BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Urteil vom 23.05.2023
VI ZR 476/18

Der BGH hat in Umsetzung des Urteils des EuGH (siehe dazu EuGH: Suchmaschinenbetreiber Google muss offensichtlich unrichtige Inhalte nach Art. 17 DSGVO aus Suchindex entfernen - keine gerichtliche Entscheidung gegen Websitebetreiber erforderlich) entschieden, dass ein Anspruch des Betroffenen auf Löschung von Inhalten aus dem Google-Suchindex gemäß Art. 17 DGSVO bei Nachweis der offensichtlichen Unrichtigkeit besteht.

Die Pressemitteilung des EuGH:
Bundesgerichtshof entscheidet über Auslistungsbegehren gegen den Internet-Suchdienst von Google

Sachverhalt:

Der Kläger ist für verschiedene Gesellschaften, die Finanzdienstleistungen anbieten, in verantwortlicher Position tätig oder an ihnen beteiligt. Die Klägerin war seine Lebensgefährtin und Prokuristin einer dieser Gesellschaften. Auf der Webseite eines US-amerikanischen Unternehmens, dessen Ziel es nach eigenen Angaben ist, "durch aktive Aufklärung und Transparenz nachhaltig zur Betrugsprävention in Wirtschaft und Gesellschaft beizutragen", erschienen im Jahr 2015 mehrere Artikel, die sich kritisch mit dem Anlagemodell einzelner dieser Gesellschaften auseinandersetzten. Einer dieser Artikel war mit Fotos der Kläger bebildert. Über das Geschäftsmodell der Betreiberin der Webseite wurde seinerseits kritisch berichtet, u.a. mit dem Vorwurf, sie versuche, Unternehmen zu erpressen, indem sie zunächst negative Berichte veröffentliche und danach anbiete, gegen ein sog. Schutzgeld die Berichte zu löschen bzw. die negative Berichterstattung zu verhindern. Die Kläger machen geltend, ebenfalls erpresst worden zu sein. Sie begehren von der Beklagten als der Verantwortlichen für die Internetsuchmaschine "Google", es zu unterlassen, die genannten Artikel bei der Suche nach ihren Namen und den Namen verschiedener Gesellschaften in der Ergebnisliste nachzuweisen und die Fotos von ihnen als Vorschaubilder ("thumbnails") anzuzeigen. Die Beklagte hat erklärt, die Wahrheit der in den verlinkten Inhalten aufgestellten Behauptungen nicht beurteilen zu können.

Bisheriger Prozessverlauf:

Das Landgericht hat die Klage abgewiesen. Die Berufung der Kläger blieb ohne Erfolg. Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 27. Juli 2020 zunächst ausgesetzt und dem Gerichtshof der Europäischen Union zwei Fragen zur Auslegung von Art. 17 Abs. 1 DS-GVO zur Vorabentscheidung vorgelegt.

Der Gerichtshof der Europäischen Union hat diese Fragen mit Urteil vom 8. Dezember 2022 (C-460/20, NJW 2023, 747 = AfP 2023, 42) beantwortet. Die Auslistung hänge nicht davon ab, dass die Frage der Richtigkeit des aufgelisteten Inhalts im Rahmen eines von dieser Person gegen den Inhalteanbieter eingelegten Rechtsbehelfs einer zumindest vorläufigen Klärung zugeführt worden ist. Der Betreiber der Suchmaschine sei verpflichtet, einem Auslistungsantrag stattzugeben, wenn die eine Auslistung begehrende Person relevante und hinreichende Nachweise vorlege, die ihren Antrag zu stützen vermögen und belegen, dass die in dem aufgelisteten Inhalt enthaltenen Informationen offensichtlich unrichtig seien oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig sei. Hinsichtlich der Vorschaubilder sei dem Informationswert dieser Fotos - unabhängig vom Kontext ihrer Veröffentlichung auf der Internetseite, der sie entnommen sind, aber unter Berücksichtigung jedes Textelements, das mit der Anzeige dieser Fotos in den Suchergebnissen unmittelbar einhergeht und Aufschluss über den Informationswert dieser Fotos geben kann - Rechnung zu tragen.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat daraufhin die mündliche Verhandlung fortgesetzt. Die Revision war teilweise erfolgreich.

Bezüglich der beanstandeten Verweise auf die genannten Artikel hat der Bundesgerichtshof die klagabweisenden Entscheidungen der Vorinstanzen bestätigt. Bei einem Artikel fehlte es bereits an dem notwendigen Bezug zu der Person des Klägers. Hinsichtlich der beiden anderen Artikel haben es die Kläger versäumt, gegenüber der Beklagten den ihnen obliegenden Nachweis zu führen, dass die dort enthaltenen Informationen offensichtlich unrichtig sind.

Bezüglich der Vorschaubilder hatte die Revision der Kläger hingegen Erfolg und der Bundesgerichtshof hat die Beklagte zur Auslistung der Vorschaubilder in der beanstandeten Form verpflichtet. Eine Anzeige der für sich genommen nicht aussagekräftigen Fotos der Kläger als Vorschaubilder ohne jeden Kontext war nicht gerechtfertigt.

Vorinstanzen:

Oberlandesgericht Köln – Urteil vom 8. November 2018 – 15 U 178/17

Landgericht Köln – Urteil vom 22. November 2017 – 28 O 492/15

Die maßgebliche Vorschrift der Datenschutz-Grundverordnung (DS-GVO) lautet:

Art. 17 Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. (…)

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. (…)

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information (…)

Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.

Die Pressemitteilung des European Data Protection Board (EDPB):
1.2 billion euro fine for Facebook as a result of EDPB binding decision

Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.

Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”

In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.

The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.

The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.

LG München
Urteil vom 25.04.2023
33 O 5976/22

Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.05.2023
C‑60/22

Der EuGH hat entschieden, dass eine fehlende Vereinbarung nach Art. 26 DSGVO und ein fehlendes Verarbeitungsverzeichnis nach Art. 30 DSGVO nicht zur Unrechtmäßigkeit der Verarbeitung personenbezogener Daten führt.

Tenor der Entscheidung:
1. Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung verstößt.

2. Das Unionsrecht ist dahin auszulegen, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der Verordnung 2016/679 verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Urteil vom 20.04.2023
16 U 10/22

Wir hatten bereits in dem Beitrag OLG Frankfurt: Kein Anspruch gegen Google auf Unterlassung der Verknüpfung des Namens eines Unternehmers mit dem Wort "bankrott" über die Autocomplete-Funktion über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
II. Soweit das Landgericht die Klage abgewiesen hat, geschah dies zu Recht.

1. Dem Kläger steht gegen die Beklagte kein Anspruch zu, es zu unterlassen, bei einer Suche nach dem Vor- und Zunamen des Klägers in der Suchmaschine der Beklagten das aus der Anlage K3 ersichtliche Suchergebnis aufzuzeigen und dabei auf die Webseite mit der URL www.(...).de zu verlinken (Klageantrag zu 1.).

a) Der geltend gemachte Anspruch auf Auslistung ergibt sich insbesondere nicht aus Art. 17 Abs. 1 DSGVO.
aa) Der auf die dauerhafte Auslistung der von dem Kläger beanstandeten Suchergebnisse gerichtete Anspruch kann sich grundsätzlich aus Art. 17 Abs. 1 DSGVO ergeben.
Die Datenschutz-Grundverordnung ist vorliegend zeitlich (1), sachlich (2) und räumlich (3) anwendbar.
(1) Sie gilt seit dem 25.05.2018 (Art. 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union.
(2) Die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte und dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, fällt, sofern die Informationen - wie hier - personenbezogene Daten enthalten, in den sachlichen Anwendungsbereich der Datenschutz-Grundverordnung (Art. 2 Abs. 1 DSGVO). Sie ist als automatisierte „Verarbeitung personenbezogener Daten“ im Sinne von Art. 4 Nr. 1 und 2 DSGVO einzustufen.
Ob die hiesige Beklagte datenschutzrechtlich für die streitbefangene Auslistung zumindest mitverantwortlich ist, da sie im Sinne des Art. 26 DSGVO mit der Y LLC jedenfalls eine gemeinsame Verantwortung für die Verarbeitung von Daten trägt, kann vorliegend im Ergebnis offenbleiben, da jedenfalls in der Sache kein Anspruch gegen die Beklagte besteht (s.u.).

Verantwortlicher im Sinne der DSGVO und damit passivlegitimiert für einen Anspruch nach Art. 17 DSGVO ist gemäß der Legaldefinition des Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach der Rechtsprechung des BGH wurde die Y LLC mit Sitz in den USA als Betreiberin der Suchmaschine als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO angesehen (BGH, NJW 2020, 3436, Rn. 13). Für eine daneben bestehende Mitverantwortung der Beklagten gem. Art. 26 DSGVO könnte sprechen, dass sie in ihrer Datenschutzerklärung zum Y Suchdienst für Nutzerdaten als zumindest auch Verantwortliche genannt wird. Dies muss jedoch aufgrund des in der Sache nicht bestehenden Anspruchs (s.u.) vorliegend nicht entschieden werden.

Die streitgegenständliche Tätigkeit der Beklagten unterfällt auch nicht der Öffnungsklausel des Art. 85 DSGVO i.V.m. Art. 12 Abs. 1 S. 4 MSTV. Die automatisierte bloße Auflistung von redaktionellen Beiträgen stellt keine eigene journalistisch-redaktionelle Gestaltung dar (so auch BGH, NJW 2020, 3436, Rn. 14).

(3) Der räumliche Anwendungsbereich der Datenschutz-Grundverordnung auf die in Irland ansässige Beklagte folgt bereits aus Art. 3 Abs. 1 DSGVO. Die Beklagte betreibt eine deutsche Niederlassung und bietet in deutscher Sprache Nutzern in Deutschland die Möglichkeit an, über ihren Suchdienst gezielt nach im Internet vorhandenen Informationen zu suchen und auf sie zuzugreifen, wobei die Nutzer letztlich als "Bezahlung" ihre Daten zur Verfügung stellen, um das Leistungsangebot nutzen zu können (zum Vorstehenden im Ganzen vgl. BGH, NJW 2020, 3436, Rn. 13 m.w.N.).

bb) Das auf dauerhafte Auslistung des von ihm beanstandeten Suchergebnisses gerichtete Rechtsschutzbegehren des Klägers ist grundsätzlich von Art. 17 Abs. 1 DSGVO erfasst. Der Begriff der Löschung i.S.d. Art. 17 DSGVO ist autonom auszulegen, so dass ihm unabhängig von der technischen Umsetzung auch das Auslistungsrecht der von einer Suchmaschine betroffenen Person unterfällt (so auch BGH, NJW 2020, 3436, Rn. 17 m.w.N.).

cc) Der Kläger muss sich auch nicht darauf verweisen lassen, vorrangig die für die von der Beklagten verlinkten Artikel verantwortlichen Inhalteanbieter in Anspruch zu nehmen. Die Haftung des Suchmaschinenbetreibers bzw. Verantwortlichen eines Internet-Suchdienstes ist nach der Rechtsprechung des BGH nicht subsidiär, da ein wirksamer und umfassender Schutz der betroffenen Person nicht erreicht werden kann, wenn diese grundsätzlich vorher oder parallel bei den Inhalteanbietern die Löschung der sie betreffenden Informationen erwirken müsste. Die Tätigkeit eines Suchmaschinenbetreibers ist ein für sich stehender Akt der Datenverarbeitung, der folglich auch hinsichtlich der damit einhergehenden Grundrechtsbeschränkungen eigenständig zu beurteilen ist (so auch BGH, NJW 2020 3436, Rn. 18 m.w.N.).

Wie das Landgericht zutreffend hervorgehoben hat, ist der hiesige Fall schon nicht mit der Konstellation vergleichbar, die den BGH in der Sache VI ZR 476/18 (MMR 2021, 239) zur Vorlage der dortigen ersten Frage an den EuGH veranlasst hat. Dies gilt hier insbesondere deshalb, weil der zugrundeliegende Sachverhalt im Kern unstreitig ist und die Frage der Wahrheitsgemäßheit der streitgegenständlichen Tatsachenbehauptungen bzw. auf Tatsachenbehauptungen beruhenden Werturteile ohne weitere Ermittlungen/Aufklärungen beurteilt werden kann. Auch hat der EuGH in seinem Urteil vom 08.12.2022 entschieden, dass ein Anspruch auf Auslistung nicht davon abhängt, dass die Frage der Richtigkeit des aufgelisteten Inhalts im Rahmen eines von dem Kläger gegen den Inhalteanbieter eingelegten Rechtsbehelfs einer zumindest vorläufigen Klärung zugeführt worden ist (vgl. EuGH, MMR 2023, 105).

dd) Auch hat der Kläger die Beklagte, die ohne vorherige Beanstandung durch einen Betroffenen zu einer proaktiven Prüfung des Inhalts der von ihrer Suchmaschine generierten Nachweise nicht verpflichtet ist, bereits vor Klageerhebung mit dem Schreiben vom 02.02.2021 (Anlage K6, Bl. 25 ff. d.A.) in formeller Hinsicht hinreichend deutlich auf die aus seiner Sicht vorliegende Rechtswidrigkeit der Datenverarbeitung hingewiesen und die Beklagte insoweit zur Auslistung aufgefordert (sog. Notice and Take Down Schreiben). In dem Schreiben vom 02.02.2021 wird der konkret beanstandete Ergebnislink genannt und es erfolgt eine Darstellung des zugrundeliegenden Sachverhalts und der rechtlichen Erwägungen.

ee) Anders als der Kläger meint, liegen die materiellen Voraussetzungen für sein Auslistungsbegehren nicht vor.

Der Kläger hat keinen Anspruch gegen die Beklagte auf Auslistung der streitgegenständlichen Ergebnislinks aus Art. 17 Abs. 1 DSGVO, weil die von der Beklagten vorgenommene Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist (Art. 17 Abs. 3 a i.V.m. Art. 6 Abs. 1 f, Art. 21 Abs. 1 S. 2 DSGVO).

Einschlägige Grundlage des klägerischen Auslistungsbegehrens ist Art. 17 Abs. 1 DSGVO. Danach steht - soweit im Streitfall relevant - der betroffenen Person der Anspruch zu, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 a DSGVO) oder die betroffene Person Widerspruch gegen die Verarbeitung ihrer Daten eingelegt hat und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (Art. 17 Abs. 1 c DSGVO) oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden (Art. 17 Abs. 1 d DSGVO).

(1) Das Recht auf Schutz personenbezogener Daten ist unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abzuwägen. Diesbezüglich hat der BGH in seinem Urteil vom 27.07.2020 - VI ZR 405/18 (NJW 2020, 3436, Rn. 23 ff.) ausgeführt, dass die Abwägung der allein maßgeblichen Unionsgrundrechte auf der Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte des betroffenen Klägers (Art. 7, 8 GRCh) einerseits, der Grundrechte der beklagten Suchmaschinenverantworlichen (Art. 16 GRCh), der Zugangsinteressen der Internetnutzer, des Interesses der breiten Öffentlichkeit am Zugang zu Informationen als Ausdruck des Art 11 GRCh sowie der Grundrechte der Inhalteanbieter (Art. 11 CRCh) andererseits umfassend vorzunehmen ist. Insoweit hat er betont, dass eine einheitliche Gesamtabwägung der widerstreitenden Grundrechte, die alle nach den Umständen des Streitfalls aufgeworfenen Einzelaspekte berücksichtigt, durchzuführen ist und im Hinblick auf diese in rechtlicher wie tatsächlicher Hinsicht gebotene umfassende Prüfung die Abwägung jeweils zu demselben Ergebnis führen muss, unabhängig davon, ob der Abwägungsvorgang seinen Ausgangspunkt in der Frage nimmt, ob die Verarbeitung der Daten allgemein zur Wahrung der berechtigten Interessen der Beklagten oder eines Dritten erforderlich war (Art. 6 Abs. 1 f) DSGVO), ob die Verarbeitung der (Gesundheits-)Daten aus Gründen eines erheblichen öffentlichen Interesses erforderlich war (Art. 9 Abs. 2 g) DSGVO) oder ob die Beklagte zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Klägers als der betroffenen Person überwiegen.

(2) Unter Zugrundelegung der vom Bundesgerichtshof in der vorgenannten Entscheidung aufgestellten Grundsätze, die der Senat im vorliegenden Fall für anwendbar hält, haben die hier betroffenen Grundrechte des Klägers aus Art 7, 8 und 16 GRCh hinter dem Grundrecht der Beklagten aus Art. 16 GRCh und den in deren Waagschale zu legenden Interessen ihrer Nutzer, dem Interesse einer breiten Öffentlichkeit am Zugang zu Information als Ausdruck des in Art. 11 GRCh verbürgten Rechts auf freie Information und dem Grundrecht des für den verlinkten Artikel verantwortlichen Inhalteanbieters auf Meinungsfreiheit (Art. 11 GRCh) zurückzutreten:

(a) Ein wichtiger, in die Abwägung einzustellender Gesichtspunkt ist insoweit, dass die verlinkte, in der Anlage K2 (Bl. 17 d.A.) ersichtliche Berichterstattung entgegen der Ansicht des Klägers zulässig ist.
(aa) Anders als der Kläger meint, ist die Äußerung „X1 bankrott“ keine unzulässige Tatsachenbehauptung, sondern eine zulässige Meinungsäußerung.
Bei der Frage, ob eine Äußerung ihrem Schwerpunkt nach als Tatsachenbehauptung oder als Meinungsäußerung anzusehen ist, kommt es entscheidend auf den Gesamtkontext der fraglichen Äußerung an (vgl. BVerfG, AfP 2013, 389, Rn. 18). Von einer Tatsachenbehauptung ist auszugehen, wenn der Gehalt der Äußerung entsprechend dem Verständnis des Durchschnittsempfängers der objektiven Klärung zugänglich ist und als etwas Geschehenes grundsätzlich dem Beweis offensteht. Soweit eine Tatsachenbehauptung mit einem Werturteil verbunden ist bzw. beides ineinander übergeht, ist darauf abzustellen, was im Vordergrund steht und damit überwiegt. Wird eine Äußerung in entscheidender Weise durch die Elemente der Stellungnahme, des Dafürhaltens oder Meinens geprägt oder ist der tatsächliche Gehalt der Äußerung so substanzarm, dass er gegenüber dem Wertungscharakter in den Hintergrund tritt, liegt eine Meinungsäußerung vor. Vom Überwiegen des tatsächlichen Charakters ist auszugehen, wenn die Wertung sich als zusammenfassender Ausdruck von Tatsachenbehauptungen darstellt (vgl. Wenzel/Burkhardt, Das Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018., Kap. 4, Rn. 43, 50 ff.).

Hierbei sind Äußerungen entsprechend dem Verständnis des unbefangenen Durchschnittsempfängers zu interpretieren (Wenzel/Burkhardt, a.a.O., Kap. 4, Rn. 4; Soehring/Hoene, Presserecht, 6. Aufl. 2019, § 14, Rn. 14.16; jew. m.w.N.). Maßgeblich für die Ermittlung des Aussagegehalts ist grundsätzlich nicht der Sinn, den der Äußernde der Äußerung beilegen wollte, sondern der in der Aussage objektivierte Sinngehalt, der durch Auslegung zu ermitteln ist (BVerfGE 82, 43, 51 ff.; BVerfG, NJW 2005, 1341 - vollzugsfeindlich; BGH, NJW 1982, 1805 - Schwarzer Filz; Löffler/Steffen, PresseR, 6. Aufl. 2015, § 6, Rn. 90 m.w.N.), wobei auf das Verständnis des Empfängers abzustellen ist, an den sich die Äußerung unter Berücksichtigung der für ihn wahrnehmbaren, den Sinn der Äußerung mitbestimmenden Umstände richtet (BVerfGE 93, 266, 295 - Soldaten sind Mörder II; BVerfG NJW 2003, 1303 - Benetton-Werbung; Löffler/Steffen, a.a.O., § 6, Rn. 90). Maßgeblich hierfür ist der Durchschnittsleser (Löffler/Steffen, a.a.O., § 6, Rn. 90 m.w.N.).

Nach diesen Grundsätzen ist die angegriffene Aussage als Meinungsäußerung zu qualifizieren. Anders als der Kläger meint, wird der Durchschnittrezipient die Äußerung „X1 bankrott“ unter Berücksichtigung der Gesamtumstände nicht auf den Kläger persönlich beziehen, sondern auf ein Unternehmen, für welches der Kläger Namensgeber war. Aus dem Gesamtkontext der Äußerung geht klar hervor, dass die Äußerung sich auf ein Unternehmen (bzw. umgangssprachlich eine „Firma“ bezieht), nämlich ein solches, das auf dem Gebiet des Innenausbaus von Luxushotels tätig ist und gegen welches das Inkassounternehmen ein Mandat wegen unbezahlter Handwerkerrechnungen hat und im Rahmen der Forderungseintreibung feststellen musste, dass dieses „bankrott“ ist. Insoweit ist zu beachten, dass der Durchschnittrezipient der Äußerung kein juristisch vorgebildetes Fachpublikum ist, welches zwischen einem Einzelkaufmann, einer juristischen Person und einer Personengesellschaft differenziert. Der i.d.R. juristisch nicht vorgebildete Durchschnittsrezipient wird daher nicht davon ausgehen, dass die hinter einem möglichen Einzelkaufmann stehende natürliche Person gleichsam insolvent ist, wenn „die Firma bankrott“ ist. Er wird die Äußerung vielmehr nicht juristisch hinterfragen, sondern sie an dem Wortlaut orientiert dahingehend verstehen, dass das Unternehmen oder die „Firma“ „bankrott“, „pleite“ oder insolvent ist. Zudem wird auch auf der streitgegenständlichen Internetseite (vgl. Anlage K2, Bl. 17 d.A.) zwischen Schuldnern, die Privatpersonen sind, und solchen, die Unternehmen sind, differenziert, indem bei Privatpersonen nur die Namen genannt werden (z.B. B, D, C etc.) und bei Unternehmen die (weiteren) Firmenbestandteile (wenn auch nicht immer vollständig).

Dass das Unternehmen in der angegriffenen Mitteilung nicht mit einem Rechtsformzusatz (z.B. GmbH) genannt wird, steht dem nicht entgegen, denn das Weglassen dessen in der Kommunikation - insbesondere im nichtjuristischen Bereich - ist üblich (zumal auch der Klägervertreter dies in seinen Schriftsätzen und der Kläger dies in seiner eidesstattlichen Versicherung (vgl. Anlage K1, Bl. 16 d.A.) tun).

Ferner wird der unbefangene Durchschnittsempfänger die Äußerung im Gesamtkontext entgegen der Ansicht des Klägers nicht auf alle Unternehmen mit dem Firmenbestandteil „X1“ beziehen und dahingehend verstehen, dass diese alle „bankrott“ seien. Dass sich die Äußerung vielmehr nur auf ein Unternehmen bezieht, geht klar aus der Verwendung des Singulars in den Folgesätzen des Berichtes hervor („ist…tätig“; „die Firma“).

[...]

Die zulässige Meinungsäußerung ist von dem Kläger hinzunehmen.

Sie beruht auf einer zutreffenden Tatsachengrundlage, denn unstreitig hat die X1 Hotel … GmbH einen Antrag auf Eröffnung des Insolvenzverfahrens gestellt und wurde später aus dem Handelsregister gelöscht. Dass das Unternehmen in der angegriffenen Mitteilung nicht mit sämtlichen Bestandteilen und dem Rechtsformzusatz GmbH genannt wird, ist unerheblich. Zum einen ist das Weglassen einzelner Firmenbestanteile in der täglichen Kommunikation - insbesondere im nichtjuristischen Bereich - üblich. Zum anderen ist weder dargelegt noch ersichtlich, dass es ein weiteres zu der Unternehmensgruppe des Klägers zugehöriges Unternehmen gäbe, welches die Firmenbestandteile „X1 Hotel …“ enthalten würde und auf welches bezogen eine Wertung als „bankrott“ keine zutreffende Tatsachengrundlage hätte.

Auch wird die Grenze zur Schmähkritik trotz der Wortwahl „bankrott“, die nach der Ansicht des Klägers negativ besetzt sein soll, und der Einbettung der Aussage auf der Homepage (…).com, auf welcher nach Meinung des Klägers „finster dreinblickende, gewaltbereite Männer mit Glatze“ abgebildet seien, nicht überschritten. Denn dem Äußernden geht es - wie der Gesamtzusammenhang der Äußerung zeigt - um eine Auseinandersetzung in der Sache und nicht um eine reine Herabsetzung des Klägers bzw. seines Unternehmens (vgl. hierzu auch BVerfG, ZUM 2013, 36).

(bb) Soweit der Kläger sich in der Replik auf Seite 5 (Bl. 149 d.A.) darauf stützt, dass die Aussage in der streitgegenständlichen Mitteilung, dass Handwerkerrechnungen nicht bezahlt worden seien, unwahr sei, so ist dies unbeachtlich. Denn dieser Vortrag ist widersprüchlich zu dem diesbezüglichen Vortrag auf Seite 4 der Klageschrift, in dem der Kläger nur betont, dass die Forderung nicht endgültig verweigert oder abgelehnt worden und die A GmbH auf den ordentlichen Rechtsweg verwiesen worden sei.

Selbst wenn man den Vortrag nicht als widersprüchlich ansehen würde, so ließe sich aus dem eigenen Vortrag des Klägers keine offensichtliche Unwahrheit dieser Tatsachenbehauptung herleiten, welche ein Auslistungsbegehren stützen könnte. Nach der neuesten Rechtsprechung des EuGH ist der Betreiber der Suchmaschine, wenn die eine Auslistung begehrende Person relevante und hinreichende Nachweise vorlegt, die ihren Antrag zu stützen vermögen und belegen, dass die in dem aufgelisteten Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist, verpflichtet, diesem Auslistungsantrag stattzugeben (vgl. MMR 2023, 105, Rn. 72).

Vorliegend hat der Kläger nur ausgeführt, dass die Forderung der A GmbH nicht beglichen und diese auf den ordentlichen Rechtsweg verwiesen worden sei, da der Kläger die Forderung nicht als begründet angesehen habe. Der Kläger hat demnach schon keine Tatsachen vorgetragen, aus denen hervorgeht, warum die Forderung seiner Ansicht nach offensichtlich unbegründet sei.

Darüber hinaus wird in der streitgegenständlichen Mitteilung gerade nicht behauptet, dass der Kläger die Zahlung der Forderung endgültig abgelehnt hätte.

(b) Soweit der Kläger sich auf die negativen Auswirkungen der verlinkten Berichterstattung für ihn bzw. seine Unternehmen beruft, so ist dies vor dem Hintergrund der Zulässigkeit der angegriffenen Berichterstattung unbeachtlich. Denn weder das Datenschutzrecht noch das allgemeine Persönlichkeitsrecht verleihen einen Anspruch, in der Öffentlichkeit so dargestellt zu werden, wie es einem genehm ist (st. Rspr. des BVerfG zum Äußerungsrecht, vgl. 1 BvR 3487/14, Rn. 14).

(c) Wenn sich Betroffene - wie hier - nicht schon gegen die Ermöglichung namensbezogener Suchabfragen überhaupt, sondern gegen deren Wirkung hinsichtlich einzelner sie nachteilig betreffender Beiträge wenden, kommt es für die Gewichtung ihrer Grundrechtseinschränkung maßgeblich auf die Wirkung ihrer Verbreitung an. Bezugspunkte sind dabei die Wirkungen der Verbreitung des streitbefangenen Beitrags für die Persönlichkeitsentfaltung, wie sie sich spezifisch aus den Suchnachweisen ergeben, insbesondere auch unter Berücksichtigung der Möglichkeit namensbezogener Suchabfragen. Hierfür reicht nicht eine Würdigung der Berichterstattung in ihrem ursprünglichen Kontext, sondern auch die leichte und fortdauernde Zugänglichkeit der Informationen durch die Suchmaschine ist in Rechnung zu stellen. Insbesondere ist auch der Bedeutung der Zeit zwischen der ursprünglichen Veröffentlichung und deren späterem Nachweis Rechnung zu tragen (BGH, NJW 2020, 3436, Rn. 42; BVerfG, NJW 2020, 314, Rn. 122 m.w.N. - Recht auf Vergessen II).

Dass die X1 Hotel … GmbH nach dem unbestrittenen Vortrag der Beklagten im Jahre 2020 gelöscht wurde, ist demnach ebenfalls in die Abwägung einzustellen. Dies wirkt sich - anders als der Kläger meint - jedoch nicht zu seinen Gunsten aus. Zu berücksichtigen ist insoweit, dass auf Seiten der Nutzer der Beklagten weiterhin ein öffentliches Interesse an der Verbreitung der wahren Aussage - nämlich der Insolvenz bzw. des Bankrotts der Firma des Klägers - besteht. Der Senat hat insoweit auch den Zeitfaktor in seine Abwägung eingestellt und abgewogen, ob die Weiterverbreitung des Beitrags auch unter Namensnennung angesichts der inzwischen verstrichenen Zeit noch gerechtfertigt ist. Wie das Landgericht zutreffend ausgeführt hat, kann der Zeitablauf sowohl das Gewicht des öffentlichen Interesses als auch das der Grundrechtsbeeinträchtigung modifizieren (vgl. auch BVerfG, NJW 2020, 314, Rn. 131 - Recht auf Vergessen II). So kann durch Zeitablauf die identifizierende Verbreitung solcher Beiträge durch Suchmaschinen unzumutbar und damit unzulässig werden, denn die belastende Wirkung der Verbreitung kritischer Beiträge zum Verhalten einzelner Personen kann im Laufe der Zeit - insbesondere wenn die Beiträge auf namensbezogene Abfrage hin auch viele Jahre später noch prioritär kommuniziert werden - für die Betroffenen erheblich wachsen und immer weniger gerechtfertigt sein (vgl. hierzu BVerfG, NJW 2020, 314, Rn. 132 f. - Recht auf Vergessen II).

Dies führt im vorliegenden Fall im Rahmen der Interessenabwägung jedoch nicht dazu, dass es der Beklagten zu untersagen wäre, den Suchtreffer zu der Namenssuche des Klägers, der zu einer für sich genommen zulässigen Berichterstattung führt, heute nicht mehr anzuzeigen und auszulisten. In die Abwägung einzustellen ist, dass die Löschung der Gesellschaft erst im Jahre 2020 erfolgte und somit erst wenige Jahre zurückliegt. Die seit den berichteten Ereignissen vergangene Zeitspanne von rund drei Jahren ist noch nicht derart groß, als dass sie das Interesse an der niedrigschwelligen Erreichbarkeit der Informationen - auch über die namensbezogene Suche mittels einer Suchmaschine - in den Hintergrund treten ließe. Auch ist zu beachten, dass die Nutzer der Suchmaschine trotz der Löschung des Unternehmens weiterhin ein erhebliches Informationsinteresse haben. Dies ergibt sich daraus, dass neben dem gelöschten Unternehmen eine Vielzahl weiterhin aktiver Unternehmen zu der Unternehmensgruppe des Klägers zählen, die zudem dessen Namen in der Firmierung tragen. Für (potentielle) Kunden und Geschäftspartner ist es weiterhin von erheblichem Interesse, ob ein Unternehmen des Klägers (kürzlich) „bankrott“ gewesen ist bzw. ob eine Handwerkerrechnung nicht beglichen wurde. Denn dies ist ein wichtiger Aspekt für die Gestaltung künftiger Geschäfte mit den anderen Unternehmen des Klägers, z.B. hinsichtlich der Frage, ob seitens der Kunden Vorkasse geleistet wird oder seitens der Geschäftspartner Vorkasse für Projekte von dem Kläger bzw. seinen Unternehmen gefordert wird. Die Insolvenz eines Unternehmens kann - auch wenn dies freilich nicht zwingend ist - nämlich auch etwas über die Solvenz der restlichen Unternehmensgruppe aussagen bzw. über den Umgang dieser mit Zahlungsschwierigkeiten einzelner Unternehmen innerhalb der Gruppe.

Das berechtigte Berichterstattungsinteresse erstreckt sich unter den Umständen des Streitfalls ohne Weiteres auch auf die namentliche Nennung des Klägers. Der Name des Klägers ist Teil der Firmierung des gelöschten Unternehmens und einer Vielzahl weiterer Unternehmen. Insoweit verkennt der Senat nicht, dass dies negativ für den Kläger und seine weiteren Unternehmen mit entsprechendem Namensbestandteil ist. Jedoch kann in diesem Zusammenhang nicht außer Betracht gelassen werden, dass der Kläger dadurch, dass er seinen Namen zum Firmenbestandteil einer Vielzahl von Unternehmen gemacht hat, das Risiko in Kauf genommen hat, dass er mit dem bzw. den Unternehmen in Verbindung gebracht wird. Das muss er auch im Falle einer aus seiner Sicht negativen Berichterstattung gegen sich gelten lassen.

Ferner hat der Senat im Rahmen seiner Abwägung berücksichtigt, dass der streitgegenständliche Bericht nicht von privatem, bewusst nicht vor anderen gezeigtem Verhalten oder Fehlverhalten handelt, sondern die berufliche Tätigkeit und mithin die Sozialsphäre des Klägers betrifft, so dass der langfristigeren Zugänglichkeit des Berichtes höheres Gewicht zukommt.

Auch hat der Senat in die Interessenabwägung zu Gunsten der Beklagten, des Inhalteanbieters, der Nutzer und der Öffentlichkeit eingestellt, dass die Berichterstattung nicht reißerisch oder skandalös, sondern eher kurz und sachlich ist; wobei nicht unbeachtet geblieben ist, dass der letzte Absatz des Berichtes auf die Kundenakquise des Inkassounternehmens zielt.

Die Grundrechtsbeeinträchtigung des Klägers erhält auch im Streitverhältnis zur Beklagten kein entscheidend anderes Gewicht. Denn die Beklagte weist den fraglichen Artikel auf eine entsprechende Suchanfrage unkommentiert in ihren Ergebnislisten nach (so auch BVerfG, NJW 2020, 300, Rn. 124 - Recht auf Vergessen I). Schließlich wird der angegriffene Ergebnislink durch den Nachweis zahlreicher weiterer, teilweise vorrangig platzierter, im Netz befindlicher Informationen relativiert (vgl. Anlage K3, Bl. 18 d.A.; so auch BVerfG NJW 2020, 314, Rn. 125 m.w.N. - Recht auf Vergessen II).

b) Im Hinblick auf den Anwendungsvorrang des vorliegend unionsweit abschließend vereinheitlichten Datenschutzrechts (vgl. BVerfG, NJW 2020, 314 Rn. 34, 41 - Recht auf Vergessen II) und die bei Prüfung eines Auslistungsbegehrens nach Art. 17 DS-GVO vorzunehmende umfassende Grundrechtsabwägung kann der Kläger seinen Anspruch auch nicht auf Vorschriften des nationalen deutschen Rechts stützen (so auch BGH, NJW 2020, 3436 Rn. 64), insbesondere nicht auf §§ 823, 1004 Abs. 1 BGB, Art. 1 Abs. 1 Art. 2 Abs. 1 GG.

2. Mangels eines Anspruchs auf Auslistung steht dem Kläger auch kein diesbezüglicher Anspruch auf Androhung eines Ordnungsgeldes aus § 890 ZPO zu (Klageantrag zu 3.).

C) Die statthafte Berufung der Beklagten ist zulässig; sie wurde form- und fristgerecht eingelegt (§§ 520, 517 ZPO).

D) Die Berufung der Beklagten ist auch begründet.

I. Soweit der Klage stattgegeben wurde, war diese zulässig.

1. Das angerufene Gericht ist international und örtlich zuständig. Insoweit kann auf die obigen Ausführungen verwiesen werden.

2. Unter Zugrundelegung der obenstehend dargestellten Grundsätze ist der Klageantrag zu 2. hinreichend bestimmt. Aus der Klagebegründung wird deutlich, dass sich der Klageantrag zu 2. ebenfalls auf die Suchmaschine der Beklagten unter www.(y).de bezieht (vgl. Anlage K5).

II. Die Klage ist im Umfang der von der Beklagten eingelegten Berufung unbegründet.

1. Der Kläger hat keinen Anspruch auf Unterlassung der Suchwortvervollständigung „bankrott“ bei der namensbasierten Suche nach seinem Vor- und Zunamen in der Suchmaschine der Beklagten.

a) Ein solcher Anspruch ergibt sich insbesondere auch nicht aus Art. 17 Abs. 1 DSGVO.

aa) Der geltend gemachte Anspruch kann sich grundsätzlich aus Art. 17 Abs. 1 DSGVO ergeben.

(1) Die Datenschutz-Grundverordnung ist auch im Hinblick auf den mit dem Klageantrag zu 2. verfolgten Unterlassungsanspruch gegen die Suchwortergänzungsfunktion von Suchmaschinen nach den zuvor im Abschnitt B. dargestellten Grundsätzen zeitlich und räumlich anwendbar.

(2) Gleiches gilt in Bezug auf die sachliche Anwendbarkeit. Nach höchstrichterlicher Rechtsprechung fällt die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte und dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, in den sachlichen Anwendungsbereich der Datenschutz-Grundverordnung (Art. 2 Abs. 1 DSGVO), sofern die Informationen personenbezogene Daten enthalten (vgl. zum Auslistungsanspruch BGH, NJW 2020, 3436, Rn. 13) . Dies gilt nach Ansicht des Senates auch, soweit aufgrund der Integration der „Autocomplete“-Funktion in der Suchmaschine dem Nutzer während der Eingabe seiner Suchbegriffe variierend mit der Reihenfolge der eingegebenen Buchstaben in einem sich daraufhin öffnenden Fenster automatisch verschiedene Suchvorschläge („predictions“) in Form von Wortkombinationen angezeigt werden, sofern diese - wie hier - personenbezogene Daten erhalten. Denn die im Rahmen dieser Suchergänzungsfunktion angezeigten Suchvorschläge mit personenbezogenen Daten werden auf der Basis eines Algorithmus ermittelt, der die suchwortgesteuerten Suchanfragen einbezieht und dem Internetnutzer als Ergänzungsvorschläge die Wortkombinationen präsentiert, die zum fraglichen Suchbegriff am häufigsten eingegeben worden waren (vgl. hierzu BGH, GRUR 2013, 751, Rn. 16, 22 - Autocomplete-Funktion). Die Autocomplete-Funktion ist damit als automatisierte Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 1 und 2 DSGVO einzustufen.

Ob die Beklagte nach den vorstehend in Bezug auf die Auslistung dargelegten Grundsätzen, welche auf die Autocomplete-Funktion übertragen werden können, datenschutzrechtlich für die streitbefangene Autocomplete-Funktion zumindest mitverantwortlich im Sinne des Art. 26 DSGVO ist, kann auch insoweit mangels eines Anspruchs in der Sache (s.u.) offenbleiben.

Die streitgegenständliche Tätigkeit der Beklagten unterfällt auch nicht der Öffnungsklausel des Art. 85 DSGVO i.V.m. Art. 12 Abs. 1 S. 4 MSTV. Die automatisierte bloße Auflistung von Suchergebnissen stellt keine eigene journalistisch-redaktionelle Gestaltung dar.

bb) Auch wird der in Rede stehende Anspruch, der auf Unterlassung der Suchwortvervollständigung gerichtet ist, ist aus den obenstehenden Erwägungen (vgl. Abschnitt B II. 1. a) bb)) grundsätzlich von Art. 17 Abs. 1 DSGVO erfasst.

cc) Ferner hat der Kläger die Beklagte, die ohne vorherige Beanstandung durch einen Betroffenen zu einer proaktiven Prüfung der von ihrer Suchmaschine generierten Suchwortvervollständigungen nicht verpflichtet ist (vgl. BGH, GRUR 2013, 751, Rn 30 - Autocomplete-Funktion), bereits vor Klageerhebung mit dem Schreiben vom 02.02.2021 (Anlage K6, Bl. 25 ff. d.A.) in formeller Hinsicht hinreichend deutlich auf die aus seiner Sicht vorliegende Rechtswidrigkeit der Datenverarbeitung hingewiesen und die Beklagte insoweit zur Unterlassung der konkret benannten Autocomplete-Funktion aufgefordert (sog. sog. Notice an Take Down Schreiben). In dem Schreiben vom 02.02.2021 wird die konkret beanstandete Autocomplete-Funktion, nämlich „bankrott“ in Verbindung mit der namensbasierten Suche des Klägers, genannt und es erfolgt eine Darstellung des zugrundeliegenden Sachverhalts und der rechtlichen Erwägungen.

dd) Anders als das Landgericht angenommen hat, liegen nach Ansicht des Senates jedoch die materiellen Voraussetzungen für den streitgegenständlichen Anspruch auf Unterlassung der Suchwortvervollständigung gem. Art 17 Abs. 1 DSGVO nicht vor.

Nach Art. 17 Abs. 1 DSGVO steht - soweit hier relevant - der betroffenen Person ein Anspruch auf Löschung zu, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 a DSGVO) oder die betroffene Person Widerspruch gegen die Verarbeitung ihrer Daten eingelegt hat und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (Art. 17 Abs. 1 c DSGVO) oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden (Art. 17 Abs. 1 Buchst. d DSGVO).

(1) Auch im Rahmen der Prüfung der Voraussetzungen dieses Löschungsanspruches ist eine umfassende Grundrechtsabwägung auf der Grundlage aller relevanten Umstände des Einzelfalles vorzunehmen, und zwar unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte des Klägers als betroffene Person einerseits und der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit andererseits. Auch hier finden die von BGH in dem Urteil vom 27.07.2020, Az. VI ZR 405/18 (NJW 2020, 3464, Rn. 23 ff.) dargestellten Abwägungsgrundsätze (s.o.) im Ausgangspunkt Anwendung, wobei allerdings zu beachten ist, dass - anders als bei einer begehrten Entfernung von Links aus Suchergebnissen - bei dem hier in Rede stehenden Anspruch auf Unterlassung der Anzeige der Suchwortvervollständigung keine Rechte der Inhalteanbieter auf Meinungsfreiheit (Art. 11 GRCh) betroffen sind, da sich der Autocomplete-Vorgang im Vorfeld der Anzeige konkreter Suchergebnisse abspielt und sich der Kläger hier nicht gegen den Inhalt von Suchergebnissen wendet.

Im Rahmen der anzustellenden Abwägung sind auf Seiten des Klägers demnach die Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh, das Recht auf Schutz personenbezogener Daten aus Art. 8 GRCh und das Recht auf unternehmerische Freiheit aus Art. 16 GRCh einzustellen.

Auf Seiten der Beklagten sind ihr Recht auf unternehmerische Freiheit aus Art. 16 GRCh sowie ihr Grundrecht der Freiheit der Meinungsäußerung gem. Art. 11 GRCh zu berücksichtigen (vgl. BGH, GRUR 2013, 751, Rn. 22 - Autocomplete-Funktion zu der Rechtslage nach deutschem Recht; anders in Bezug auf die Anzeige von Ergebnislinks BGH, NJW 2020, 3436, Rn. 31).

In die Abwägung sind ferner die Zugangsinteressen der Internetnutzer einzustellen und das Interesse einer breiten Öffentlichkeit am Zugang zu Information als Ausdruck des in Art. 11 GRCh verbürgten Rechts auf freie Information.

(2) Nach diesen Grundsätzen haben die Interessen des Klägers hinter den Grundrechten der Beklagten und den in deren Waagschale zu legenden Interessen ihrer Nutzer und der Öffentlichkeit zurückzutreten:

Nach Ansicht des Senates ist der hier in Rede stehenden Suchoption „X bankrott“ nach dem maßgeblichen Verständnis des Durchschnittsrezipienten zwar eine inhaltliche Aussage zu entnehmen. Diese ist jedoch in einem Maße vieldeutig, dass sie nicht als eigenständige Behauptung eines bestimmten Sachverhalts verstanden werden kann, sondern sich für den Rezipienten als schlagwortartige Äußerung darstellt.

Das Bundesverfassungsgericht hat in seiner Gen-Milch-Entscheidung vom 08.09.2010 (Az. 1 BvR 1890/08; ZUR 2011, 252, Rn. 21 ff.) im Hinblick auf die Unterlassung schlagwortartiger Äußerungen folgendes ausgeführt:

„[21] Auch nach diesem Maßstab begegnet das angegriffene Urteil indes keinen verfassungsrechtlichen Bedenken. Insbesondere durfte der Bundesgerichtshof den auf die Produkte der Beschwerdeführerin bezogenen Begriff »Gen-Milch« als substanzarme Äußerung ansehen und seine Verwendung hiervon ausgehend als zulässig beurteilen. Entgegen der Auffassung der Verfassungsbeschwerde steht dies nicht in Widerspruch zur Rechtsprechung des Bundesverfassungsgerichts zu mehrdeutigen Tatsachenbehauptungen. Zwar hat das Bundesverfassungsgericht entschieden, dass einer auf die künftige Unterlassung einer Behauptung gerichteten Klage bereits dann stattzugeben ist, wenn die fragliche Tatsachenbehauptung einen mehrdeutigen Gehalt aufweist und in einer der nicht fernliegenden Deutungsvarianten das allgemeine Persönlichkeitsrecht des von ihr Betroffenen verletzt, weil dieses die Meinungsfreiheit des Äußernden im konkreten Fall überwiegt (vgl. BVerfGE 114, 339 <350> - Stolpe -). [22] Dies ändert aber nichts daran, dass es den Fachgerichten obliegt, zunächst zu ermitteln, ob ein derartiger Fall der Mehrdeutigkeit im zu entscheidenden Fall gegeben ist oder ob der Äußerung durch die gebotenen Auslegungsbemühungen ein eindeutiger Aussagegehalt beigemessen werden kann, weil theoretisch mögliche Deutungsalternativen sich am Maßstab des unvoreingenommenen und verständigen Durchschnittsrezipienten als fernliegend erweisen. Hinsichtlich der Deutung der Aussage lassen sich der zitierten Entscheidung des Bundesverfassungsgerichts keine von der bisherigen Rechtsprechung abweichenden Maßgaben entnehmen. Von daher besteht insbesondere auch kein Anlass, in größerem Umfang als bisher zu der Annahme eines im Rechtssinne mehrdeutigen Aussagegehalts zu gelangen.

[23] Angesichts dessen ist die vom Bundesgerichtshof vorgenommene Deutung des Begriffs »Gen-Milch« verfassungsrechtlich nicht zu beanstanden. Zwar ist - wie das angegriffene Urteil auch nicht verkennt - die Formulierung für sich genommen nicht eindeutig, sondern lässt eine Vielzahl von Verständnismöglichkeiten zu. Zu Recht hat der Bundesgerichtshof hieraus aber nicht die von der Verfassungsbeschwerde geforderte Konsequenz gezogen, der weiteren rechtlichen Prüfung diejenige Deutungsvariante zugrunde zu legen, die die intensivste Beeinträchtigung der Rechte der Beschwerdeführerin darstellen würde. Dieses Vorgehen ist nämlich nur bei solchen Äußerungen verfassungsrechtlich geboten, die von dem maßgeblichen Durchschnittspublikum überhaupt als eine geschlossene, aus sich heraus aussagekräftige Tatsachenbehauptung wahrgenommen werden (und insoweit dann aber mehrdeutig sind). Anders liegt es hingegen bei Äußerungen, die in einem Maße vieldeutig erscheinen, dass sie gar nicht als eigenständige Behauptung eines bestimmten Sachverhalts verstanden, sondern ohne Weiteres als in tatsächlicher Hinsicht unvollständig und ergänzungsbedürftig erkannt werden, wie dies häufig bei Slogans und schlagwortartigen Äußerungen der Fall sein wird (vgl. BVerfGE 61, 1 <9 f.>), die lediglich die Aufmerksamkeit des Publikums erregen und Anreiz zu Nachfragen oder zu der Rezeption weiterer Informationsquellen bieten sollen. In einem solchen Fall fehlt es an einer konkreten Tatsachenbehauptung, die geeignet wäre, zu auf falsche Sachaussagen gestützten Fehlvorstellungen der Rezipienten beizutragen. Die Meinungsfreiheit, die auch das Recht aufmerksamkeitserregender Zuspitzungen und polemisierender Pointierungen umfasst, steht hier einer Untersagung der Äußerung wegen ihrer Mehrdeutigkeit vielmehr entgegen.“

Die hier automatisch erstellte Suchwortvervollständigung der Beklagten kombiniert zwei Wörter, nämlich den Namen des Klägers und das Wort „bankrott“, die dem unvoreingenommenen, die Suchmaschine der Beklagten nutzenden Durchschnittsrezipienten verschiedene Möglichkeiten eröffnen, inhaltliche Zusammenhänge herzustellen oder ein Verständnis zu entwickeln.

Der mittels der Suchmaschine der Beklagten nach Informationen forschende Internetnutzer erwartet von den ihm nach der Eingabe des Suchbegriffs angezeigten ergänzenden Suchvorschlägen durchaus einen inhaltlichen Bezug zu dem von ihm verwandten Suchbegriff, hält diesen jedenfalls für möglich. Denn aus dem „Ozean von Daten“ werden dem suchenden Internetnutzer von der Suchmaschine der Beklagten nicht x-beliebige ergänzende Suchvorschläge präsentiert, die nur zufällig „Treffer“ liefern. Die Suchmaschine ist, um für Internetnutzer möglichst attraktiv zu sein - und damit den gewerblichen Kunden der Beklagten ein möglichst großes Publikum zu eröffnen - vielmehr auf inhaltlich weiterführende ergänzende Suchvorschläge angelegt (zum Vorstehenden im Ganzen vgl. BGH, GRUR 2013, 751, Rn. 16 - Autocomplete-Funktion). Dies führt im Streitfall dazu, dass dem bei Eingabe von Vor- und Zuname des Klägers angezeigten Ergänzungssuchvorschlag „bankrott“ die Aussage zu entnehmen ist, zwischen dem namentlich Genannten und dem Begriff „bankrott“ bestehe ein sachlicher Zusammenhang bzw. eine Verbindung (so auch BGH, GRUR 2013, 751, Rn. 13, 16 - Autocomplete-Funktion).

Es bleibt für den maßgeblichen Durchschnittsrezipienten aber erkennbar offen und unbestimmt, welcher Zusammenhang bestehen könnte. Hierbei ist zu berücksichtigen, dass sich ein verständiger Internetnutzer darüber bewusst ist, dass die vorgeschlagenen Suchoptionen das Ergebnis eines automatischen, technischen Vorgangs sind. Wesentlich bei der Beurteilung ist jedoch, dass ein Nutzer der Suchmaschine mit der angezeigten Kombination der Begriffe zunächst nichts anfangen kann. Er kann nicht beurteilen, ob der vorgeschlagene Begriff in Verbindung mit der Person steht, zu der er recherchiert hat, denn es ist denkbar, dass es mehrere Personen mit dem von dem Nutzer eingegebenen Namen gibt. Um sich hierüber Sicherheit zu verschaffen, muss er sich mit den zu der Kombination angezeigten Ergebnissen beschäftigen oder die Suchbegriffe ändern.

Dies zeigt bereits, dass der vorliegend angezeigten Suchoption keine eigenständige Behauptung zu entnehmen ist, sondern diese vielmehr Anlass für weitere Recherchen bietet. Selbst wenn der Nutzer davon ausgeht, dass die Person, zu der er die Suchanfrage gestattet hat, mit der ergänzenden Suchoptionen „bankrott“ grundsätzlich in Verbindung zu bringen ist, erhält er erkennbar keine Informationen, die über die Mitteilung der beiden Begriffe hinausgehen. Vielmehr stellt es sich für ihn als eine Art schlagwortartige Äußerung dar, die ihm wiederum Anlass geben kann, sich mit möglichen Suchergebnissen zu der Begriffskombination auseinanderzusetzen. Ob der Kläger direkt oder indirekt von einem „bankrott“ betroffen ist, ob er persönlich oder eines oder alle seiner Unternehmen „bankrott“ ist/sind, ob er zu diesem Themenkreis Informationen oder Leistungen anbietet oder publiziert, bleibt gänzlich offen, wobei die hier dargestellten Verständnismöglichkeiten der Begriffskombination nicht abschließend sind. Sie belegen jedoch, dass es sich um eine zwar vieldeutige, jedoch substanzarme Wortkombination handelt. Auf diese ist nach den zuvor dargestellten Grundsätzen der Gen-Milch-Entscheidung die Stolpe-Rechtsprechung (vgl. BVerfGE 114, 339) nicht anzuwenden (so auch LG Hamburg, Urteil v. 18.01.2013 - 324 O 766/11 (vgl. Anlagenkonvolut B10, Bl. 104 ff. d.A.); in diese Richtung weisend auch OLG Hamburg, Protokoll v. 29.03.2016 - 7 U 13/13 (vgl. Anlagenkonvolut B10, Bl. 101 ff. d.A.); a.A. OLG Köln, Urteil vom 08.02.2014 - I-15 U 199/11 -, Rn. 43, juris).

Bei der vorzunehmenden Abwägung zwischen den Grundrechten des Klägers aus Art. 7, 8 und 16 GRCh und den Grundrechten der Beklagten aus Art. 11 und 16 GRCh sowie der Nutzer der Suchmaschine und der Öffentlichkeit (Art. 11 GRCh) ist zu Lasten des Klägers berücksichtigen, dass es für die Verbindung des Klägers mit einem „bankrott“ tatsächliche Anknüpfungstatsachen gibt und damit auch für die Kombination der beiden Begriffe.
[...]
Ferner ist im Rahmen der Abwägung zu Lasten des Klägers zu beachten, dass in dem in den Suchergebnissen der Beklagten angezeigten Beitrag gemäß der Anlage K2 (Bl. 17 d.A.) zulässig (s.o.) darüber berichtet wird, dass „X1 bankrott“ sei.

Auf Seiten der Nutzer der Beklagten und für die Öffentlichkeit besteht - wie obenstehend dargestellt - trotz der Löschung der Unternehmen weiterhin ein erhebliches diesbezügliches Informationsinteresse. Dies ergibt sich daraus, dass neben dem gelöschten Unternehmen eine Vielzahl weiterhin aktiver Unternehmen zu der Unternehmensgruppe des Klägers zählen und dessen Namen in der Firmierung tragen. Für (potentielle) Kunden und Geschäftspartner ist es weiterhin von erheblichem Interesse, ob ein Unternehmen des Klägers (kürzlich) „bankrott“ bzw. insolvent gewesen ist. Denn dies ist - wie obenstehend dargestellt - ein wichtiger Aspekt für die Gestaltung künftiger Geschäfte mit den Unternehmen des Klägers.

Ebenfalls in die Abwägung ist einzustellen, dass der Name des Klägers ein Namensbestandteil vieler Unternehmen ist. Durch eine derartige Firmierungspraxis hat der Kläger das Risiko in Kauf genommen, dass er mit den Unternehmen in Verbindung gebracht wird und somit auch im Falle von möglichen Insolvenzen.

Auch bei der Beurteilung der Suchergänzungsfunktion der Beklagten ist im Rahmen der Abwägung zu deren Gunsten berücksichtigen, dass das Internet ohne die Hilfestellung einer Suchmaschine aufgrund der nicht mehr überschaubaren Flut von Daten für den Einzelnen nicht sinnvoll nutzbar wäre (BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, Rn. 40) und insoweit auch die Suchergänzungsfunktion einen nützlichen Beitrag zur Recherche leistet.

b) Im Hinblick auf den Anwendungsvorrang des vorliegend unionsweit abschließend vereinheitlichten Datenschutzrechts (vgl. BVerfG, NJW 2020, 314 Rn. 34, 41 - Recht auf Vergessen II) und die bei Prüfung eines Auslistungsbegehrens nach Art. 17 DS-GVO vorzunehmende umfassende Grundrechtsabwägung kann der Kläger seinen Anspruch auch nicht auf Vorschriften des nationalen deutschen Rechts stützen (so auch BGH, NJW 2020, 3436 Rn. 64), insbesondere nicht auf §§ 823, 1004 Abs. 1 BGB, Art. 1 Abs. 1 Art. 2 Abs. 1 GG.

Den Volltext der Entscheidung finden Sie hier:

LG Köln
Urteil vom 23.03.2023
33 O 376/22

Das LG Köln hat entschieden, dass ein Unterlassungsanspruch gegen die Deutsche Telekom wegen der Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung besteht.

Aus den Entscheidungsgründen:
Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.

Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.

a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.

Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).

So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „142.250.185.228“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.

b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.

Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).

Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.

Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand InternetNutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).

Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).

Ob an die Dienste Heap und Xandr ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.

c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).

Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.

d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.

Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.

In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:

„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“ (Schrems II, Rn. 126).

Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).

Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.

Dies entspricht auch der Wertung des EuGH:

„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ (Schrems II, Rn. 133).

Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.

Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.

e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.

Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.

Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.

Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).

Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.

Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. 5 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Urteil vom 30.03.2023
16 U 22/22

Das OLG Frankfurt hat entschieden, dass bei einem DSGVO-Verstoß kein Unterlassungsanspruch aus §§ 1004, 823 BGB besteht. Die Regelungen der DSGVO sind nach Ansicht des Gerichts abschließend.

Aus den Entscheidungsgründen:
Die Klage ist mit den in der Berufungsinstanz gestellten Anträgen zwar zulässig, jedoch nicht begründet, weil dem Kläger kein Anspruch auf die von ihm geltend gemachten Unterlassungsansprüche zusteht.

1. Zulässigkeit der Klage

a) Das Landgericht hat den erstinstanzlichen Klageantrag, wonach die Beklagte es unterlassen soll, die Dienste auf ihrem Online-Shop in der Weise „auszuliefern“ (gemeint sein dürfte: zur Inanspruchnahme bereitstellen), dass beim Seitenaufruf „personenbezogene oder -beziehbare Daten des Klägers“ an die benannten Dienste übermittelt werden, zu Recht als nicht hinreichend bestimmt i.S. von § 253 Abs. 2 Nr. 2 ZPO angesehen. Es fehlt an einem bestimmten Antrag. Bei der Bezeichnung „personenbezogene oder -beziehbare Daten des Klägers“ handelt es sich trotz der Definition in Art. 4 Nr. 1 DS-GVO um Rechtsbegriffe, deren Anwendung eine Subsumtion erfordert. Dies kann nicht dem Vollstreckungsverfahren überlassen werden. Dies gilt umso mehr, als die ihrerseits wortreiche Definition in der Verordnung schwer zu erfassen ist.

Die Unbestimmtheit wird nicht dadurch beseitigt, dass in dem Antrag die IP-Adresse als ein „Regelbeispiel“ benannt ist. Abgesehen davon, dass - wie der Rechtsstreit zeigt - schon streitig und begründungsbedürftig sein kann, ob es sich bei der IP-Adresse um ein personenbezogenes Datum handelt, wäre auch hier eine rechtliche Prüfung vonnöten, nämlich, ob das jeweilige Datum in relevanter Hinsicht mit der IP-Adresse vergleichbar ist.

Der Kläger kann sich nicht darauf berufen, dass er selbst nicht technisch in der Lage sei, festzustellen, welche Daten an die Drittdienste übertragen werden, und deshalb die Beklagte eine sekundäre Darlegungslast treffe. Die Figur der sekundären Darlegungslast erleichtert einem Kläger lediglich den Vortrag von anspruchsbegründenden Tatsachen im Rahmen der Begründetheit einer Klage, sie enthebt nicht von der Notwendigkeit, einen bestimmten Antrag zu stellen.

b) Die Klage ist jedoch mit dem vom Kläger nunmehr gestellten Hauptantrag zulässig.

Soweit der Kläger mit dem geänderten Antrag zu a) nämlich die Unterlassung verlangt, „dass beim Seitenaufruf jegliche Daten des Klägers“ an die Betreiber der Dienste übermittelt werden, ist dies hinreichend bestimmt. Denn der Beklagten würde damit untersagt, sämtliche mit dem Aufruf ihrer Webseite an sie gelangende Daten an die bezeichneten Dienste zu übermitteln. Der Begriff „Daten“ hat mit seiner Bedeutung „Information über eine Person oder eine Sache“, die ihm sowohl in Art. 4 Nr. 1 DS-GVO als auch im Alltagssprachgebrauch zukommt, einen hinreichen klaren Bedeutungskern, so dass seine Anwendung dem Vollstreckungsverfahren überlassen werden kann.

Die Angabe einer bestimmten IP-Adresse im Klageantrag ist für die Bestimmtheit des Klageantrages nicht erforderlich. Die Angabe der IP-Adresse, von der aus der Kläger die Webseite der Beklagten aufgerufen und dort (angeblich) Bestellungen vorgenommen hat, hat allein im Rahmen der Begründetheit Bedeutung, nämlich bei der Frage der Wiederholungsgefahr, ob es aufgrund rechtswidriger Weitergabe der IP-Adresse und weiterer Daten des Klägers zu einer Erstbegehung gekommen ist.

Die mit der Stellung des neuen Klageantrages verbundene Klageänderung ist nach § 533 ZPO zulässig. Es handelt sich nämlich nicht um eine echte Klageänderung, sondern um eine (quantitative) Klageerweiterung i.S. § 264 Nr. 2 ZPO. Auf Klageänderungen i.S. des § 264 ZPO findet die Beschränkung des § 533 ZPO nach der Rechtsprechung des BGH keine Anwendung. Bereits nach dem bisherigen Antrag sollte der Beklagten die Übermittlung der IP-Adresse und einer unbestimmten Zahl an weiteren personenbezogenen und -beziehbaren Daten untersagt werden. Der Kreis der zu untersagenden Übermittlungen wird - aus demselben Klagegrund - nunmehr nur erweitert. Ein aliud ist nicht deshalb gegeben, weil es nun statt „personenbezogener und -beziehbarer Daten“ Gegenstand „Daten des Klägers“ sind. Bei sachgerechter Auslegung sind in beiden Fällen personenbezogene Daten des Klägers gemeint.

c) Die gestellten Hilfsanträge sind aufgrund der Zulässigkeit des Hauptantrages nicht zu prüfen. Die Antragstellung des Klägers ist dahin auszulegen, dass diese Hilfsanträge nur für den Fall gestellt sind, dass das Gericht den Hauptantrag mangels Bestimmtheit als unzulässig ansieht. Ein Verständnis, der Hilfsantrag sei für den Fall der Unbegründetheit gestellt, erscheint auch nicht aus dem wohlverstandenen Interesse des Klägers geboten, weil auf den sehr weitreichend formulierten Hauptantrag umfassend die Rechtmäßigkeit etwaiger Datenübermittlungen zu prüfen ist und, wenn diese nur teilweise rechtswidrig sein sollten, der Klage teilweise stattgegeben werden kann.

2. Begründetheit der Klage

Das Landgericht hat im Ergebnis zu Recht angenommen, dass dem Kläger kein Anspruch auf die von ihm begehrte Verurteilung der Beklagten zur Unterlassung der Übermittlung seiner IP-Adresse und weiterer Daten von ihm an die bezeichneten Drittdienste bei Aufruf der Webseite des Online-Shops der Beklagten zusteht. Zwar können sich aus der DS-GVO unter Umständen auch Ansprüche auf Unterlassung von Handlungen oder automatisierten Vorgängen ergeben, nicht jedoch hinsichtlich der vom Kläger als zu unterlassend geltend gemachten Handlungen (dazu a) ). Auf Unterlassungsansprüche außerhalb der DS-GVO, insbesondere Anspruchsgrundlagen des deutschen nationalen Rechts, kann nicht zurückgegriffen werden (dazu b) ).

a) In der DS-GVO ist kein Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte normiert. Die DS-GVO kennt ihrem Wortlaut nach als möglicherweise einschlägige Ansprüche zugunsten der von Datenverarbeitung betroffenen Personen lediglich einen Anspruch auf Löschung von personenbezogenen Daten (Art. 17 DS-GVO), insbesondere, wenn sie unrechtmäßig verarbeitet wurden, und auf Schadensersatz aus Art. 82 für einen Schaden aufgrund eines Verstoßes gegen die DS-GVO.

aa) Der Anspruch auf die begehrte Unterlassung ergibt sich nicht aus Art. 17 DS-GVO.

Danach hat die betroffene Person unter bestimmten Voraussetzungen gegen den Verantwortlichen einer Datenverarbeitung einen Anspruch, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Eine Löschung von Daten verlangt der Kläger hier nicht.

Allerdings kann sich aus Art. 17 DS-GVO über den Wortlaut hinaus auch ein Anspruch auf Unterlassung ergeben. Zwar wird in Art. 17 DSGVO nur ein Löschungsrecht normiert; aus diesem in Verbindung mit Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei einer Verletzung der Datenschutzgrundverordnung garantiert, kann jedoch zugleich ein Unterlassungsanspruch hergeleitet werden (vgl. BGH, Urteil vom 12. Oktober 2021 - VI ZR 489/19 -, juris, Rz. 10; BSG, Urteil vom 18. Dezember 2018 - B 1 KR 31/17 R -, BSGE 127, 181-188, Rz. 13). Denn aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu speichern. So sieht der Bundesgerichtshof in der erstgenannten Entscheidung vom 12.10.2021 im Löschungsanspruch des Art. 17 DS-GVO zugleich einen Unterlassungsanspruch (BGH a.a.O. Rz. 10 und 23).

Dieser aus der inneren Logik des Anspruchs auf Löschung hergeleitete Unterlassungsanspruch richtet sich jedoch nur auf die Unterlassung der Speicherung von Daten. Das Gegenstück der Löschung von Daten ist die Speicherung von Daten. Denn unter Löschen versteht man die Unkenntlichmachung gespeicherter Informationen, so dass es niemand mehr ohne unverhältnismäßigen Aufwand möglich ist, die Information wahrzunehmen (vgl. etwa Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 17 DS-GVO Rz. 37). Der Kläger verlangt hier nicht die Unterlassung der Speicherung von Daten über ihn durch die Beklagte, sondern die Unterlassung der Übermittlung von Daten durch die Beklagte an Dritte. Wie insbesondere die Definition der Datenverarbeitung in Art. 4 Nr. 1 DS-GVO und die Überschriften der Artt. 44 - 46 DS-GVO zeigen, unterscheidet die DS-GVO klar zwischen der Speicherung von Daten und der Übermittlung von Daten (an Dritte).

bb) Der vom Kläger geltend gemacht Unterlassungsanspruch ergibt sich auch nicht aus Art. 82 DS-GVO.

Zwar kann sich unter Umständen - jedenfalls nach deutschem Verständnis der Schadensrestitution im Sinne von § 249 Abs. 1 BGB - aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben. Allerdings sind die Voraussetzungen dafür hier nicht gegeben. Der Kläger hat schon einen konkreten Schaden, der ihm durch die Weiterleitung der Daten als Folge der von ihm vorgetragenen dreimaligen Aufrufe der Webseite der Beklagten entstanden sein soll, nicht dargelegt. Ein Anspruch setzt aber die Entstehung eines - unter Umständen auch immateriellen - Schadens voraus. Der Generalanwalt führt in seinen Schlussanträgen vom 6.10.2022 zu dem beim Europäischen Gerichtshof anhängigen Verfahren C-300/21 Tz. 117 dementsprechend aus: „Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag.“

Zum anderen, und das ist entscheidend, kann sich aus dem Gesichtspunkt des Schadensersatzes nur dann ein Unterlassungsanspruch ergeben, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert (vgl. Grüneberg/Grüneberg, BGB, 82. Aufl., § 280 Rz. 31). Der Kläger verlangt hier jedoch nicht die Beseitigung von Datenweitergaben, welche anlässlich der drei behaupteten Nutzungen der Website erfolgt sind, oder die Beseitigung von deren Folgen, sondern die Unterlassung von Datenübermittlungen bei einer künftigen Nutzung der Online-Shop-Seite der Beklagten. Es handelt es insofern um einen vorbeugenden Unterlassungsanspruch.

b) Dem Kläger steht ein Anspruch auf Unterlassung auch nicht aus den §§ 1004 Abs. 1 S. 2 BGB i.V.m. § 823 Abs. 2 BGB i.V.m. mit den nach Auffassung des Klägers durch die Datenübermittlung an die Drittdienste verletzten Art. 5, 6 DS-GVO oder Art. 44 DS-GVO oder Art. 32 DS-GVO zu.

Das Landgericht hat zu Recht angenommen, dass Schadensersatzansprüche und Unterlassungsansprüche des nationalen Rechts, soweit dies auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DS-GVO gestützt sind, keine Anwendung finden, weil Vorschriften des DS-GVO eine abschließende, weil voll harmonisierende europäische Regelung bilden (BeckOK Datenschutzrecht/Wolf/Brink, Einleitung DS-GVO Rz. 19). Wegen dieses Anwendungsvorrangs des unionsweit abschließend vereinheitlichten Datenschutzrechts kann ein Anspruch nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden (BVerfG NJW 2020, 314 Rz. 34 + 41; BGH NJW 2020, 3436 Rz. 64 m.w.N.). Auf nationales Recht kann nur zurückgegriffen werden, wenn sich aus der DS-GVO eine entsprechende Öffnungsklausel ergibt.

Eine solche Öffnung ergibt sich entgegen der Meinung des Klägers nach Wortlaut und Regelungszweck nicht aus Art. 79 Abs. 1 DS-GVO. Danach hat jede betroffene Person unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

Zu Unrecht hat das Landgericht allerdings gemeint, dass bereits die Passage, wonach das Recht auf einen wirksamen gerichtlichen Rechtsbehelf „unbeschadet“ verwaltungsgerichtlichen Rechtsschutzes, außergerichtlichem Rechtsschutzes und des Rechts auf Beschwerde nach Art. 77 DS-GVO gewährt werden müsse, einem Unterlassungsanspruch nach nationalem Recht entgegenstehe. Mit dem Wort „unbeschadet“ wird allein ausgedrückt, dass jene Rechtsbehelfe, die zuvor in der DS-GVO erwähnt sind, unberührt bleiben. Dies bedeutet noch nicht, dass andere Rechtsbehelfe als die unbeschadet bleibenden nicht in Betracht kommen.

Der Grund dafür, dass die Regelung des Art. 79 Abs. 1 DS-GVO keine Öffnung für die Anwendbarkeit nationaler Anspruchsnormen bewirkt, hat seinen Grund vielmehr darin, dass der Begriff „gerichtlicher Rechtsbehelf“ in Art. 79 Abs. 1 DS-GVO nur verfahrensmäßige Rechtsbehelfe i.S. von Klagen und Anträgen und nicht materielle Ansprüche meint (vgl. BeckOK-Datenschutzrecht/Mundil, 42. Ed., Art. 79 DS-GVO Rz. 10, vgl. ferner VG Regensburg ZD 2020, 601). Hinzu kommt, dass der Rechtsbehelf der betroffenen Person die Durchsetzung der ihr „aufgrund dieser Verordnung“ zustehenden Rechte ermöglichen soll. Da die Regelung mithin nur die Durchsetzung und den Rechtsschutz für die „aufgrund dieser Verordnung“ der betreffenden Person „zustehenden Rechte“ sichert, kann die Bestimmung nicht Grundlage für die Einräumung materieller Ansprüche sein, die die DS-GVO selbst nicht einräumt bzw. kennt. Verfassungsrechtlicher Hintergrund der Regelung ist die Rechtsschutzgarantie des Art. 47 GRC.

Insoweit ergibt sich entgegen der Meinung des Klägers auch nichts Abweichendes aus dem Urteil des Europäischen Gerichtshofs vom 12.1.2023 (C-132/21), weil mit diesem allein festgestellt wird, dass die in Art. 77 Abs. 1 und Art. 78 Abs. 1 einerseits und in Art. 79 Abs. 1 andererseits vorgesehenen Rechtsbehelfe nebeneinander und unabhängig voneinander ausgeübt werden können.

Soweit vereinzelt die Auffassung vertreten wird, auf der Basis von Art. 79 DS-GVO könnten auch Unterlassungsansprüche gegen Verantwortliche und Auftragsverarbeiter geltend gemacht werden, betrifft dies meist die (erweiternde) Auslegung von Ansprüchen nach der DS-GVO (so wohl: Kühling/Buchner/Bergt, DS-GVO, 3. Aufl. Art. 79 Rz. 1 und 13;), die oben unter a) erörtert wurden. Soweit daraus abgeleitet wird, es könne auf Unterlassungsansprüche des nationalen Rechts zurückgegriffen werden, vermag der Senat dem aus den vorstehenden Gründen nicht zu folgen (so auch: Leibold/Laoutounai, ZD Aktuell 2021, 05583). Entgegen der Meinung des Klägers wird auch in der obergerichtlichen Rechtsprechung nicht die Auffassung vertreten, wegen Verstößen gegen die DS-GVO könne aufgrund nationalen Rechts - aus §§ 1004 Abs. 1 S. 2, 823 Abs. 1 oder 2 BGB - auf Unterlassung geklagt werden (näher unten III.). Soweit der Kläger sich für seine Rechtsauffassung auf Urteile des Bundesgerichtshofs und von Oberlandesgerichten beruft, betreffen diese Veröffentlichungen in der Presse, bei denen nach Art. 85 Abs. 1 und 2 DS-GVO ergänzende und abweichende nationale Regelungen zur DS-GVO getroffen werden können (so insbesondere die angeführte Entscheidung BGH, Urteil vom 21.1.2021 - I ZR 207/19 Rz. 36 - 44: Bildnisveröffentlichung).

Durch die Beschränkung auf die von der DS-GVO in den Art. 15, 17 und 82 DS-GVO eingeräumten Individualansprüche stehen die von einem Verstoß gegen die Datenverarbeitungsregeln der DS-GVO Betroffenen nicht rechtlos da. Die Aufgabe der Durchsetzung und Überwachung der DS-GVO ist - neben den Individualansprüchen - nach Art. 51 Abs. 1 und Art. 57 Abs. 1 a) DS-GVO grundsätzlich umfassend den Aufsichtsbehörden im Sinne eines „Public Enforcement“ zugewiesen. Die DS-GVO sieht dafür in den Art. 77 und 78 DS-GVO vor, dass der Betroffene sich wegen angenommener Verstöße gegen die DS-GVO mit einer Beschwerde an die Aufsichtsbehörde wenden kann. Im Fall einer ablehnenden Entscheidung steht ihm nach Art. 78 DS-GVO der Klageweg gegen die Aufsichtsbehörde offen (vgl. Kühling/Buchner/Bergt, a.a.O. Art. 78 Rz. 9 ff.). Die Entscheidung des Europäischen Gerichtshofs, auf welche sich der Kläger mit seiner Klage zentral beruft, nämlich das Urteil vom 16.7.2020 (C-311/18, NJW 2020, 559 „Schrems II“), welches die Voraussetzungen für eine Übermittlung von Daten in Drittländer nach den Artt. 45, 46 DS-GVO betrifft, beruht dementsprechend auf einem Ausgangsverfahren, bei dem der Kläger von der Aufsichtsbehörde bestimmte Maßnahmen gegen Facebook verlangt hat. Diese wurden abgelehnt und danach (zunächst) Klage gegen die Aufsichtsbehörde erhoben.

Ein sachlicher Grund für diese Rechtslage, dass Individualansprüche der Betroffenen gegen die Verantwortlichen gerade bezüglich der Einhaltung der Regelungen der Artt. 44 ff. DS-GVO nicht vorgesehen wurden, besteht darin, dass über die generelle Frage der Zulässigkeit der Übermittlung ins Ausland auf dem Beschwerdeweg über Datenschutzbehörden einheitlich entschieden werden kann (vgl. Art. 51 Abs. 2 DS-GVO: Mitarbeit der Datenschutzbehörden bei der einheitlichen Anwendung der DS-GVO). Insofern überzeugt der Hinweis, dass die Möglichkeit, sich an Aufsichtsbehörden zu wenden, sachgerechter ist, weil dies abgestimmtes Verhalten ermöglicht und deren Anordnungen - anders als zivilgerichtliche Urteile - nicht nur inter partes wirken (Nink ZD 2022, 238). Schließlich ist darauf hinzuweisen, dass der Betroffenen, dem durch eine rechtswidrige Übermittlung seiner Daten ins Ausland ein Schaden entsteht, ein Schadensersatzanspruch nach Art. 82 DS-GVO zusteht.

III. Der Ausspruch zur vorläufigen Vollstreckbarkeit des angefochtenen Urteils beruht auf § 708 Nr. 10 S. 2 ZPO.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO

Eine Zulassung der Revision war nicht geboten, weil weder die Rechtssache grundsätzliche Bedeutung hat noch die Einheitlichkeit der Rechtsprechung oder die Fortbildung des Rechts eine Entscheidung des Revisionsgerichts erfordert (§ 543 Abs. 2 ZPO).

Insbesondere erscheint eine Zulassung nicht zur Sicherung einer einheitlichen Rechtsprechung geboten. In der obergerichtlichen Rechtsprechung ist ein Rückgriff auf Anspruchsgrundlagen des nationalen Rechts bei der Geltendmachung von Verstößen gegen Vorschriften der DS-GVO bislang nicht anerkannt. Die vom Kläger für seine Meinung angeführten Entscheidungen betreffend andere Fallgestaltungen. Beispielhaft seien hier aufgeführt: Die Entscheidungen OLG Dresden (MMR 2020, 180) und des Senats (16 U 193/17) betreffen Auslistungsansprüche nach Art. 17 DS-GVO. Das OLG Dresden (ZD 2022, 235) hat über Löschungs-, Schadensersatz- und Auskunftsansprüche entschieden, nicht über einen Unterlassungsanspruch. Das Urteil des OLG Frankfurt vom 14.4.2022 (3 U 21/20) hatte die Sonderkonstellation der (versehentlichen) Versendung eines Kontoauszuges an eine andere Person als zu Kontoinhaber zum Gegenstand. Das angegebene Urteil des OLG Stuttgart (ZD 2022, 105) betrifft die Zulässigkeit einer Videoüberwachung nach dem BDSG. Nur einzelne Entscheidungen von Amts- und Landgerichten haben auf §§ 1004, 823 BGB zurückgegriffen. Diese betreffen - soweit ersichtlich - aber jedenfalls nicht Verstöße gegen die Art. 44 ff. DS-GVO. Einzige Ausnahme ist eine Entscheidung des Landgerichts München (K&R 2022, 865), die die Problematik des vollharmonisierten europäischen Rechts schon nicht erkennt, eindeutig auf unrichtiger Rechtsanwendung beruht und deshalb keine Zulassung der Revision rechtfertigt. Im Übrigen betreffen viele Urteile, auf die der Kläger sich für seine Rechtsauffassung beruft, Veröffentlichungen in der Presse, bei denen nach Art. 85 DS-GVO nationale Regelungen durch die DS-GVO nicht ausgeschlossenen werden.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.05.2023
C-487/21
Österreichische Datenschutzbehörde und CRIF

Der EuGH hat entschieden, dass das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO die originalgetreue und verständliche Reproduktion der personenbezogenen Daten des Betroffenen umfasst.

Tenor der Entscheidung:
1. Art. 15 Abs. 3 Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.

2. Art. 15 Abs. 3 Satz 3 der Verordnung 2016/679 ist dahin auszulegen, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.

Die Pressemitteilung des EuGH:
DSGVO: Das Recht, eine „Kopie“ der personenbezogenen Daten zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird

Dieses Recht impliziert das Recht, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die diese Daten enthalten, zu erlangen, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen

CRIF ist eine Kreditauskunftei, die auf Verlangen ihrer Kunden Informationen über die Zahlungsfähigkeit Dritter liefert. Zu diesem Zweck verarbeitete sie die persönlichen Daten des Klägers des Ausgangsverfahrens, einer Privatperson. Letzterer beantragte bei CRIF auf der Grundlage der Datenschutz-Grundverordnung1 Auskunft über die ihn betreffenden personenbezogenen Daten. Außerdem bat er um Zurverfügungstellung einer Kopie der Dokumente, nämlich E-Mails und Auszüge aus Datenbanken, die u. a. seine Daten enthalten, „in einem üblichen technischen Format“.

Daraufhin übermittelte CRIF dem Kläger des Ausgangsverfahrens in aggregierter Form eine Liste seiner personenbezogenen Daten, die Gegenstand der Verarbeitung waren. Da der Kläger des Ausgangsverfahrens der Ansicht war, dass CRIF ihm eine Kopie sämtlicher seine Daten enthaltender Dokumente wie E-Mails und Auszüge aus Datenbanken hätte übermitteln müssen, brachte er bei der Österreichischen Datenschutzbehörde eine Beschwerde ein. Diese Behörde wies die Beschwerde mit der Begründung ab, dass CRIF das Recht des Klägers des Ausgangsverfahrens auf Auskunft über die personenbezogenen Daten nicht verletzt habe.

Das Bundesverwaltungsgericht (Österreich), das mit der Klage des Klägers des Ausgangsverfahrens gegen den ablehnenden Bescheid dieser Behörde befasst ist, stellt sich die Frage der Tragweite der in Art. 15 Abs. 3 Satz 1 DSGVO vorgesehenen Verpflichtung, der betroffenen Person eine „Kopie“ ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Es fragt sich insbesondere, ob diese Verpflichtung erfüllt ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob sie auch die Übermittlung von Auszügen aus Dokumenten oder gar ganzen Dokumenten sowie von Auszügen aus Datenbanken umfasst, in denen diese Daten wiedergegeben werden. Das vorlegende Gericht bittet außerdem um Klarstellung, was der Begriff „Informationen“ in Art. 15 Abs. 3 Satz 3 DSGVO2 genau umfasst.

Mit seinem Urteil erläutert der Gerichtshof den Inhalt und den Umfang des Auskunftsrechts der betroffenen Person über ihre personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Insoweit vertritt er die Auffassung, dass das Recht, vom für die Verarbeitung Verantwortlichen eine „Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, nach Art. 15 Abs. 3 Satz 3 DSGVO bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind. Im Übrigen stellt der Gerichtshof klar, dass sich der im Sinne des Art. 15 Abs. 3 Satz 3 DSGVO verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.

Würdigung durch den Gerichtshof
In einem ersten Schritt nimmt der Gerichtshof eine grammatikalische, systematische und teleologische Auslegung von Art. 15 Abs. 3 Satz 1 DSGVO vor, der das Recht der betroffenen Person vorsieht, eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt zu bekommen. Zum Wortlaut von Art. 15 Abs. 3 Satz 1 DSGVO stellt der Gerichtshof fest, dass diese Bestimmung zwar keine Definition des Begriffs „Kopie“ enthält, dass aber der gewöhnliche Sinn dieses Begriffs zu berücksichtigen ist, der die originalgetreue Reproduktion oder Abschrift bezeichnet, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition entspräche. Außerdem ergibt sich aus dem Wortlaut dieser Bestimmung, dass sich die Mitteilungspflicht auf die personenbezogenen Daten bezieht, die Gegenstand der in Rede stehenden Verarbeitung sind. Nach der grammatikalischen Auslegung dieser Bestimmung geht der Gerichtshof davon aus, dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.

Zum Kontext, in den Art. 15 Abs. 3 Satz 1 DSGVO eingebettet ist, stellt der Gerichtshof fest, dass Art. 15 Abs. 1 DSGVO Gegenstand und Anwendungsbereich des der betroffenen Person zustehenden Auskunftsrechts festlegt. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem Verantwortlichen obliegenden Verpflichtung fest, indem er u. a. in Satz 1 die Form festlegt, in der dieser Verantwortliche die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellen muss, nämlich in Form einer „Kopie“. Daher kann Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen erläutert der Gerichtshof, dass sich der Begriff „Kopie“ nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen, bezieht. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind.

Zu den mit Art. 15 DSGVO verfolgten Zielen weist der Gerichtshof darauf hin, dass es der betroffenen Person durch die Ausübung des in diesem Artikel vorgesehenen Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende personenbezogene Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden.

Außerdem ergibt sich laut Gerichtshof aus der DSGVO3, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen hat, es sei denn, die betroffene Person verlangt, dass diese mündlich erteilt werden. Daraus folgt, dass die vom Verantwortlichen zur Verfügung stellende Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen muss, die es der betroffenen Person ermöglichen, ihre Rechte aus der DSGVO wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben muss.

Somit kann sich, um zu gewährleisten, dass die so bereitgestellten Informationen leicht verständlich sind, die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.

Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen sind die fraglichen Rechte und Freiheiten nach Auffassung des Gerichtshofs gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.

In einem zweiten Schritt befasst sich der Gerichtshof mit der Frage, was unter den Begriff „Informationen“ im Sinne des Art. 15 Abs. 3 Satz 3 DSGVO fällt. Diese Bestimmung erläutert zwar nicht, was unter dem Begriff „Informationen“ zu verstehen ist, aber aus ihrem Kontext ergibt sich, dass die von dieser Bestimmung erfassten „Informationen“ zwangsläufig den personenbezogenen Daten entsprechen, von denen der für die Verarbeitung Verantwortliche gemäß Art. 15 Abs. 3 Satz 1 DSGVO eine Kopie zur Verfügung stellen muss.

Den Volltext der Entscheidung finden Sie hier:

BVerwG
Beschluss vom 04.05.2023
5 P 16.21

Das BVerwG hat entschieden, dass Social Media-Auftritte der öffentlichen Verwaltung mit freigeschalteter Kommentarfunktion mitbestimmungspflichtige Überwachungseinrichtungen sein können.

Die Pressemitteilung des Bundesverwaltungsgerichts:
Soziale Medien mit Kommentarfunktion können mitbestimmungspflichtige Überwachungseinrichtungen sein

Betreibt eine Stelle der öffentlichen Verwaltung in sozialen Medien eigene Seiten oder Kanäle, kann wegen der für alle Nutzer bestehenden Möglichkeit, dort eingestellte Beiträge zu kommentieren, eine technische Einrichtung zur Überwachung des Verhaltens und der Leistung von Beschäftigten vorliegen, deren Einrichtung oder Anwendung der Mitbestimmung des Personalrats unterliegt. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Deutsche Rentenversicherung Bund unterhält (teilweise zusammen mit anderen Rentenversicherungsträgern) im Rahmen ihrer Presse- und Öffentlichkeitsarbeit und zur Personalgewinnung bei Facebook, Instagram und Twitter eigene Seiten und Kanäle. Von ihr dort eingestellte Beiträge können Nutzer nach eigenem Belieben kommentieren und dabei auch Verhalten oder Leistung einzelner Beschäftigter thematisieren. Beiträge und Kommentare werden von den sozialen Medien gespeichert, aber dort nicht für die Dienststelle ausgewertet. Während das Verwaltungsgericht ein Mitbestimmungsrecht des Personalrats bejaht hat, hat das Oberverwaltungsgericht dessen Bestehen verneint.

Das Bundesverwaltungsgericht hat entschieden, dass die Frage, ob die Einrichtung oder Anwendung von Seiten oder Kanälen mit Kommentarfunktion, die eine Stelle der öffentlichen Verwaltung in sozialen Medien unterhält, der Mitbestimmung durch den Personalrat unterliegen, nicht generell, sondern nur nach Maßgabe der Umstände des jeweiligen Einzelfalles beantwortet werden kann. Nach der einschlägigen Regelung des Bundespersonalvertretungsgesetzes (BPersVG) hat der Personalrat mitzubestimmen bei der Einrichtung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 75 Abs. 3 Nr. 17 BPersVG in der bis zum 14. Juni 2021 und inhaltsgleich nunmehr § 80 Abs. 1 Nr. 21 BPersVG in der seither geltenden Fassung). Dieses Mitbestimmungsrecht dient dem Schutz der Persönlichkeit der Beschäftigten am Arbeitsplatz und soll gewährleisten, dass Beschäftigte nicht durch eine technische Einrichtung eine ständige Überwachung befürchten müssen und dadurch unter einen Überwachungsdruck geraten. Dieser Schutzzweck gebietet es entgegen der Ansicht des Oberverwaltungsgerichts, bereits das Speichern von Nutzerkommentaren mit verhaltens- oder leistungsbezogenen Angaben als selbstständige (Überwachungs-)Leistung einer technischen Einrichtung anzusehen. Denn es birgt grundsätzlich die Gefahr in sich, dass die Dienststelle diese Daten auch auswertet, wodurch ein Überwachungsdruck bei den Beschäftigten erzeugt werden kann. Das Speichern der in Rede stehenden Kommentare kann zudem zur Überwachung der Beschäftigten "bestimmt" sein. Für ein solches Bestimmtsein reicht es aus, dass die Datenspeicherung objektiv zur Überwachung geeignet ist.

Ob das der Fall ist, hängt beim Betreiben der in Rede stehenden sozialen Medien wegen der ungewissen, nur möglichen Eingabe entsprechender Verhaltens- oder Leistungsdaten durch Dritte in tatsächlicher Hinsicht davon ab, ob bei objektiver Betrachtung im konkreten Fall eine nach Maßgabe des Schutzzwecks des Mitbestimmungstatbestandes hinreichende Wahrscheinlichkeit für das Einstellen entsprechender Nutzerkommentare gegeben ist. Hierfür ist zunächst die Konzeption des von der Dienststellenleitung verantworteten Auftritts der Dienststelle in den sozialen Medien von Bedeutung. Berichtet die Dienststellenleitung beispielsweise selbst über konkrete Beschäftigte und ihr Tätigkeitsfeld und lenkt damit den Blick des Publikums auf das dienstliche Verhalten und die Leistung von Beschäftigten, können hierauf bezogene Nutzerkommentare erwartet werden. Demgegenüber wird von einer hinreichenden Wahrscheinlichkeit für die Anbringung entsprechender Kommentare in der Regel nicht auszugehen sein, wenn Auftritte der Dienststelle in sozialen Medien sachbezogen in allgemeiner Form lediglich über Aufgaben der Dienststelle oder etwa ohne Bezüge zu bestimmten Beschäftigten in Form von Pressemitteilungen über die Tätigkeit der Dienststelle informieren. Darüber hinaus ist das tatsächliche Verhalten der Nutzer in eine Gesamtbetrachtung einzubeziehen. Kommt es insbesondere erst im Verlaufe des Betriebs zu einer nennenswerten Zahl verhaltens- oder leistungsbezogener Nutzerkommentare, kann die Überwachungseignung eine gegenüber der ursprünglichen Prognose andere Relevanz erhalten und zu bejahen sein. Dabei ist auch zu berücksichtigen, ob aus der maßgeblichen Sicht eines objektiven Betrachters das Entstehen eines Überwachungsdrucks deshalb nicht anzunehmen ist, weil die Dienststellenleitung derartige Kommentare ohne vorherige Auswertung schnellstmöglich löscht.

Da das Oberverwaltungsgericht – von seinem Rechtsstandpunkt aus folgerichtig – die danach erforderlichen tatsächlichen Feststellungen bislang nicht getroffen hat, war der Beschluss des Oberverwaltungsgerichts aufzuheben und die Sache an dieses zurückzuverweisen.


BVerwG 5 P 16.21 - Beschluss vom 04. Mai 2023

Vorinstanzen:

OVG Berlin-Brandenburg, OVG 62 PV 5/20 - Beschluss vom 04. August 2021 -

VG Berlin, VG 72 K 7.19 PVB - Beschluss vom 29. Mai 2020 -

EuGH
Urteil vom 04.05.2023
C-300/21
Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)

Der EuGH hat entschieden, dass ein DSGVO-Verstoß nicht automatisch einen Schadensersatzanspruch gemäß Art. 82 DSGVO begründet. Es kommt aber nicht darauf an, dass ein Erheblichkeitsschwelle überschritten wird.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,
dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen,
dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Die Pressemitteilung des EuGH:
Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

Der Schadenersatzanspruch hängt jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht.

Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.

Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1 000 Euro.

Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO)1 für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

In seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss. Als Zweites stellt der Gerichtshof fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.

Als Drittes und Letztes stellt der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang betont der Gerichtshof die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom
C-807/21

Der EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebnis, dass die unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich ist. § 30 OWiG greift insoweit nicht.

Das Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.

Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.

Die vollständigen Schlussanträge finden Sie hier:

OLG Frankfurt
Urteil vom 20.04.2023
16 U 10/22

Das OLG Frankfurt hat entschieden, dass kein Anspruch gegen Google auf Unterlassung der Verknüpfung des Namens eines Unternehmers mit dem Wort "bankrott" über die Autocomplete-Funktion besteht.

Die Pressemitteilung des Gerichts:
Autocomplete-Funktion - Klage gegen Google zurückgewiesen

Es besteht kein Anspruch eines Unternehmers gegen Google auf Unterlassung der Verknüpfung seines Namens mit dem Begriff „bankrott“ über die Autocomplete-Funktion.

Die Verknüpfung des Namens eines Unternehmers mit dem Begriff „bankrott“ über die Autocomplete-Funktion im Rahmen der Google-Suche kann nach den Einzelfallumständen zulässig sein. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute verkündeter Entscheidung einen Unterlassungsanspruch des Klägers zurückgewiesen. Das Ergebnis der Autocomplete-Funktion sei erkennbar unbestimmt und enthalte keine eigenständige Behauptung. Der Nutzer wisse, dass es automatisch generiert werde. Konkrete Bedeutung erlange die Kombination erst nach weiteren Recherchen, begründete das OLG seine Entscheidung.

Der Kläger ist Inhaber einer Unternehmensgruppe, die auf dem Gebiet des Innendesigns von Hotels tätig ist. Die Beklagte betreibt u.a. die Internetsuchmaschine Google. Bei Eingabe von Vor- und Nachnamen des Klägers erscheint über die Autocomplete-Funktion als Suchergänzungsvorschlag „bankrott“. Hintergrund ist, dass zwei zur Unternehmensgruppe des Klägers gehörende Unternehmen vor rund zehn Jahren im Zusammenhang mit Ermittlungen deutscher Steuerbehörden insolvent und später wegen Vermögenslosigkeit aus dem Handelsregister gelöscht wurden. Ein konkret auf den Kläger bezugnehmender Webseiteneintrag stammt von einem Inkassounternehmen, welches ein Geschäftspartner der Unternehmensgruppe mit dem Einzug einer Forderung beauftragt hatte.

Der Kläger wendet sich sowohl gegen die Anzeige des Suchergänzungsvorschlags „bankrott“ als auch gegen die Anzeige und Verlinkung auf die Webseite mit der URL, die sich auf die Zahlungsfähigkeit bezieht. Das Landgericht hatte die Beklagte verpflichtet, den über die Autocomplete-Funktion generierten Sucherergänzungsvorschlag nicht mehr anzuzeigen und die Klage im Übrigen abgewiesen.

Auf die Berufung der Beklagten hat das OLG das Urteil abgeändert und die Klage auch insoweit abgewiesen. Der Kläger habe keinen Anspruch auf Unterlassung der Suchwortvervollständigung „bankrott“ bei namensbasierter Suche nach seinem Vor- und Zunamen. Dieser Anspruch ergebe sich insbesondere nicht aus der Datenschutzgrundverordnung (i.F.: DS-GVO). Die Autocomplete-Funktion sei zwar als automatische Verarbeitung personenbezogener Daten einzustufen. Hier hätten die Interessen des Klägers an der Löschung aber hinter die Interessen der Nutzer und der Öffentlichkeit zurückzutreten.

Ob ein Löschungsanspruch bestehe, sei grundsätzlich auf Basis einer umfassenden Grundrechtsabwägung auf der Grundlage aller relevanten Umstände des Einzelfalls zu beurteilen. Abzuwägen seien auf Seiten des Klägers die Grundrechte auf Achtung des Privat- und Familienlebens, des Schutzes personenbezogener Daten und der unternehmerischen Freiheit; auf Seiten der Beklagten das Recht auf unternehmerische Freiheit und freie Meinungsäußerung. Zu berücksichtigen seien auch die Zugangsinteressen der Internetnutzer und das Interesse einer breiten Öffentlichkeit am Zugang zu Informationen.

Gewicht erlange hier, dass die Bedeutung des nach Eingabe des Namens erscheinenden Suchvorschlags „bankrott“ erkennbar offenbleibe und unbestimmt sei. Einem verständigen Internetnutzer sei bewusst, dass der Suchvorschlag Ergebnis eines automatischen Vorgangs sei. Der Nutzer könne mit der angezeigten Kombination zunächst „nichts anfangen“. Der angezeigten Kombination selbst sei keine eigenständige Behauptung zu entnehmen. Sie sei allein Anlass für weitere Recherchen. Selbst wenn der Nutzer eine Verbindung zwischen dem Kläger und dem Begriff „bankrott“ herstellen würde, wäre offen, wie diese Verbindung inhaltlich auszugestalten wäre. Zu berücksichtigen sei dabei auch, dass es tatsächliche Anknüpfungstatsachen für die Verbindung des Namens mit dem Begriff „bankrott“ gebe.

Entgegen der Ansicht des Klägers beschränke sich der Begriff „bankrott“ auch nicht auf den strafbewehrten Vorwurf des § 283 StGB. Er finde vielmehr im allgemeinen Sprachgebrauch im Sinne einer Zahlungsunfähigkeit bzw. Insolvenz Verwendung.

Die Berufung des Klägers, mit welcher er weiterhin auch die Auslistung des Suchergebnisses in Form der konkreten URL begehrte, hatte dagegen keinen Erfolg. Die betroffenen Grundrechte des Klägers hätten hinter das Recht der Beklagten und das Interesse aller Nutzer am freien Informationszugang zurückzutreten, bestätigte das OLG die Entscheidung des Landgerichts.

Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde kann die Zulassung der Revision beim BGH begehrt werden.

Oberlandesgericht Frankfurt am Main, Urteil vom 20.4.2023, Az. 16 U 10/22
(vorausgehend Landgericht Frankfurt Main, Urteil vom 1.12.2021, Az. 2-34 O 37/21)

EuGH-Generalanwalt
Schlussanträge vom 20.04.2023
C‑307/22

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch aus Auskunft bzw. Überlassung von Kopien nach Art. 15 DSGVO nicht zwingend aus Gründen gemäß 63. Erwägungsgrund der DSGVO verlangt werden muss, sondern auch zu datenschutzfremden Zwecken begehrt werden kann. Einen Anspruch auf kostenlose Überlassung der vollständigen Kopie einer Patientenakte besteht jedoch nicht.

Aus den Schlussanträgen:
Nach alledem schlage ich dem Gerichtshof vor, die vom Bundesgerichtshof (Deutschland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:

Art. 12 Abs. 5 und Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Verantwortliche verpflichtet ist, der betroffenen Person eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DSGVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.

Eine nationale Regelung, die von Patienten, die Kopien ihrer in Patientenakten enthaltenen personenbezogenen Daten beantragen, verlangt, dass sie den Ärzten die entstandenen Kosten erstatten, ist nach Art. 23 Abs. 1 DSGVO zulässig, sofern die Beschränkung des Auskunftsrechts unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit der Ärzte erforderlich und verhältnismäßig ist. Das nationale Gericht hat insbesondere zu prüfen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind.

Der Ausdruck „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, in Art. 15 Abs. 3 DSGVO kann im Rahmen eines Arzt-Patienten-Verhältnisses nicht dahin ausgelegt werden, dass er der betroffenen Person ein allgemeines Recht darauf gewährt, eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Jedoch hat der Verantwortliche der betroffenen Person bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen, wenn dies erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage ist, zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.

Die vollständigen Schlussanträge finden Sie hier:

OLG Dresden
Urteil vom 14.03.2023
4 U 1377/22

Das OLG Dresden hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO haben und verweist auf den Wortlaut von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 14 S. 2 DSGVO.

Aus den Entscheidungsgründen:
Ansprüche nach der Europäischen Datenschutzgrundverordnung (DSGVO) hat das Landgericht im Ergebnis zutreffend verneint. Nach dem eindeutigen Wortlaut von Art. 4 Nr. 1 DSGVO können sich juristische Personen wie die Klägerin nicht auf die in der DSGVO enthaltenen Ansprüche berufen. Vielmehr betrifft der Schutz der dort genannten „personenbezogenen Daten“ nur Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person“) beziehen. Dass der Schutz der DSGVO sich nicht auf juristische Personen bezieht, ergibt sich in gleicher Weise aus Erwägungsgrund 14 S. 2 DSGVO, der klarstellt, dass der „durch diese Verordnung gewährte Schutz [...] für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten [soll]. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“. Ob etwas anderes gilt, wenn ein unmittelbar auf eine juristische Person bezogenes Datum zugleich eine natürliche Person betrifft, wie es zB bei der Ein-Personen-GmbH der Fall ist (so etwa Sydow/Marsch DS-GVO/BDSG/Ziebarth, 3. Aufl. 2022, DS GVO Art. 4 Rn. 13), kann dahinstehen. Vorliegend enthaltenen die streitgegenständlichen E-Mails zwar auch Daten, die den Geschäftsführer der Klägerin betreffen. Ansprüche macht die Klägerin jedoch allein im eigenen Namen geltend. Ob, wie die Klägerin meint, Artikel 6, 17 und 83 DSGVO Schutzgesetze im Sinne von § 823 Abs. 2 BGB bedarf hier daher schon deswegen keiner Entscheidung, weil eine mögliche Schutzwirkung sich allein auf natürliche Personen beziehen könnte.

2. Die Klägerin kann ihre Ansprüche auch nicht auf das Bundesdatenschutzgesetz stützen. Zwar stellt sie als juristische Person des privaten Rechts eine nichtöffentliche Stelle im Sinne von § 1 Abs. 1 Satz 2, § 2 Abs. 4 BDSG dar und ist damit Verpflichtete im Sinne des BDSG. Für nicht öffentliche Stellen gilt das Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, § 1 Abs. 1 Satz 2 BDSG. Der Umstand, dass die Klägerin als nicht-öffentliche Stelle verpflichtet ist, die von ihr erhobenen Daten ihrer Arbeitnehmer zu schützen, führt aber nicht zu einem eigenen - im BDSG nicht geregelten - Anspruch der Klägerin als juristische Person gegen einen Dritten. Unabhängig davon, dass die Vorschriften des BDSG gem. § 46 Nr. 1 BDSG ebenfalls nur den Schutz„personenbezogener Daten“, d.h. aller Informationen normieren, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen, enthält das BDSG keine Grundlage, aus der sich Ansprüche privater Arbeitgeber gegen private Dritte herleiten ließen. Die von der Klägerin für sich in Anspruch genommenen §§ 26, 42, 43 und 53 BDSG sind bereits tatbestandlich nicht einschlägig. § 26 BDSG schützt nicht die Klägerin als juristische Person, sondern die personenbezogenen Daten ihrer Beschäftigten und regelt,für welche Zwecke des Beschäftigungsverhältnisses personenbezogene Daten verarbeitetwerden dürfen. §§ 42 und 43 BDSG enthalten Straf- und Bußgeldvorschriften und stellen ebenfalls kein Schutzgesetz zu Gunsten der Klägerin dar. § 53 BDSG regelt, dass die mit der
Datenverarbeitung befassten Personen die personenbezogenen Daten nicht unbefugt verarbeiten dürfen.

3. Eine Anspruchsgrundlage folgt insofern auch nicht aus §§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB i.V.m. den Vorschriften des BDSG. Diese können zwar grundsätzlich Schutzgesetze im Sinne von § 823 Abs. 2 BGB darstellen, jedoch nur zugunsten des betroffenen Einzelnen (Grüneberg-Sprau, BGB, 82. Aufl. § 823 Rn 65). Das BDSG gilt in seinem Anwendungsbereich seit Inkrafttreten der DSGVO überdies nur ergänzend zu deren Vorschriften. Aufgrund der unmittelbaren Rechtsverbindlichkeit der DSGVO (Art. 288 Abs. 2 AEUV) und ihres Anwendungsvorrangs verbleibt dem nationalen Recht nunmehr nur dann ein Anwendungsbereich, wenn der sachliche Anwendungsbereich der DSGVO eingeschränkt ist oder wenn der europäische Gesetzgeber den Mitgliedstaaten durch eine Öffnungsklausel die Befugnis zur Konkretisierung der DSGVO oder Abweichung von ihren Regelungen eingeräumt hat.). Die Betroffenenrechte bei der Verletzung personenenbezogener Daten hat der Europäische Gesetzgeber aber in den Art. 12-22 DSGVO abschließend geregelt und hierbei juristische Personen ausdrücklich ausgenommen. Dieser Anwendungsvorrang würde indes unterlaufen, wenn man aus der Verpflichtung einer nichtöffentlichen Stelle in Verbindung mit §§ 823, 1004 BGB eine Anspruchsgrundlage zugunsten juristischer Personen ableiten würde, mit deren die Verarbeitung unternehmensbezogener Daten in datenschutzrechtlicher Hinsicht untersagt werden könnte.

4. Aufgrund dieser Sperrwirkung kann sich die Klägerin für die von ihr geltend gemachten Ansprüche auch nicht auf §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. ihrem allgemeinen Persönlichkeitsrecht berufen. Grundsätzlich genießen allerdings auch juristische Personen des Privatrechtes zivilrechtlichen Persönlichkeitsschutz. Sie nehmen an diesem Recht insoweit teil, als sie aufgrund ihres Wesens und ihrer individuellen Funktion dieses Rechtsschutzes bedürfen; insbesondere ist dies der Fall, wenn sie in ihrem sozialen Geltungsanspruch als Arbeitgeber oder als Wirtschaftsunternehmen betroffen werden (vgl. Senat, Beschluss vom 16.01.2018 - 4 W 1066/17, Rn. 9 - juris; vgl. Sprau, in: Grüneberg, 82. Aufl., § 823 Rn. 91). Die Schutzdimensionen des allgemeinen Persönlichkeitsrechts sind indes einzelfallbezogen im Abgleich mit den Grundrechten Dritter zu bestimmen (BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13 –, BVerfGE 152, 152-215, Rn. 81). Vom Schutzgehalt der Gewährleistung des Rechts auf informationelle Selbstbestimmung ist die Klägerin aber als juristische Person nicht umfasst; da dieser Schutzgehalt sich auch verfassungsrechtlich allein auf natürliche Personen (“den Schutz des Einzelnen“) bezieht, deren freie Entfaltung es sicherstellen will, indes keinen gesamthaften Schutzanspruch hinsichtlich jederlei Umgangs mit Informationen enthält (BVerfG, Beschluss vom 6. November 2019 - 1 BvR 16/13 Rn 84, 89 - Recht auf Vergessen 1). Ein darüber hinausgehender äußerungsrechtlicher Schutzgehalt, auf den sich auch juristische Personen berufen können, ist hier nicht ersichtlich. Bei den Mitteilungen in den E-Mails handelt es sich um Tatsachenbehauptungen, deren Wahrheitsgehalt nicht im Streit steht. Sie sind auch nicht ehrenrührig und geeignet, das unternehmerische Ansehen der Klägerin in der Öffentlichkeit zu beeinträchtigen.