Skip to content

OVG Schleswig-Holstein: Bei YouTube veröffentlichte Dashcam-Aufnahmen müssen vom Uploader verpixelt werden so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind

OVG Schleswig-Holstein
Urteil vom 07.08.2024
8 A 159/20


Das OVG Schleswig-Holstein hat entschieden, dass bei YouTube veröffentlichte Dashcam-Aufnahmen vom Uploader verpixelt werden müssen, so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind.

Aus den Entscheidungsgründen:
Rechtsgrundlage für die Anordnung der Beklagten ist Art. 58 Abs. 2 Buchst. d DS-GVO in Verbindung mit Art. 12, 13 Abs. 1 Buchst. d DS-GVO. Gemäß Art. 58 Abs. 2 Buchst. d DS-GVO verfügt jede Aufsichtsbehörde – und damit auch die Beklagte – über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen.

Nach Art. 12 Abs. 1 Satz 1 und 2 DS-GVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Entgegen der Ansicht des Klägers folgen die ihn treffenden Informationspflichten bei der Erstellung von Videoaufnahmen aus Art. 13 DS-GVO und nicht aus Art. 14 DS-GVO. Insoweit besteht zwischen Art. 13 und 14 DS-GVO im Hinblick auf den Zeitpunkt der Informationspflichten ein wesentlicher Unterschied. Bei Art. 13 DS-GVO sind die nach der Vorschrift erforderlichen Informationen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten zu erteilen, während bei Art. 14 DS-GVO die Informationen erst innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats erteilt werden müssen (Art. 14 Abs. 3 DS-GVO).

Art. 13 DS-GVO betrifft die Datenerhebung bei der betroffenen Person, während Art. 14 DS-GVO greift, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Unter welchen Voraussetzungen von einer Datenerhebung bei der betroffenen Person auszugehen ist, ist Art. 13 und 14 DS-GVO nicht zu entnehmen.

Die Abgrenzung der Datenerhebung nach Art. 13 DS-GVO von derjenigen nach Art. 14 DS-GVO hat nach Auffassung des erkennenden Einzelrichters nach objektiven Kriterien zu erfolgen, insbesondere anhand des Ortes der Datenerhebung (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 Rn. 30) oder der Mitwirkung der betroffenen Person. Einer Abgrenzung nach subjektiven Kriterien, insbesondere der Kenntnis der betroffenen Person von der Datenerhebung (vgl. dazu Franck in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 13 Rn. 4) stehen einerseits Abgrenzungsschwierigkeiten entgegen und der Umstand, dass der Verantwortliche anderenfalls durch offene oder verdeckte Datenerhebung wählen könnte, ob Art. 13 oder 14 DS-GVO eingreift. Letzteres wiederum hätte zur Folge, dass sich der Verantwortliche den Informationspflichten letztendlich vollständig durch verdeckte Datenerhebungen entziehen könnte, weil die betroffenen Personen dem Verarbeitenden oftmals unbekannt sind mit der Folge, dass Informationen im Nachhinein aus tatsächlichen Gründen nicht mehr erteilt werden können und der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO griffe (Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.). Dies ist mit dem in Erwägungsgrund 6 DS-GVO normierten Ziel der Gewährleistung eines hohen Datenschutzniveaus trotz Zunahme des Datenaustausches nicht zu vereinbaren.

Vor diesem Hintergrund sind Videoaufzeichnungen unabhängig von der Frage, ob es sich um offene (mit Hinweisschild oder ähnlichem Hinweis) oder verdeckte Aufzeichnungen handelt, als Datenerhebung bei der betroffenen Person nach Art. 13 DS-GVO anzusehen (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 15; a. A. Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 13 Rn. 11b; Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 DS-GVO Rn. 31.2).

Die Differenzierung nach offenen und verdeckten Videoaufzeichnungen hätte auch hier zur Folge, dass der Verantwortliche im Ergebnis selbst wählen könnte, ob Art. 13 oder 14 DS-GVO einschlägig ist, indem er die Videoaufzeichnung entweder offen oder verdeckt ausführt. Dies hätte wiederum zur Folge, dass bei verdeckten Videoaufzeichnungen letztendlich oft keine Informationspflichten eingehalten werden müssten, weil die aufgezeichneten Personen dem Verantwortlichen unbekannt sind und deshalb der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.).

Bezogen auf das streitgegenständliche Filmen mittels einer auf das Autodach montierten Kamera hätte die Abgrenzung nach dem subjektiven Merkmal der Kenntnis zudem Abgrenzungsprobleme in der Form zur Folge, dass der Kläger jeweils prüfen müsste, ob die Person die Kamera gesehen und damit Kenntnis von den Videoaufzeichnungen hat. In diesem Fall griffe dann Art. 13 DS-GVO. Im anderen Fall, in dem die betroffene Person die Kamera nicht gesehen hat, griffe Art. 14 DS-GVO ein und der Kläger müsste die darin normierten nachträglichen Informationspflichten erfüllen. Dazu müsste der Kläger bei jeder gefilmten Person prüfen, ob diese die Kamera gesehen beziehungsweise auf irgend eine Art davon Kenntnis erlangt hat. Bei allen anderen Personen müsste er prüfen, ob er die Informationen nachträglich erteilen kann oder der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift. Diese Vorgehensweise erscheint nicht praxistauglich.

Der Kläger ist ausgehend von diesen Maßstäben nach Art. 13 Abs. 1 Buchst. d DS-GVO verpflichtet, der betroffenen Person zum Zeitpunkt der Datenerhebung die berechtigten Interessen mitzuteilen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DS-GVO beruht.

Der Kläger hat sich vorliegend insbesondere auf seine Kunstfreiheit und seine Berufsfreiheit und damit auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO berufen.

Nach Art. 12 Abs. 1 Satz 2 DS-GVO erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Jedenfalls über seine berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO kann der Kläger auch in der von ihm gewählten Form informieren, dass sich auf dem Kraftfahrzeug ein Hinweis auf seine Website befindet, auf der dann wiederum die erforderlichen Informationen nachzulesen sind. Insoweit ist ein Medienbruch zulässig (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 12 Rn. 16). Gewisse Verarbeitungssituationen lassen es schlichtweg nicht zu, sämtliche Transparenzinformationen unmittelbar zur Verfügung zu stellen (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43).

So ist auch hier zu berücksichtigen, dass beim Vorbeifahren eines Kraftfahrzeuges nur in begrenztem Umfang auf dem Kraftfahrzeug angebrachte Informationen von den betroffenen Personen wahrgenommen werden können und diese deshalb auf die essentiellen Informationen beschränkt werden müssen. Dazu zählen die berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO nicht. Hier ist es ausreichend, wenn die betroffenen Personen die Informationen auf Sekundärebene über eine Website abrufen können.

Vor diesem Hintergrund ist auch Ziffer 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtswidrig und verletzt den Kläger in seinen Rechten, soweit sich die Nachweispflicht mittels eines Fotos auf die Pflicht bezieht, bei der Anfertigung von personenbezogenen Filmaufnahmen sichtbar darauf hinzuweisen, welche berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO durch die Anfertigung der Filmaufnahmen verfolgt werden.

Im Übrigen sind Ziffer 3 und 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzen den Kläger nicht in seinen Rechten.

Die für die betroffenen Personen essentiellen Informationen nach Art. 13 Abs. 1 DS-GVO müssen ohne Medienbruch bei der Verarbeitung mitgeteilt werden (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43). Dazu zählen jedenfalls die von der Beklagten angenommenen Hinweise darauf, dass Filmaufnahmen für den Zweck der Veröffentlichung im Internet erstellt werden (Art. 12 Abs. 1 Buchst. c DS-GVO), wer Verantwortlicher der Verarbeitung ist sowie dessen Kontaktdaten (Art. 12 Abs. 1 Buchst. a DS-GVO).

Diese überschaubare Anzahl an Daten kann bei gefilmten Personen bei einem Hinweis auf dem Kraftfahrzeug des Klägers noch wahrgenommen werden. Gleichzeitig ist die Information über diese Daten für die Wahrung der Rechte der betroffenen Personen notwendig, damit auch Personen mit wenig Medienkompetenz hinreichend informiert sind und ihre Rechte möglichst umfassend ausüben können.

Ziffer 4 des streitgegenständlichen Bescheides ist hinsichtlich der nicht zu beanstandenden Informationspflichten nach Ziffer 3 des Bescheides ebenfalls nicht zu beanstanden. Rechtsgrundlage ist Art. 58 Abs. 1 Buchst. a DS-GVO. Danach verfügt Jede Aufsichtsbehörde über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, unter anderem den Verantwortliche anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Das von der Beklagten geforderte Foto ist notwendig, um überprüfen zu können, ob der Kläger die von der Beklagten geforderten Informationspflichten nach Art. 13 DS-GVO beachtet. Dazu ist die Beklagte nach Art. 57 Abs. 1 Buchst. a DS-GVO verpflichtet. Ermessensfehler sind insoweit weder vorgetragen noch ersichtlich. An der Verhältnismäßigkeit bestehen keine Zweifel.

Im Übrigen ist der Bescheid der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzt den Kläger nicht in seinen Rechten.

Zunächst leidet der Bescheid nicht an fehlender Bestimmtheit. Gemäß § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Das bedeutet zum einen, dass der Adressat in die Lage versetzt werden muss, zu erkennen, was von ihm gefordert wird. Zum anderen muss der Verwaltungsakt geeignete Grundlage für Maßnahmen zu seiner zwangsweisen Durchsetzung sein können. Im Einzelnen richten sich die Anforderungen an die notwendige Bestimmtheit eines Verwaltungsakts nach den Besonderheiten des jeweils anzuwendenden und mit dem Verwaltungsakt umzusetzenden materiellen Rechts (BVerwG, Urt. v. 15. Februar 1990 – 4 C 41.87 – juris Rn. 29).

Der Regelungsgehalt eines Verwaltungsakts ist entsprechend §§ 133, 157 BGB durch Auslegung zu ermitteln. Dabei ist der erklärte Wille maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte. Bei der Ermittlung dieses objektiven Erklärungswertes sind alle dem Empfänger bekannten oder erkennbaren Umstände heranzuziehen, insbesondere auch die Begründung des Verwaltungsakts. Die Begründung hat einen unmittelbaren Zusammenhang mit dem Regelungsgehalt. Sie ist die Erläuterung der Behörde, warum sie den verfügenden Teil ihres Verwaltungsakts so und nicht anders erlassen hat. Die Begründung bestimmt damit den Inhalt der getroffenen Regelung mit, sodass sie in aller Regel unverzichtbares Auslegungskriterium ist (BVerwG, Urt. v. 16. Oktober 2013 – 8 C 21.12 – juris Rn. 14).

Gemessen an diesen Maßstäben ist der Bescheid hinreichend bestimmt. Für den Kläger ist unter Berücksichtigung von Tenor und Begründung des Bescheides hinreichend klar, unter welchen Voraussetzungen die Aufnahmen so verändert werden müssen, dass Personen, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können (Ziffer 1 und 2 des Bescheides) und was für ein Foto er einreichen soll (Ziffer 4 des Bescheides).

Dies ist bei Auslegung des Bescheides aus dem objektiven Empfängerhorizont immer dann der Fall, wenn aufgrund besonderer Umstände des Straßenverkehrs nicht mehr die Straße und die sie umgebende Landschaft die Aufnahme prägt. In den vom Kläger bislang veröffentlichten Aufnahmen prägt – im fließenden Verkehr – ganz überwiegend die Straße und die sie umgebende Straßenlandschaft das Bild. Gelegentlich passiert der Kläger dabei Personen, die jedoch im Hintergrund bleiben und kaum zu erkennen sind.

Anders verhält es sich unterdessen, wenn Personen aufgrund der äußeren Umstände der Verkehrssituation dicht an die auf dem Fahrzeugdach montierte Kamera herantreten, insbesondere an Ampeln, bei Verkehrsüberwegen und an Kreuzungen. In diesem Fall gerät die Person – angesichts der geringen Geschwindigkeit eines Fußgängers, Fahrradfahrers etc. über einen längeren Zeitraum – in den Fokus der Aufnahme mit der Folge, dass die Straße und die Straßenlandschaft verdeckt wird und in den Hintergrund gerät.

Zugegebenermaßen verbleiben dabei Abgrenzungsschwierigkeiten, weil nicht anhand fester Kriterien vom Kläger oder einem eingesetzten Algorithmus festgestellt werden kann, wie lange etwa eine Person aufgezeichnet werden muss, welchen Anteil sie vom Bildausschnitt ausfüllen muss beziehungsweise ab welcher Entfernung zur Kamera eine Anonymisierung zu erfolgen hat. Derartige feste Kriterien sind jedoch für die Abgrenzung nicht geeignet, weil anhand festgelegter Werte die Umstände der jeweils gegebenen konkreten Situation der Aufnahme nicht hinreichend gewürdigt werden können. Verbleibende Abgrenzungsschwierigkeiten sind in Kauf zu nehmen.

Dies vorangestellt hat die Beklagte zu Recht die Abgrenzungskriterien der sogenannten Beiwerk-Rechtsprechung zu § 23 Abs. 1 Nr. 2 KUG entsprechend herangezogen.

Nach dieser Vorschrift dürfen ohne die nach § 22 KUG erforderliche Einwilligung verbreitet und zur Schau gestellt werden Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen. Auch hier ist die Abgrenzung zwischen Haupt- und Beiwerk schwierig.

Die Vorschrift stellt in erster Linie auf das Verhältnis des Abgebildeten zu der übrigen Aussage des Bildes, auf seinen Stellenwert im Gesamteindruck des Bildes, nicht auf den Grad seiner Erkennbarkeit ab. Von einem Beiwerk in diesem Sinn kann grundsätzlich dann keine Rede sein, wenn die Person das Bild fast ganz ausfüllt (BGH, Urt. v. 26. Juni 1979 – VI ZR 108/78 – juris Rn. 18). Maßgeblich ist, ob entsprechend dem Gesamteindruck der Veröffentlichung die Landschaft oder die sonstige Örtlichkeit Abbildungsgegenstand ist und die einzelnen Abgebildeten nur "bei Gelegenheit" erscheinen oder ob einzelne aus der Anonymität herausgelöst werden (LG Oldenburg, Beschl. v. 23. uar 1986 – 5 O 3667/85GRUR 1986, 464, 465). Voraussetzung hierfür ist, dass nach dem Gesamteindruck der Veröffentlichung die Landschaft der den Gesamtcharakter des Bildes prägende Abbildungsgegenstand ist und die auf dem Bild erkennbaren Personen derart untergeordnetes Beiwerk darstellen, dass sie auch entfallen könnten, ohne dass Inhalt und Charakter des Bildes sich veränderten (OLG Oldenburg (Oldenburg), Urt. v. 14. November 1988 – 13 U 72/88 – juris Rn. 28). Die Personenabbildung muss derart untergeordnet sein, dass sie auch entfallen könnte, ohne dass Gegenstand und Charakter des Bildes sich verändern. Wesentlich ist damit, dass die Personendarstellung untergeordnet und nicht selbst Thema des Bildes ist (OLG Karlsruhe, Urt. v. 18. August 1989 – 14 U 105/88 – juris Rn. 27). Der Stellenwert der Personen entsprechend dem Gesamteindruck des Bildes muss gegenüber dem Stellenwert der Landschaft erheblich niedriger sein (OLG München, Urt. v. 13. November 1987 – 21 U 2979/87 – juris Rn. 31).

Ausgehend von dieser Rechtsprechung hat die Beklagte zu Recht für maßgeblich im Hinblick auf die Pflicht zur Anonymisierung darauf abgestellt, ob sich eine Person nach dem Gesamteindruck im Vordergrund des Bildausschnitts befindet.

In Bezug auf die in Ziffer 4 des Bescheides angeordnete Verpflichtung, durch Übersendung eines Fotos die Erfüllung der Informationspflichten nach Ziffer 3 des Bescheides nachzuweisen, bestehen im Hinblick auf den Bestimmtheitsgrundsatz keine Bedenken. Es ist ohne weiteres verständlich, dass ein Foto des klägerischen Kraftfahrzeuges mit den nach Ziffer 3 des Bescheides geforderten Informationen einzureichen ist.

Rechtsgrundlage für Ziffer 1 und 2 des streitgegenständlichen Bescheides ist Art. 58 Abs. 2 Buchst. f DS-GVO. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO. Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

Das Veröffentlichen von Aufnahmen, bei denen Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden und Kraftfahrzeug-Kennzeichen gelesen werden können, stellt eine rechtswidrige Datenverarbeitung dar.

Bei der Veröffentlichung von Filmen, auf denen betroffene Personen zu erkennen sind, handelt es sich um personenbezogene Daten. Dazu zählen nach Art. 4 Nr. 1 Hs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird nach Art. 4 Nr. 1 Hs. 2 DS-GVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urt. v. 11. Dezember 2014 – C-212/13 – juris Rn. 22). Dies ist jedenfalls für Personen anzunehmen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden. Anhand ihrer äußeren Erscheinung können sie zumindest über Fotos sowie durch Personen, denen die äußere Erscheinung bekannt ist, identifiziert werden.

Auch Kraftfahrzeug-Kennzeichen stellen personenbezogene Daten dar, weil sie einem Halter und gegebenenfalls auch einem Fahrer zurechenbar sind (vgl. Schild in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 4 DS-GVO Rn. 21). Daran ändert auch der Umstand nichts, dass Halterabfragen beim Kraftfahrt Bundesamt nur unter bestimmten Voraussetzungen zulässig sind.

Dies gilt uneingeschränkt für alle Kennzeichen, unabhängig davon, ob das Fahrzeug auf eine natürliche oder juristische Person zugelassen ist, weil die Kennzeichen auch bei auf juristische Personen zugelassenen Kraftfahrzeugen Rückschlüsse auf die Fahrer vermitteln können. Die DS-GVO findet nach Erwägungsgrund 14 auf juristische Personen keine Anwendung. Die hinter der juristischen Person stehenden natürliche Personen sind jedoch geschützt, wenn sich die Daten der juristischen Person auch auf sie beziehen (vgl. Gola in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 4 Rn. 28). Jedenfalls Mitarbeiter oder anderweitig informierte Personen können ein Kraftfahrzeug einer juristischen Person über das Kennzeichen einer natürlichen Person als Fahrer zuordnen. So könnte etwa festgestellt werden, dass der Fahrer eines Fahrzeugs seines Arbeitsgebers (juristische Person) bei einer Dienstfahrt von der vorgegebenen Route abgewichen und in seiner Dienstzeit einer privaten Tätigkeit nachgegangen ist.

Im Einzelfall mag bei auf juristische Personen zugelassenen Fahrzeugen eine Identifizierung des Fahrers selbst unter Auswertung sämtlicher Datenquellen nicht möglich sein. Unter dem Aspekt einer praxistauglichen datenschutzrechtlichen Verfügung ist es jedoch nicht zu beanstanden, dass die Beklagte in Ziffer 1 und 2 des streitgegenständlichen Bescheides diese Fälle nicht vom Anwendungsbereich ihrer Anordnung ausgenommen hat. Es ist in tatsächlicher Hinsicht nicht möglich, zu erkennen, ob ein Kraftfahrzeug auf eine juristische oder eine natürliche Person zugelassen und deshalb dem Anwendungsbereich der DS-GVO unterfällt oder nicht. Dies ließe sich allenfalls durch eine Halterauskunft ermitteln. Auch Werbeaufschriften oder Ähnliches auf Fahrzeugen lassen keinen sicheren Schluss auf den Halter des Fahrzeugs zu, weil jeder Halter beziehungsweise Eigentümer eines Kraftfahrzeuges grundsätzlich frei über die äußere Gestaltung seines Fahrzeugs entscheiden kann. Zudem kann der Verantwortliche nicht erkennen, ob über das Kennzeichen etwa mittels eines Fahrtenbuches möglicherweise Rückschlüsse auf den Fahrer als natürliche Person gezogen werden können.

Das von dem Bescheid der Beklagten erfasste Veröffentlichen der Filme auf der Website Youtube stellt eine Datenverarbeitung dar. Nach Art. 4 Nr. 2 DS-GVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie unter anderem die Speicherung und die Offenlegung durch Verbreitung.

Die Datenverarbeitung ist nach Art. 6 Abs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der unter den Buchst. a bis f aufgeführten Bedingungen erfüllt ist.

Insbesondere eine Einwilligung der gefilmten Personen liegt nicht vor. Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Das Filmen und die Veröffentlichung der Aufnahmen ohne Anonymisierung ist zunächst als Betätigung der von Art. 13 GRCh geschützten Kunstfreiheit, der von Art. 15 Abs. 1 GRCh geschützten Berufsfreiheit und der von Art. 16 GRCh geschützten Unternehmerischen Freiheit einzuordnen und stellt damit ein berechtigtes Interesse dar.

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen auch erforderlich. Dieses Tatbestandsmerkmal ist erfüllt, wenn kein anderes, gleich effektives Mittel ersichtlich ist (VG Ansbach, Urt. v. 23. Februar 2022 – AN 14 K 20.00083 – juris Rn. 40). Die Anonymisierung stellt kein gleich effektives Mittel dar, weil sie den Kläger in seiner Kunstfreiheit, Berufsfreiheit und der Unternehmerischen Freiheit beeinträchtigt.

Die Beklagte ist jedoch zu Recht davon ausgegangen, dass die Abwägung hier zu Lasten des Klägers ausfällt.

Abzuwiegen sind hier die berechtigten Interessen des Klägers als Verantwortlichen einerseits und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, andererseits. Erfasst – wie hier – derselbe Sachverhalt eine Vielzahl von betroffenen Personen, erfolgt die Abwägung anhand einer summarischen Prüfung der Belange der betroffenen Personen unter Zugrundelegung von Erfahrungswerten (Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Maßgeblich ist insoweit insbesondere die Eingriffsintensität, die Art der betroffenen Personen, die Zwecke der Datenverarbeitung sowie die Sphäre, in die eingegriffen wird (vgl. Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Die gefilmten Personen sind in ihrem Grundrecht auf informationelle Selbstbestimmung sowie des Rechts am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG berührt und zwar in erheblicher Weise.

Zunächst handelt es sich angesichts der Vielzahl an veröffentlichten Videos um eine erhebliche Vielzahl an betroffenen Personen, auch wenn je Video abhängig von der gefilmten Straßenlandschaft teilweise nur vereinzelt Personen in den Vordergrund des Bildausschnitts geraten. Die zufällig gefilmten Personen können sich dem Filmen zudem kaum beziehungsweise nur dann entziehen, wenn sie die Kamera bemerkt haben. Dies ist gerade bei größeren Kreuzungen oder unübersichtlicheren Verkehrssituationen oder wenn die gefilmten Personen durch Gespräche, Telefonate etc. abgelenkt sind nicht unbedingt der Fall.

Eingriffsmindernd ist auf der anderen Seite zu berücksichtigen, dass die Personen lediglich in ihrer Sozialsphäre betroffen sind. Die belastenden Auswirkungen der Verarbeitung auf die betroffenen Personen stellen sich zudem nach allgemeiner Lebenserfahrung und mangels entgegenstehender Anhaltspunkte als eher gering dar.

Dennoch überwiegen diese Interessen der betroffenen Personen die berechtigten Interessen des Klägers. Die Verpflichtung des Klägers, die veröffentlichten Filmaufnahmen aus dem öffentlichen Straßenverkehr so zu verändern, dass Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können und Kraftfahrzeug-Kennzeichen nicht gelesen werden können, stellt nach Auffassung des erkennenden Einzelrichters einen Eingriff von geringer Intensität dar. Betroffen sind zunächst nur besondere Situationen, in denen Personen – anders als im fließenden Verkehr – in den Vordergrund geraten. Der ganz überwiegende Anteil der Aufnahmen ist nicht von der Pflicht zur Anonymisierung betroffen. Unter Würdigung der Gesamtumstände werden die vom Kläger erstellten und veröffentlichten Aufnahmen von Straßenlandschaften in ihrer Darstellung und Wirkung durch die Anonymisierung der Personen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, lediglich geringfügig beeinträchtigt, weil sich der Eindruck der Straßenlandschaft durch die Anonymisierung kaum verändert. Die abgebildete Person ist lediglich nicht mehr zu erkennen.

Erwägungsgrund 47 Satz 4 DS-GVO sieht zudem vor, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten.

Im öffentlichen Straßenverkehr können betroffene Personen grundsätzlich davon ausgehen, dass sie nicht gefilmt werden. Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der betroffenen Personen.

Diese Wertung muss erst Recht für Kraftfahrzeug-Kennzeichen gelten. Es mag für den Kläger zusätzlichen Aufwand bedeuten, die Kennzeichen etwa durch eine Verpixelung zu anonymisieren. Im Übrigen werden die Aufnahmen der Straßenlandschaften durch die Anonymisierung der Kennzeichen jedoch nur sehr geringfügig verändert, so dass das Grundrecht auf informationelle Selbstbestimmung sowie das Recht am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG der Halter beziehungsweise Fahrer der gefilmten Kraftfahrzeuge überwiegt.

Rechtsfolge von Art. 58 Abs. 2 Buchst. f DS-GVO ist, dass der Aufsichtsbehörde bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zusteht (vgl. dazu Erwägungsgrund 129 DS-GVO), welches gerichtlich nur eingeschränkt überprüfbar ist, § 114 VwGO. Vorliegend sind Ermessensfehler nicht ersichtlich. Die Beklage hat ihr Ermessen ausgeübt, indem sie unter den verschiedenen Möglichkeiten die aus ihrer Sicht am wenigsten einschränkende, lediglich punktuelle Veränderung der Aufnahmen angeordnet hat (vgl. S. 8 des Bescheides).

Den Volltext der Entscheidung finden SIe hier:

OLG München: Weiterleitung geschäftlicher E-Mails an privaten E-Mail-Account verstößt gegen DSGVO und kann außerordentliche Kündigung rechtfertigen

OLG München
Urteil vom 31.07.2024
7 U 351/23 e


Das OLG München hat entschieden, dass die Weiterleitung geschäftlicher E-Mails an einen privaten E-Mail-Account gegen die DSGVO verstößt und eine außerordentliche Kündigung rechtfertigen kann.

Aus den Entscheidungsgründen:
2. Die Weiterleitung der streitgegenständlichen Emails auf den privaten Account des Klägers ist auch ein wichtiger Grund iSd § 626 Abs. 1 BGB.

Gemäß § 626 Abs. 1 BGB kann das Dienstverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.

a. Dafür ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“, d. h. typischerweise als wichtiger Grund geeignet ist (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern vgl. auch BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Als wichtiger Grund ist nach der höchstrichterlichen Rechtsprechung dabei neben der Verletzung vertraglicher Hauptpflichten auch die schuldhafte Verletzung von Nebenpflichten „an sich“ geeignet (vgl. BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 19).

aa. Zur Begründung eines wichtigen Grundes „an sich“ kann im vorliegenden Fall jedoch nicht auf § 10 Abs. 1 DV abgestellt werden.

Nach § 10 Abs. 1 UA 1 DV ist der Vorstand verpflichtet, „alle betrieblichen Angelegenheiten und Geschäfts- und Betriebsgeheimnisse“, die ihm während seiner Tätigkeit bekannt wurden, vertraulich zu behandeln. Insbesondere ist er verpflichtet, „vertrauliche Informationen dieser Art“ streng geheim zu halten, sie nicht zu verbreiten oder zu kommunizieren und sie auch nicht zu verwerten. Bei der Auslegung des § 10 Abs. 1 DV ist zu beachten, dass mit dieser Regelung der Umfang der Verschwiegenheitsverpflichtung des Vorstands bestimmt werden soll.

Die Verschwiegenheitsverpflichtung des Vorstands wird in § 93 Abs. 1 S. 3 AktG geregelt, der stipuliert, dass Vorstandsmitglieder über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- und Geschäftsgeheimnisse Stillschweigen zu bewahren haben. Da diese Vorschrift zwingendes Recht ist, kann sie nicht ausgeschlossen oder eingeschränkt werden. Die in § 93 Abs. 1 S. 3 AktG normierte Verschwiegenheitsverpflichtung kann aber auch nicht durch Satzung, Geschäftsordnung oder Anstellungsvertrag erweitert werden, wie sich aus § 23 Abs. 5 AktG ergibt (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 202 zu § 93 AktG; Spindler in Münchener Kommentar zum AktG, 6. Auflage, München 2023, Rdnr. 143 zu § 93 AktG; Schmidt in Heidel, Aktienrecht und Kapitalmarktrecht, 5. Auflage, München 2020, Rdnr. 62 zu § 93 AktG; vgl. auch BGH, Urteil vom 05.06.1975 – II ZR 156/73, Rdnrn 8 f. zur Verschwiegenheitspflicht eines Aufsichtsrats nach § 116 iVm. § 93 Abs. 1 S. 2 AktG a.F.). Stellt also die Weiterleitung der streitgegenständlichen Emails an den privaten Email-Account des Klägers keine Verletzung der Verschwiegenheitsverpflichtung des Vorstands nach § 93 Abs. 1 S. 3 AktG dar, so ist unbeachtlich, wenn der Kläger gegen etwaig weitergehende Verpflichtungen aus § 10 Abs. 1 DV verstoßen haben sollte.

Nach der Rechtsprechung des BGH handelt es sich bei „vertrauliche(n) Angaben und Geheimnisse(n) der Gesellschaft“ iSd. § 93 Abs. 1 S. 3 AktG um nicht allgemein bekannte (offenkundige) Tatsachen, an deren Geheimhaltung ein objektives Interesse des Unternehmens besteht (vgl. BGH, Urteil vom 26.04.2016 – IX ZR 108/15, Rdnr. 31).

Alle vom Kläger weitergeleiteten streitgegenständlichen Emails bezogen sich auf „betriebliche Angelegenheiten“ iSd. § 10 Abs. 1 UA 1 DV und beinhalteten keine offenkundigen Tatsachen. So betraf die Email vom 23.04.2021, 16:27 Uhr laut Anl. B 8 das Verhalten u.a. des Mitvorstands … bezüglich der Behandlung von Gehaltsabrechnungen nicht nur des Klägers, sondern auch des früheren Vorstandsvorsitzenden der Beklagten … . In der Email vom 10.05.2012 laut Anl. B 7 ging es um die Behandlung von Forderungen des Klägers gegen die Beklagte, um Schriftwechsel mit der Steuerberatungsgesellschaft der Beklagten sowie um Kompetenzstreitigkeiten mit dem Mitvorstand … Gegenstand der Email vom 31.05.2021, 12:10 Uhr (Anl. B 2) war eine Anfrage der … AG nach dem Geldwäschegesetz und eventuell drohende Maßnahmen der BAFIN gegen die Beklagte. Die Email vom 31.05.2021, 17:47 Uhr (Anl. B 9) bezog sich auf eine Zuständigkeitsstreitigkeit zwischen dem Kläger und Mitarbeitern der …-Gruppe sowie die Provisionsplanung für 2021. Letztere war auch Thema der am 16.06.2021 um 11:13 Uhr vom Kläger versandten Email (Anlage B 5), der u.a. eine als „confidentiel“ überschriebene Präsentation betreffend Fragen zur Provisionierung sowie das Protokoll eines internen Meetings vom 07.06.2021 zu dieser Problematik beigefügt war. Die Emails vom 18.06.2021, 17.17 Uhr (Anl. B 3) und vom 21.06.2021, 12:34 Uhr laut Anl. B 6 betrafen den von einem Mitarbeiter der Beklagten (…) gegen diese geltend gemachten Anspruch auf Provisionszahlungen. In der Email vom 24.06.2021, 11:51 Uhr (Anlage B 1) waren wiederum Umsatzerlöse und Bonifizierungsgrundlagen für diesen Mitarbeiter thematisiert. Dieser Email beigefügt waren Email-Verkehr des Klägers mit Mitarbeitern der Beklagten sowie die Kopie eines Lizenzvertrages mit dem Kundenunternehmen … GmbH. Gegenstand der am 28.06.2021 um 13:26 Uhr versandten Email laut Anl. B 4 an … und … von der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft … GmbH waren Spesenzahlungen der Beklagten an den Kläger.

Ob auch ein objektives Geheimhaltungsinteresse der Beklagten an diesen Tatsachen bestand, kann dahinstehen, da es jedenfalls an einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Kläger fehlt. Wann eine Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG vorliegt, ergibt sich aus dem objektiven Tatbestand des § 404 AktG, der Verletzungen der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG sanktioniert. Demzufolge ist die Verschwiegenheitsverpflichtung verletzt, wenn ein Geheimnis der Gesellschaft unbefugt offenbart (§ 404 Abs. 1 AktG) oder verwertet (§ 404 Abs. 2 S. 2 AktG) wird. Offenbart wiederum wird ein Geheimnis, wenn es jemandem, der dieses Wissen noch nicht hat (Unbefugter), mitgeteilt oder sonst in einer Weise zugänglich gemacht wird und er somit die Möglichkeit der Kenntnisnahme erhält. Die Art und Weise der Preisgabe ist irrelevant. Es kommt allein darauf an, dass der Adressat die nicht mehr abschirmbare Möglichkeit der Kenntnisnahme hat (vgl. Hefendehl in BeckOGK AktG, Stand 01.06.2024, Rdnr. 54 zu § 404 AktG). Diese Voraussetzungen sind im streitgegenständlichen Fall durch die Weiterleitung der Emails an den privaten Email-Account des Klägers nicht erfüllt, da der Kläger den Inhalt der Emails unstreitig keinem Dritten mitgeteilt oder zugänglich gemacht hat. Die Speicherung auf einem Freemail-Server reicht hierfür nicht aus. Auch eine Verwertung der Geheimnisse durch den Kläger ist unstreitig nicht erfolgt.

In Ermangelung einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG kommt es daher nicht mehr darauf an, ob der Kläger die in § 10 Abs. 1 UA 3 lit a DV stipulierte Pflicht zur strengen Geheimhaltung vertraulicher Informationen verletzt hat, da eine Erweiterung der Geheimhaltungsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Vorstandsdienstvertrag nicht möglich ist.

bb. Auch wenn der Kläger nach alledem nicht gegen die ihm als Vorstand obliegende aktienrechtliche Verschwiegenheitsverpflichtung aus § 93 Abs. 1 S. 3 AktG verstieß, so hat er doch durch die Weiterleitung der streitgegenständlichen Emails gegen seine sich aus § 91 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht, die in Gestalt der Legalitätspflicht vom Vorstand eigene Regeltreue fordert, verstoßen. Denn wie das Landgericht richtig annahm (LGU S. 14), stellt die Weiterleitung der Emails auf den privaten Account des Klägers und die dortige Speicherung eine Verarbeitung iSd. Art. 4 Nr. 2 DSGVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war (Art. 6 Abs. 1 lit a DSGVO). Diese Weiterleitung war auch nicht zur Wahrung der berechtigten Interessen des Klägers erforderlich (Art. 6 Abs. 1 lit f DSGVO). Gegen diese zutreffende rechtliche Wertung des Landgerichts hat die Berufung nichts erinnert, vielmehr hat der Kläger in seiner Berufungserwiderung/Anschlussberufungsbegründung (dort S. 13, Bl. 32 d.A.) sogar selbst eingeräumt, dass ihm nunmehr bewusst sei, dass eine Weiterleitung von dienstlichen Emails auf seinen privaten Email-Account nicht zulässig sei.

(1) Zwar ist nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der Datenschutzgrundverordnung schon „an sich“ als wichtiger Grund iSd. § 626 Abs. 1 BGB geeignet. Dies ist jedoch zumindest dann der Fall, wenn – wie streitgegenständlich – die unter Missachtung der Regelungen der DSGVO erfolgte Weiterleitung der Emails an den privaten Email-Account des Klägers sensible Daten der Beklagten und anderer Dritter betrifft. Um solche sensiblen Daten handelte es sich vorliegend, da es in den Emails unter anderem um eine geldwäscherechtliche Bankanfrage, Provisisonsansprüche von Mitarbeitern (…), Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden (…), Planungen der Beklagten zur Verprovisionierung ihrer Mitarbeiter und Zuständigkeitsstreitigkeiten im Vorstand der Beklagten ging. Zu berücksichtigen war darüber hinaus, dass die Weiterleitung nicht ein singulärer Vorfall war, sondern neun Emails weitergeleitet wurden.

(2) Die Weiterleitung der Emails wird auch nicht dadurch gerechtfertigt, dass der Kläger – jedenfalls seiner Vorstellung nach – „nur solche Emails weiterleitete, die aufgrund der besorgniserregenden Veränderungen im Betrieb der Beklagten (…) unentbehrlich waren, um später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hat“ (vgl. Schriftsatz des Klägervertreters vom 02.05.2022, S. 7, Bl. 31 d.A.). Denn für eine solche prophylaktische Selbsthilfe bestand – wie das Landgericht richtig ausführte (LGU S. 14 f.) – keine Veranlassung. Solange der Kläger noch Vorstand war, hatte er qua Amt Zugriff auf die Unterlagen der Beklagten. Nach seiner Abberufung als Vorstand hat er dagegen einen Einsichtsanspruch aus § 810 BGB, soweit er Unterlagen der Beklagten für seine Verteidigung benötigen sollte, wobei der Kläger durch die die Beklagte treffenden handels- und steuerrechtlichen Aufbewahrungspflichten auch vor unzeitiger Vernichtung der Unterlagen hinreichend geschützt ist (zur fehlenden Rechtfertigung prophylaktischer Selbsthilfe in einem vergleichbaren Fall eines Arbeitnehmers vgl. auch BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 33 und LArbG Hamm, Urteil vom 28.05.2020 – 15 Sa 2008/19, Rdnr. 63).

Nach alledem kann in der streitgegenständlichen Weiterleitung der Emails ein wichtiger Grund iSd. § 626 Abs. 1 BGB „an sich“ liegen. Ein Vorstand ist demnach nicht anders zu beurteilen als ein Arbeitnehmer, dem es ohne Einverständnis des Arbeitgebers ebenso verwehrt ist, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen (vgl. BAG Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 32).

b. Nach Feststellung, dass der streitgegenständliche Sachverhalt „an sich“, d.h. typischerweise als wichtiger Grund geeignet ist, bedarf es der Prüfung, ob der Gesellschaft die Fortsetzung des Anstellungsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile – jedenfalls bis zum Ablauf der Kündigungsfrist – zumutbar ist oder nicht (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Dabei ist in einer Gesamtwürdigung das Interesse der Gesellschaft an der sofortigen Beendigung des Vorstandsanstellungsvertrages gegen das Interesse des Vorstands an dessen Fortbestand abzuwägen. Es hat eine Bewertung des Einzelfalls unter Beachtung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Zu berücksichtigen sind dabei u.a. regelmäßig die Schwere der Pflichtverletzung, der Grad des Verschuldens des Vorstands, das Ausmaß des Schadens, eine mögliche Wiederholungsgefahr, die Dauer des Vorstandsverhältnisses und dessen störungsfreier Verlauf sowie die sozialen Folgen für das Vorstandsmitglied (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 187 zu § 84 AktG).


Den Volltext der Entscheidung finden Sie hier:

EuGH: Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig

EuGH
Urteil vom 30.04.2024
C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)


Der EuGH hat entschieden, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.

Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

er einer nationalen Regelung nicht entgegensteht, die der mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor Verletzungen dieser Rechte im Internet betrauten Behörde den Zugang zu den von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die IP-Adressen zuzuordnen sind, die zuvor von Einrichtungen der Rechteinhaber gesammelt wurden, gestattet, damit die Behörde die Inhaber dieser für Aktivitäten, die solche Rechtsverletzungen darstellen können, genutzten Adressen identifizieren und gegebenenfalls Maßnahmen gegen sie ergreifen kann, unter der Voraussetzung, dass nach dieser Regelung

– diese Daten zu Bedingungen und unter technischen Modalitäten gespeichert werden, die gewährleisten, dass es ausgeschlossen ist, dass aus der Vorratsspeicherung genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen, z. B. durch Erstellung ihres detaillierten Profils, gezogen werden können, was insbesondere dadurch erreicht werden kann, dass den Betreibern elektronischer Kommunikationsdienste eine Pflicht zur Vorratsspeicherung der verschiedenen Kategorien personenbezogener Daten wie Identitätsdaten, IP-Adressen sowie Verkehrs- und Standortdaten auferlegt wird, die eine wirksame strikte Trennung dieser verschiedenen Datenkategorien gewährleistet, mit der im Stadium der Speicherung jede kombinierte Nutzung dieser verschiedenen Datenkategorien verhindert wird, und die Dauer der Speicherung das absolut notwendige Maß nicht überschreitet;

– der Zugang dieser Behörde zu solchen wirksam strikt getrennt auf Vorrat gespeicherten Daten ausschließlich dazu dient, die Person zu identifizieren, die im Verdacht steht, eine Straftat begangen zu haben, und dieser Zugang mit den erforderlichen Garantien versehen ist, um auszuschließen, dass er, abgesehen von atypischen Situationen, genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen ermöglichen kann, z. B. durch die Erstellung ihres detaillierten Profils, was insbesondere impliziert, dass es den Bediensteten dieser Behörde, denen ein solcher Zugang gestattet worden ist, untersagt ist, Informationen über den Inhalt der von den Inhabern der IP-Adressen konsultierten Dateien, außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft, in welcher Form auch immer offenzulegen, die von diesen Personen besuchten Internetseiten nachzuverfolgen und allgemeiner die IP-Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen;

– die Möglichkeit für die bei der betreffenden Behörde mit der Prüfung des Sachverhalts betrauten Personen, solche Daten mit Dateien zu verknüpfen, die Elemente enthalten, denen sich der Titel geschützter Werke entnehmen lässt, deren Bereitstellung im Internet die Sammlung der IP-Adressen durch Einrichtungen der Rechteinhaber gerechtfertigt hat, in Fällen der erneuten Entfaltung einer Aktivität, mit der dieselbe Person Urheberrechte oder verwandte Schutzrechte verletzt, von einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht wird, wobei die Kontrolle nicht vollständig automatisiert sein darf und vor einer solchen Verknüpfung erfolgen muss, da diese es in derartigen Fällen ermöglichen kann, genaue Schlüsse auf das Privatleben der Person zu ziehen, deren IP-Adresse für Aktivitäten genutzt wurde, die möglicherweise Urheberrechte oder verwandte Schutzrechte verletzen;

– das von der Behörde verwendete Datenverarbeitungssystem in regelmäßigen Abständen einer zur Überprüfung der Integrität des Systems, einschließlich wirksamer Garantien zum Schutz vor den Gefahren eines missbräuchlichen oder unberechtigten Zugangs zu den Daten und ihrer missbräuchlichen oder unberechtigten Nutzung, sowie seiner Wirksamkeit und Zuverlässigkeit bei der Aufdeckung etwaiger Verstöße dienenden Kontrolle durch eine unabhängige Stelle unterliegt, bei der es sich im Verhältnis zu dieser Behörde um einen Dritten handelt.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Microsoft haftet für Setzen von Cookies ohne Einwilligung über Websites Dritter

OLG Frankkfurt
Urteil vom 27.06.2024
6 U 192/23


Das OLG Frankfurt hat entschieden, dass Microsoft für das Setzen von Cookies ohne Einwilligung über Websites Dritter haftet.

Die Pressemitteilung des Gericht:
Cookie-Speicherung: Microsoft haftet für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter

Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseiten-Betreibern ein, die Cookies verwenden, haftet die hier beklagte Microsoft-Tochter für die mit ihrer Unternehmenssoftware begangene Rechtsverletzung. Es entlastet sie nicht, dass nach ihren Allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung Microsoft verpflichtet, es zu unterlassen, ohne Einwilligung Cookies auf Endeinrichtungen der Klägerin einzusetzen.

Die Klägerin wendet sich gegen die Speicherung und das Auslesen sog. Cookies zu werblichen Zwecken auf ihren Endgeräten ohne ihre Einwilligung. Die Beklagte gehört zur Microsoft Corporation (i.F: „Microsoft“). Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Über Microsoft Advertising können u.a. Informationen über die Besucher einer Webseite gesammelt und für die Besucher zielgerichtete Anzeigen geschaltet werden. Für die Erfassung der Onlineaktivitäten und Interessen der Nutzer verwendet die Beklagte sog. Cookies. Webseiten-Betreibern wird von der Beklagten ein Code zur Verfügung gestellt, den diese in ihre eigene Webseite bzw. dortige Anwendungen integrieren. Sobald die Seite aufgerufen wird, wird der Cookie gesetzt bzw. ein schon vorhandener ausgelesen. Das Setzen von Cookies wird ausschließlich von den Betreibern der Webseiten durch eine entsprechende Programmierung der Seite veranlasst. Microsoft verpflichtet die Betreiber der Webseiten vertraglich, für die erforderlichen Einwilligungen zu sorgen.

Die Klägerin besuchte Webseiten Dritter. Sie behauptet, dass ohne ihre Einwilligung Cookies auf ihrem Gerät gesetzt worden seien und begehrt von der Beklagten, es zu unterlasen, auf ihren Endgeräten ohne ihre Einwilligung Cookies einzusetzen.

Das Landgericht hat mit dem angefochtenen Urteil den Erlass der beantragten einstweiligen Verfügung abgelehnt. Hiergegen richtet sich die Berufung der Klägerin, die vor dem OLG Erfolg hatte. Der Klägerin stehe ein Unterlassungsanspruch zu. Durch das Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Die Klägerin habe substantiiert vorgetragen, dass auf ihren Geräten Cookies beim Besuch mehrerer Internetseiten ohne ihre Einwilligung gespeichert worden seien. Das Gesetz verpflichte auch die Beklagte. Es verbiete „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Beklagte hafte auch als Täterin für diese Rechtsverletzung. Sie speichere die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Zudem greife sie auf die hinterlegten Informationen zu, in dem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen haben. Sie habe damit die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht.

Soweit die Beklagte sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch - als auch rechtlich - möglich sei.

Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.

Oberlandesgericht Frankfurt am Main, Urteil vom 27.6.2024, Az. 6 U 192/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 3.11.2023, Az. 2-02 O 217/22)


Erläuterungen:
§ 2 TTDSG Begriffsbestimmungen
(1) Die Begriffsbestimmungen des Telekommunikationsgesetzes, des Digitale-Dienste-Gesetzes
und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gelten auch für dieses Gesetz, soweit in Absatz 2 keine abweichende Begriffsbestimmung getroffen wird.

(2) Im Sinne dieses Gesetzes ist oder sind

1.„Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt,
...

§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.


BGH: Name des Datenschutzbeauftragten muss nach Art. 13 Abs. 1 Buchst. b DSGVO nicht zwingend genannt werden

BGH
Urteil vom 14.05.2024
VI ZR 370/2
DS-GVO Art. 13 Abs. 1 Buchst. b; ZPO § 551 Abs. 3 Satz 1 Nr. 2 Buchst. a


Der BGH hat entschieden, dass der Name des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO nicht zwingend genannt werden muss.

Leitsätze des BGH:
a) Nach § 551 Abs. 3 Satz 1 Nr. 2 Buchst. a ZPO muss sich die Revisionsbegründung mit den tragenden Gründen des angefochtenen Urteils auseinandersetzen und konkret darlegen, warum die Begründung des Berufungsgerichts rechtsfehlerhaft sein soll. Hierdurch soll der Revisionskläger dazu angehalten werden, die angegriffene Entscheidung nicht nur im Ergebnis, sondern auch in der konkreten Begründung zu überprüfen und im Einzelnen darauf hinzuweisen, in welchen Punkten und mit welchen Gründen er das angefochtene Urteil für unrichtig hält.

b) Bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO ist die Nennung des Namens nicht zwingend. Entscheidend und zugleich ausreichend für den Betroffenen ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet, muss dieser nicht mitgeteilt werden.

BGH, Urteil vom 14. Mai 2024 - VI ZR 370/22 - LG Darmstadt - AG Seligenstadt

Den Volltext der Entscheidung finden Sie hier:

AG Seligenstadt

LAG Niedersachsen legt EuGH vor: Ist Verarbeitung und Berücksichtigung rechtswidrig erlangter Daten im Prozess mit den Vorgaben der DSGVO vereinbar

LAG Niedersachsen
Beschluss vom 18.07.2024
8 Sa 688/23


Das LAG Niedersachsen hat dem EuGH zur Vorabentscheidung vorgelegt, ob die Verarbeitung und Berücksichtigung rechtswidrig erlangter Daten im Prozess mit den Vorgaben der DSGVO vereinbar ist.

Die Pressemitteilung des Gerichts:
LAG Niedersachsen legt dem EuGH Fragen zur Auslegung der DSGVO bei deren Anwendung auf die Tätigkeit der Gerichte vor

In einem vor dem Landesarbeitsgericht Niedersachsen anhängigen Fall (Aktenzeichen: 8 Sa 688/23) verlangt die klagende Arbeitgeberin von einer ausgeschiedenen Arbeitnehmerin Schadenersatz in Höhe von rd. 46.000 Euro. Die Klägerin behauptet, die Beklagte habe unbefugt Gegenstände aus dem privaten Firmeneigentum an Dritte veräußert und sich am Erlös bereichert. Die Klägerin stützt ihre Erkenntnisse über die Veräußerungsvorgänge auf eine ohne Wissen und Willen der Beklagten erfolgte Einsichtnahme in deren privates ebay-Konto. Auf welche Weise die Klägerin die Kenntnis der ebay-Benutzerkennung der Beklagten und des zugehörigen Passwortes erlangt hat, ist zwischen den Parteien streitig.

Die 8. Kammer des Landesarbeitsgerichts Niedersachsen hat in dieser Rechtssache beim Gerichtshof der Europäischen Union (EuGH) ein Vorabentscheidungsverfahren anhängig gemacht. Der Gerichtshof hat in seinen Urteilen vom 24. März 2022 - C-245/20 - (Autoriteit Persoonsgegevens) in Rn. 25 und vom 2. März 2023 – C-268/21 – (Norra Stockholm Bygg AB) in Rn. 26 deutlich gemacht, dass auch justizielle Tätigkeit, soweit dabei Daten verarbeitet werden, in den Geltungsbereich der Datenschutzgrundverordnung (DSGVO) fällt. Mit der ersten Vorlagefrage soll Klarheit darüber geschaffen werden, ob die Regelungen des deutschen Zivilprozessrechts bestimmt genug sind - d.h., die erforderliche Regelungstiefe aufweisen -, um den Anforderungen der DSGVO zu genügen. Des Weiteren wird der Gerichtshof - kurz zusammengefasst - gefragt, welche der Normen der DSGVO auf gerichtliche Datenverarbeitungstätigkeit Anwendung finden und welche Rechtsgrundsätze hierbei von den Gerichten zu beachten sind. Die Beantwortung der Fragen durch den Gerichtshof kann über die konkrete Rechtssache hinaus in allen Fällen hilfreich sein, in denen die nationalen Gerichte zu beurteilen haben, ob und unter welchen Voraussetzungen möglicherweise rechtswidrig erlangte Kenntnisse und Beweismittel, die eine Partei in den Rechtsstreit einführt, von ihnen verwertet werden können.

Das Verfahren wird von dem Gerichtshof der Europäischen Union unter dem Aktenzeichen C-484/24 geführt.


OLG Köln: Anspruch auf Entfernung von Inhalten aus dem Google-Suchindex gemäß Art. 17 Abs. 1 DSGVO kann auch gegenüber Google Ireland und nicht nur Google USA geltend gemacht werden

OLG Köln
Urteil vom 04.07.2024
15 U 60/23

Das OLG Köln hat entschieden, dass der Anspruch auf Entfernung von Inhalten aus dem Google-Suchindex gemäß Art. 17 Abs. 1 DSGVO auch gegenüber Google Ireland und nicht nur gegenüber Google USA geltend gemacht werden kann.

Aus den Entscheidungsgründen:
2. Die Berufung hat Erfolg. Der Klageantrag zu 1 ist entgegen der Auffassung des Landgerichts zulässig und begründet. Über den in der Berufungsinstanz hilfsweise gestellten Antrag zu 3 ist deshalb nicht zu entscheiden.

a) Der mit dem Antrag zu 1 b geltend gemachte Unterlassungsanspruch folgt aus Art. 17 Abs. 1 DSGVO.

aa) In Fällen, in denen ein Betroffener - wie vorliegend der Kläger - vom Betreiber einer Internetsuchmaschine die Auslistung bestimmter Ergebnislinks verlangt, ist das in Art. 17 Abs. 1 DSGVO niedergelegte Recht auf Löschung schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen, sondern es umfasst unabhängig von der technischen Umsetzung auch das Begehren, eine erneute Listung zu unterlassen (vgl. BGH, Beschluss vom 26. September 2023 - VI ZR 97/22, GRUR 2023, 2472 Rn. 20 mwN).

bb) Die Haftung der Beklagten ist nicht subsidiär gegenüber der Haftung derjenigen Personen, die für die Veröffentlichung des Artikels vom 00.00. 2019 unmittelbar verantwortlich sind (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20, GRUR 2022, 1009 Rn. 12; vgl. auch EuGH, Urteil vom 8.12.2022 - C-460/20, GRUR 2023, 184).

cc) Der für das Auslistungsbegehren erforderliche Antrag ist jedenfalls in der Klageschrift zu sehen, in der der Kläger die Beklagte in formeller Hinsicht hinreichend deutlich auf die aus seiner Sicht vorliegende Rechtswidrigkeit der Datenverarbeitung hingewiesen hat (vgl. BGH, Urteil vom 23. Mai 2023 - VI ZR 476/18, BGHZ 237, 137 Rn. 29 mwN). Soweit die Beklagte in der mündlichen Verhandlung geltend gemacht hat, dass der Antrag keine Rückwirkung entfaltet, trifft dies zwar zu. Für den Unterlassungsanspruch kommt es jedoch nur darauf an, dass der Antrag geeignet ist, für die Zukunft eine datenschutzrechtliche Verantwortlichkeit der Beklagten zu begründen.

dd) Der auf den Internetseiten, auf die in den Suchergebnissen verwiesen wird, veröffentlichte Artikel vom 00.00. 2019 enthält unstreitig den Kläger betreffende personenbezogene Daten (Art. 4 Nr. 1 DSGVO).

ee) Entgegen der Auffassung des Landgerichts ist die Beklagte Verantwortlicher. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Nach der Rechtsprechung des Europäischen Gerichtshofs, von der auch das Landgericht ausgegangen ist, soll durch die weite Definition des Ausdrucks „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Person gewährleistet werden (vgl. EuGH, Urteil vom 11. Januar 2024 - C-231/22, NJW 2024, 641 Rn. 28). Die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, ist, sofern die Informationen personenbezogene Daten enthalten, als Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nummern 1 und 2 DSGVO einzustufen. Ferner ist der Betreiber einer solchen Suchmaschine als für diese Verarbeitung Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 49 mwN). Vorliegend ist unstreitig, dass die Beklagte in Deutschland und anderen europäischen Ländern Betreiberin der MN.-Suchmaschine ist (vgl. auch LG München, Urteil vom 22. März 2023 - 26 O 1037/21, MMR 2023, 602 Rn. 29).

Unerheblich ist es, dass die Beklagte nach ihrem Vortrag lediglich den Zugang zu der Suchmaschine anbietet, während die Entscheidungen darüber, wie auf eine Suchanfrage reagiert wird und wie die relevanten Suchergebnisse angezeigt werden, nicht von ihr, sondern der MN. LLC getroffen werden. Bei seiner abweichenden Würdigung hat das Landgericht ebenso wie die Landgerichte Rostock und Mosbach in ihren von der Beklagten als Anlage BB 1 vorgelegten Entscheidungen (LG Rostock, Urteil vom 24. Mai 2023 - 3 O 95/22; LG Mosbach Urteil im Verfahren 2 O 86/24) nicht berücksichtigt, dass nach der Rechtsprechung des Europäischen Gerichtshofs bereits die Anzeige personenbezogener Daten auf einer Seite mit Suchergebnissen eine Verarbeitung dieser Daten darstellt (vgl. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 57; zu einer Veröffentlichung auch EuGH, Urteil vom 11. Januar 2024 - C-231/22, NJW 2024, 641 Rn. 28). Indem die Beklagte - wie von ihr selbst vorgetragen - den deutschen Internetnutzern den Zugang zur MN.-Suchmaschine anbietet, stellt sie den Nutzern die von ihrer Muttergesellschaft aufbereiteten Suchergebnisse bereit und führt damit, soweit personenbezogene Daten in Rede stehen (Art. 4 Nr. 1 DSGVO), eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO aus (vgl. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 28; LG Heidelberg, Urteil vom 31. März 2023 - 6 S 1/22, juris Rn. 32). Dass die Beklagte sich die Inhalte der verlinkten Internetseiten zu eigen macht, ist dafür nicht erforderlich, weshalb die entsprechenden Erwägungen des Landgerichts dahinstehen können.

Ebenfalls unerheblich ist es, dass in der auf der Seite MN..com veröffentlichten Datenschutzerklärung die MN. LLC als zuständige Datenverantwortliche benannt ist. Denn nach den insoweit zutreffenden Ausführungen des Landgerichts kann die Beklagte sich nicht durch eine Datenschutzerklärung von ihrer aus den tatsächlichen Umständen folgenden Verantwortlichkeit befreien.

Soweit das Kammergericht in einem von der Beklagten vorgelegten Hinweisbeschluss (Beschluss vom 4. Februar 2022 - 10 W 1024/20, Anlage B 5) eine Verantwortlichkeit der Beklagten letztlich allein mit der Erwägung verneint hat, der Bundesgerichtshof (Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 13) habe ausgeführt, dass im Zusammenhang mit der Tätigkeit der Suchmaschine MN. die MN. LLC Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sei, überzeugt dies nicht. Denn eine Verantwortlichkeit der MN. LLC schließt es, wie auch die Vorschrift des § 26 DSGVO zeigt, nicht aus, dass daneben auch die Beklagte Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist (vgl. LG München, Urteil vom 22. März 2023 - 26 O 1037/21, MMR 2023, 602 Rn. 29; LG Heidelberg, Urteil vom 31. März 2023 - 6 S 1/22, juris Rn. 32).

ff) Die personenbezogenen Daten des Klägers werden unrechtmäßig verarbeitet (Art. 17 Abs. 1 Buchstabe d DSGVO) und die Verarbeitung ist nicht erforderlich zur Ausübung des Rechts auf freie Meinungsäußerung und Information (Art. 17 Abs. 3 Buchstabe a DSGVO). Die insoweit gebotene Gesamtabwägung der widerstreitenden Grundrechte, nämlich der Grundrechte des Klägers auf Achtung des Privatlebens (Art. 7 GRCh) und auf Schutz personenbezogener Daten (Art. 8 GRCh) sowie des Rechts der Beklagten auf unternehmerische Freiheit (Art. 16 GRCh), des Rechts der Inhalteanbieter auf Meinungsfreiheit (Art. 11 GRCh) und der Informationsinteressen der Nutzer (vgl. BGH, Urteile vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20 ff.; vom 3. Mai 2022 - VI ZR 832/20, GRUR 2022, 1009 Rn. 14 ff.) geht zu Gunsten des Klägers aus. Denn der Artikel vom 00.00. 2019 enthält zumindest eine für das Gesamtverständnis des Artikels bedeutsame Information, die tatsächlich unwahr ist und die der Kläger nicht hinnehmen muss (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 65; BGH, Beschluss vom 27. Juli 2020 - VI ZR 476/18, GRUR 2020, 1338 Rn. 24; Urteil vom 23. Mai 2023 - VI ZR 476/18, BGHZ 237, 137 Rn. 32).

(1) Nach der Rechtsprechung des Europäischen Gerichtshofs obliegt der Person, die wegen der Unrichtigkeit eines aufgelisteten Inhalts die Auslistung begehrt, der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist. Damit dieser Person jedoch keine übermäßige Belastung auferlegt wird, die die praktische Wirksamkeit des Rechts auf Auslistung beeinträchtigen könnte, hat sie lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 68; BGH, Urteil vom 23. Mai 2023 - VI ZR 476/18, BGHZ 237, 137 Rn. 33 f.).

Der Betreiber der Suchmaschine ist im Rahmen der Prüfung der Anwendungsvoraussetzungen von Art. 17 Abs. 3 Buchstabe a DSGVO nicht verpflichtet, bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist. Daher ist der Betreiber der Suchmaschine bei der Bearbeitung eines solchen Antrags nicht verpflichtet, den Sachverhalt zu ermitteln und hierfür mit dem Inhalteanbieter einen kontradiktorischen Schriftwechsel zu führen, der darauf gerichtet ist, fehlende Angaben zur Richtigkeit des aufgelisteten Inhalts zu erlangen. Denn da eine solche Verpflichtung den Betreiber der Suchmaschine dazu zwingen würde, selbst einen Beitrag zum Nachweis der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts zu erbringen, würde sie zu einer Belastung dieses Betreibers führen, die über das hinausginge, was von ihm im Hinblick auf seinen Verantwortungsbereich, seine Befugnisse und seine Möglichkeiten vernünftigerweise erwartet werden kann (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 70 f.).

Folglich ist der Betreiber der Suchmaschine, wenn die eine Auslistung begehrende Person relevante und hinreichende Nachweise vorlegt, die ihren Antrag zu stützen vermögen und belegen, dass die in dem aufgelisteten Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist, verpflichtet, diesem Auslistungsantrag stattzugeben (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 72).

Wenn die fraglichen Informationen zu einer Debatte von allgemeinem Interesse beitragen können, ist unter Berücksichtigung aller Umstände des Einzelfalls dem Recht auf freie Meinungsäußerung und Information besondere Bedeutung beizumessen. Zudem wäre eine Auslistung von Artikeln mit der Folge, dass es schwierig würde, im Internet Zugang zu der Gesamtheit dieser Artikel zu haben, auch dann unverhältnismäßig, wenn sich nur bestimmte Informationen, die im Hinblick auf den gesamten Inhalt dieser Artikel von untergeordneter Bedeutung sind, als unrichtig erweisen (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 73 f.).

(2) Gemessen daran hat im Streitfall der Kläger den ihm obliegenden Nachweis durch sein Vorbringen in der Klageschrift geführt.

Er hat aufgezeigt, dass die in dem Artikel vom 00.00. 2019 aufgestellte Behauptung, auf einem von ihm auf seinem Blog geposteten und neben dem Artikel gezeigten Bild habe er an der Uniform einen Patch des T. getragen, offensichtlich nicht der Wahrheit entspricht. Der Kläger hat durch Vorlage zweier Lichtbilder des von ihm getragenen Abzeichens (Anlage K 3) und durch Vorlage zweier Internetausdrucke (Anlagen K 4 und 5) belegt, dass das von ihm getragene Abzeichen einem von der Logistikschule der Bundeswehr verwandten Logo (Anlage K 4) entspricht und sich - was bei Betrachtung der Anlagen K 3 bis 5 bereits auf den ersten Blick klar erkennbar ist - stark unterscheidet von dem Vereinszeichen des Y. TR. (Anlage K 5). Dass das als Anlage K 3 vorgelegte Lichtbild dasselbe Abzeichen zeigt, das der Kläger auch auf dem im Artikel vom 00.00. 2019 eingeblendeten Foto getragen hat, ist jedenfalls bei einer Vergrößerung des eingeblendeten Fotos, die der Beklagten ebenso wie dem Senat unschwer möglich ist und die Beklagte nicht unzumutbar belastet, ebenfalls hinreichend erkennbar. Soweit der Senat das Foto in der mündlichen Verhandlung als nicht eindeutig bezeichnet hat, bezog sich dies, wie der Senat von Anfang ausgeführt und auf den Einwand des Prozessbevollmächtigten der Beklagten bereits in der Verhandlung auch nochmals klargestellt hat, nicht auf den angeblichen Patch des T., sondern nur auf den angeblichen DR.-Orden.

Entgegen der Auffassung der Beklagten ist die Falschbehauptung nicht wertneutral. Denn zwar bestreitet der Kläger nicht, Mitglied im T. zu sein, der in dem Artikel vom 00.00. 2019 als ein „„Zitat wurde entfernt““ vorgestellt wird. Die angegriffene Falschbehauptung enthält aber eine Kritik am Kläger, die über den Vorwurf der Mitgliedschaft in einem militaristischen Verein hinausgeht. Mit der angegriffenen Falschbehauptung wird dem Kläger nämlich vorgehalten, sich auch bei der Ausübung seines Dienstes als N. und beim Tragen einer Uniform öffentlich als Mitglied des Verbandes zu erkennen gegeben zu haben, weshalb er „„Zitat wurde entfernt““ müsse. Ein derartiger Vorwurf ist deutlich schwerwiegender.

Die Falschbehauptung, der Kläger habe auf dem Foto einen Patch des T. getragen, ist auch kein ganz unbedeutender Teil des Artikels vom 00.00. 2019. Denn zwar enthält der Artikel eine Vielzahl weiterer Informationen und ist der Kläger nicht der einzige Politiker, der in dem Artikel vorgestellt wird. Die Vorstellung seiner Person ist aber für den Gesamtinhalt des Artikels zumindest ebenso bedeutend wie die Vorstellung der anderen Personen, zumal die den Kläger betreffenden Ausführungen an zweiter Stelle stehen und außer ihm nur noch zwei weitere Politiker auch im Bild gezeigt werden. Es kommt noch hinzu, dass der Kläger eine Auslistung nur insoweit begehrt, als die Nutzer der Suchmaschine Suchbegriffe eingeben, die zumindest seinen Nachnamen enthalten. Für diese Nutzer wird die Vorstellung des Klägers typischer Weise von größerer Bedeutung sein als die Vorstellung der anderen Politiker. Schließlich ist die Falschbehauptung betreffend das angebliche Tragen eines Patches des T. auch im Verhältnis zu den anderen den Kläger betreffenden Aussagen nicht nur von untergeordneter Bedeutung. Das folgt schon daraus, dass die fragliche Falschbehauptung durch das den Kläger zeigende Foto belegt werden soll. Zudem ist - wie ausgeführt - der gegen den Kläger gerichtete Vorwurf, er habe sich bei der Ausübung seines Dienstes als OM. als Mitglied eines militaristischen Verbandes zu erkennen gegeben, von erheblicher Tragweite.

Des Weiteren fällt entgegen der Auffassung der Beklagten die Abwägung nicht deshalb zu ihren Gunsten aus, weil dem Kläger die erfolgreiche Inanspruchnahme derjenigen Personen, die für die Veröffentlichung des Artikels vom 00.00. 2019 unmittelbar verantwortlich sind, möglich und - ohne erhebliche Maßnahmen und Zeitaufwand - zumutbar wäre. Die für diesen - möglichen - Einwand darlegungs- und beweisbelastete Beklagte (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20, GRUR 2022, 1009 Rn. 56) hat hierzu jedenfalls nicht ausreichend vorgetragen. Nach dem unwiderlegten Vortrag des Klägers war ihm eine Inanspruchnahme anderer Verantwortlicher nicht zuzumuten, weil die hinter den beiden fraglichen Internetseiten stehende Antifaschistische Aktion und die für sie handelnden Personen nicht greifbar und die Registrare der beiden Domains im Ausland ansässig sind.

Entgegen der Auffassung der Beklagten steht es dem Auslistungsbegehren des Klägers schließlich auch nicht entgegen, dass die Beklagte den Artikel vom 00.00. 2019 dem Antrag des Klägers zufolge nicht schon bei bloßer Eingabe des Namens des Klägers (vgl. dazu EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 80), sondern nur bei zusätzlicher Eingabe weiterer - im Antrag wiedergegebener - Suchbegriffe nicht anzeigen soll. Der Kläger hat insoweit zu Recht geltend gemacht, dass allein auf Grund der Eingabe der weiteren Suchbegriffe nicht davon ausgegangen werden kann, dass der jeweilige Nutzer den rechtswidrigen Drittinhalt bereits kennt und gezielt nach ihm sucht.

Da das Auslistungsbegehren nach alledem alleine auf Grund der Falschbehauptung, der Kläger habe auf dem Foto einen Patch des T. getragen, gerechtfertigt ist, kommt es auf die Angriffe des Klägers gegen weitere Inhalte des Artikels vom 00.00. 2019 nicht an.

b) Der mit dem Antrag zu 1 a geltend gemachte Unterlassungsanspruch folgt aus § 97 Abs. 1 Satz 1 UrhG.

Das neben dem Artikel vom 00.00. 2019 gezeigte Lichtbild wird urheberrechtlich jedenfalls nach § 72 Abs. 1 UrhG geschützt. Das Recht stand nach § 72 Abs. 2 UrhG zunächst der Ehefrau des Klägers als Lichtbildnerin zu, da die Ehefrau das Bild nach den nicht angegriffenen tatbestandlichen Feststellungen des Landgerichts, die Beweis für das mündliche Parteivorbringen liefern (§ 314 Satz 1 ZPO), aufgenommen hat. Der Umstand, dass das Foto nach Angaben des Klägers im Bereich seiner Arbeitsstelle aufgenommen worden ist, schließt es im Übrigen keineswegs aus, dass die Ehefrau das Bild aufgenommen hat. Mit Vertrag vom 15. März 2021 hat die Ehefrau als Rechteinhaberin dem Kläger das ausschließliche, zeitlich, räumlich und inhaltlich unbeschränkte Recht eingeräumt, das Lichtbild umfassend zu nutzen, weshalb nunmehr der Kläger aktiv legitimiert ist. Dafür, dass die Ehefrau vor Abschluss des Vertrags Rechte an dem Bild an Dritte übertragen hatte, gibt es keinerlei Anhaltspunkte.

Dadurch, dass die Beklagte ihren Nutzern Hyperlinks auf die beiden im Klageantrag wiedergegebenen Internetseiten anzeigt, auf denen das Lichtbild veröffentlicht ist, verletzt sie ein unbenanntes ausschließliches Recht des Klägers zur öffentlichen Wiedergabe des Lichtbildes (§ 15 Abs. 2 UrhG). Zwar ist die Bereitstellung eines Hyperlinks nur dann als öffentliche Wiedergabe anzusehen, wenn der Betreffende wusste oder hätte wissen müssen, dass der von ihm gesetzte Link Zugang zu einem unbefugt im Internet veröffentlichten Werk schafft, etwa weil er vom Urheberrechtsinhaber zuvor darauf hingewiesen wurde (vgl. BGH, Urteil vom 21. September 2017 - I ZR 11/16, GRUR 2018, 178 Rn. 55, 67).

Ein solcher Hinweis ist aber im Streitfall mit den vorgerichtlichen Abmahnungen und dem Vortrag in der Klageschrift erfolgt. Der Kläger hat insbesondere durch Vorlage des schriftlichen Vertrags vom 15. März 2021 hinreichend nachgewiesen, dass seine Ehefrau das Bild aufgenommen und sie dem Kläger umfassende Nutzungsrechte eingeräumt hat. Dass der Vereinbarung nicht das Ursprungsbild, sondern offenbar nur ein Screenshot des Verletzungsmusters beigefügt war, ändert daran nichts.

Die öffentliche Wiedergabe des Fotos ist - wovon sich die Beklagte ohne eingehende rechtliche Prüfung überzeugen konnte und kann (vgl. EuGH, Urteil vom 22. Juni 2021 - C-682/18 u.a., GRUR 2021, 1054 Rn. 116) - auch nicht nach § 51 Satz 1 UrhG zulässig. Nach dieser Vorschrift ist die öffentliche Wiedergabe eines veröffentlichten Werkes zum Zwecke des Zitats zulässig, sofern die Nutzung in ihrem Umfang durch den besonderen Zweck gerechtfertigt ist. Eine solche Rechtfertigung scheidet im Streitfall offensichtlich aus. Der Zweck der Nutzung des Fotos lag vorliegend darin, dass es dem Verfasser des Artikels vom 00.00. 2019 als Beleg für seine Behauptungen diente, der Kläger habe an seiner Uniform einen Patch des T. - eines Militaristenverbandes - und ein Abzeichen des DR.-Ordens - eines seltsamen Templerordens - getragen. Bei der ersten Behauptung handelt es sich - wie ausgeführt - um eine Falschbehauptung, deren Unwahrheit der Kläger der Beklagten gegenüber nachgewiesen hat. Zum Beleg der zweiten Behauptung ist das Foto nicht geeignet, weil das fragliche Abzeichen auf dem Foto schon nicht hinreichend deutlich zu erkennen ist; hiervon geht die Beklagte selbst aus. Unter diesen Umständen ist nicht zweifelhaft, dass das Recht des Verfassers des Artikels auf Meinungsfreiheit hinter dem Recht des Klägers am geistigen Eigentum zurücktreten muss.

Entsprechendes gilt, soweit die Beklagte sich erstmals in der mündlichen Verhandlung auf § 50 UrhG berufen hat. Die insoweit gebotene Abwägung der betroffenen Grundrechte (vgl. BGH, Urteil vom 30. April 2020 - I ZR 228/15, GRUR 2020, 859 Rn. 48) geht aus den oben zu § 51 UrhG genannten Gründen zu Lasten der Beklagten aus. Aus den als Anlage BB2 vorgelegten Entscheidungen des Landgerichts Hamburg (Beschluss vom 21. Februar 2023 - 308 O 2/23) und des Hanseatischen Oberlandesgerichts (Beschluss vom 4. August 2023 - 5 W 3/23) folgt nichts anderes, weil in dem von diesen Gerichten entschiedenen Fall eine Falschbehauptung nicht in Rede stand.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen - hier: Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO

EuGH
Urteil vom 11.07.2024
C‑757/22
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V
.

Der EuGH hat die Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen abermals bejaht und seine Rechtsprechung weiter präzisiert. Vorliegend ging es um Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Den Volltext der Entscheidung finden Sie hier:

EU-Kommission: “Pay or Consent" Werbemodell / Bezahlmodell von Meta für Facebook und Instagram verstößt gegen Art. 5 Abs. 2 Digital Markets Act (DMA)

Die EU-Kommission kommt zu dem vorläufigen Erghebnis, dass das “Pay or Consent" Werbemodell / Bezahlmodell von Meta für Facebook und Instagram gegen Art. 5 Abs. 2 Digital Markets Act (DMA) verstößt.

Die Pressemitteilung der EU-Kommission:
Commission sends preliminary findings to Meta over its “Pay or Consent” model for breach of the Digital Markets Act

Today, the Commission has informed Meta of its preliminary findings that its “pay or consent” advertising model fails to comply with the Digital Markets Act (DMA). In the Commission's preliminary view, this binary choice forces users to consent to the combination of their personal data and fails to provide them a less personalised but equivalent version of Meta's social networks

Preliminary findings on Meta's “pay or consent” model

Online platforms often collect personal data across their own and third party services to provide online advertising services. Due to their significant position in digital markets, gatekeepers have been able to impose terms of services on their large user base allowing them to collect vast amounts of personal data. This has given them potential advantages compared to competitors who do not have access to such a vast amount of data, thereby raising high barriers to providing online advertising services and social network services.

Under Article 5(2) of the DMA, gatekeepers must seek users' consent for combining their personal data between designated core platform services and other services, and if a user refuses such consent, they should have access to a less personalised but equivalent alternative. Gatekeepers cannot make use of the service or certain functionalities conditional on users' consent.

In response to regulatory changes in the EU, Meta introduced in November 2023 a binary “pay or consent” offer whereby EU users of Facebook and Instagram have to choose between: (i) the subscription for a monthly fee to an ads-free version of these social networks or (ii) the free-of-charge access to a version of these social networks with personalised ads.

he Commission takes the preliminary view that Meta's “pay or consent” advertising model is not compliant with the DMA as it does not meet the necessary requirements set out under Article 5(2). In particular, Meta's model:

- Does not allow users to opt for a service that uses less of their personal data but is otherwise equivalent to the “personalised ads” based service.

- Does not allow users to exercise their right to freely consent to the combination of their personal data.

To ensure compliance with the DMA, users who do not consent should still get access to an equivalent service which uses less of their personal data, in this case for the personalisation of advertising.

Throughout its investigation, the Commission has been coordinating with the relevant data protection authorities.

Next steps

By sending preliminary findings, the Commission informs Meta of its preliminary view that the company is in breach of the DMA. This is without prejudice to the outcome of the investigation. Meta now has the possibility to exercise its rights of defence by examining the documents in the Commission's investigation file and replying in writing to the Commission's preliminary findings. The Commission will conclude its investigation within 12 months from the opening of proceedings on 25 March 2024.

If the Commission's preliminary views were to be ultimately confirmed, the Commission would adopt a decision finding that Meta's model does not comply with Article 5(2) of the DMA.

In case of non-compliance, the Commission can impose fines up to 10% of the gatekeeper's total worldwide turnover. Such fines can go up to 20% in case of repeated infringement. Moreover, in case of systematic non-compliance, the Commission is also empowered to adopt additional remedies such as obliging a gatekeeper to sell a business or parts of it or banning the gatekeeper from acquisitions of additional services related to the systemic non-compliance.

The Commission continues its constructive engagement with Meta to identify a satisfactory path towards effective compliance.



VG Mannheim: Kein DSGVO-Verstoß durch Veröffentlichung von Parteiunterlagen einschließlich der Mitgliederlisten der Vorstände einer Partei auf der Internetseite der Bundeswahlleiterin

VG Mannheim
Beschluss vom 06.05.2024
6 L 318/24.WI


Das VG Mannheim hat entschieden, dass kein DSGVO-Verstoß durch Veröffentlichung von Parteiunterlagen einschließlich der Mitgliederlisten der Vorstände einer Partei auf der Internetseite der Bundeswahlleiterin vorliegt.

Aus den Entscheidungsgründen:
Grundlage der Datenverarbeitung ist Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO i. V. m. § 6 Abs. 3 Satz 3 PartG. Gemäß Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die gesetzliche Verpflichtung der Antragsgegnerin zur Verarbeitung und Bereitstellung der Daten folgt aus § 6 Abs. 3 PartG.

Die Online-Zurverfügungstellung der Unterlagen einschließlich der Mitgliederlisten der Vorstände von Partei und Landesverbänden der Antragsgegnerin ist auch erforderlich. Sie verstößt insbesondere nicht gegen den Grundsatz der Datensparsamkeit. Der Grundsatz der Datensparsamkeit ist in Art. 5 Abs. 1 Buchst. c) DS-GVO bzw. § 47 Nr. 3 BDSG geregelt. Demnach muss die Datenverarbeitung dem Zweck angemessen bzw. erforderlich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein bzw. darf hierzu nicht außer Verhältnis stehen. Dies ist hier der Fall.

Die Online-Zurverfügungstellung der vollständigen Unterlagen ist erforderlich, weil, wie oben dargelegt, interessierte Bürger sich, wie in § 6 Abs. 3 Satz 3 PartG vorgesehen, nur auf diese Weise gleichmäßig über alle politischen Parteien informieren können. Sie ist auch nicht außer Verhältnis zu diesem Zweck, da die Daten, die hinsichtlich der Bundes- bzw. Landesvorstände veröffentlicht werden, also die Namen der jeweiligen Parteimitglieder sowie deren Funktion in der Partei, weder geheimhaltungsbedürftig noch sensibel sind. Vorstandsmitglieder einer bundesweit tätigen politischen Partei stehen bereits aufgrund ihrer hervorgehobenen politischen Tätigkeit in der Öffentlichkeit. Darüber hinaus erfolgt die Aufnahme der betroffenen Personen in die Unterlagensammlung aufgrund ihres – freiwilligen – innerparteilichen Engagements. Die Nennung der Namen der Betroffenen erfolgt im parteispezifischen Umfeld und damit im Bereich ihrer Sozialsphäre. Zudem stellt die Antragsgegnerin die Unterlagen möglichst datensparsam, nämlich in einer PDF-Datei, abrufbar über einen Link, bereit, sodass die Internetsuche nach dem Namen einer betroffenen Person nicht ohne Weiteres zu der Unterlagensammlung der Antragsgegnerin führt. Schließlich ist insoweit festzuhalten, dass die Antragstellerin auf ihrer eigenen Homepage im Downloadbereich unter einer hervorgehobenen Überschrift „Unterlagen gemäß § 6 Abs. 3 Parteigesetz (ParteiG)“ ein Schreiben der Antragsgegnerin vom 07.10.2021 (unter Aufführung des Klarnamens des Sachbearbeiters) und eine Verlinkung zur streitgegenständlichen Unterlagensammlung der Antragsgegnerin zur Verfügung stellt und somit letztlich selbst die Reichweite der von ihr monierten Informationen erhöht.

Unerheblich für die Entscheidung ist, dass keine (gesetzliche) Verpflichtung besteht, sich in sozialen Medien mit Klarnamen zu registrieren. Die freiwillige Registrierung und Darstellung in sozialen Medien ist, anders als die Meldung und Vorhaltung der Unterlagen nach § 6 Abs. 3 PartG nämlich nicht gesetzlich angeordnet. Gleiches gilt, soweit die Antragstellerin darauf abstellt, dass die Antragsgegnerin nicht die Einwilligung der betroffenen Personen eingeholt hat. Dies ist aufgrund der gesetzlichen Anordnung der Aufnahme der Vorstandsmitglieder auf Bundes- bzw. Landesebene und der Verpflichtung zur Vorhaltung der diesbezüglichen Unterlagen gemäß § 6 Abs. 3 PartG nicht erforderlich.

Nach alledem ist der Antrag nach summarischer Prüfung der Sach- und Rechtslage unter allen in Betracht kommenden Gesichtspunkten abzulehnen.


Den Volltext der Entscheidung finden Sie hier:

OLG Celle: Massenverfahren gegen Musikstreamingdienst wegen DSGVO-Verstößen - Jeweils Streitwert von 300 EURO für Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch

OLG Celle
Beschluss vom 10.06.2024
5 W 46/24

Das OLG Celle hat entschieden, dass in Massenverfahren gegen einen Musikstreamingdienst wegen DSGVO-Verstößen aufgrund eines Datenlecks für den Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch ein Streitwert in Höhe von jeweils 300 EURO angemessen ist.

Aus den Entscheidungsgründen:
Die Prozessbevollmächtigte des Klägers wendet sich mit ihrer Beschwerde gegen die Streitwertfestsetzung des Landgerichts in erster Instanz, die sie als zu niedrig erachtet.

In dem dem vorliegenden Beschwerdeverfahren zugrunde liegenden Hauptsacheverfahren hat der Kläger gegen die Beklagte Ansprüche aus der DSGVO geltend gemacht. Die Beklagte - die D. - betreibt einen internationalen Musikstreaming-Dienst gleichen Namens, der in über 180 Ländern verfügbar und unter der Internetadresse www.D..com erreichbar ist. Das wesentliche Angebot besteht aus einem Streaming-Angebot, zusammengesetzt aus Musik, Hörbüchern, Hörspielen und Podcasts. Die Parteien haben über einen sogenannten Cyber- / Hackerangriff auf Kundendaten der Beklagten gestritten, wobei dessen zeitliche Abfolge, die Reaktion der Beklagten sowie das Ausmaß des Angriffs zwischen den Parteien streitig gewesen sind.

Der Kläger hat mit seiner Klage als Ausgleich für behauptete Datenschutzverstöße die Zahlung eines immateriellen Schadensersatzes in Höhe von 1.000 Euro, einen Feststellungsantrag betreffend die Ersatzpflicht der Beklagten hinsichtlich zukünftiger materieller Schäden, einen Unterlassungsantrag sowie einen Auskunftsantrag geltend gemacht. Das Landgericht hat der Klage (nur) zum Teil stattgegeben. Dagegen hat der Kläger Berufung eingelegt. Unter Ziffer IV. der Entscheidungsgründe des angefochtenen Urteils hat das Landgericht den Streitwert für das erstinstanzliche Verfahren auf 3.500 Euro festgesetzt. Den Zahlungsantrag hat es dabei mit 1.000 Euro bemessen, den Antrag auf Unterlassung mit 2.000 Euro, sowie die Auskunfts- und Feststellungsanträge jeweils mit 250 Euro. Dagegen richtet sich die Streitwertbeschwerde der Prozessbevollmächtigten des Klägers, mit der diese eine Heraufsetzung des Streitwerts auf "mindestens 6.000 Euro" begehrt, wobei sie den Schadensersatzanspruch mit 1.000 Euro bemisst, den Unterlassungsanspruch mit 4.000 Euro, den Feststellungsanspruch mit 500 Euro, und den Auskunftsanspruch mit 500 Euro.

II.

Die Beschwerde der Prozessbevollmächtigten des Klägers ist nach §§ 68 Abs. 1 GKG, 32 Abs. 2 Satz 1 RVG statthaft und auch im Übrigen zulässig. Im Ergebnis hat die Beschwerde keinen Erfolg. Im Gegenteil war der Streitwert für den Rechtsstreit in erster Instanz von Amts wegen herabzusetzen.

1. Der Senat ist nicht daran gehindert, den vom Landgericht festgesetzten Streitwert entgegen dem Ziel der Beschwerde, diesen heraufzusetzen, von Amts wegen herabzusetzen. Der im Zivilprozessrecht sonst fast ausnahmslos geltende Grundsatz des Verbots der "reformatio in peius" gilt im Streitwertrecht grundsätzlich nicht (einhellige Auffassung, vgl. z. B. Senat, Beschluss vom 29. April 2024 - 5 W 19/24, juris Rn. 7; OLG Stuttgart, Beschluss vom 9. Oktober 2019 - 6 W 47/19, juris Rn. 26; OLG Karlsruhe, Beschluss vom 4. Januar 2018 - 12 W 37/17, juris Rn. 17; OLG Düsseldorf, Beschluss vom 16. August 2010 - 24 W 9/10, juris Rn. 10).

2. Der Senat setzt den Streitwert für das erstinstanzliche Verfahren auf 1.900 Euro fest. Dabei entfällt auf den Zahlungsantrag ein Wert von 1.000 Euro sowie auf die restlichen drei Unterlassungs-, Feststellungs- und Auskunftsanträge jeweils ein Wert von 300 Euro.

a) Der Senat hat unter dem 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (jeweils bei juris) Urteile in Verfahren erlassen, die beide zum Gegenstand hatten, dass die jeweiligen Klageparteien Ansprüche aus der DSGVO auf Schadensersatz, Unterlassung, Feststellung und Auskunft aus Anlass eines sogenannten "Datenscraping-Vorfalls" bei der dortigen Beklagten, die Betreiberin eines weltweit agierenden sozialen Netzwerks ist, geltend machten. Die Prozessbevollmächtigten der dortigen Klageparteien - die identisch sind mit der hiesigen Beschwerdeführerin - haben bundesweit eine höhere vierstellige Anzahl von Verfahren dieser Art gegen die dortige Beklagte bei deutschen Gerichten anhängig gemacht. Zu dem Streitwert in diesen Verfahren hat der Senat beispielsweise in dem Verfahren 5 U 31/23 folgende Ausführungen gemacht (a.a.O., juris Rn. 113 ff.):

"Den Streitwert sowohl für das Berufungs- wie für das erstinstanzliche Verfahren setzt der Senat - jeweils unter Abänderung des Senatsbeschlusses vom 23. Januar 2024 - auf 2.100,00 € fest. Davon entfallen auf die einzelnen Klageanträge folgende Werte:

- Klageantrag zu Ziffer 1. (Zahlung): 1.000,00 € EUR

- Klageantrag zu 2. (Feststellung): 300,00 €

- Klageantrag zu Ziffer 3. (Unterlassung): 500,00 € (insoweit meint der Senat, dass hier ein einheitlicher Streitwert zu bilden ist, entsprechend der - aus Sicht des Senats vergleichbaren - Rechtslage bei mehreren ehrkränkenden Äußerungen, bspw. in einem Buch oder einem anderen Schriftstück, deren Unterlassung mit der Klage begehrt wird: vgl. dazu Kurpart in Schneider/Kurpart, Streitwertkommentar, 15. Aufl., Rn. 2.1006, Seite 328)

- Klageantrag zu Ziffer 4. (Auskunft): 300,00 €.

Das begründet sich wie folgt:

1. Der Senat hatte bislang in ständiger Rechtsprechung den Streitwert in Verfahren wie dem vorliegenden auf 7.500,00 € festgesetzt und dabei den Zahlungsantrag nach Ziffer 1. der Klageschrift mit 1.000,00 €, den Feststellungsantrag nach Ziffer 2. der Klageschrift mit 1.000,00 €, den Unterlassungsantrag nach Ziffer 3. der Klageschrift mit 5.000,00 € und den Auskunftsantrag nach Ziffer 4. der Klageschrift mit 500,00 € bemessen. Nachdem der Senat zwischenzeitlich einen "Gesamtüberblick" über die Verfahren der vorliegenden Art bekommen sowie Kenntnis von insbesondere den Entscheidungen des OLG Hamm (Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 271 ff.) sowie des OLG Köln (Urteil vom 7. Dezember 2023 - 15 U 33/23, juris Rn. 89) erlangt hat, hat der Senat seine bisherige Rechtsprechung überdacht und neu bewertet. Danach ergibt sich Folgendes:

a) Die bisherige Bewertung des Unterlassungsanspruches mit 5.000,00 € durch den Senat in Verfahren wie dem vorliegenden hatte seine Grundlage in den Vorschriften der §§ 48 Abs. 2 GKG, 23 Abs. 3 Satz 2 RVG, 36 Abs. 3 GNotKG. Den Wert des Feststellungs- sowie des Auskunftsanspruchs hatte der Senat nach § 3 ZPO geschätzt.

b) Indes hat sich für den Senat zwischenzeitlich gezeigt, dass von einem eigenen Interesse der jeweiligen Klagepartei (§ 3 ZPO) in Verfahren wie dem vorliegenden an dem Unterlassungs-, dem Auskunfts- sowie dem Feststellunganspruch im Regelfall nicht oder allenfalls in einem geringen Maße ausgegangen werden kann. Das zeigte sich für den Senat instruktiv im Rahmen der Anhörung des Klägers in dem vorliegenden Verfahren. Danach gefragt, welche "Zielrichtung" seine Klageanträge auf Unterlassung, Feststellung und Auskunft haben bzw. welches Interesse für ihn an der Durchsetzung dieser Anträge besteht, war der - ansonsten überaus eloquente - Kläger nicht in der Lage, substanzielle Antworten zu geben, er blieb mit seinen diesbezüglichen Ausführungen vielmehr im Vagen und hat sich auf "Allgemeinplätze" verlegt (wie z.B. in Bezug auf den Unterlassungsantrag: "Ich möchte natürlich nicht, dass das noch mal passiert"). Mindestens zum Teil hatte der Senat von dem Kläger auch den Eindruck, dass diesem noch nicht einmal bewusst war, welchen Inhalt diese Klageanträge haben.

Der Senat hat insgesamt von dem hiesigen Kläger den Eindruck gewonnen, dass ein eigenes Interesse an diesen drei Klageanträgen - also neben dem Zahlungsantrag - für ihn nicht besteht. Im Gegenteil hat der Senat zwischenzeitlich - und zwar ausdrücklich nicht nur aufgrund des persönlichen Eindrucks des Klägers in dem vorliegenden Verfahren, der zwangsläufig nur für die Wertfestsetzung in dem vorliegenden Verfahren von Relevanz sein kann - aufgrund des Gesamteindrucks der Verfahren der vorliegenden Art den Eindruck gewonnen, dass diese jeweiligen drei Klageanträge in den massenhaften Verfahren, die die Prozessbevollmächtigten des hiesigen Klägers zwischenzeitlich in ganz Deutschland anhängig gemacht haben, mindestens in erster Linie der Anreicherung des Prozessstoffs ohne ein wesentliches eigenes materielles Interesse der jeweiligen Klagepartei dienen. Damit im Einklang steht im Übrigen der Umstand, dass die Prozessbevollmächtigten des Klägers in Verfahren wie dem vorliegenden bei dem Senat Streitwertbeschwerden im eigenen Namen (§ 32 Abs. 2 RVG) in einer inzwischen dreistelligen Anzahl erhoben haben, jeweils mit dem Ziel, den Streitwert heraufzusetzen.

Nach Abwägung der vorgenannten sowie aller weiteren Umstände des vorliegenden Falles bewertet der Senat mithin den Feststellungsantrag sowie den Auskunftsantrag jeweils auf der niedrigsten Wertstufe, also jeweils mit 300,00 € und den Unterlassungsantrag mit 500 €. Dies gilt für das vorliegende Verfahren und wird der Senat nunmehr - sofern nicht im Einzelfall konkrete Umstände eine andere Entscheidung bedingen - in Verfahren der vorliegenden Art regelmäßig praktizieren."

b) Diese Grundsätze wendet der Senat entsprechend auch für das vorliegende Verfahren an. Zwar sind bei dem Senat bislang von Seiten der Beschwerdeführerin - bei der es sich um dieselbe Rechtsanwaltskanzlei handelt, die auch die jeweiligen Klageparteien in den vorstehend genannten Senatsverfahren 5 U 31/23 und 5 U 77/23 vertreten hat - als Prozessbevollmächtigte von Klageparteien noch keine Verfahren in größerer Anzahl gegen die hiesige Beklagte anhängig gemacht worden. Indes hat der Senat aufgrund anderer Umstände des vorliegenden Falles davon auszugehen, dass auch die dem vorliegenden Beschwerdeverfahren zugrundeliegende Klage Teil eines "Massenverfahrens" ist, dass die Beschwerdeführerin für eine Vielzahl von Klageparteien gegen die hiesige Beklagte führt. Auf Seite 14 der Klageerwiderung vom 12. Januar 2024 (Bl. 135 R d. A.) hat die Beklagte nämlich auszugsweise Folgendes vorgetragen:

"Der formelhafte, pauschale Vortrag der Klagepartei hat keinen individuellen Bezug zur Person der Klagepartei. Die außergerichtliche Darstellung ihrer angeblichen persönlichen Betroffenheit entspricht wortlautidentisch einer Vielzahl von mehr als 2.200 (!) Anspruchsschreiben, welche die Kanzlei des Prozessbevollmächtigten der Klagepartei für andere Mandanten an die Beklagte versendet hat. Auch der Vortrag in der Klageschrift entspricht zu großen Teilen wortlautidentisch anderen Klagen, die die Prozessbevollmächtigten der Klagepartei bei anderen deutschen Gerichten eingereicht hat."

Dieses Tatsachenvorbringen der Beklagten ist erstinstanzlich unstreitig geblieben, weil der Kläger hierauf in der Folgezeit bis zum Schluss der mündlichen Verhandlung in erster Instanz inhaltlich nicht eingegangen ist (vgl. insbesondere erster Absatz auf Seite 7 des Schriftsatzes vom 6. Februar 2024, Bl. 158 d. A.). Der Senat hat das vorgenannte Tatsachenvorbringen der Beklagten daher seiner Entscheidung in dem vorliegenden Beschwerdeverfahren zugrunde zu legen (§ 138 Abs. 3 ZPO).

In diesen - unbestrittenen - Tatsachenvortrag der Beklagten fügt sich im Übrigen noch der - im Sinne von § 291 ZPO offenkundige (vgl. dazu, dass hierzu auch Informationen aus dem Internet gehören: BGH, Beschluss vom 7. Mai 2020 - IX ZB 84/19, juris Rn. 15) - Umstand ein, dass die Beschwerdeführerin auf der Startseite ihres Internet-Auftritts Kundenakquise in dem hier erörterten tatsächlichen Zusammenhang betreibt ("D.-Datenleck Steht Ihnen Schadensersatz zu? 14 Millionen betroffene Deutsche! Jetzt checken"). Des Weiteren hat die Beschwerdeführerin auf YouTube ein Video hochgeladen, mit dem sie Kundenakquise in Bezug auf den im hiesigen Klageverfahren streitgegenständlichen Vorfall betreibt.

Nach dieser Maßgabe gilt aber die Argumentation, die der Senat in seinen beiden vorgenannten Entscheidungen vom 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (sowie - bezogen auf die hiesige Beklagte - auch schon in seinem Beschluss vom 29. April 2024 - 5 W 19/24, juris) gemacht hat, entsprechend auch in dem vorliegenden Verfahren. Auch hier muss der Senat davon ausgehen, dass die Aufnahme der Feststellungs-, Unterlassungs- und Auskunftsanträge in die Klage in erster Linie der "Anreicherung des Prozessstoffs" gedient hat, ohne ein wesentliches eigenes materielles Interesse der hiesigen Klägerin. Demgemäß hat der Senat vorliegend die Feststellungs-, Unterlassungs- und Auskunftsanträge jeweils auf der untersten Wertstufe, nämlich jeweils mit 300 Euro, bemessen. In Bezug auf den Unterlassungsantrag besteht der Unterschied zu der diesbezüglichen Wertfestsetzung in den Verfahren 5 U 31/23 und 5 U 77/23 darin, dass in jenen Verfahren - anders als vorliegend - mit dem jeweiligen Unterlassungsantrag gleich zwei verschiedene Unterlassungsbegehren verfolgt worden sind.


Den Volltext der Entscheidung finden Sie hier:

LG Kiel: Cyberversicherung muss bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen sondern kann den Vertrag wegen arglistiger Täuschung anfechten

LG Kiel
Urteil vom 23.05.2024
5 O 128/21


Das LG Kiel hat entschieden, dass eine Cyberversicherung bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen muss, sondern den Vertrag deshalb wegen arglistiger Täuschung anfechten kann.

Aus den Entscheidungsgründen:
Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem zwischen den Parteien geschlossenen Versicherungsvertrag zu, da der Vertrag aufgrund der von der Beklagten erklärten Anfechtung wegen arglistiger Täuschung nichtig ist (§§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB).

Die Beklagte hat mit der Klagerwiderung vom 18.08.2021 und damit noch binnen der Jahresfrist des § 124 BGB die Anfechtung des Vertrages wegen arglistiger Täuschung erklärt.

Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie nach Überzeugung der Kammer jedenfalls die im Rahmen der Invitatio gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen J. falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte. Zwischen den Parteien ist unstreitig, dass, wie sich auch aus der von der Klägerin vorgelegten Anlage K 11 ergibt, dem Abschluss des Versicherungsvertrages zunächst eine sogenannte Invitatio vorausgeht, bei der der künftige Versicherungsnehmer, also hier die Klägerin über ihren Makler, nicht nur allgemeine Angaben zu ihrem Unternehmen und den Umfang des gewünschten Versicherungsschutzes über ein Onlineportal eingibt, sondern auch die dort abgefragten Risikofragen entweder mit ja oder nein beantworten muss, um im Anschluss die Invitatio starten zu können, das heißt die Beklagte als Versicherung zur Abgabe eines Angebotes auf Abschluss eines Versicherungsvertrages einzuladen. Es handelt sich also nicht um den von der Klägerseite angeführten Fall einer Täuschung über nicht erfragte Umstände. Unerheblich ist in diesem Zusammenhang, ob die über das Onlineportal gestellten Risikofragen im weiteren Verlauf der Vertragsverhandlung und des Abschlusses des Vertrages auch in Textform gemäß § 126b BGB, wie im Fall des § 19 Abs. 1 VVG gefordert, gestellt worden sind. Eine arglistige Täuschung liegt selbst dann vor, wenn vor dem Vertragsschluss gestellte mündliche Fragen objektiv falsch beantwortet worden sind. Dies gilt damit erst recht, wenn die über ein Onlineportal auf dem Bildschirm sichtbaren Fragen falsch beantwortet werden (OLG Celle VersR 2020, 830; OLG Hamm BeckRS 2019, 37498; Langheid/Wandt- Bußmann Münchener Komm. z. VVG § 22 R. 19; Piontek r+s 2019 S. 1 ff (4)). Anzumerken ist in diesem Zusammenhang jedoch, dass der Zeuge J., der zum Vertragsschluss und den dortigen Angaben vernommen worden ist von sich auch erklärte, dass er die dortigen Angaben und Erklärungen für sich nochmals ausgedruckt habe, da er noch ein Anhänger der Papierform sei, was gegen die Darstellung der Klägerseite spricht, die gestellten Risikofragen hätten vor Vertragsschluss nicht in Textform im Sinne des § 126b BGB vorgelegen.

Jedenfalls die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet, so dass dahin gestellt bleiben kann, inwieweit auch weitere Fragen falsch beantwortet worden sind. Die Frage zu 3), ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ sind, wurde mit „ja“ beantwortet. Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. Zudem bestätigte der Zeuge J., dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin R. ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, dass heißt weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden.

Die Klägerin kann nicht damit gehört werden, dass unter den Begriff des Arbeitsrechners in Frage 3) lediglich die Arbeitsplatzrechner, auf denen ein Virenscanner installiert war, nicht jedoch die im Netzwerk der Klägerin installierten Server, insbesondere nicht der - nach dem Klägervortrag - bei Vertragsschluss in einer demilitarisierten Zone (DMZ) befindliche SQL- Server, erfasst sei.

Nach ständiger Rechtsprechung des Bundesgerichtshofs ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen. Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 - IV ZR 135/92). Der Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes vor Schäden durch Hackerangriffe oder Ähnlichem absichern möchte, wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt. Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. Er wird daher den Begriff des Arbeitsrechners weiter verstehen als den des bloßen Arbeitsplatzrechners und hierunter alle Computersysteme verstehen, die in dem Betrieb Funktionen, sei es als Eingabegerät oder als Server wahrnehmen, weil bereits durch den Zugriff auf einzelne Komponenten mit Malware das gesamte Netzwerk Schaden nehmen kann. Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.

Die Klägerin kann auch nicht damit gehört werden, dass ein ausreichender Virenschutz über die mit den Windows 2003 verbundenen mobilen Arbeitsplatzrechner gewährt worden sei oder der Windows 2008 SQL Rechner zum Zeitpunkt des Vertragsschlusses sich in einer sogenannten DMZ befunden habe und es sich hierbei nicht um einen Arbeitsrechner handele. Damit blieben weiterhin die im Netzwerk eingebundenen, als Speicherplatz genutzten Server mit dem Windows 2003 Betriebssystem sowie der WEB-SQL-Server mit dem Windows 2008 System ohne aktuellen Virenschutz und Sicherheitsupdates. Sie waren dennoch, wie der Sachverständige S. im Rahmen der Erörterung in der mündlichen Verhandlung erklärte, über die angeschlossenen Arbeitsplatzrechner mit dem Internet verbunden. Die älteren Rechner verfügten über allgemein bekannte Sicherheitsmängel, wie zum Beispiel das aktive SMB1 Protokoll, die von externen Angreifern zur Kompromittierung des gesamten Netzsystems genutzt werden konnten. Es steht der Klägerin als Versicherungsnehmerin nicht zu, an Stelle des Versicherers und ohne dies offen zu legen, die Risikobewertung selbst vorzunehmen. Dies ist vergleichbar mit dem Fall, in dem im Rahmen einer Berufsunfähigkeits- oder Lebensversicherung die Gesundheitsfrage nach einem Bluthochdruck von dem Versicherungsnehmer verneint wird, weil dieser durch die Einnahmen von Medikamenten gut eingestellt ist. Auch wenn daneben weitere Schutzmaßnahmen vor einem Schadangriff getroffen worden sein sollten, bleibt es dabei, dass die Fragen zu Ziffer 3) und 4) objektiv falsch beantwortet worden sind.

Der Zeuge J. hat die zu Ziffer 3)und 4) gestellten Fragen ins Blaue hinein unrichtig beantwortet und damit arglistig getäuscht.

Die Klägerin hat sich dahingehend eingelassen, dass der Zeuge J. bei der Beantwortung der Risikofragen weder an den Windows 2003 Server und Speicherplatz, noch an den als SQL Server für den Betrieb des WEB-Shops genutzten Windows 2008 Rechner gedacht habe. Auch sei ihm unbekannt gewesen, dass der Domain-Controller DC09 seit März 2019 kein Update oder Virenschutz erhalten hatte und sich noch im Auslieferungszustand befunden habe. Der Zeuge J. bestätigte diesen Vortrag der Klägerin im Rahmen seiner Vernehmung und gab an, er habe sich darauf verlassen, dass die von ihm hierzu beauftragten Mitarbeiter, wie der inzwischen verstorbene Angestellte P. sowie der externe Dienstleister F., die ihnen übertragenen Aufgaben zur Absicherung des Netzwerkes korrekt wahrgenommen hätten. Das überzeugt die Kammer nicht. Hinsichtlich der Falschbeantwortung der Risikofragen zu 3) und 4) zu den oben genannten Rechnern liegt kein Fall der bloß fahrlässigen Unkenntnis vor, sondern der „bewussten Unkenntnis“ in dem Sinne des „na wenn schon“, was den Tatbestand der arglistigen Täuschung erfüllt.

Der Zeuge J. gab im Rahmen seiner Vernehmung an, dass die als Speicherplatz genutzten Rechner mit Windows 2003 Betriebssystem bei Beantwortung der Risikofragen „geflissentlich übersehen“ worden seien. Zu berücksichtigen ist weiter, dass es sich bei den oben genannten drei Rechnersystemen nicht um im Betrieb funktionell untergeordnete Rechner handelte, wie beispielsweise der ebenfalls mit einem Windows 2003 System ausgestattete, nach Angaben des Zeugen J. nicht mehr genutzte, gleichwohl im Netz angeschlossene Fax-Server an dem Standort G.. Vielmehr hatten sowohl die Windows 2003 und 2008 Rechner als auch der Domain Controller 09 entscheidende und zentrale Funktionen im Betrieb der Klägerin, sodass es nicht vorstellbar ist, dass diese Rechner „einfach vergessen“ worden sind. So dienten die Windows 2003 Rechner als zentraler Speicherplatz für Vertragsunterlagen, Rechnungen oder sonstige Dokumente des Unternehmens, waren über die angeschlossenen Arbeitsplatzrechner erreichbar und auf diese Weise mit dem IT-Netz verbunden. Die Rechner wurden, wie es der Zeuge J. angab, als „riesiger USB-Stick“ genutzt.

Ebenso hatte der als WEB-SQL-Server genutzte, mit dem Windows 2008 Betriebssystem ausgestattete Rechner, der schließlich das Einfallstor für den Hackerangriff bot, eine zentrale Rolle im Unternehmen der Klägerin. Er diente zum Betrieb des Herzstückes des Unternehmens, nämlich dem Betrieb des WEB-Shops, indem er eine Verbindung zu dem Warenwirtschaftssystem der Klägerin herstellte. Hierdurch erhielt der bestellende Kunde eine Rückmeldung, inwieweit der von ihm angefragte Artikel auf Lager und verfügbar war. Hierbei war man sich im Unternehmen der Klägerin durchaus der Risiken eines Schadangriffes auf diesen Server bewusst, da dieser, nach ihrem Vortrag, durch eine doppelte Firewall abgesichert gewesen sei und sich in einer sogenannten DMZ befunden habe. Es ist nicht vorstellbar, dass dieser so gesondert gesicherte Server bei den ausdrücklich gestellten Risikofragen nach Software zum Erkennen und Vermeiden von Schadsoftware und Sicherheitsupdates von dem Zeugen J. als Leiter der IT-Abteilung einfach vergessen worden ist.

Schließlich kam auch dem Domain-Controller DC09 eine zentrale Funktion im Unternehmen zu. Der Domain-Controller, der von der Beklagten als „Schatztruhe mit den Schlüsseln zum Königreich“ bezeichnet worden ist, wurde von dem Zeugen J. weniger poetisch als „Telefonbuch des Unternehmens“ bezeichnet. Die Funktion des Domain-Controller sei so wichtig, wie der Zeuge J. weiter anmerkte, dass im Unternehmen deshalb zwei davon zur Verfügung stünden, da bei einem Ausfall eines Domain-Controllers bei der Klägerin praktisch niemand mehr arbeiten könne. Der Domain-Controller ist ein Server zur zentralen Authentifizierung von Computern und Rechner in einem Rechnernetz, also von zentraler Bedeutung für die Funktionsweise des gesamten, 400 Rechner umfassenden Rechnernetzes der Klägerin.

Hinzu kommt, dass, wie der Sachverständige S. im Termin vom 28.02.2024 erläuterte, der Sicherheitszustand des IT-Netzwerkes von dem Zeugen J. vor Beantwortung der Risikofragen relativ leicht durch einen Blick hätte überprüft werden können. So gibt es in der Regel eine zentrale Konsole, über die der Virenschutz verwaltet wird und die nach den Angaben des Sachverständigen eigentlich auch täglich angeschaut werden müsste, um den Sicherheitszustand des IT-Systems zu prüfen. Hierdurch wäre für den Zeugen J. leicht erkennbar gewesen, inwieweit der Virenschutz im Netzwerk vollständig vorliegt und aktualisiert ist und ob hiervon alle Rechner, wie angegeben, erfasst sind. Gleiches gilt für die durchgeführten, vom Hersteller angebotenen Sicherheitsupdates. Diese hätten über das im Betrieb der Klägerin genutzte WSUS-System sofort erfasst werden können und hier wären dann die nicht aktualisierten Windows-Rechner und der Domain-Controller in der Gruppe der Rechner aufgefallen, bei denen kein Update erfolgt war. Eine Kontrolle dieser Systeme hatte der Zeuge J. nach eigenen Angaben nicht vorgenommen, so dass er seine Antworten ins Blaue hinein abgegeben hat. Er hat, jedenfalls nach der ersten Antwort auf die Frage, welche Erkundigungen er vor Beantwortung der Risikofragen eingeholt habe, bekundet, dass er sich heute nicht daran erinnere, bezüglich der Risikofragen Rücksprache mit Herrn P. gehalten zu haben. Er hatte vor Beantwortung der Risikofragen auch keine Systemüberprüfung durchgeführt, obgleich, wie oben geschildert, dies durch einen einfachen Blick möglich gewesen wäre. Die nach seinen Vorgaben dem Mitarbeiter des Maklers, dem Zeugen H., mitgeteilten Antworten auf die Risikofragen waren danach ungeprüft mitgeteilt worden. Der Zeuge J. hielt es daher jedenfalls für möglich, dass die von ihm auf die Risikofragen der Beklagten abgegebenen Antworten falsch waren. Auch Verhaltensweisen, die auf bedingten Vorsatz im Sinne eines „Fürmöglichhalten“ reduziert sind, sind von der Arglist im Sinne des § 123 BGB umfasst. Die Kammer ist nach Wertung aller Gesamtumstände zudem davon überzeugt, dass der Zeuge J. es jedenfalls für möglich hielt, dass die Beklagte durch seine Antworten zum Vertragsschluss bestimmt wird und den Vertrag jedenfalls bei der wahrheitsgemäßen Beantwortung der Fragen diesen nicht oder zu anderen Bedingungen geschlossen hätte.

Das Verhalten des Zeugen J. muss sich die Klägerin zurechnen lassen. Sie hat sich des Zeugen als Verhandlungsgehilfen bei Abschluss des Versicherungsvertrages bezüglich der Beantwortung der Risikofragen bedient. Er ist daher nicht Dritter im Sinne des § 123 Abs. 2 Satz 1 BGB (Münchener Kommentar Langheid/Wandt/Bußmann VVG § 22 Rn. 37).

Schließlich war die Falschbeantwortung der Risikofragen und damit die erfolgte Täuschung auch kausal für den Vertragsschluss. Dies ist bereits dann der Fall, wenn der Vertrag nicht in der erfolgten Weise abgeschlossen worden wäre. Es versteht sich ohne weiteres, dass die Frage der Absicherung des IT-Netzwerkes durch verfügbare Virenscanner oder auch Sicherheitsupdates entscheidend ist für die Frage eines möglichen zukünftigen Schadenseintritts und damit geeignet ist, die Entscheidung der Beklagten zur Übernahme dieses Risikos und zum Abschluss des Versicherungsvertrages zu beeinflussen. Jedenfalls auf die Höhe der zu entrichtenden Prämie hat die Beantwortung der Risikofragen, wie sich aus der eingereichten Anlage K 11 unmittelbar ergibt, Einfluss. Der Eindeckungsprozess erfolgt danach in einzelnen Schritten, wie sie in der Anlage K 11 anhand von Screenshots dargestellt ist. Nach der Eingabe allgemeiner Unternehmensdaten und der Auswahl des Versicherungsschutzes wird zunächst eine sogenannte Indikationsprämie, also eine vorläufige Prämie angegeben. Dann erfolgt unter Schritt 5 die Beantwortung der im Tatbestand dargestellten Risikofragen, indem der Anfragende die neben den Fragen befindlichen Button entweder bei ja oder nein festlegen kann. Im Anschluss erfolgt unter Schritt 6 eine neue Prämienübersicht, in der nun die endgültig ausgewiesene individuelle Prämie angegeben wird. Damit steht fest, dass jedenfalls die Höhe der Versicherungsprämie durch die Falschbeantwortung der Risikofragen beeinflusst wird.

Nach alledem ist der Versicherungsvertrag aufgrund der begründeten Anfechtung des Vertrages wegen arglistiger Täuschung nichtig. Die Beklagte ist zur Erbringung der vereinbarten Versicherungsleistungen nicht verpflichtet. Angesichts der arglistigen Täuschung kommt es auf die Regelung in der Anerkenntnisklausel in der Sondervereinbarung der X-Gruppe nicht an. Die Klage ist daher insgesamt, das heißt auch bezüglich des geltend gemachten Feststellungsantrages und der als Nebenforderungen beantragten vorgerichtlichen Rechtsanwaltskosten abzuweisen.


Den Volltext der Entscheidung finden Sie hier:

AG Gelnhausen: Unterlassungsanspruch gegen Nachbarn wegen möglicher Videoüberwachung durch schwenkbare Kamera

AG Gelnhausen
Urteil vom 04.03.2024
52 C 76/24


Das AG Gelnhausen hat entschieden, dass ein Unterlassungsanspruch gegen Nachbarn bereits wegen möglicher Videoüberwachung durch eine schwenkbare Kamera besteht.

Aus den Entscheidungsgründen:
Der Verfügungskläger hat gegen die Verfügungsbeklagte einen Anspruch auf die im Tenor bezeichneten Maßnahmen aus §§ 1004, 823 Abs. 1 BGB.

Unerheblich ist, ob in dem Haus des Verfügungsklägers tatsächlich bereits Mieter wohnen. Unstreitig steht dieses im Eigentum des Verfügungsklägers, so dass der Anspruchsgrund bereits in seiner Person selbst liegt. Unabhängig davon ist das Gericht aufgrund der vorgelegten eidesstattlichen Versicherungen der Mieter des Verfügungsklägers davon überzeugt, dass jedenfalls seit Mitte Dezember 2023 Mieter in dem Objekt wohnen.

Der Anspruch des Verfügungsklägers ist in einer nicht gerechtfertigten Verletzung seines allgemeinen Persönlichkeitsrechts begründet, das über §§ 1004 Abs. 1, 823 BGB zu dem im Tenor bezeichneten Anspruch führt.

Soweit zwischen den Parteien streitig ist, ob die Kamera das Grundstück des Klägers erfassen kann oder nicht, kommt es hierauf entscheidungserheblich nicht an.

Nach ständiger Rechtsprechung ist es erforderlich, für einen Unterlassungsanspruch aber auch ausreichend, dass ein sog. Überwachungsdruck erzeugt wird (vgl. hierzu LG Hamburg ZD 2018, 491; OLG Köln NJW 2017, 835; LG Bonn, NJW-RR 2005, 1067; LG Darmstadt, NZM 2000, 360; AG Winsen/Luhe, Urt. v. 30.12.2005 – 16 C 1642/05, BeckRS 2010, 11190; vgl. weiter für das Nachbarrecht AG Brandenburg, ZD 2016, 380; für das Mietrecht LG Berlin, ZD 2016, 189; für das Wohnungseigentumsrecht AG Bergisch Gladbach, NJW 2015, 3729). Maßstab ist, dass dritte Personen eine Überwachung durch die Kamera ernsthaft objektiv befürchten müssen. Dies ist immer bereits dann erfüllt, wenn die Befürchtung einer Überwachung durch vorhandene Kameras aufgrund konkreter Umstände nachvollziehbar und verständlich erscheint. Dafür ist bereits ausreichend, dass ein angespanntes Nachbarschaftsverhältnis besteht und die Kamera eines mittels nach außen nicht wahrnehmbaren elektronischen Steuerungsmechanismus auf das Grundstück des Nachbarn ausgerichtet werden kann. Es kommt dabei lediglich darauf an, dass die Kamera eine solche Funktion besitzt. Ob sie angewendet wird, ist unerheblich. Ein Überwachungsdruck kann nur dann ausscheiden, wenn der Winkel der Kamera nur mit erheblichem und sichtbarem manuellen Aufwand, also eben nicht durch einen elektronischen Steuerungsmechanismus, auf das Nachbargrundstück gerichtet werden kann (BGH NJW 2010, 1533). Dass die Kamera einen elektronischen Steuerungsmechanismus hat, ist zwischen den Parteien allerdings unstreitig. Im Übrigen konnte der Verfügungskläger durch die zur Akte gereichten Lichtbilder auch hinreichend glaubhaft machen, dass die Kamera sich selbstständig drehen kann und das Grundstück des Verfügungsklägers erfassen kann. So zeigt das Lichtbild Anlage AS 7 eindeutig die Balkonbrüstung des benachbarten Hauses, zudem aber ebenso eindeutig die vollständige Kamera.

Ein überwiegendes Interesse der Verfügungsbeklagten an solchen Videoaufnahmen ist nicht erkennbar. Dass die Verfügungsbeklagte ihr Eigentum schützen will, stellt zwar durchaus ein legitimes Interesse dar. Vorliegend geht dieser Zweck aber mit einer unverhältnismäßigen Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Verfügungsklägers einher. In Anbetracht des ohnehin schon deutlich angespannten Nachbarschaftsverhältnisses muss ein Anlass für eine weitere Eskalation verhindert werden. Die Verfügungsbeklagte hat die Möglichkeit, eine Videoaufzeichnung ihres Eigentums anhand der Grundsätze des zitierten Urteils des BGH durchzuführen. Sofern die Videoaufzeichnung aber erfolgt wie in diesem Fall, ist dies unzulässig.

Die Androhung von Zwangsgeld hat ihre Grundlage in § 890 Abs. 2 ZPO. Der Antrag ist auch in der gestellten Form begründet. Der Verfügungsbeklagten kann nicht aufgegeben werden, jegliche Kameraüberwachung ihres Grundstücks in aller Zukunft zu unterlassen, allerdings solche, die geeignet ist, das Grundstück des Verfügungsklägers zu erfassen.


Den Volltext der Entscheidung finden Sie hier:

BVerwG: Art. 79 Abs. 1 DSGVO schließt öffentlich-rechtlichen Unterlassungsanspruch gegen kommunale Videoüberwachung zur Gefahrenabwehr und Gefahrenvorsorge nicht aus

BVerwG
Beschluss vom 02.05.2024
6 B 66.23


Das Bundesverwaltungsgericht hat entschieden, das Art. 79 Abs. 1 DSGVO einen öffentlich-rechtlichen Unterlassungsanspruch gegen die kommunale Videoüberwachung einer Grünfläche zur Gefahrenabwehr und Gefahrenvorsorge nicht ausschließt.

Leitsatz des Gerichts:
Art. 79 Abs. 1 DSGVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus.

Den Volltext der Entscheidung finden Sie hier:

BGH: Auskunftsanspruch aus Art. 15 DSGVO umfasst alle Schreiben der betroffenen Person an die verantwortliche Stelle

BGH,
Urteil vom 16.04.2024
VI ZR 223/21
DSGVO Art. 15 Abs. 1, 3


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO alle Schreiben der betroffenen Person an die verantwortliche Stelle umfasst.

Leitsatz des BGH:
Zum Auskunftsanspruch aus Art. 15 Abs. 1 und 3 DSGVO (Anschluss an Senatsurteil vom 5. März 2024 - VI ZR 330/21).

BGH, Urteil vom 16. April 2024 - VI ZR 223/21 - OLG Stuttgart - LG Stuttgart

Aus den Entscheidungsgründen:
1. Die Klägerin hat aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen Anspruch auf Überlassung von Abschriften der bei der Beklagten gespeicherten, von ihr selbst verfassten Erklärungen (Auskunftsbegehren zu a).

a) Art. 15 DSGVO ist in zeitlicher Hinsicht anwendbar. Die Datenschutz-Grundverordnung bezieht sich auch auf Verarbeitungsvorgänge, die vor dem 25. Mai 2018 als dem Anwendungsdatum der Datenschutz-Grundverordnung (Art. 99 Abs. 2 DSGVO) ausgeführt wurden, wenn das Auskunftsersuchen nach diesem Datum vorgebracht wurde (vgl. EuGH, Urteil vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 36). Nach den Feststellungen des Berufungsgerichts hat die Klägerin mit Schreiben vom 3. April 2019 von der Beklagten Auskunft und Überlassung von Kopien verlangt.

b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Recht auf Auskunft über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 14; vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.).

c) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 5. März 2024 - VI ZR 330/21, juris Rn. 16; vom 6. Februar 2024 - VI ZR 15/23, WM 2024, 555 Rn. 8; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

d) Danach handelt es sich bei den von der Klägerin verfassten Erklärungen, die der Beklagten vorliegen (Auskunftsbegehren zu a), ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Erklärungen fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 17).


Den Volltext der Entscheidung finden Sie hier: