtes Ermittlungsverfahren angesprochen haben soll. Die durch den Streithelfer abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DS-GVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.

2. Die unzulässige Datenverarbeitung durch die Beklagten zu 1) und 2) rechtfertigt einen immateriellen Schadensersatz nach Art. 82 DS-VGO allerdings lediglich in der vom Landgericht ausgeurteilten Höhe. Die hiergegen gerichteten Einwendungen des Klägers in der Berufungsbegründung der mündlichen Verhandlung vor dem Senat greifen nicht durch.

Im Einzelnen:

a) Entgegen der Auffassung der Beklagten überschritt die Ausspähung des Klägers eindeutig die Bagatellschwelle. Die Datenweitergabe mit den daraus resultierenden Folgen ging über die reine Privatsphäre oder das Privatverhältnis zwischen dem Kläger und dem Beklagten zu 2) weit hinaus, denn nachdem dieser die Weitergabe der erhobenen Daten angeordnet hatte, wurden die hieraus gewonnenen Ergebnisse den übrigen Vorstandsmitgliedern des Beklagten zu 1) bekannt gegeben. Des Weiteren wurde dem Kläger die Mitgliedschaft im Verein versagt, was zwar nicht unmittelbar zu wirtschaftlichen Einbußen geführt, aber sein Interesse beeinträchtigt hat, als Autohändler auch durch die Mitorganisation der Oldtimer-Ausfahrten auf sich aufmerksam zu machen. Des Weiteren musste der Kläger subjektiv damit rechnen, dass die über ihn eingeholten Daten nicht lediglich an zwei Vorstandsmitglieder gelangt sind und damit Details aus seiner Vergangenheit möglicherweise in einem größeren Umfeld bekannt geworden sind.

Damit ist unabhängig von der Frage, wie glaubwürdig die Einlassungen des Klägers zu seinen negativen Erfahrungen im Zusammenhang mit DDR-Recht sind, die Schwelle zur Bagatellverletzung überschritten und handelt es sich nicht um eine völlig unerhebliche Beeinträchtigung.

Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch i.R.d. Art. 82 DS-VGO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen (vgl. Arbeitsgericht Düsseldorf, Urt. v. 05.03.2020 - 9 Ca 6557/18, juris, Rz. 104; Albrecht, Urteilsanmerkung in juris PR-ITR 19/20 vom 18.09.2020; Pahl-Alibrandi, ZD 2021 „auch immaterieller Schadensersatz bei Datenschutzverstößen - Bestandsaufnahme und Einordnung der bisherigen Rechtsprechung zu Art. 82 DS-GVO, S. 241 - 247). Nach Erwägungsgrund Nr. 146 der DS-GVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit - entgegen der Auffassung der Beklagten - auch eine abschreckende Sanktion nicht ausgeschlossen (Gola, a.a.O., Art. 82 Rz. 3 m.w.N.). Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben (vgl. EuGH, Urteil vom 17.12.2015 - C 407/14 Rz. 44). Vorliegend handelte es sich aber lediglich um einen einmaligen Verstoß, dass bei der Beklagten regelhaft Daten über alle Antragsteller durch Einschaltung eines Detektivbüros erhoben werden, hat der Kläger zu beweisen, die Beklagtenseite hat insoweit unwidersprochen vorgetragen, dass frühere „Ausspähungen“ nur im Rahmen von Arbeitsverhältnissen und zur Überprüfung konkreter Verdachtsmomente im Hinblick auf Straftaten erfolgt sind. Ebenso wenig ist der Senat von den Darlegungen des Klägers im Hinblick auf seine persönliche besondere Betroffenheit wegen vorheriger traumatischer Erfahrungen seiner Familie im Rahmen des DDR-Regimes überzeugt. Weiter ist zu berücksichtigen, dass nach den insoweit ebenfalls unwidersprochen gebliebenen Ausführungen des Beklagten zu 2) in der mündlichen Verhandlung vom 09.11.2021 der Beklagte zu 1) insoweit Konsequenzen gezogen hat, als er den Beklagten zu 2) von sämtlichen leitenden Funktionen bei der Beklagten zu 1) u. a. wegen des streitgegenständlichen Vorfalls ausgeschlossen hat. Umgekehrt ist allerdings zu Lasten der Beklagten zu berücksichtigen, dass es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handelte, so dass insofern der Verstoß, auch wenn die über den Kläger erhobenen Daten nicht weitergegeben worden sein sollten, hinreichend schwer wiegt. In der Gesamtabwägung hält der Senat das bereits vom Landgericht ausgeurteilte Schmerzensgeld in Höhe von 5.000,00 € für angemessen. Zur Vermeidung von Wiederholungen nimmt er auf die umfassende Abwägung in der angefochtenen Entscheidung Bezug.


Den Volltext der Entscheidung finden Sie hier:


KG Berlin legt EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vor - Bußgeldverfahren unmittelbar gegen Unternehmen

KG Berlin
Beschluss vom 06.12.2021
3 Ws 250/21


Das KG Berlin hat dem EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vorgelegt. Insbesondere geht es um die Streitfrage, ob Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden können.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verord­nung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?

2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszul­egen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettb­werbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability") ?



BGH: Volltexte der jameda-Entscheidungen liegen vor - Kein Löschungsanspruch aus Art. 17 Abs. 1 DSGVO gegen Arztbewertungsportal jameda

BGH
Urteil vom 12.10.2021 - VI ZR 488/19
Urteil vom 12.10.2021 - VI ZR 489/19
DSGVO Art. 6 Abs. 1 Satz 1 Buchst. f, Art. 17 Abs. 1, Art. 21 Abs. 1, Art. 85 Abs. 2; EU-Grundrechtecharta Art. 11 Abs. 1; BayDSG Art. 38 Abs. 1


Der BGH hat entschieden, dass gegen das Arztbewertungsportal jameda kein Löschungsanspruch aus Art. 17 Abs. 1 DSGVO besteht, da die mit einem Eintrag verbundene Verarbeitung nach Art. 6 Abs. 1 Satz 1 Buchst. f. DSGVO gerechtfertigt ist.

Leitsätze des BGH (in beiden Entscheidungen identisch):

a) Der Betreiber eines Ärztebewertungsportals unterliegt keinem strengen Gleichbehandlungsgebot in dem Sinne, dass eine Ungleichbehandlung von Ärzten, die keine (zahlenden) Kunden des Portalbetreibers sind, einerseits und Ärzten, die für ihr Profil bezahlen, andererseits stets zur Unzulässigkeit der Verarbeitung der personenbezogenen Daten von nichtzahlenden Ärzten führt, die der Verarbeitung ihrer personenbezogenen Daten im Portalbetrieb widersprochen haben. Maßgeblich ist vielmehr, welche konkreten Vorteile der Portalbetreiber zahlenden gegenüber nichtzahlenden Ärzten gewährt und ob die sich daraus ergebende Ungleichbehandlung in einer Gesamtschau mit allen anderen Umständen des konkreten Einzelfalls dazu führt, dass die Interessen des gegen seinen Willen in das Portal aufgenommenen Arztes die berechtigten Interessen des Portalbetreibers und vor allem der Portalnutzer überwiegen (Fortführung Senatsurteil vom 20. Februar 2018 - VI ZR 30/17, BGHZ 217, 340 Rn. 18 - Ärztebewertung III).

b) Zum sogenannten "Medienprivileg" im Sinne des Art. 38 Abs. 1 BayDSG in Verbindung mit Art. 85 Abs. 2 DS-GVO.

BGH, Urteil vom 12. Oktober 2021 - VI ZR 488/19 und VI ZR 489/19 - OLG Köln - LG Bonn

Die Volltexte der Entscheidungen finden Sie hier:
Urteil vom 12.10.2021 - VI ZR 488/19
Urteil vom 12.10.2021 - VI ZR 489/19


Die Pressemitteilung des BGH:

Schriftliche Urteilsgründe in den "JAMEDA"-Verfahren liegen vor Urteile vom 12. Oktober 2021 – VI ZR 488/19 und VI ZR 489/19

Der unter anderem für das allgemeine Persönlichkeitsrecht zuständige VI. Zivilsenat des Bundesgerichtshofs hat in zwei das Ärztebewertungsportal "JAMEDA" (Az. VI ZR 488/19 und VI ZR 489/19) betreffenden Verfahren die schriftlichen Gründe der am 12. Oktober 2021 verkündeten Urteile vorgelegt. Die Urteile sind in der Entscheidungsdatenbank auf der Website des Bundesgerichtshofs (www.bundesgerichtshof.de) abrufbar.

Sachverhalt:

Die Beklagte betreibt das Ärztebewertungsportal "JAMEDA", das monatlich von mindestens sechs Millionen Nutzern besucht wird. Sie erstellt dabei für alle Ärzte unter Verwendung von Daten aus allgemein zugänglichen Quellen ein Basisprofil mit Namen, akademischem Grad, Fachrichtung, Praxisanschrift, weiteren Kontaktdaten und Sprechzeiten. Nutzer des Portals können die Ärzte nach bestimmten, vorgegebenen Kriterien benoten und in Form von Freitextkommentaren bewerten. Aus den abgegebenen Einzelbewertungen werden für die unterschiedlichen Kategorien Durchschnittsnoten gebildet, aus den Durchschnittsnoten der verschiedenen Kategorien wiederum eine Gesamtnote für den jeweiligen Arzt, die auf dessen Profil sichtbar ist. Die Beklagte bietet den in ihrem Portal erfassten Ärzten den Erwerb eines "Gold"- oder "Platinpakets" gegen monatliche Zahlungen von 69 € bzw. 139 € an, die es ermöglichen, die Profilseiten - etwa durch Hinzufügen eines Fotos, Setzen eines Links auf die eigene Internetseite oder die Veröffentlichung von Fachartikeln - ansprechender zu gestalten.

Die Klägerin im Verfahren VI ZR 488/19 ist Fachzahnärztin für Parodontologie, der Kläger im Verfahren VI ZR 489/19 Fachzahnarzt für Oralchirurgie. Sie verfügen über kein kostenpflichtiges Paket bei der Beklagten; in ihre Aufnahme in das Portal der Beklagten haben sie nicht eingewilligt. Beide werden von der Beklagten deshalb mit einem Basisprofil geführt. Mit ihren Klagen verlangen sie zum einen die vollständige Löschung ihrer Daten aus dem Portal der Beklagten, zum anderen, es auch in Zukunft zu unterlassen, sie betreffende Profile zu veröffentlichen, wenn das Portal bestimmte, im einzelnen beschriebene Merkmale aufweist. Konkret wenden sie sich hierbei gegen eine Vielzahl von - im Einzelnen bezeichneten - Unterschieden bei der Ausgestaltung von zahlungspflichtigen Gold- oder Platinprofilen einerseits und Basisprofilen andererseits (z. B.: Verlinkung anderer Ärzte bzw. Ärztelisten, die Möglichkeit, Bilder, Texte u. ä. einzustellen, Werbung von Drittunternehmen) sowie eine unterschiedliche Behandlung von zahlenden und nichtzahlenden Ärzten in Bezug auf bestimmte Serviceleistungen, etwa eine professionelle Hilfestellung beim Verfassen von Texten oder eine kostenlose Hotline nur für zahlende Ärzte.

Prozessverlauf:

Das Landgericht Bonn (9 U 157/18 bzw. 18 U 143/18) hat beiden Klagen stattgegeben. Die dagegen gerichteten Berufungen der Beklagten hat das Oberlandesgericht Köln (15 U 89/19 bzw. 15 U 126/19) hinsichtlich der Löschungsanträge zurückgewiesen. Hinsichtlich der - im Revisionsverfahren allein noch relevanten - Unterlassungsanträge hat es das landgerichtliche Urteil unter Zurückweisung der weitergehenden Berufungen der Beklagten überwiegend abgeändert und die Klagen abgewiesen. Nach seiner Auffassung ist die Zulässigkeit der Aufnahme der Kläger in das Portal an Art. 6 Abs. 1 Buchst. f DS-GVO zu messen, wonach eine rechtmäßige Datenverarbeitung voraussetzt, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Beklagten und ihrer Nutzer erforderlich ist und die Interessen der Kläger als betroffene Personen nicht überwiegen. Im Rahmen der damit gebotenen Einzelfallabwägung sei von den Grundsätzen des Urteils des Bundesgerichtshofs vom 20. Februar 2018 (VI ZR 30/17, GRUR 2018, 636) auszugehen. Danach erfülle das von der Beklagten betriebene Portal eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion. Der Portalbetreiber könne seine auf das Grundrecht der Meinungs- und Medienfreiheit gestützte Rechtsposition gegenüber den Betroffenen aber nur mit geringerem Gewicht geltend machen, soweit er seine Stellung als neutraler Informationsmittler nicht mehr wahre und seinen eigenen Kunden in Gewinnerzielungsabsicht verdeckte Vorteile verschaffe; erforderlich sei hierfür, dass Basiskunden auf dem Portal als "Werbeplattform" für Premiumkunden benutzt würden und dass den Premiumkunden dadurch ein Vorteil gewährt werde, der schließlich aus Sicht des durchschnittlichen Nutzers verdeckt, mithin für diesen nicht erkennbar, erfolge. Dies sei nur hinsichtlich eines (geringen) Teils der Unterlassungsanträge der Fall. Mit ihren Revisionen haben die Kläger ihre Begehren, soweit sie abgewiesen wurden, weiterverfolgt. Soweit die Beklagte zur Löschung und Unterlassung verurteilt worden ist, ist das Berufungsurteil rechtskräftig geworden.

Die Entscheidungen des VI. Zivilsenats:

Der VI. Zivilsenat hat die Revisionen der Kläger zurückgewiesen. Die Auffassung des Oberlandesgerichts, die Kläger hätten insoweit keinen Unterlassungsanspruch gegen die Beklagte, trifft im Ergebnis zu.

Ob ein Unterlassungsanspruch besteht, richtet sich im Ausgangspunkt nach Art. 17 Abs. 1 DS-GVO. Der Anwendung dieser Vorschrift stehen insbesondere nicht Art. 38 Abs. 1 BayDSG in Verbindung mit Art. 85 Abs. 2 DS-GVO und das dort geregelte "Presseprivileg" entgegen; denn die Beklagte verarbeitet in dem von ihr betriebenen Portal die personenbezogenen Daten der Kläger nicht zu "journalistischen Zwecken" im Sinne dieser Vorschriften.

Die tatbestandlichen Voraussetzungen für einen Unterlassungsanspruch aus Art. 17 Abs. 1 DSG-GVO sind in den Streitfällen nicht erfüllt. Insbesondere scheitert ein Unterlassungsanspruch aus Art. 17 Abs. 1 Buchst. d DS-GVO daran, dass die von den Klägern bekämpfte Datenverarbeitung gemäß Art. 6 Abs. 1 Satz 1 Buchst. f. DS-GVO rechtmäßig ist. Denn mit dem Portalbetrieb und der damit verbundenen Verarbeitung der genannten personenbezogenen Daten der Kläger verfolgt die Beklagte berechtigte, von Art. 11 GRCh (Freiheit der Meinungsäußerung und Informationsfreiheit) und Art. 16 GRCh (Unternehmerische Freiheit) geschützte Interessen, die Datenverarbeitung geht über das dafür unbedingt Notwendige nicht hinaus und die durchzuführende Abwägung der nach den konkreten Umständen des Einzelfalls gegenüberstehenden Rechte und Interessen fällt hinsichtlich der im Revisionsverfahren noch streitgegenständlichen Gestaltungselemente des Portalbetriebs der Beklagten nicht zugunsten der Kläger aus. Vom VI. Zivilsenat besonders hervorgehoben wurde dabei, dass aus dem Umstand, dass im Rahmen der Abwägung - wie der erkennende Senat in einem Urteil vom 20. Februar 2018 (VI ZR 30/17, BGHZ 217, 340 Rn. 11 ff.) ausgeführt hatte - auch in den Blick zu nehmen ist, ob die Beklagte als "neutrale Informationsmittlerin" agiert, kein strenges Gebot zur Gleichbehandlung zahlender und nichtzahlender Ärzte folgt. Maßgebend ist vielmehr, welche konkreten Vorteile die Beklagte zahlenden gegenüber nichtzahlenden Ärzten gewährt und ob die sich daraus ergebende Ungleichbehandlung in einer Gesamtschau mit allen anderen Umständen des konkreten Einzelfalls dazu führt, dass die Interessen des gegen seinen Willen in das Portal aufgenommenen Arztes die berechtigten Interessen der beklagten Portalbetreiberin und vor allem der Portalnutzer überwiegen. Dabei ist zu berücksichtigen, dass Ärzte es grundsätzlich hinzunehmen haben, in einem Bewertungsportal geführt und dort bewertet zu werden. Die noch streitgegenständlichen Gestaltungselemente führten in den Streitfällen nicht zu nicht nur unerheblich darüberhinausgehenden Belastungen für die Kläger.

Die maßgeblichen Vorschriften lauten:

Artikel 6 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

[…].

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

[…]

Artikel 17 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

[…]

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, […]

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

[…]

Artikel 21 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e oder f erfolgt, Widerspruch einzulegen; […]. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder […].

[…].

Artikel 85 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken […], in Einklang.

(2) Für die Verarbeitung, die zur journalistischen Zwecken […] erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), […] vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

[…]

Artikel 38 des Bayerischen Datenschutzgesetzes (BayDSG):

(1) Werden personenbezogene Daten zu journalistischen, […] Zwecken verarbeitet, stehen den betroffenen Personen nur die in Abs. 2 genannten Rechte zu. […].

[…].

Artikel 7 der EU-Grundrechte-Charta (GRCh):

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Artikel 11 der EU-Grundrechte-Charta (GRCh):

(1) Jede Person hat das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben.

[…]

Artikel 16 der EU-Grundrechte-Charta (GRCh):

Die unternehmerische Freiheit wird nach dem Unionsrecht und den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten anerkannt.




LG Saarbrücken legt EuGH Fragen zum Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO zur Entscheidung vor

LG Saarbrücken
Beschluss vom 22.11.2021
5 O 151/19

Das LG Saarbrücken hat dem EuGH Fragen zum Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO zur Entscheidung vorgelegt.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung von Kapitel VIII, insbesondere von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung, DSGVO) vorgelegt:

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit ?

2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird ?

3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten ?

4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht ?

Den Volltext der Entscheidung finden Sie hier:


LG München: 2.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf Dokumentenarchiv durch Unbefugte

LG München
Urteil vom 09.12.2021
31 O 16606/20


Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.

Aus den Entscheidungsgründen:

Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.

Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.

Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.

Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).

Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.

Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.


Den Volltext der Entscheidung finden Sie hier:


AG Hamburg: Keine Auskunftspflicht des Insolvenzverwalters nach Art.15 DSGVO für Daten des Schuldners da nicht Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO

AG Hamburg
Urteil vom 15.11.2021
11 C 75/21


Das AG Hamburg hat entschieden, dass ein Insolvenzverwalter für Daten des Schuldners nicht nach Art. 15 DSGVO auskunftspflichtig ist. Der Insolvenzverwalter ist insofern kein Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO.

VG Wiesbaden legt EuGH vor: Darf Behörde Auskunft über verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern und ist dies mit Grundrechtecharta der EU vereinbar

VG Wiesbaden
Beschluss vom 30.07.2021
6 K 421/21.WI


Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob eine Behörde die Auskunft über die verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern darf und ob dies mit Grundrechtecharta der EU vereinbar ist.

Die Vorlagefragen:

II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich der folgenden Frage vorgelegt:

1) Sind Art. 15 Abs. 3 und Abs. 1 i.V.m. Art. 14 der Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl.EU L vom 4.5.2016 S. 119; zukünfig: Richtlinie (EU) 2016/680) im Lichte von Art. 54 Richtlinie (EU) 2016/680 so auszulegen, dass er eine nationale Regelung zulässt,

a) nach der bei gemeinsamer Verantwortlichkeit für eine Datenverarbeitung die eigentlich für die gespeicherten Daten verantwortliche Stelle nicht benannt werden muss und

b) die es zudem zulässt, dass einem Gericht keine inhaltliche Begründung für die Auskunftsverweigerung gegeben wird?

2) Falls die Fragen 1a und 1b zu bejahen sind, ist Art. 15 Abs. 3 und Abs. 1 der Richtlinie (EU) 2016/680 mit dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf aus Art 47 GRCh vereinbar, obwohl es dem Gericht so verunmöglicht wird

a) den nationalen Verfahrensvorschriften entsprechend in einem mehrstufigen Verwaltungsverfahren die weitere beteiligte und tatsächlich verantwortliche Behörde, die ihr Einvernehmen zur Auskunftserteilung erteilen muss, zum Verfahren beizuladen und

b) inhaltlich zu überprüfen, ob die Voraussetzungen für die Auskunftsverweigerung vorliegen und durch die die Auskunft verweigernde Behörde korrekt angewandt wurden?

3) Wird durch die Verweigerung der Auskunft und somit eines wirksamen Rechtsbehelfs nach Art. 47 GRCh rechtswidrig in die Berufsfreiheit nach Art. 15 GRCh eingegriffen, wenn die gespeicherten Informationen dazu genutzt werden, eine betroffene Person von der angestrebten Tätigkeit wegen eines vermeintlichen Sicherheitsrisikos auszuschließen.

Aus den Entscheidungsgründen:

Nach Art. 54 Richtlinie (EU) 2016/680 hat die betroffene Person einen Anspruch auf einen wirksamen Rechtsbehelf, so wie dies in Art. 47 Abs. 1 GRCh geregelt ist. Ein wirksamer Rechtsbehelf erfordert, dass es dem Gericht möglich ist, die behördliche Entscheidung zu überprüfen. Dies setzt voraus, dass eine Begründung der Verweigerung der Auskunft und bei einem gemeinsamen Verfahren, wie es vorliegend bei dem INPOL-System der Fall ist, eine Benennung der verantwortlichen Stelle, die für die streitgegenständlichen Daten verantwortlich ist und einer Beauskunftung widersprochen hat, erfolgt. Sie hat ihr Einvernehmen für die Auskunft zu erteilen oder gerade – wie hier zu verweigern. Die verantwortliche Stelle ist an dem „mehrstufigen“ Verwaltungsakt zwingende Mitwirkende und auch im verwaltungsgerichtlichen Verfahren notwendig beizuladen (§ 65 Abs. 2 VwGO), da das Gericht bei rechtwidriger Verweigerung des Einvernehmens dieses durch Urteil zu ersetzen hätte. Denn ohne das notwendige Einvernehmen dürfte das BKA keine Auskunft erteilen (§ 84 Abs. 1 S. 1 BKAG). Wenn dem Gericht im Verfahren über die Auskunft die verantwortliche Stelle jedoch schon nicht benannt wird, kann es diese nicht beiladen und über die Verweigerung des Einvernehmens ihr gegenüber nicht bindend entscheiden.

Ist eine Kontrolle des Verwaltungshandelns durch die Verwaltungsgerichte wegen der Verweigerung einer Begründung nicht möglich, muss die Rechtsschutzgarantie dadurch gewahrt werden, dass der Klage stattgegeben wird (ständige Rechtsprechung des VG Wiesbaden, vgl. Urteil vom 15. Februar 2016 – 6 K 1328/14.WI –, juris, Rn. 27; Urteil vom 04. September 2015 – 6 K 687/15.WI –, juris, Rn. 36 und ferner Urteil vom 26. März 2021 – 6 K 59/20.WI; so auch VG Köln, Urteil vom 18.4.2019 – 13 K 10236/16, juris, Rn. 54). Dies ist vorliegend aber nicht möglich, da das Einvernehmen der eigentlich verantwortlichen Stelle (Behörde) mangels notwendiger Beiladung nicht rechtwirksam ersetzt werden kann. Insoweit unterscheidet sich der Fall von den bisher entschiedenen Fällen, bei denen „nur“ die Auskunft über die Daten als solche verweigert wurde, die verantwortliche Behörde aber benannt worden war. Eine Verfahrensregelung für den vorliegenden Fall enthält die VwGO nicht. Sie enthält in § 99 Abs. 2 VwGO nur das sog. In-Camera-Verfahren bei der Verweigerung der Vorlage von Behördenakten. Hier wäre nach einer Sperrerklärung, welche aber auch zu begründen wäre, eine Vorlage und Prüfung durch das Bundesverwaltungsgericht möglich.

Vorliegend geht es aber schon vor der inhaltlichen Auskunft bzw. Überprüfungsmöglichkeit der Verweigerung derselben um die Benennung der verantwortlichen Stelle, um deren Daten es im INPOL-System geht. Sie ist unbekannt und das Bundeskriminalamt verweigert auch dem Gericht gegenüber die Angabe, um wen es sich handelt. Zwar hat der nationale Gesetzgeber Art. 21 Abs. 1 Richtlinie (EU) 2016/680 insoweit umgesetzt, dass sich der Verantwortliche nach § 57 BDSG zur Auskunft der Daten bzw. Verweigerung derselben bezogen auf die betroffene Person verantwortlich zeigt und über § 84 Abs. 1 Satz 1 BKAG das Bundeskriminalamt als „Sprachrohr“ für die übrigen verantwortlichen Stellen über die Auskunft bestimmt. Die Auskunft bedarf aber des Einvernehmens der jeweils verantwortlichen Stelle.

Die Verweigerung der Angaben über die eigentliche verantwortliche Stelle, welche einer Auskunft über ihre Daten widerspricht und das Einvernehmen verweigert, geht jedoch weiter als die Einschränkung der eigentlichen Auskunft nach Art. 15 Richtlinie (EU) 2016/680. Denn damit wird dem Gericht die Möglichkeit einer effektiven wirksamen Rechtskontrolle vollständig genommen. Dies insbesondere, wenn auch keinerlei Begründung für diese Verweigerungshandlung erfolgt bzw. die Begründung sich auf allgemeine Aussagen einer Gefährdung der Aufgaben der Behörden und der Gefahrenabwehr bezieht. Mithin wird der nationale Gesetztext wiedergegeben, dem Gericht wird aber eine Subsumtion unter diese Norm und eine Kontrolle der Richtigkeit der Subsumtion der Behörde vollständig mangels Informationen genommen.

Zieht man die Parallele zu einer Verweigerung der Aktenvorlage im verwaltungsgerichtlichen Verfahren, so würde die rein den gesetzlichen Verweigerungstatbestand wiedergebende Begründung nicht die Anforderungen erfüllen, wie sie für eine Sperrerklärung nach § 99 Abs. 2 VwGO notwendig ist. Hinzu kommt vorliegend, dass die eigentlich die Begründung liefernde Behörde anonym bleibt, mithin die Sperrerklärung nach § 99 Abs. 1 S. 2 VwGO von dieser gar nicht abgegeben oder begründet werden könnte. Mindestens einer aussagekräftigen Begründung einer Sperrerklärung bedarf es aber bei der Verweigerung von Behördenakten, damit ein wirksamer Rechtsschutz gewährt werden kann (BVerwG Urt. v. 14.12.2020 – 6 C 11.18 Rn. 27 m.w.N.).

Zur Ermöglichung effektiven Rechtsschutzes hat eine Behörde, die die Auskunft verweigert, das Vorliegen der Verweigerungsgründe nach § 56 Abs. 2 i.V.m. § 57 Abs. 4 BDSG plausibel und substantiiert darzulegen. Eine diesen Anforderungen genügende Begründung wäre ausreichend, um die Berechtigung zur Auskunftsverweigerung darzutun (HessVGH 20.10.2019 – 10 A 2678/18.Z; zum alten Recht HessVGH 17.4.2018 – 10 A 1991/17). Die Wiedergabe oder nur Umschreibung der gesetzlichen Grundlage reicht dafür nicht aus (BVerwG Beschl. v. 29.10.1982 – 4 B 172/82, BVerwGE 66, 233 ff. Rn. 6; VG Wiesbaden Urt. v. 26.3.2021 – 6 K 59/20.WI).

Das Bundeskriminalamt und die unbekannte Behörde – bei der es sich nur um eine Polizeibehörde handeln kann – legen das nationale Recht so weit aus, dass die umzusetzenden nationalen Rechtsnormen, die aus der Richtlinie (EU) 2016/680 folgen, mit dem Wesensgehalt der Rechte und Freiheiten des Betroffenen in Konflikt gerät.

Dabei ist zu beachten, dass die Eintragung in INPOL ganz offensichtlich zu einer Art Berufsverbot durch die sog. Sicherheitsüberprüfung geführt hat, bei der u.a. auf die Daten von INPOL zurückgegriffen wurde. Damit wurde in Art. 15 GRCh eingegriffen, wonach jede Person das Recht hat, zu arbeiten und einen frei gewählten oder angenommenen Beruf auszuüben. Gegen dieses „Berufsverbot“ kann sich der Kläger auch nicht wehren, da ihm nicht bekannt gegeben wird, welche verantwortliche Stelle eine „negative“ Eintragung vorgenommen hat, geschweige denn welche Eintragung hier die Aufnahme des gewünschten Berufes hindert. Auch ist eine Überprüfung, ob die Eintragung überhaupt rechtmäßig ist, nicht möglich.

Eine wirksame gerichtliche Überprüfung der behördlichen Entscheidung ist dem vorlegenden Gericht nicht möglich, da unter Berufung auf eine nationale Rechtsnorm die verantwortliche Stelle die Auskunft auch gegenüber dem Gericht verweigert wird und das Gericht sich zur Gewährung effektiven Rechtsschutzes im Sinne einer inhaltlichen Prüfung nicht in der Lage sieht. Hinzu kommt, dass auch die im verwaltungsgerichtlichen Verfahren vorgesehenen Mechanismen, wie vorliegend die notwendige Beiladung, durch Verweigerung der Benennung der verantwortlichen Stelle ausgehebelt werden. Eine nationale Rechtsnorm, die es dem Gericht ermöglicht, im Falle einer notwendigen Beiladung von einer solchen aus Geheimhaltungsgründen abzusehen, existiert nicht.

Damit ist wirksamer Rechtsschutz in zweifacher Hinsicht ausgeschlossen und es liegt auch ein Verstoß gegen das Recht auf ein faires Verfahren nach Art. 6 EMRK vor.

Das erkennende Gericht ist insoweit der Auffassung, die Verweigerung der Benennung der letztendlich verantwortlichen Stelle, insbesondere ohne jegliche nachvollziehbare Begründung, eine Überinterpretation des Art. 15 Richtlinie (EU) 2016/680 darstellt, welche allerdings durch den nationalen Gesetzgeber durch die sehr offene Regelung in § 57 Abs. 6 i.V.m. § 56 BDSG zugelassen worden ist, mit der Folge, dass die nationale Regelung in der sehr weiten Interpretation des Beklagten gegen Art. 8, Art. 15 und Art. 47, 52 und 54 GRCh sowie gegen Art. 14, 15 und 54 Richtlinie (EU) 2016/680 verstößt.


Den Volltext der Entscheidung finden Sie hier:



VG Köln: Anordnung der Abberufung eines Datenschutzbeauftragten durch Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig

VG Köln
Beschluss vom 10.11.2021
13 L 1707/21


Das VG Köln hat entschieden, dass die Anordnung der Abberufung eines Datenschutzbeauftragten durch di Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig ist.

Aus den Entscheidungsgründen:

Der zulässige – sinngemäß gestellte - Antrag nach § 80 Abs. 5 der Verwaltungsgerichtsordnung (VwGO),Gründe

die aufschiebende Wirkung der Klage des Antragstellers (13 K 5069/21) gegen Ziffern 2. und 3. der Anweisungsverfügung des Antragsgegners vom 27. September 2021wiederherzustellen,

hat in der aus dem Tenor ersichtlichen Form Erfolg.

Dabei ist zunächst die Anordnung der sofortigen Vollziehung schon formell rechtswidrig. Insoweit genügt bereits die Begründung der Anordnung der sofortigen Vollziehung in dem Bescheid des Antragsgegners vom 27. September 2021 nicht den maßgeblichen Anforderungen.

Gemäß § 80 Abs. 3 Satz 1 VwGO ist bei der Anordnung der sofortigen Vollziehung das besondere Interesse an der sofortigen Vollziehung schriftlich zu begründen. Dies soll den Betroffenen in die Lage versetzen, in Kenntnis dieser Gründe seine Rechte wirksam wahrzunehmen und die Erfolgsaussichten des Rechtsbehelfs abzuschätzen. Der Behörde wird zugleich der Ausnahmecharakter der Vollziehungsanordnung verdeutlicht und eine besonders sorgfältige Prüfung des Vollzugsinteresses auferlegt. Diese Warnfunktion soll zu einer sorgfältigen Prüfung des Interesses an der sofortigen Vollziehung veranlassen. Der Betroffene wird über die Gründe, die für die behördliche Entscheidung maßgebend gewesen sind, unterrichtet; er kann danach die Erfolgsaussichten eines Aussetzungsantrags gemäß § 80 Abs. 5 Satz 1 VwGO abschätzen. Dem Gericht erlaubt die Kenntnis der verwaltungsbehördlichen Erwägungen für die sofortige Vollziehbarkeit eine ordnungsgemäße Rechtskontrolle und ermöglicht gleichzeitig bei der eigenständig vom Gericht zu treffenden Ermessensentscheidung das Erkennen der gegebenenfalls maßgeblichen Parameter.

Notwendig ist dafür eine auf die Umstände des konkreten Falles bezogene Darlegung des besonderen Interesses gerade an der sofortigen Vollziehbarkeit des Verwaltungsakts. Insbesondere muss die Vollziehbarkeitsanordnung erkennen lassen, dass sich die Behörde des rechtlichen Ausnahmecharakters der Anordnung bewusst ist. Formelhafte, also für beliebige Fallgestaltungen passende Wendungen, formblattmäßige oder pauschale Argumentationsmuster oder die bloße Wiederholung des Gesetzestextes genügen nicht. Ebenso wenig reicht es aus, dass sich die Begründung erst aus dem Gesamtzusammenhang eines Bescheids ermitteln lässt, sofern nicht ausnahmsweise die den Erlass des Verwaltungsakts rechtfertigenden Gründe zugleich die Dringlichkeit der Vollziehung belegen. Das besondere Vollziehbarkeitsinteresse ist vielmehr gesondert zu begründen. Aus ihr muss hervorgehen, dass und warum die Verwaltung im konkreten Fall dem sofortigen Vollziehbarkeitsinteresse Vorrang vor dem Aufschubinteresse des Betroffenen einräumt,

vgl. nur Schoch in: Schoch/Schneider/Bier, VwGO, 41. EL Juli 2021, § 80 Rdn. 247 m.w.N.

Gemessen an diesen Grundsätzen genügt die Begründung des Sofortvollzuges der Ziffer 2 und 3 in der angegriffenen Anweisungsverfügung vom 27. September 2021 den Anforderungen des § 80 Abs. 3 Satz 1 VwGO nicht:

Zwar wird aus der Begründung, die sich ausführlich zu der abstrakten Frage verhält, ob die Aufsichtsbehörde überhaupt – entgegen § 20 Abs. 7 des Bundesdatenschutzgesetzes (BDSG) - die sofortige Vollziehung gegenüber einer Behörde anordnen darf, hinreichend deutlich, dass sich der Antragsgegner des Ausnahmecharakters der Anordnung der sofortigen Vollziehung bewusst gewesen ist. In der Folge werden in der Begründung jedoch keinerlei konkrete Umstände des Einzelfalles in den Blick genommen. Zudem wird sodann lediglich einseitig das öffentliche Interesse an einer sofortigen Vollziehung hervorgehoben, ohne dass eine Abwägung mit den Interessen des Antragstellers an der aufschiebenden Wirkung der Klage erfolgte. Etwaige Interessen des Antragstellers werden vielmehr nicht einmal bezeichnet.

Dieses Vorgehen genügt nach den aufgezeigten Maßstäben nicht den Anforderungen des § 80 Abs. 3 Satz 1 VwGO, weil bereits die Parameter für die Interessenabwägung nicht benannt werden.

Der Aussetzungsantrag hat mit der Maßgabe Erfolg, dass die aufschiebende Wirkung der Klage 13 K 5069/21, soweit Ziffern 2. und 3. der Anweisungsverfügung vom 27. September 2021 in Rede stehen, festzustellen war.

Es steht nämlich im Ergebnis ein so genannter Fall der „faktischen“ Vollziehung in Rede, d.h. einer Vollziehung, die unter Missachtung der aufschiebenden Wirkung eines Rechtsbehelfs erfolgt,

vgl. hierzu: W.-R. Schenke in: Kopp/Schenke, VwGO, 27. Auflage 2021, § 80 Rdn. 20.

Dies ergibt sich aus Folgendem:

Nach § 20 Abs. 7 BDSG darf die Aufsichtsbehörde gegenüber einer Behörde oder deren Rechtsträger nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.

Dies hat der Antragsgegner im Hinblick auf den Anwendungsvorrang des Unionrechts dennoch getan, weil er § 20 Abs. 7 BDSG für unanwendbar hält.

Es kann dahinstehen, ob die europarechtlichen Bedenken, die gegen die Regelung des § 20 Abs. 7 BDSG geltend gemacht werden,

vgl. hierzu statt Vieler: Schoch, a.a.O., § 80 Rdn. 222a,

zutreffen:

Zwar kann gerade bei Rechtsverletzungen im Datenschutzrecht mitunter schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten sein. Im Konfliktfall mag daraus die Unanwendbarkeit der innerstaatlichen Bestimmung bei Maßnahmen der Aufsichtsbehörde nach Art. 58 der Datenschutzgrundverordnung (DSGVO),

Verordnung Nr. 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Abl. L 119),

folgen,

vgl. Schoch, a.a.O.

Dass aber hier ein solcher Konfliktfall vorläge bzw. schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten wäre, ist vom Antragsgegner nicht dargelegt worden. Eine solche Konstellation ist auch sonst nicht ersichtlich, zumal der Antragsteller derzeit über einen behördlichen Datenschutzbeauftragten (Herrn C. F. ) verfügt.

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des § 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind.

Nach der genannten Norm darf die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.

„Verarbeitung“ im Sinne der DSGVO meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Abs. 2 DSGVO.

Dabei stellen die – allenfalls als einschlägig heranzuziehende - Organisation und das Ordnen von Daten Vorgänge dar, durch die Möglichkeiten zur Auffindung und Auswertung dieser Daten vereinfacht oder verbessert werden, etwa indem sie in einer in bestimmter Weise aufgebauten Datei gespeichert werden. Das Ordnen stellt einen Unterfall des allgemeineren Begriffs der Organisation dar; der Begriff des Ordnens stellt auf ein bestimmtes Kriterium ab, nach dem jeweils die Daten geordnet werden (z.B. nach alphabetischer oder numerischer Reihenfolge).

vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DSGVO Art. 4 Abs. 2 Rdn. 23.

Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier:




LG Detmold: Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt

LG Detmold
Urteil vom 26.10.2021
02 O 108/21


Das LG Detmold hat entscheiden, dass die Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich ist, wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt.

Aus den Entscheidungsgründen:

III) Der Auskunftsanspruch des Klägers lässt sich auch nicht auf § 15 DSGVO stützen. Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen. Es handelt sich dabei um einen Grundsatz, der als nationale Ausformung auch im Rahmen des § 15 DSGVO Geltung beansprucht. Danach ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat (vgl. Palandt-Grüneberg, BGB, 80. Aufl. 2021, § 242 Rn. 49 f.).

So liegt der Fall hier.

Nach dem Vortrag des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen. Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019 - 20 W 10/18).

Der Kläger macht keines der vorgenannten Interessen geltend.

Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz. Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunab-hängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden.


Den Volltext der Entscheidung finden Sie hier:

VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA

VG Wiesbaden
Beschluss vom 01.12.2021
6 L 738/21.WI


Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.

Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]

Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen ei
nes Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]

Den Volltext der Entscheidung finden Sie hier:

Aus den Entscheidungsgründen:

"VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA" vollständig lesen

EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen unionsrechtskonform

EuGH-Generalanwalt
Schlussanträge vom 02.12.2021
C-319/20
Facebook Ireland


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen unionsrechtskonform ist.

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Richard de la Tour können die Mitgliedstaaten Verbraucherschutzverbänden erlauben, gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen zu erheben

Diese Klagen müssen auf die Verletzung von Rechten gestützt sein, die den betroffenen Personen unmittelbar aus der Datenschutz-Grundverordnung erwachsen.

In Deutschland wirft der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (im Folgenden: Bundesverband) Facebook Ireland vor, bei der Bereitstellung kostenloser Spiele von Drittanbietern im „App-Zentrum“ der Plattform gegen Vorschriften über den Schutz personenbezogener Daten, zur Bekämpfung des unlauteren Wettbewerbs und über den Verbraucherschutz verstoßen zu haben. In diesem Zusammenhang erhob der Bundesverband vor den deutschen Gerichten Unterlassungsklage gegen Facebook Ireland.

Der Bundesgerichtshof (Deutschland) führt aus, dass Facebook Ireland den Nutzern die erforderlichen Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten nicht (in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache) übermittelt habe. Somit habe Facebook Ireland
gegen die Datenschutz-Grundverordnung verstoßen.

Der Bundesgerichtshof hat jedoch Zweifel daran, ob die Klage des Bundesverbands zulässig ist. Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen.

Aus dem Umstand, dass die Datenschutz-Grundverordnung den Aufsichtsbehörden umfangreiche Überwachungs-, Untersuchungs- und Abhilfebefugnisse einräume, könnte abgeleitet werden, dass es grundsätzlich Sache dieser Behörden sei, die Bestimmungen dieser Verordnung durchzusetzen.

Daher hat der Bundesgerichtshof den Gerichtshof um Auslegung der Datenschutz-Grundverordnung ersucht.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Jean Richard de la Tour dem Gerichtshof vor, die Datenschutz-Grundverordnung dahin auszulegen, dass sie einer nationalen Regelung nicht entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben, wenn
die betreffende Verbandsklage auf die Wahrung von Rechten gerichtet ist, die den Personen, die von der beanstandeten Verarbeitung betroffen sind, unmittelbar aus dieser Verordnung erwachsen.

Der Generalanwalt weist darauf hin, dass sich der Gerichtshof in seinem Urteil Fashion ID3 im Hinblick auf die Richtlinie 95/464
, der Vorgängervorschrift der Datenschutz-Grundverordnung, zu einer ähnlichen Frage geäußert habe. Der Gerichtshof habe für Recht erkannt, dass diese Richtlinie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegensteht.

Nach Auffassung des Generalanwalts können weder die Ersetzung der Richtlinie 95/46 durch eine Verordnung noch der Umstand, dass die Datenschutz-Grundverordnung nunmehr der Vertretung von betroffenen Personen bei Klagen einen Artikel widmet, die Feststellung des Gerichtshofs in diesem Urteil in Frage stellen.

So sei es den Mitgliedstaaten immer noch gestattet, bestimmten Einrichtungen die Möglichkeit einzuräumen, ohne Auftrag der betroffenen Personen und ohne dass vorgebracht werden müsste, dass konkrete Fälle im Hinblick auf individuell bezeichnete
Personen vorlägen, Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher zu erheben, wenn ein Verstoß gegen Bestimmungen dieser Verordnung geltend gemacht werde, mit denen den betroffenen Personen subjektive Rechte verliehen werden sollten.

Dies sei bei der Unterlassungsklage des Bundesverbands gegen Facebook Ireland der Fall. Der Generalanwalt führt ferner aus, dass die Datenschutz-Grundverordnung nationalen Bestimmungen nicht entgegenstehe, die einen Verband zur Wahrung von Verbraucherinteressen die Befugnis verliehen, über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken eine Unterlassungsklage zur Wahrung der durch diese Verordnung verliehenen Rechte zu erheben.

Solche Vorschriften können nämlich ähnliche Bestimmungen wie die der Datenschutz-Grundverordnung enthalten, insbesondere in Bezug auf die Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten. Folglich könne ein Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig zu einem Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken führen. Nach Auffassung des Generalanwalts kommt die Wahrung der Kollektivinteressen der Verbraucher durch Verbände dem Ziel der Datenschutz-Grundverordnung, ein hohes Schutzniveau für personenbezogene Daten zu schaffen, besonders entgegen.


Die vollständigen Schlussanträge finden Sie hier: