Skip to content

Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“


Landesdatenschutzbeauftragter Mecklenburg-Vorpommerns verbietet wegen Verstößen gegen DSGVO das Lehrer-Meldeportal "Neutrale Schule" des AfD-Landesverbands Mecklenburg-Vorpommerns

Der Landesbeauftragte für Datenschutz und Informationsfreiheit von Mecklenburg-Vorpommern hat u.a. wegen Verstößen gegen die Vorgaben der DSGVO das Lehrer-Meldeportal "Neutrale Schule" des AfD-Landesverbands Mecklenburg-Vorpommerns verboten.

Aus den Entscheidungsgründen:

Landesdatenschutzbeauftragter verbietet AfD-Portal

Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat heute das Meldeportal „Neutrale Schule“ des AfD-Landesverbands verboten. Die dort veröffentlichten Textpassagen, in denen Schüler zur Meldung angeblicher Verstöße gegen das Neutralitätsgebot aufgefordert werden, sind bis zum 20. September 2019 zu entfernen, ansonsten droht die Verhängung eines Zwangsgeldes.

„Es darf nicht sein, dass Lehrer durch so ein Portal in ihrer Unterrichtstätigkeit eingeschüchtert werden“, erklärt Behördenchef Heinz Müller. „Genau das ist die Aussage der hier zur Anwendung kommenden datenschutzrechtlichen Vorschriften. Selbstverständlich ist es die Aufgabe der Lehrer, für die Demokratie, das Grundgesetz und die darin gewährleistete Menschenwürde einzutreten. Dabei sollen sie keine Angst haben, von selbsternannten AfD-Aufpassern behelligt zu werden.“

Der Landesverband der AfD erhebt in seinem Portal, anders als in seiner Pressemitteilung vom 2. September 2019 angegeben, nicht nur die personenbezogenen Daten der Schüler, die eine Meldung verfassen, sondern sammelt ganz gezielt auch die politischen Meinungen der gemeldeten Lehrer. Als besondere Kategorie personenbezogener Daten steht die politische Meinung jedoch unter besonderem rechtlichen Schutz.

In seiner Stellungnahme stützt der AfD-Landesverband die Datenverarbeitung auf sein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. „Hierbei wird verkannt“, so Müller, „dass die Verarbeitung von Daten, aus denen die politische Meinung hervorgeht, nach Artikel 9 Absatz 1 DS-GVO grundsätzlich untersagt ist.“ Eine solche Verarbeitung sei nur ausnahmsweise, unter den Voraussetzungen des Artikels 9 Absatz 2 DS-GVO, erlaubt. Doch die seien hier nicht gegeben.

Zwar hole der Landesverband der AfD die ausdrückliche Einwilligung der Verfasser einer Meldung in die „Nutzung ihrer Daten zu Zwecken der Arbeit der AfD Mecklenburg-Vorpommern“ ein. Doch sei diese Einwilligungserklärung viel zu unbestimmt und daher unwirksam. Mit Blick auf die gemeldeten Lehrer scheide eine Verarbeitung auf der Grundlage einer Einwilligung von vornherein aus. „Dem AfD-Landesverband ist es nicht gelungen, die Rechtmäßigkeit der von ihm zu verantwortenden Datenverarbeitung nachzuweisen“, sagt Müller. „Ein Verbot war daher angebracht.“

Mit Blick auf die Rechte der Betroffenen fügt Müller hinzu: „Übrigens kann jeder vom AfD-Landesverband nach Artikel 15 DS-GVO Auskunft darüber verlangen, ob ihn betreffende Daten verarbeitet werden. Ein formloses Schreiben genügt!“



BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflich

BVerwG
Urteil vom 11.09.2019
6 C 15.18


Das BVerwG hat entschieden, dass Datenschutzbehörden grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen können. Es besteht keine Verpflichtung primär gegen Facebook vorzugehen. Das BVerwG hat die Sache allerdings an die Vorinstanz zurückverwiesen, dass Datenverarbeitungsvorgänge erneut prüfen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 - BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 - C-210/16 - entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

Urteil vom 11. September 2019 - BVerwG 6 C 15.18 -

Vorinstanzen:

OVG Schleswig, 4 LB 20/13 - Urteil vom 04. September 2014 -

VG Schleswig, 8 A 14/12 - Urteil vom 09. Oktober 2013 -


Siehe auch zum Thema EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich


Sächsiches LAG: Betriebsratsvorsitzender kann auch betrieblicher Datenschutzbeauftragter sein

Sächsiches LAG
Urtteil vom 19.08.2019
9 Sa 268/18


Das Sächsische LAG hat entschieden, dass ein Betriebsratsvorsitzender auch betrieblicher Datenschutzbeauftragter sein kann.

Aus den Entscheidungsründen:

Der Einwand der Beklagten, die Unwirksamkeit der Bestellung des Klägers als Datenschutzbeauftragter folge daraus, dass dieser nicht über die notwendige Zuverlässigkeit verfüge, die für die Bestellung notwendig sei, insoweit liege eine Inkompatibilität mit dem Amt des Betriebsratsvorsitzenden vor, überzeugt dagegen nicht. Das Bundesarbeitsgericht hat mit Urteil vom 23.03.2011 (- 10 AZR 562/09 -, AP Nr. 3 zu § 4 f BDSG m. w. N.) ausdrücklich festgestellt, dass die bloße Mitgliedschaft im Betriebsrat diese Person für das Amt des Beauftragten für den Datenschutz nicht unzuverlässig macht und insoweit grundsätzlich keine Inkompatibilität zwischen diesen beiden Ämtern besteht, und diese Rechtsauffassung auch ausführlich begründet. Dieser höchstrichterlichen Rechtsprechung schließt sich die erkennende Kammer ausdrücklich an. Warum vorliegend etwas anderes gelten soll, nur weil der Kläger nicht "einfaches" Betriebsratsmitglied ist, sondern Betriebsratsvorsitzender, erschließt sich dem Gericht ebenfalls nicht. Warum dies einen Unterschied machen soll, wird auch weder von der Beklagten noch vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit, der ebenfalls dieser Auffassung zu sein scheint, näher begründet.


Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Kein Zwang zum Eintrag - Arzt kann von Jameda gemäß DSGVO Löschung seiner Daten von der Website verlangen

In Ausgabe 18/2019, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Kein Zwang zum Eintrag - Arzt kann von Jameda gemäß DSGVO Löschung seiner Daten von der Website verlangen ".

Siehe auch zum Thema: LG Bonn: Jameda muss alle personenenbezogenen Daten eines Arztes auf Bewertungsportal nach Art. 17 DSGVO löschen - Kein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO



AG Berlin-Mitte: Macht ein Anwalt für Mandanten Auskunftsanspruch nach Art. 15 DSGVO geltend muss eine Originalvollmacht vorgelegt werden

AG Berlin-Mitte
Urteil vom 29.07.2019
7 C 185/18

Das AG Berlin-Mitte hat entschieden, dass ein Anwalt, der für seinen Mandanten einen Auskunftsanspruch nach Art. 15 DSGVO geltend macht, eine Originalvollmacht vorlegen muss. Erst nach Vorlage der Vollmacht beginnt der Lauf der Frist nach Art. 12 Abs. 3 S. 1 DSGVO.


VGH München: Airbnb muss Stadt München keine Vermieterdaten herausgeben - Allenfalls Auskunft in Einzelfällen

VGH München
Beschluss vom 20.08.2019
12 ZB 19.333


Der VGH München hat entschieden, dass Airbnb muss der Stadt München keine Vermieterdaten herausgeben muss, damit die Statd München Verstöße gegen das bayerische Zweckentfremdungsrecht überprüfen kann. Allenfalls kann in Einzelfällen eine Pflicht zur Auskunft bestehen.

Aus den Entscheidungsgründen:

"Der Antrag der Klägerin auf Zulassung der Berufung ist zulässig und begründet. Die angefochtene Entscheidung des Verwaltungsgerichts vom 12. Dezember 2018 begegnet ernstlichen - nicht zuletzt verfassungsrechtlichen - Zweifeln hinsichtlich ihrer Richtigkeit (§ 124 Abs. 2 Nr. 1 VwGO), wie die Klägerin zutreffend dargelegt hat (§ 124a Abs. 4 Satz 4 VwGO), unterliegt darüber hinaus aber auch erheblichen einfach-rechtlichen Bedenken. Der streitgegenständliche, auf der Grundlage von Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS erlassene Bescheid der Beklagten vom 1. August 2018 ist bereits aufgrund der Nichtbeachtung höherrangigen, in Umsetzung europäischen Rechts (E-Commerce-Richtlinie RL 2000/31/ EG) ergangenen Bundesrechts - § 14 Abs. 2 TMG - offensichtlich - materiell rechtswidrig und kann infolge der damit einhergehenden Verletzung der Klägerin in eigenen Rechten (§ 113 Abs. 1 Satz 1 VwGO) ebenso wenig Bestand haben, wie die diesen Bescheid bestätigende Entscheidung des Verwaltungsgerichts selbst.

1. Bei der Regelung eines Datenaustauschs zur staatlichen Aufgabenwahrnehmung, wie im vorliegenden Fall, ist streng zwischen der Datenübermittlung seitens der auskunftserteilenden Stelle - hier der Klägerin - einerseits und dem Datenabruf durch die auskunftsersuchende Stelle - die Beklagte - andererseits zu unterscheiden (vgl. grundlegend BVerfGE 130, 151 [184]). Ein derartiger Datenaustausch vollzieht sich durch die einander korrespondierenden Eingriffe von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen (vgl. BVerfGE 130, 151 [184]). Der (jeweilige) Gesetzgeber muss deshalb, bildlich gesprochen, nicht nur die Tür zur Übermittlung von Daten öffnen, sondern zugleich auch die Tür zu deren Abfrage (vgl. BVerfGE 130, 151 [184]). Erst beide Rechtsgrundlagen gemeinsam, die gleichsam wie eine „Doppeltür“ zusammenwirken und ineinandergreifen müssen, vermögen deshalb einen Austausch personenbezogener Daten zu legitimieren (vgl. BVerfGE 130, 151 [184]; siehe im Einzelnen auch Schmitz, in: Spindler/Schmitz, TMG, 2. Aufl. 2018, § 14 Rn. 28; Hullen/Roggenkamp, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Rn. 25 zu § 14 TMG). Weder die Beklagte noch das Verwaltungsgericht berücksichtigen diese zwingenden Vorgaben des Bundesverfassungsgerichts.

a) Als Rechtsgrundlagen in vorgenanntem Sinne lassen sich vorliegend die von der Beklagten herangezogenen, zur Abfrage personenbezogener Daten berechtigenden landesrechtlichen Regelungen der Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG,§ 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS einerseits und die zur Übermittlung ebensolcher Daten berechtigende, auch nach Inkrafttreten der DS-GVO als Regelungen im Sinne von Art. 23 Abs. 1 DS-GVO weiter anwendbaren (vgl. hierzu Hullen/Roggenkamp, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Rn. 2 u. 21 zu § 14 TMG) bundesrechtlichen Vorschriften des § 14 Abs. 2 TMG (bezüglich der Bestandsdaten) und des § 15 Abs. 5 Satz 4 i.V.m. § 14 Abs. 2 TMG (hinsichtlich der Nutzungsdaten) auf Seiten der Klägerin als Diensteanbieter andererseits identifizieren. Beide Regelungen müssen passgenau ineinandergreifen, um den Datenaustausch zu ermöglichen (vgl. auch Hullen/Roggenkamp, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Rn. 25 zu § 14 TMG; Schmitz, in: Spindler/Schmitz, TMG, 2. Aufl. 2018, § 14 Rn. 28).

§ 14 Abs. 2 und § 15 Abs. 5 Satz 4 i.V.m. § 14 Abs. 2 TMG bilden insoweit keine eigene Ermächtigungsgrundlage für Auskünfte, sondern lediglich die „datenschutzrechtliche Öffnungsklausel“ für den Diensteanbieter, überhaupt Auskünfte zu erteilen, wenn die anfragende Behörde aufgrund einer gesetzlichen Ermächtigungsgrundlage - vorliegend Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS - Auskunft begehrt (vgl. zur Unterscheidung zwischen Auskunftsanspruch und datenschutzrechtlicher Öffnungsklausel BT-Drucks. 16/3135, S. 2; siehe auch BGH, U.v. 1.7.2014 - VI ZR 345/13 -, NJW 2014, 2651 [2652] Rn. 9 u. 12; Hullen/Roggenkamp, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Rn. 17 zu § 14 TMG). Der Diensteanbieter muss und darf auf der Grundlage von § 14 Abs. 2 TMG nur dann Auskunft erteilen, wenn er durch diese Vorschrift selbst zur Auskunftserteilung berechtigt wird und zusätzlich die anfragende Behörde eine korrespondierende, passgenaue spezialgesetzliche Ermächtigungsgrundlage für den Auskunftsanspruch, die Übermittlung und den Empfang der Daten ins Feld führen kann (vgl. Schmitz, in: Spindler/Schmitz, TMG, 2. Aufl. 2018, § 14 Rn. 28). Liegen diese Voraussetzungen nicht kumulativ vor, so kommt eine Auskunftserteilung durch den Diensteanbieter nicht in Betracht (vgl. Schmitz, in: Spindler/Schmitz, TMG, 2. Aufl. 2018, § 14 Rn. 29). Der Betreiber eines Internetportals ist ohne Vorliegen der genannten Voraussetzungen nicht befugt, personenbezogene Daten ohne die - hier von vornherein nicht vorliegende - Einwilligung der Nutzer an Dritte zu übermitteln (vgl. BGH, U.v. 1.7.2014 - VI ZR 345/13 -, NJW 2014, 2651 [2652] Rn. 9 ff.).

b) In diesem Kontext sticht ins Auge, dass die bundesrechtlich konturierte „datenschutzrechtliche Öffnungsklausel“ des § 14 Abs. 2 TMG dem Diensteanbieter eine Erteilung von Auskünften ausdrücklich nur „i m E i n z e l f a l l“ gestattet, (vgl.

㤠14 Abs. 2 TMG

Auf Anordnung der zuständigen Stellen darf der Diensteanbieter i m E i n z e l f a l l Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.“ [Hervorhebung des Senats]),

während die landesrechtlichen Regelungen des Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS - jedenfalls in der Auslegung und Anwendung des streitgegenständlichen Bescheides der Beklagten vom 1. August 2018 - eine generelle und flächendeckende Auskunftserteilung beanspruchen. In Ziff. 1 des Bescheides vom 1. August 2018 heißt es insoweit wörtlich:

„Erteilen Sie uns [..] schriftlich Auskunft hinsichtlich aller Inserate…“ [Hervorhebung des Senats]

Dementsprechend erhofft sich die Beklagte Auskünfte in schätzungsweise rund 1000 Fällen angeblich zweckfremd genutzter Wohnungen. Das Tatbestandsmerkmal „im Einzelfall“ in § 14 Abs. 2 TMG ist damit unzweifelhaft nicht (mehr) erfüllt und der Anwendungsbereich dieser Vorschrift überschritten.

Eine andere Betrachtung lässt sich auch nicht damit rechtfertigen, dass die Beklagte lediglich Auskunft in einem einzigen Fall, nämlich in dem des Bescheides vom 1. August 2018 begehrt. Ein solcher „Kunstgriff“ lässt die Übermittlung von schätzungsweise 1000 verschiedenen personenbezogenen Datensätzen nicht zu einer einzigen werden. Allein der Umstand, dass konkret definierte Daten für einen konkreten Zeitraum bei einer konkreten Plattform abgefragt werden, vermag entgegen der Auffassung der Beklagten die Annahme eines „Einzelfalls“ nicht zu rechtfertigen.

Infolge dessen fehlt es - jedenfalls bei Zugrundelegung der im Bescheid vom 1. August 2018 vorgenommenen Auslegung der Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS durch die Beklagte - für den begehrten Datenaustausch am Vorliegen korrespondierender, passgenauer ineinandergreifender Regelungen. Der bayerische Landesgesetzgeber hat - in der Auslegung durch die Beklagte - die Tür zur Abfrage personenbezogener Daten weiter geöffnet als der Bundesgesetzgeber zu deren Übermittlung. Da ein Datenaustausch jedoch insgesamt nur dann erfolgen darf, wenn beide Türen, sowohl die zur Abfrage als auch die zur Übermittlung personenbezogener Daten, gleich weit geöffnet werden können, greift der streitgegenständliche Bescheid vom 1. August 2018 bereits alleine deshalb ins Leere. Während die landesrechtliche Tür zur Abfrage - jedenfalls in der Auslegung durch die Beklagte - weit offen steht, ist die bundesrechtliche Tür zur Übermittlung der begehrten Daten nach § 14 Abs. 2 TMG verschlossen, weil sich das Auskunftsersuchen nicht lediglich auf einen Einzelfall beschränkt. Schon allein dieser Umstand macht - ungeachtet aller nachfolgenden weiteren Erwägungen - deutlich, dass weder die dies nicht berücksichtigende Entscheidung des Verwaltungsgerichts noch der Bescheid der Beklagten vom 1. August 2018 in einem Berufungsverfahren Bestand haben können.

2. Darüber hinaus begegnet auch die Auslegung der (lediglich) landesrechtlichen Regelungen der Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS durch die Beklagte, welche - trotz der Existenz der bundesrechtlichen Vorschrift des § 14 Abs. 2 TMG - gleichsam stillschweigend eine generelle und flächendeckende Auskunftsberechtigung unterstellt, durchgreifenden Bedenken. Unter der Geltung des Grundgesetzes verpflichtet das Rechtsstaatsprinzip alle rechtssetzenden Organe des Bundes und der Länder, ihre Regelungen jeweils so aufeinander abzustimmen, dass die Normadressaten nicht gegenläufige Regelungen erreichen, die die Rechtsordnung widersprüchlich machen (vgl. BVerfGE 98, 83 [97]; 98, 106 [118 f.]; BVerwGE 143, 301 [312] Rn. 29). Welche der einen Widerspruch begründenden Normen zu weichen hat, bestimmt sich grundsätzlich nach dem Rang (Art. 31 GG), der Zeitenfolge und der Spezialität der einzelnen Regelungen (vgl. BVerfGE 98, 106 [119]). Konzeptionelle Entscheidungen des zuständigen Bundesgesetzgebers dürfen auch durch auf Spezialzuständigkeiten gründende Entscheidungen eines Landesgesetzgebers nicht verfälscht (vgl. BVerfGE 98, 265 [301]; BVerwGE 143, 301 [312] Rn. 29) oder gar unterlaufen werden. Im Lichte des von Verfassungs wegen vorgegebenen Grundsatzes der Wahrung der Widerspruchsfreiheit der Rechtsordnung sind deshalb Normwidersprüche durch Anwendung der allgemein anerkannten Auslegungs- und Kollisionsregeln soweit als möglich zu vermeiden (vgl. statt aller Jarass, in: Jarass/Pieroth, GG, 15. Aufl. 2018, Art. 20 Rn. 89 a.E.).

Es unterliegt daher keinem vernünftigen Zweifel, dass die landesrechtlichen Regelungen der Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS zur Vermeidung eines Normwiderspruchs - korrespondierend mit der höherrangigen bundesrechtlichen Vorschrift des § 14 Abs. 2 TMG - dergestalt auszulegen und anzuwenden sind, dass sie eine Abfrage von personenbezogenen Daten, wenn überhaupt (vgl. insoweit näher unter 3. und 4.), ebenfalls nur im Einzelfall ermöglichen. Auch deshalb kann der streitgegenständliche Bescheid der Beklagten vom 1. August 2018 keinen Bestand haben. Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS einerseits und§ 14 Abs. 2 TMG andererseits gestatten den Datenaustausch nicht generell und flächendeckend, sondern lediglich im Einzelfall (vgl. hierzu auch bereits Windoffer, LKV 2016, 337 [343]).

Die Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS sind daher zur Vermeidung eines Konflikts mit höherrangigem Recht im Wege verfassungskonformer Auslegung um das stillschweigend mitgeschriebene Tatbestandsmerkmal „im Einzelfall“ zu ergänzen und der Rechtsanwendung mit folgendem Wortlaut zugrundezulegen:

Art. 3 Abs. 1 ZwEWG

1 Die dinglich Verfügungsberechtigten, Besitzer, Verwalter und Vermittler haben der Gemeinde die Auskünfte zu geben und die Unterlagen vorzulegen, die im Einzelfall erforderlich sind, um die Einhaltung der Vorschriften dieses Gesetzes zu überwachen. […] 3 Die Auskunftspflichtigen haben auch Tatsachen zu offenbaren, die geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. […] 5 Satz 1 gilt auch für Diensteanbieter im Sinne des Telemediengesetzes. [Einfügung und Hervorhebung des Senats]

§ 12 Abs. 1 ZeS

1 Auf der Grundlage des Art. 3 Satz 1 ZwEWG haben die dinglich Verfügungsberechtigten, Besitzerinnen und Besitzer, Verwalterinnen und Verwalter, Vermittlerinnen und Vermittler der Behörde die Auskünfte zu geben und die Unterlagen vorzulegen, die im Einzelfall erforderlich sind, um die Einhaltung der Vorschriften des Gesetzes und dieser Satzung zu überwachen […]. 2 Die Auskunftspflichtigen haben auch Tatsachen zu offenbaren, die geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. […] 4 Satz 1 gilt auch für Dienstanbieter im Sinne des Telemediengesetzes. [Einfügung und Hervorhebung des Senats]

Allein diese Auslegung dürfte sich zugleich auch als europarechtskonform erweisen. Art. 3 Abs. 1 der E-Commerce Richtlinie 2000/31/EG verpflichtet nämlich generell die Herkunftsmitgliedstaaten dafür Sorge zu tragen, dass die Dienste der Informationsgesellschaft, die von einem in ihrem Hoheitsgebiet niedergelassenen Diensteanbieter erbracht werden und die in den koordinierten Bereich der Richtlinie fallen, den in diesen Mitgliedstaaten geltenden innerstaatlichen Vorschriften entsprechen. Um diesen Grundsatz nicht zu „verwässern“, sollen andere Mitgliedstaaten als der Herkunftsstaat nach Art. 3 Abs. 4 der E-Commerce Richtlinie 2000/31/EG „nur im Einzelfall“ Ausnahmen vom freien Dienstleistungsverkehr vorsehen dürfen (so ausdrücklich EuGH, Rs. C-390/18, Airbnb Ireland, Schlussanträge des Generalanwalts vom 30. April 2019, Rn. 130). Würde nämlich auch anderen Mitgliedstaaten als dem Herkunftsstaat die Befugnis eingeräumt, gegenüber allen Anbietern einer bestimmten Kategorie von Diensten der Informationsgesellschaft eigenmächtig Maßnahmen abstrakt-genereller Natur anzuwenden, müsste der Grundsatz des freien Verkehrs solcher Dienste erheblich geschwächt werden (so namentlich EuGH, Rs. C-390/18, Airbnb Ireland, Schlussanträge des Generalanwalts vom 30. April 2019, Rn. 131). Ein anderer Mitgliedstaat als derjenige, in dessen Hoheitsgebiet der Anbieter von Diensten der Informationsgesellschaft niedergelassen ist, darf den freien Verkehr dieses Dienstes deshalb nicht aus Gründen, die in den koordinierten Bereich fallen, einschränken, indem er gegenüber einem Anbieter von Diensten der Informationsgesellschaft eigenmächtig und ohne eine Prüfung der materiell-rechtlichen Voraussetzungen für erforderlich zu erachten, generell (weitere) Anforderungen stellt (vgl. EuGH, Rs. C-390/18, Airbnb Ireland, Schlussanträge des Generalanwalts vom 30. April 2019, Rn. 152). Vielmehr muss ein Mitgliedstaat, der nach Art. 3 Abs. 4 lit. b der E-Commerce Richtlinie 2000/31/EG den Erlass abweichender (genereller) Maßnahmen beabsichtigt, zuvor die EU-Kommission über seine Absicht unterrichten und den Herkunftsmitgliedstaat auffordern, selbst Maßnahmen in Bezug auf die Dienste der Informationsgesellschaft zu ergreifen (vgl. EuGH, Rs. C-390/18, Airbnb Ireland, Schlussanträge des Generalanwalts vom 30. April 2019, Rn. 134, 138). Die unterlassene Unterrichtung über eine solche Maßnahme wird dadurch sanktioniert, dass sie dem Anbieter der betreffenden Dienste nicht entgegengehalten werden kann (vgl. EuGH, Rs. C-390/18, Airbnb Ireland, Schlussanträge des Generalanwalts vom 30. April 2019, Rn. 150).

Auch dies macht deutlich, dass die landesrechtlichen Regelungen der Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS - korrespondierend mit der höherrangigen, in Anwendung von Art. 15 Abs. 2 der E-Commerce Richtlinie 2000/31EG ergangenen bundesrechtlichen Vorschrift des § 14 Abs. 2 TMG - strikt einzelfallbezogen auszulegen und anzuwenden sind und eine generell-abstrakte, flächendeckende Interpretation, wie sie von der Beklagten vertreten wird, nicht in Betracht kommt.

Die Vorschrift des Art. 3 Abs. 1 Satz 5 ZwEWG, die im Wesentlichen auf Betreiben der Beklagten hin zustande gekommenen ist (siehe hierzu im Einzelnen LT-Drucks. 17/15781, S. 6), besitzt nicht die von der Beklagten unterstellte Anwendungsweite. Dem Landesgesetzgeber sind bereits durch die enge bundesrechtliche Vorschrift des § 14 Abs. 2 TMG, zugleich aber auch durch das Unionsrecht selbst die Hände gebunden. Konzeptionelle, europarechtlich fundierte Entscheidungen des primär zuständigen Bundesgesetzgebers dürfen auch durch auf Spezialzuständigkeiten wie dem Zweckentfremdungsrecht gründende Entscheidungen eines Landesgesetzgebers nicht verfälscht oder gar unterlaufen werden. Dem Bundesgesetzgeber hätte es zwar gemäß Art. 15 Abs. 2 der E-Commerce Richtlinie 2000/31/EG offen gestanden, die Anbieter von Diensten in spezifischen Fällen in wesentlich weiterem Umfang dazu zu verpflichten, die zuständigen Behörden unverzüglich über mutmaßliche rechtswidrige Tätigkeiten oder Informationen der Nutzer ihres Dienstes zu unterrichten, oder dazu anzuhalten, den zuständigen Behörden auf Verlangen Informationen zu übermitteln, anhand deren die Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Speicherung geschlossen haben, ermittelt werden können (vgl. auch Erwägungsgrund Nr. 47 der E-Commerce Richtlinie 2000/31/EG). Indes hat der Bundesgesetzgeber mit dem Erlass des TMG in § 14 Abs. 2 hiervon ausdrücklich nur einzelfallbezogen Gebrauch gemacht und keinen darüber hinausgehenden Vorbehalt in das TMG aufgenommen (vgl. Spindler, in: Spindler/Schmitz, TMG, 2. Aufl. 2018, § 7 Rn. 36). Die Vorschrift gestattet daher - anders als etwa § 93 Abs. 1 Satz 3 AO (vgl. hierzu VG Freiburg, U.v. 05.04.2017 - 4 K 3505/16 - juris, Rn. 69 ff.) - kein Sammelauskunftsersuchen. Allein dies entspricht zugleich auch den Vorgaben des Unionsrechts, das eigenmächtige Maßnahmen abstrakt-genereller Natur verbietet (vgl. EuGH, Rs. C-390/18, Airbnb Ireland, Schlussanträge des Generalanwalts vom 30. April 2019, Rn. 131).

Es kommt dem bayerischen Landesgesetzgeber deshalb nicht zu, die konzeptionelle Grundentscheidung des Bundesgesetzgebers zu unterlaufen. Eine solche Absicht lässt sich im Übrigen auch der amtlichen Begründung der Gesetzesnovelle vom 7. März 2017 (vgl. LT-Drucks. 17/15781, S. 6) nicht entnehmen. In dieser heißt es vielmehr wörtlich:

„In Art. 3 Abs. 1 Satz 5 wird eine Ermächtigung zur Heranziehung der Diensteanbieter im Sinne des Telemediengesetzes (TMG) zur Ermittlung von zweckentfremdetem Wohnraum und personenbezogener Daten der Wohnungsanbieter geschaffen. Damit wird auf die in den letzten Jahren zunehmenden kurzzeitigen Vermietungen von Privatunterkünften an Touristen über Online-Portale reagiert. Diese enthalten Angebote, bei denen die eingestellten Fotos (Angebot der ganzen Wohnung, leere Regale und Schränke, die gegen eine normale Wohnnutzung sprechen, etc.) die Vielzahl von Gästebewertungen und der Buchungskalender den dringenden Verdacht einer Zweckentfremdung von Wohnraum begründen. Diesem kann in der Praxis jedoch oftmals nicht nachgegangen werden. Lediglich die Angabe eines Vornamens, fehlende Angaben zur Lage der Wohnung und falsche Fotos verhindern die Ermittlung des hinter dem Angebot stehenden privaten Anbieters, so dass im Grunde im Internet das Geschäftsmodell „Zweckentfremdung von Wohnraum“ ohne Sorge vor Konsequenzen betrieben werden kann.

Die Ausweitung der Auskunftspflicht auf Diensteanbieter im Sinne des Telemediengesetzes ermöglicht Gemeinden nunmehr die dringend notwendigen Anfragen und Nachforschungen bei den Betreibern von Internetportalen. Aus dem allgemeinen Verhältnismäßigkeitsprinzip ergibt sich, dass Auskünfte und Unterlagen nur in dem Umfang eingeholt werden dürfen, der für die Durchführung des Zweckentfremdungsrechts erforderlich ist. In datenschutzrechtlicher Sicht ist deshalb darauf zu achten, dass so wenig personenbezogene Daten wie möglich erhoben werden. Für die Frage, ob eine Wohnnutzung oder eine nicht genehmigungsfähige Zweckentfremdung durch wiederholte kurzzeitige Vermietungen über Online-Portale vorliegt, sind insbesondere notwendig: Lage der Wohnung, Name und Adresse der handelnden Person, Anzahl der Buchungen, Anzahl der jeweils gebuchten Tage. Hierzu sind die Internetportale, die Entgelte für die einzelnen Buchungen erhalten (so genannte Hostings), auskunftsfähig und auch auskunftspflichtig. Plattformbetreiber halten in ihrer Eigenschaft als Hostprovider im Sinne von § 10 TMG fremde Telemedien zur Nutzung bereit und sind somit Diensteanbieter i.S.v. § 2 Satz 1 Nr. 1 TMG. Zur Verfolgung von Ordnungswidrigkeiten gemäß Art. 4 (neu) und damit aus Gründen des Schutzes der öffentlichen Ordnung wird deshalb auch den Plattformbetreibern eine Auskunftspflicht auferlegt. Satz 5 schafft die nach § 12 Abs. 2 TMG erforderliche Erlaubnis für die Datenübermittlung an die zuständige Behörde.“ [Hervorhebungen des Senats]

Diese Ausführungen vermeiden jede Formulierung, die in Richtung auf die Ermöglichung einer (verfassungs-, bundes- und europarechtswidrigen) Sammelabfrage missverstanden werden und eine Kollision mit der Normsetzung des Bundes in § 14 Abs. 2 TMG heraufbeschwören könnte. Vielmehr lassen die gewählten Begrifflichkeiten „Anfragen und Nachforschungen“; „so wenig personenbezogene Daten wie möglich“, „Lage der Wohnung“ und „Name und Adresse der handelnden Person“ mit hinreichender Deutlichkeit erkennen, dass auch der Landesgesetzgeber (lediglich) von Anfragen und Nachforschungen im Einzelfall ausgegangen ist. Es steht der Beklagten deshalb nicht zu, Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS entgegen dem eindeutigen Bundes- und Landeswillen unter unberechtigter Inanspruchnahme von Art. 15 Abs. 2 der E-Commerce Richtlinie 2000/31/EG erweiternd auszulegen und anzuwenden, wie mit dem Erlass des streitgegenständlichen Bescheides vom 1. August 2018 stillschweigend geschehen.

3. Die Zurückhaltung des Bundesgesetzgebers hat auch durchaus ihre guten - verfassungsrechtlichen - Gründe. Das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) gewährleistet in seiner Dimension als objektiv-rechtliche Wertentscheidung der Verfassung - entgegen der Rechtsauffassung des Verwaltungsgerichts - für alle Bereiche der Rechtsordnung, gleichviel ob Gesetzgebung, Verwaltung oder Rechtsprechung (vgl. hierzu näher BVerfGE 7, 198 [205] - „Lüth“; 35, 79 [114] - „Hochschulurteil“; 39, 1 [41 f.] - „Fristenlösung“; 49, 89 [141 f.] - „Kalkar“; 56, 54 [73] - „Fluglärm“; 73, 261 [269]; 127, 87 [114]; siehe auch Jarass, in: Jarass/Pieroth, GG, 15. Aufl. 2018, Vorb. vor Art. 1 Rn. 6), die aus dem Grundsatz der Selbstbestimmung folgende Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Sachverhalte offenbart werden (vgl. BVerfGE 65, 1 [43]; 78, 77 [84]; 84, 192 [194]; 96, 171 [181]; 103, 21 [32 f.]; 113, 29 [46]; 115, 166 [188]; 115, 320 [341]; 118, 168 [184]; 120, 274 [312]; 120, 351 [360]; 120, 378 [397]; 130, 151 [183]). Es sichert seinen Trägern insbesondere Schutz gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe der auf sie bezogenen, individualisierten oder individualisierbaren Daten (vgl. BVerfGE 65, 1 [43]; 67, 100 [143]; 84, 239 [279]; 103, 21 [33]; 115, 320 [341]; 118, 168 [184]; 120, 274 [312]; 120, 351 [360]; 120, 378 [397]; 130, 151 [183]). Namentlich die Anordnung der Übermittlung personenbezogener Daten stellt einen Eingriff dar, der diese für die Behörde verfügbar macht und die Basis für einen nachfolgenden Abgleich bildet (vgl. BVerfGE 115, 320 [343]). Von hoher Intensität ist der Eingriff insbesondere dann, wenn - wie im vorliegenden Fall - Informationen betroffen sind, bei deren Erlangung Vertraulichkeitserwartungen - namentlich die Wahrung der Anonymität im Internet - verletzt werden und die Erhebung ohne Wissen der letztlich tatsächlich Betroffenen heimlich erfolgt (vgl. BVerfGE 115, 320 [348; 353] - „Rasterfahndung“). Das Recht auf informationelle Selbstbestimmung umfasst gerade auch den Schutz der von einem Datenzugriff betroffenen Dritten (vgl. BVerfGE 113, 29 [47]).

a) Auch wenn das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) nicht schrankenlos gewährleistet ist und der Einzelne Beschränkungen seiner Rechte hinzunehmen hat, die durch überwiegende Allgemeininteressen gerechtfertigt sind (vgl. BVerfGE 65, 1 [43 f.]; 115, 320 [345]), bedürfen diese Beschränkungen gleichwohl einer verfassungsmäßigen gesetzlichen Grundlage, die insbesondere dem Grundsatz der Verhältnismäßigkeit und dem Gebot der Normenklarheit entsprechen muss (vgl. BVerfGE 65, 1 [44]; 115, 320 [345]; 118, 168 [186 f.]; 128, 1 [47]). Vor allem das Gebot der Verhältnismäßigkeit im engeren Sinne verlangt, dass die Schwere des Eingriffs im Rahmen einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe stehen darf (st.Rspr.; vgl. BVerfGE 90, 145 [173]; 92, 277 [327]; 109, 279 [349 ff.]; 115, 320 [345]). Namentlich eine Prüfung an diesem Maßstab kann dazu führen, dass ein an sich geeignetes und erforderliches Mittel des Rechtsgüterschutzes nicht angewandt werden darf, weil die davon ausgehenden Grundrechtsbeeinträchtigungen den Zuwachs an Rechtsgüterschutz überwiegen, so dass der Einsatz des Schutzmittels als unangemessen erscheinen muss (vgl. BVerfGE 90, 145 [173]; 115, 320 [346]).

In dem Spannungsverhältnis zwischen der Verpflichtung des Staates zum Rechtsgüterschutz einerseits und dem Interesse des Einzelnen an der Wahrung seiner von der Verfassung verbürgten Rechte andererseits ist es zunächst Aufgabe des Gesetzgebers, in abstrakter Weise einen Ausgleich der widerstreitenden Interessen zu erreichen (vgl. BVerfGE 109, 279 [350]; 115, 320 [346]). Letzteres kann dazu führen, dass bestimmte intensive Grundrechtseingriffe, die wie hier besonders geschützte Zonen der Privatheit betreffen (vgl. BVerfGE 118, 168 [202]), erst von einer bestimmten konkreten Verdachts- oder Gefahrenstufe an vorgesehen werden dürfen (vgl. BVerfGE 100, 313 [383 f.]; 109, 279 [350 ff.]; 115, 320 [346] - „Rasterfahndung“; 120, 274 [326 f.] - „Online-Durchsuchung“; 120, 378 [428 ff.] - „Kennzeichenkontrolle I“), um das strikte Verbot der Sammlung von Daten auf Vorrat (vgl. BVerfGE 65, 1 [47]; 115, 320 [350]) zu wahren, das Risiko, aufgrund staatlicher Ermittlungsmaßnahmen einem unberechtigten Verdacht ausgesetzt zu werden (vgl. BVerfGE 107, 299 [321]; 115, 320 [351]), zu minimieren und der Versuchung, verdachtlose Grundrechtseingriffe mit großer Streubreite im Vorfeld einer konkreten Gefahr (vgl. BVerfGE 115, 320 [354; 362]) ins Werk zu setzen, wirksam zu begegnen. Unter besonderen Voraussetzungen kann aus dem Gebot der Verhältnismäßigkeit im engeren Sinne zugleich auch die vollständige Unzulässigkeit der Vornahme bestimmter Grundrechtseingriffe zu Zwecken persönlichkeitsbezogener Ermittlungen folgen (vgl. BVerfGE 115, 320 [359] - „Rasterfahndung“; 120, 274 [321 f.] - „Online-Durchsuchung“). Insbesondere lässt die Verfassung grundrechtseingreifende Ermittlungen „in Blaue hinein“ nicht zu (vgl. BVerfGE 112, 284 [297]; 115, 320 [361] - „Rasterfahndung“; 125, 260 [343 f.] - „Vorratsdatenspeicherung“; B.v. 18.12.2018 - 1. BvR 142/15 -, NJW 2019, 827 [834] Rn. 92 - „Kennzeichenkontrolle II“).

b) Im Lichte dieser Maßstäbe und Grundsätze hat der Bundesgesetzgeber die Auskunftsverpflichtung und -berechtigung der Dienstebetreiber in § 14 Abs. 2 TMG zu Recht auf Angaben im konkreten Einzelfall beschränkt, eine anlasslose, auf bloße Mutmaßungen gestützte, generelle und flächendeckende Verpflichtung zur Auskunftserteilung durch die Verwendung des Tatbestandsmerkmals „im Einzelfall“ nachhaltig ausgeschlossen und die Eingriffsschwelle bewusst hoch angesetzt; denn zum Inbegriff eines freiheitlichen Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger - auch im Internet - grundsätzlich frei bewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Zeugnis ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein (vgl. BVerfGE 107, 299 [328]; 115, 320 [354 f.]; 120, 378 [402]; 122, 342 [370f.]; 125, 260 [335]; B.v. 18.12.2018 - 1 BvR 142/15 -, NJW 2019, 827 [830; 835] Rn. 51 u. 100 - „Kennzeichenkontrolle II“). Eine ohne konkreten Anlass, auf bloße Mutmaßungen gestützte, generelle und flächendeckende Auskunftsverpflichtung, wie sie der streitgegenständliche Bescheid der Beklagten vom 1. August 2018 ausdrücklich vorsieht („alle Inserate“), kommt daher (auch) von Verfassungs wegen nicht in Betracht (vgl. BVerfGE 120, 378 [430] - „Kennzeichenkontrolle I“; B.v. 18.12.2018 - 1 BvR 142/15 -, NJW 2019, 827 [834] Rn.100 - „Kennzeichenkontrolle II“). Der Umstand, dass die Betroffenen mit ihrem Verhalten - der zeitweiligen Vermietung von Wohnraum an Dritte - selbst Anlass zum Auskunftsbegehren der Beklagten geben, hebt den Schutz des Grundrechts auf informationelle Selbstbestimmung nicht auf; er mindert allenfalls das Gewicht des Eingriffs (vgl. BVerfGE 128, 1 [53]) mit der Folge, dass Nachfragen im Einzelfall in Betracht kommen.

4. Ungeachtet dessen unterliegt aber - allerdings ohne dass es vorliegend noch entscheidungserheblich darauf ankäme - selbst eine Auskunftsverpflichtung „im Einzelfall“ verfassungsrechtlichen Beschränkungen. Die Aufhebung der Anonymität im Internet bedarf zumindest einer Rechtsgutsbeeinträchtigung, der von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird (BVerfGE 125, 260 [344] - „Vorratsdatenspeicherung“; BGH, B.v. 19.4.2012 - I ZB 80/11 -, NJW 2012, 2958 [2962] Rn. 46). Dies schließt entsprechende Auskünfte zur Verfolgung oder Verhinderung von Ordnungswidrigkeiten (vgl. Art. 4 ZwEWG) nicht vollständig aus (BVerfGE 125, 260 [344]). Es muss sich insoweit aber um - auch im Einzelfall - besonders gewichtige Ordnungswidrigkeiten handeln, die der Gesetzgeber ausdrücklich benennen muss (BVerfGE 125, 260 [344]). In diesem Zusammenhang darf der Gesetzgeber zwar - wie in § 14 Abs. 2 TMG und Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS geschehen - eine Auskunftserteilung auch unabhängig von begrenzenden Rechtsgüter- und Straftatenkatalogen für die Verfolgung von Straftaten und die Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung auf der Grundlage allgemeiner fachrechtlicher Eingriffsermächtigungen zulassen (vgl. BVerfGE 125, 260 [343] m.w.N.). Allerdings ist auch insoweit hinsichtlich der Eingriffsschwellen sicherzustellen, dass eine Auskunft nicht „ins Blaue hinein“ eingeholt werden kann, sondern nur aufgrund eines hinreichenden Anfangsverdachts oder einer konkreten Gefahr auf einer einzelfallbezogenen Tatsachenbasis (vgl. BVerfGE 125, 260 [343] - „Vorratsdatenspeicherung“; BGH, B.v. 19.4.2012 - I ZB 80/11 -, NJW 2012, 2958 [2962] Rn. 46).

An einer solchen (einzelfallbezogenen) Tatsachenbasis fehlt es im vorliegenden Fall. Die Beklagte ist zwar als („örtliche“) Polizeibehörde (Art. 83 Abs. 1 BV) im materiellen (funktionellen) Sinne

(vgl. hierzu näher Wolff, in: Lindner/Möstl/Wolff, Verfassung des Freistaats Bayern, 2. Aufl. 2017, Art. 83 Rn. 30 f.: der Begriff „örtliche Polizei“ im Sinne des)Art. 83 Abs. 1 BV erfasst auch die im LStVG niedergelegte Gefahrenabwehr und ist, soweit es - wie hier - um die Ahndung von Verstößen gegen die öffentliche Sicherheit auf der Grundlage einer Verletzung von Ortsrecht (ZeS) geht, eigene ortspolizeiliche Aufgabe der Beklagten; siehe im Übrigen auch BayVGH, B.v. 7.4.2004 - 24 CS 04.53 -, NVwZ-RR 2004, 490)

Bedarfsträger gemäß § 14 Abs. 2 TMG und kann den Gesichtspunkt der Gefahrenabwehr (nicht jedoch den der Strafverfolgung - Ordnungswidrigkeiten sind keine Straftaten) für sich in Anspruch nehmen; für ihr Auskunftsersuchen vermag sie jedoch weder personenbezogen einen anhand objektiver Merkmale hinreichend konkret bestimmbaren, mutmaßlichen „Zweckentfremder“ (namentlich) zu benennen noch objektbezogen eine bestimmte Wohnung anzugeben, in welcher sich nach ihren Feststellungen der Tatbestand einer Zweckentfremdung verwirklicht haben soll. Statt dessen begehrt sie Auskunft auf der Grundlage eines bloßen abstrakten Gefahrenverdachts und damit letztlich „ins Blaue hinein“, um - wie sie auch selbst unumwunden einräumt - mit den dergestalt gleichsam „auf Vorrat“ erhobenen Datensätzen ihre eigene Ermittlungstätigkeit im Hinblick auf das Vorliegen einer Verwirklichung des Tatbestandes der Zweckentfremdung überhaupt erst aufzunehmen. Ungeachtet dessen kann auch allein aus dem Umstand, dass die Beklagte „lediglich“ solche Räume abfragt, die mehr als insgesamt acht Wochen pro Jahr vermietet werden, nicht auf das Vorliegen einer Zweckentfremdung im Sinne von Art. 1 Satz 2 Nr. 3 ZwEWG, § 4 Abs. 1 Satz 2 Nr. 3 ZeS geschlossen werden, denn die Beklagte lässt insoweit alle genehmigten Gewerberaumvermietungen (vgl. Art. 2 Abs. 1 ZwEWG, §§ 5 - 8 ZeS), alle Räume, für die Ersatzwohnraum geschaffen wurde (§ 5 Abs. 3 1. Alt. ZeS), bei denen schutzwürdige private Belange die Vermietung gestatten (§ 5 Abs. 2 2. Alt. ZeS) oder Ausgleichszahlungen geleistet wurden (§ 5 Abs. 3 1. Alt. ZeS), sehenden Auges außer Acht und unterwirft auch diese Räumlichkeiten ihrem Auskunftsersuchen. Anders als das Verwaltungsgericht meint, kann dem nicht mit Erfolg entgegengehalten werden, eine Zweckentfremdung sei auch dann (noch) gegeben, wenn sie genehmigungsfähig und inzwischen auch tatsächlich genehmigt worden sei. Eine solche Betrachtung entbehrt jeder rationalen Grundlage. Mit derselben Konsequenz müsste man dann nämlich auch einen inzwischen baurechtlich genehmigten (ursprünglichen) „Schwarzbau“ weiterhin als solchen betrachten und behandeln. Dass dies nicht in Betracht kommt, bedarf keiner näheren Erläuterung. Vielmehr erweist sich die seitens der Beklagten ohne konkreten personen- oder objektbezogenen Anlass flächendeckend ins Werk gesetzte, erkennbar vollkommen Unbeteiligte sehenden Auges mit einbeziehende, lediglich auf einen abstrakten Gefahrenverdacht gestützte, in ihrer Streubreite unabsehbare und damit letztendlich weithin entgrenzte „Datenerhebung auf Vorrat“ nicht nur als evident verfassungswidrig (vgl. BVerfGE 65, 1 [47]; 115, 320 [350]; 125, 260 [317]); sie kann auch einfach-rechtlich weder eine Auskunftsverpflichtung des Diensteanbieters auf der Grundlage von § 14 Abs. 2 TMG noch einen Auskunftsanspruch der Beklagten auf der Basis von Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG, § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS begründen.

5. Der Bescheid der Beklagten vom 1. August 2018 kann danach auch von Verfassungs wegen keinen Bestand haben. Die Klägerin darf gemäß § 14 Abs. 2 TMG Auskünfte nur „im Einzelfall“ und nur auf „einzelfallbezogener Tatsachenbasis“ erteilen (vgl. BVerfGE 125, 260 [343] - „Vorratsdatenspeicherung“; BGH, B.v. 19.4.2012 - I ZB 80/11 -, NJW 2012, 2958 [2962] Rn. 46). Eine solche liegt nicht vor. Dass § 14 Abs. 2 TMG nicht nur den Interessen der Allgemeinheit, sondern zugleich auch denen der Diensteanbieter und damit der Klägerin zu dienen bestimmt ist, bedarf keiner näheren Darlegung. Auch wenn der Anbieter trotz der Formulierung „darf“ in § 14 Abs. 2 TMG im Falle eines rechtmäßigen Auskunftsersuchens ohne Wahlmöglichkeit zur Datenübermittlung verpflichtet ist, ist er doch gleichwohl berechtigt, sich nach der rechtlichen Legitimation der anfragenden Stelle zu erkundigen und im Fall des offensichtlichen Fehlens der Voraussetzungen der jeweiligen Ermächtigungsgrundlage die Auskunft zu verweigern (vgl. Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 14 TMG Rn. 6; Dix, in: Roßnagel, Beck`scher Kommentar zum Recht der Telemediendienste, 2013, § 14 TMG Rn. 52). § 14 Abs. 2 TMG besitzt damit nicht nur objektiv-rechtlichen, sondern zugleich auch subjektiv-rechtlichen Gehalt. Die von der Beklagten auferlegte Auskunftsverpflichtung verletzt die Klägerin mithin in eigenen Rechten (§ 113 Abs. 1 Satz 1 VwGO) und unterliegt deshalb - ungeachtet der weiteren Frage einer (Un-) Vereinbarkeit mit dem Rückwirkungsverbot (Art. 20 Abs. 3 GG) für den Zeitraum vor dem 15. Dezember 2017 - der Aufhebung.

Eines Rückgriffs auf den von der Klägerin bemühten Gesichtspunkt der allgemeinen Handlungsfreiheit (Art. 2 Abs. 1 GG), die Adressatentheorie und den (auch Interessen und Grundrechte Dritter mit einbeziehenden) grundrechtlichen Anspruch auf Gesetzmäßigkeit (vgl. hierzu BVerwG, B.v. 19.7.2010 - 6 B 20/10 -, NVwZ 2011, 372 [374] Rn. 16 m.w.N.; siehe auch Wolff, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 113 Rn. 37) bedarf es deshalb im Grunde nicht, auch wenn die Klägerin sich als ausländische juristische Person des Privatrechts mit Sitz in einem Mitgliedstaat der Europäischen Union aufgrund der Anwendungserweiterung des Art. 19 Abs. 3 GG durch das Bundesverfassungsgericht (vgl. B.v. 19.7.2011 - 1 BvR 1916/09 -, BVerfGE 129, 78 [94 ff.]) auch auf die Grundrechte des Grundgesetzes berufen kann, soweit sie - wie hier - im Anwendungsbereich des Unionsrechts tätig wird.

Auch auf Fragen einer Verletzung von Grundrechten aus Art. 7, 8 und

VG Regensburg: Die Vorgaben der DSGVO stehen einer Fahrtenbuchauflage nicht entgegen

VG Regensburg
Urteil v. 17.04.2019
RN 3 K 19.267


Das VG Regensburg hat entschieden, dass die Vorgaben der DSGVO einer Fahrtenbuchauflage nicht entgegenstehen.

Aus den Entscheidungsgründen:

Dem kann der Kläger vorliegend jedenfalls nicht entgegenhalten, durch die Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27. April 2016 an der Preisgabe des Namens der Fahrzeugführerin gehindert gewesen zu sein. Die Datenschutz-Grundverordnung (DSGVO) findet für die Ermittlungen der Polizei nämlich von vornherein wohl schon keine unmittelbare Anwendung oder es würde sich wenigstens um eine nach den Anforderungen der Datenschutz-Grundverordnung auch ohne Einwilligung der betreffenden Person gerechtfertigte Datenverarbeitung gehandelt haben:

a) Nach Art. 2 Abs. 2 Buchst. d DSGVO ist von deren sachlichem Anwendungsbereich die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit ausgenommen. Dabei ist der Begriff der Straftaten europarechtlich zu verstehen und er wird nicht nur die Straftaten im Sinne des deutschen Strafrechts umfassen, sondern weiter zu verstehen sein. Dies zeigt ein Blick auf die zeitgleich mit der Datenschutz-Grundverordnung erlassene Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. Diese Richtlinie hat den durch Art. 2 Abs. 2 Buchst. d DSGVO von der Anwendung der DSGVO ausgenommenen Bereich zum Gegenstand. In ihrem Erwägungsgrund 13 ist klargestellt, dass eine Straftat im Sinne der Richtlinie ein eigenständiger Begriff des Unionsrechts ist. Die Richtlinie (EU) 2016/680 wurde in Deutschland insbesondere durch Regelungen im Teil 3 des Bundesdatenschutzgesetzes (BDSG) vom 30. Juni 2017 in nationales Recht umgesetzt, dessen Anwendungsbereich nach § 45 Satz 1 BDSG die Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten ausdrücklich mit umfasst. Zu dieser Erstreckung des Anwendungsbereichs ist in der Gesetzesbegründung (vgl. BT-Drs. 18/11325, S. 110) unter anderem ausgeführt:
„…; dies wird durch Erwägungsgrund 13 der Richtlinie (EU) 2016/680 unterstützt. Hierdurch wird insbesondere erreicht, dass die polizeiliche Datenverarbeitung einheitlichen Regeln folgt, unabhängig davon, ob eine Straftat oder eine Ordnungswidrigkeit in Rede steht. Aus dem Ziel, dem Ordnungswidrigkeitenverfahren einheitliche datenschutzrechtliche Regeln gegenüberzustellen, folgt, dass somit auch in Bezug auf die Datenverarbeitung durch Behörden, die nicht Polizeibehörden sind, soweit sie aber Ordnungswidrigkeiten verfolgen, ahnden und vollstrecken, der Teil 3 des vorliegenden Gesetzes gilt und die Datenverarbeitung auch sonst Regeln folgen muss, welche die Richtlinie (EU) 2016/680 umsetzen.“

Eine dem § 45 BDSG entsprechende Regelung findet sich für die bayerischen Behörden in Art. 28 des Bayerischen Datenschutzgesetzes (BayDSG), der für diese die Regelungen zu Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680 auf die Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit erstreckt. Hierzu heißt es in der einschlägigen Gesetzesbegründung (LT-Drs 17/19628, S. 47) unter anderem:
„Der Begriff der „Straftat“ ist gemäß Erwägungsgrund 13 DSGVO autonom im Sinne der Rechtsprechung des EuGH auszulegen und erfasst auch den nach dem deutschen Rechtsverständnis hiervon zu unterscheidenden Begriff der Ordnungswidrigkeiten.“

Wenn aber dem entsprechend davon auszugehen ist, dass der Bereich der Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten dem Anwendungsbereich der Richtlinie (EU) 2016/680 unterfällt, wird dieser Bereich im Umkehrschluss und unter Berücksichtigung von Art. 2 Abs. 2 Buchst. d DSGVO gerade nicht unmittelbar dem in Art. 2 DSGVO bestimmten sachlichen Anwendungsbereich der Datenschutz-Grundverordnung unterfallen.

b) Selbst soweit eine Anwendbarkeit der Datenschutz-Grundverordnung mittelbar, etwa über Art. 2 BayDSG, gegeben ist, wäre eine von der Polizei erfolgte Verarbeitung personenbezogener Daten durch deren Erhebung beim Kläger nach Art. 6 Abs. 1

Buchst. e DSGVO i.V.m. Art. 2 und 28 Abs. 2 Nr. 2 BayDSG auch ohne Einwilligung der betroffenen Person gerechtfertigt, da die Verarbeitung im Rahmen des Ordnungswidrigkeitenverfahrens insoweit für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Soweit für die darauf beruhende Herausgabe von personenbezogenen Daten durch den Kläger die Datenschutz-Grundverordnung wiederum anwendbar sein sollte, wäre er hierfür auch ohne Einwilligung der betroffenen Person nach Art. 6 Abs. 1 Buchst. c DSGVO berechtigt gewesen, da dies zur Erfüllung seiner rechtlichen Verpflichtung zur Mitwirkung bei der Feststellung des Fahrzeughalters (vgl. zu dieser z.B. BVerwG B.v. 14.5.1997 - 3 B 28/97 - juris) erforderlich gewesen wäre.

Der Kläger konnte sich daher in Bezug auf das fragliche Ordnungswidrigkeitenverfahren gegenüber der ermittelnden Polizei also auch nicht auf die Datenschutz-Grundverordnung berufen, um sich

4. Auch dem präventiv angeordneten Führen eines Fahrtenbuches steht die Datenschutz-Grundverordnung nicht entgegen. Soweit diese trotz der Regelung in Art. 2 Abs. 2 Buchst. d DSGVO, die die Abwehr von Gefahren für die öffentliche Sicherheit vom Anwendungsbereich der Datenschutz-Grundverordnung ausnimmt, etwa auch wegen Art. 2 BayDSG überhaupt anwendbar ist, ist auch insoweit eine entsprechende Verarbeitung der Daten der jeweiligen Fahrzeugführer wiederum über die vorgenannten Bestimmungen in Art. 6 Abs. 1 Buchst. c und e DSGVO auch ohne Einwilligung der betreffenden Personen gerechtfertigt.


Den Volltext der Entscheidung finden Sie hier:


OVG Hamburg: Auch nach DSGVO kein datenschutzrechtlicher Berichtigungsanspruch eines Beamten auf Entfernung des alten Vornamens aus Personalakte nach Änderung des Vornamens

OVG Hamburg
Beschluss vom 27.05.2019
5 Bf 225/18.Z


Das OVG Hamburg hat entschieden, dass auch nach der DSGVO kein datenschutzrechtlicher Berichtigungsanspruch eines Beamten auf Entfernung des alten Vornamens aus der Personalakte nach Änderung des Vornamens besteht.

Aus den Entscheidungsgründen:

"cc) Die Klägerin rügt des Weiteren, dass sich entgegen der Auffassung des Verwaltungsgerichts ein entsprechender Berichtigungsanspruch aus § 20 Abs. 1 Satz 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung ergebe. Die alten Vornamen seien unrichtig, weswegen sie zu berichtigen seien. Dies gebiete auch § 5 Abs. 1 TSG, der vorliegend bei der Auslegung zu berücksichtigen sei. Die Auffassung des Verwaltungsgerichts, wonach die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe, überzeuge nicht. Bei verfassungskonformer Auslegung bestehe kein Interesse daran, dass die Vornamen in ihrem historischen Kontext weiterhin richtig blieben (...).

Dieses Vorbringen kann ebenfalls keine ernstlichen Zweifel an der Richtigkeit der Entscheidung des Verwaltungsgerichts wecken. Da § 20 Abs. 1 Satz 1 BDSG seit dem 25. Mai 2018 den hier allein in Betracht kommenden datenschutzrechtlichen Berichtigungsanspruch nicht mehr enthält, ist das Vorbringen der Klägerin dahin auszulegen, dass sie ihren Anspruch auf den nunmehr einschlägigen Art. 16 DSGVO stützt. Art. 16 DSGVO ist im Wesentlichen inhaltsgleich mit § 20 Abs. 1 Satz 1 BDSG in der bis zum 25. Mai 2018 geltenden Fassung, so dass die Ausführungen der Klägerin insofern entsprechend herangezogen werden können.

Dem Verwaltungsgericht ist darin zuzustimmen, dass die Änderung der Vornamen nicht ex tunc wirkt, weswegen die alten Vornamen auch nicht unrichtig geworden sind. Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig. Ein Berichtigungsanspruch aus Art. 16 DSGVO scheidet somit aus. Dieser Befund wird auch durch die Regelung in Art. 5 Abs. 1 Bst. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, nicht in Frage gestellt, sondern vielmehr bestätigt. Da es im vorliegenden Fall auf den jeweiligen historischen Kontext ankommt, machen nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch. Die Beklagte hält ihre Personalakten bewusst auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können, so dass sie die Daten auch nicht dem neuesten Stand anpassen muss; eine solche Anpassung, die aus den Akten nicht erkennbar wäre, könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen (vgl. Roßnagel, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 5 DSGVO Rn. 141).

Nichts anderes ergibt sich insofern aus § 5 Abs. 1 TSG, der, wie bereits gezeigt, gerade voraussetzt, dass die alten Vornamen weiterhin aktenkundig bleiben, aber eben nur unter besonders strengen Voraussetzungen offenbart werden dürfen. Dass es ein Interesse daran gibt, den historischen Kontext zu wahren, ergibt sich unmittelbar aus § 5 Abs. 1 Hs. 2 TSG, der anerkennt, dass es Fallgestaltungen geben kann, in denen die alten Vornamen offenbart werden müssen, weil besondere Gründe des öffentlichen Interesses dies erfordern oder ein rechtliches Interesse glaubhaft gemacht wird. Auch verfassungsrechtliche Wertungen vermögen insofern keine ernstlichen Zweifel an der Richtigkeit der Entscheidung des Verwaltungsgerichts zu begründen. Dem Recht auf informationelle Selbstbestimmung der Klägerin wird durch die besondere Geheimhaltungsvorschrift des § 5 Abs. 1 TSG ausreichend Genüge getan (siehe dazu noch unter ee))."


Den Volltext der Entscheidung finden Sie hier:



LG Dortmund: DSGVO steht Auskunftsanspruch des Mieters auf Benennung der Adresse der Vermieterin bzw. der namentlichen Benennung der Gesellschafter einer GbR nicht entgegen

LG Dortmund
Beschluss vom 18.03.2019
1 S 9/19


Das LG Dortmund hat im Rahmen eines Hinweisbeschlusses dargelegt, dass die Vorgaben der DSGVO einem Auskunftsanspruch des Mieters auf Benennung der Adresse der Vermieterin bzw. der namentlichen Benennung der Gesellschafter der vermietenden GbR nicht entgegen steht. Der Vermieter hat insofern ein berechtigtes Interesse.

Aus den Entscheidungsgründen:

"Die Kläger haben gegen die Beklagte aufgrund einer zwischen ihnen bestehenden Sonderbeziehung, resultierend aus dem Mietverhältnis, in welchem die Beklagte die O GbR weitgehend vertritt, den geltend gemachten Auskunftsanspruch.

1. Die Kläger haben ein berechtigtes und schutzwürdiges Interesse an der Benennung der Adresse der Vermieterin bzw. der namentlichen Benennung der entsprechenden Gesellschafter sowie von deren Adressen. Die Kläger haben mit der O GbR einen Mietvertrag abgeschlossen und nach Beendigung des Mietverhältnisses droht nunmehr eine gerichtliche Auseinandersetzung. In diesem Zusammenhang können die Kläger nicht auf die Adresse der Beklagten verwiesen werden bzw. darauf, die Vollstreckung unter dieser Adresse erst einmal zu versuchen. Um die O GbR bzw. deren Gesellschafter in Anspruch nehmen und auch entsprechend vollstrecken zu können, sind die Kläger auf die entsprechenden Adressen und die Namen der Gesellschafter angewiesen.

2. Die Kläger können nicht darauf verwiesen werden, sich die Informationen selber zu beschaffen, sei es durch Einsichtnahme in das Grundbuch oder durch die Einholung von Auskünften des Einwohnermeldeamtes. Die Kläger sind nicht gehalten, sich die notwendigen Informationen über ihre Vertragspartnerin selber zu beschaffen.

3. Auch die DSGVO steht einem Auskunftsanspruch der Kläger nicht entgegen. Die O GbR ist die Vertragspartnerin der Kläger und das Interesse der Vermieterin bzw. ihrer Gesellschafter an der Geheimhaltung ihrer Namen und Adressen vor den eigenen Vertragspartnern überwiegt keineswegs das Auskunftsinteresse der Kläger, vielmehr überwiegt gerade das Interesse der Kläger daran, die ladungsfähige Anschrift der Vermieterin und der Gesellschafter sowie deren Namen zu erfahren. Die Beklagte trägt kein überwiegendes Geheimhaltungsinteresse der Vermieterin bzw. der Gesellschafter vor. Ein solches dürfte angesichts der Tatsache, dass es sich bei den Klägern um die Vertragspartner der O GbR handelt allerdings auch schwerlich vorstellbar sein, zumal die begehrten Daten gerade nicht öffentlich oder an unbeteiligte Dritte bekannt gemacht werden sollen.

4. Soweit die Beklagte vorträgt, die O GbR habe sich die Kläger als Mieter nicht ausgesucht, erschließt sich der Kammer nicht, was die Beklagte mit diesem Vortrag bezweckt bzw. welche Schlüsse daraus gezogen werden sollen. Es ist der Vermieterin unbenommen, sich bei den Vertragsschlüssen durch eine Hausverwaltung vertreten zu lassen, aber das ändert nichts an den sich aus den Verträgen ergebenden Rechten und Pflichten. Die Kläger und die O GbR sind durch einen Mietvertrag miteinander verbunden und aus diesem Vertrag ergeben sich für beide Vertragsparteien Rechte und Pflichten."


Den Volltext der Entscheidung finden Sie hier:



OLG Frankfurt: Es verstößt nicht gegen Vorgaben der DSGVO wenn Teilnahme an Gewinnspiel von Zustimmung zum Erhalt von Werbung abhängig gemacht wird

OLG Frankfurt
Urteil vom 27.06.2019
6 U 6/19


Das OLG Frankfurt hat entschieden, dass es nicht gegen die Vorgaben der DSGVO verstößt, wenn die Teilnahme an einem Gewinnspiel von der Zustimmung zum Erhalt von Werbung abhängig gemacht wird. Auch in einem solchen Fall ist die Einwilligung "freiwillig" im Sinne der DSGVO.




LG Bonn: Jameda muss alle personenenbezogenen Daten eines Arztes auf Bewertungsportal nach Art. 17 DSGVO löschen - Kein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO

LG Bonn
Urteil vom 28.03.2019
18 O 143/18


Das LG Bonn hat entschieden, dass der Betreiber des Arztbewertungsportals Jameda alle personenenbezogenen Daten eines Arztes auf dem Bewertungsportal nach Art. 17 DSGVO löschen muss. Art. 6 Abs. 1 S. 1 lit. f DSGVO (Verarbeitung zur Wahrung der berechtigten Interessen) greift - so das Gericht - nicht, da Jameda aufgrund des Geschäftsmodells kein neutraler Informationsmittler ist.

Aus den Entscheidungsgründen:

"Die zulässige Klage ist begründet.

I. Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung sämtlicher auf seine Person bezogenen Daten aus der von der Beklagten betriebenen Online-Datenbank www.A.de (Art. 17 Abs. 1 Lit. d, 6 Abs. 1 DSGVO).

Auf den hiesigen Sachverhalt anwendbar ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) als unmittelbar anwendbares europäisches Recht unter Ausschluss des nationalen Bundesdatenschutzgesetzes (vgl. § 2 Abs. 5 BDSG).

Gemäß Art. 17 Abs. 1 Lit. d) DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Gemäß Art. 4 Nr. 1 DSGVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung; sein für die Entscheidung dieses Rechtsstreits relevanter Absatz 1 lautet:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Keine dieser Voraussetzungen ist erfüllt. Der Kläger hat in die Datenverarbeitung unstreitig nicht eingewilligt (a), die Voraussetzungen der Alternativen (b), (c) und (d) liegen offensichtlich nicht vor.

Die Beklagte erfüllt auch keine Aufgabe, die im öffentlichen Interesse liegt (e). Die Beklagte ist Tochter des P Konzerns und verfolgt als juristische Person des Privatrechts mit der Betreibung der streitgegenständlichen Online-Datenbank unstreitig und offenkundig private, auf Gewinnerzielung gerichtete Interessen. Dass die mit der Betreibung der Online-Datenbank einhergehende Information der Öffentlichkeit über die ihr zur Verfügung stehenden Ärzte und die der Öffentlichkeit zur Verfügung gestellten Möglichkeiten zur Bewertung und Kommentierung der in Anspruch genommenen ärztlichen Leistungen auch im Interesse der Öffentlichkeit liegen mag, reicht zur Erfüllung der gesetzlichen Voraussetzungen nicht aus. Dies folgt aus einem systematischen Vergleich mit Alternative (f). Bejahte man - bezogen auf den streitgegenständlichen Sachverhalt - die Voraussetzungen der Alternative (e), so hätte dies zur Folge, dass die Beklagte von jeder weiteren Rechtfertigung ihrer Eingriffe in die Datenschutzrechte der betroffenen Ärzte, so intensiv sie auch sein mögen, freigestellt wäre. Dass dieses Ergebnis vom Verordnungsgeber bei einer Verquickung von öffentlichen und privaten Interessen nicht gewollt gewesen ist, folgt aus der Alternative (f), nach der ein Eingriff in die Datenschutzrechte einer betroffenen Person zur Verfolgung berechtigter (eigener) Interessen des Verantwortlichen nur unter besonderen Voraussetzungen rechtmäßig sein kann. Die Alternative (f) geht der Alternative (e) in dem hier zu entscheidenden Fall daher vor.

Die Voraussetzungen der Alternative (f) liegen ebenfalls nicht vor, da die berechtigten Interessen der Beklagten die Interessen und Grundrechte des Klägers, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

Zum - seinerzeit noch anwendbaren - nationalen Datenschutzrecht, insbesondere § 35 Abs. 2 S. 2 Nr. 1 BDSG a.F., betreffend Sachverhalte, die mit dem hiesigen in ihren Grundzügen identisch gewesen sind, namentlich Ansprüche von Ärzten auf Löschung konkret aus der von der Beklagten betriebenen Online-Datenbank zum Gegenstand gehabt haben, hat sich der Bundesgerichtshof in mehreren Entscheidungen geäußert (Urteil vom 20.02.2018, Az: VI ZR 30/17 ["Ärztebewertung III"]; Urteil vom 23.09.2014, Az: VI ZR 358/13 ["Ärztebewertung II"]; jeweils zitiert nach juris). Die dort entwickelten Grundsätze zur Abwägung der wechselseitigen Interessen sind auf die Rechtslage nach europäischem Recht übertragbar; insbesondere finden die vom BGH berücksichtigten, gemäß den nationalen Grundrechten geschützten Belange ihre Entsprechung auf Ebene des EU-Rechts in der Charta der Grundrechte der EU vom 12.12.2007 (GRCh).

Demnach sind als berechtigte Interessen auf Seiten der Beklagten als "Verantwortlicher" im Sinne der DSGVO sowohl die grundrechtlich geschützte unternehmerische Freiheit (Art. 16, 51 Abs. 1 S. 1 GRCh) (vgl. hierzu BGH, "Ärztebewertung II", Rn. 29 m.w.N.) als auch die grundrechtlich geschützte Kommunikationsfreiheit (Art. 11 Abs. 1 S. 2, 51 Abs. 1 S. 1 GRCh) (vgl. zum nationalen Recht BGH, "Ärztebewertung II", Rn. 25 und 28 m.w.N.) zu beachten.

Als Grundrechte des Klägers als "betroffener Person" kommen wegen seiner beruflichen Tätigkeit als X, um die es bei der Online-Datenbank im Ansatz geht, seinerseits die unternehmerische Freiheit (vgl. BGH, "Ärztebewertung II", Rn. 27 m.w.N.) sowie darüber hinaus das Recht auf Schutz seiner personenbezogenen Daten (Art. 8 Abs. 1, 51 Abs. 1 S. 1 der Europäischen Grundrechte-Charta) (vgl. BGH, "Ärztebewertung II", Rn. 26 m.w.N.) in Betracht.

Bezüglich der vorzunehmenden Abwägung hat der BGH - wiederum bezogen auf das nationale (Datenschutz-)Recht - ausgeführt ("Ärztebewertung III", Rn. 13 und 14, i.V.m. "Ärztebewertung II", Rn. 39 ff.):

Auszugehen ist dabei zunächst von dem ganz erheblichen Interesse, das die Öffentlichkeit an Informationen über ärztliche Dienstleistungen hat [...]. Personen, die ärztliche Leistungen in Anspruch nehmen wollen, können den Arzt grundsätzlich frei wählen. Das von der Beklagten betriebene Portal kann dazu beitragen, dem Patienten die aus seiner Sicht hierfür erforderlichen Informationen zur Verfügung zu stellen. Dass es unter Umständen auch andere Informationsquellen gibt - etwa persönliche Erfahrungen von Bekannten oder bei Fachärzten die Einschätzung des vom Patienten ggf. zuvor konsultierten Hausarztes -, ändert daran nichts.

Der grundsätzlichen Eignung des Portals, zu mehr Leistungstransparenz im Gesundheitswesen beizutragen, steht nicht entgegen, dass die in das Bewertungsportal eingestellten Bewertungen typischerweise nicht von Fachleuten herrühren und subjektiv geprägt sind. Zwar dürften wertende Aussagen zur medizinischen Qualität einer Behandlung fachlichen Maßstäben, die der Laie nicht kennt, häufig nicht entsprechen und im Einzelfall etwa von einem vom behandelnden Arzt nicht zu vertretenden Ausbleiben des - von ihm auch nicht geschuldeten - Heilungserfolges geprägt sein. Eine sinnvolle Ergänzung der bisherigen Informationsquellen kann das Angebot der Beklagten aber trotzdem sein. Die subjektive Einschätzung, die in den Bewertungen zum Ausdruck kommt, kann anderen Personen Hilfestellung bei der Entscheidung geben, welcher Arzt - insbesondere bezüglich der äußeren Umstände der Behandlung wie etwa der Praxisorganisation - den Anforderungen für die gewünschte Behandlung und auch den persönlichen Präferenzen am besten entspricht [...].

Und weiter ("Ärztebewertung III", Rn. 16 ff.):

In dem Fall, der dem Senatsurteil vom 23. September 2014 zugrunde lag, war die beklagte Betreiberin des Bewertungsportals "neutraler" Informationsmittler. Nach den damals maßgeblichen Feststellungen beschränkte sich das Bewertungsportal der Beklagten darauf, in Profilen die "Basisdaten" des einzelnen Arztes zusammen mit von Patienten bzw. anderen Internetnutzern vergebenen Noten oder verfassten Freitestkommentaren zu veröffentlichen.

Der hier zu entscheidende Fall liegt anders. Hier wahrt die Beklagte ihre Stellung als "neutraler" Informationsmittler nicht. Denn sie verschafft durch die Art der Werbung, die sie Ärzten auf ihrem an potentielle Patienten gerichteten Bewertungsportal anbietet, einzelnen Ärzten verdeckte Vorteile [...].

Nach den Feststellungen des Berufungsgerichts blendet die Beklagte in das Profil des einzelnen Arztes - in einem grau unterlegten und mit "Anzeige" bezeichneten Querbalken - den Hinweis (Profilbild nebst Note und Angabe der Entfernung) auf konkurrierende Ärzte der gleichen Fachrichtung im näheren Umfeld ein. Die Daten der ohne oder gegen ihren Willen gespeicherten und bewerteten Ärzte werden damit als Werbeplattform für die zahlenden Konkurrenten genutzt. Anders verfährt die Beklagte bei den Ärzten, die bei ihr das "Premium-Paket" gebucht haben. Dort findet der Nutzer ein optisch und inhaltlich individuell ausgestaltetes Profil, das auf eine ansprechendere Wirkung abzielt, mit dem Bild dieses zahlenden Arztes und weiteren von diesem stammenden Informationen. In das Profil dieser Ärzte wird, ohne dass dies dort hinreichend offengelegt wird, keine werbende Anzeige der örtlichen Konkurrenten eingeblendet, demgegenüber erscheinen sie selbst mit einer Anzeige in deren Profil, soweit die örtlichen Konkurrenten nicht ebenfalls zahlende "Premium"-Kunden sind. Jedenfalls mit den örtlichen Verhältnissen und mit dem Geschäftsmodell der Beklagten nicht vertraute Internetnutzer können den nicht zutreffenden Eindruck gewinnen, der im Bewertungsportal aufgefundene Arzt, in dessen Profil - da "Premium"-Kunde - kein Querbalken mit Hinweis auf andere Ärzte erscheint, habe keinen örtlichen Konkurrenten. Mit diesem Verfahren sollen - womit die Beklagte selbst ihre "Serviceleistungen" bewirbt - ersichtlich potentielle Patienten stärker zu "Premium"-Kunden der Beklagten gelenkt werden. Durch ihr Geschäftsmodell sucht die Beklagte die ohne ihren Willen und nur mit ihren Basisdaten aufgenommenen Ärzte gezielt dazu zu bewegen, sich der Gruppe der zahlenden Ärzte anzuschließen, um nicht durch eine weniger vorteilhafte Darstellung und Werbeeinblendungen benachteiligt zu werden.

Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als "neutraler" Informationsmittler. Während sie bei dem nicht zahlenden Arzt dem ein Arztprofil aufsuchenden Internetnutzer die "Basisdaten" nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens "Anzeige" Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres "Premium"-Kunden - ohne dies dort dem Internetnutzer hinreichend offenzulegen - solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als "neutraler" Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit [...] gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten [...] auch nur mit geringerem Gewicht geltend machen. Das führt auch bei nochmaliger Würdigung der - insbesondere im Senatsurteil vom 23. September 2014 angeführten - Belange der Beklagten hier zu einem Überwiegen der Grundrechtsposition der Klägerin [...].

Auf dieser Grundlage überwiegt auch in dem hier zu entscheidenden Fall das Interesse des Klägers das Interesse der Beklagten. Dabei kommt es nicht darauf an, dass die Beklagte die in dem Urteil des BGH monierten "Mängel" abgestellt hat. Denn auch dies macht sie aufgrund des von ihr verfolgten Gesamtkonzepts der Online-Datenbank nicht zu einer "neutralen Informationsmittlerin".

Mit ihrer Online-Datenbank verfolgt sie, wie ausgeführt, privatwirtschaftliche Zwecke. Diese werden - ebenfalls unstreitig - nicht etwa (allein) durch Schaltung von Werbung generiert, das heißt durch Umstände, die mit dem Inhalt der auf der Seite verarbeiteten Daten nicht in einem unmittelbaren Zusammenhang stehen, sondern durch monatliche "Mitgliedsbeiträge" der gelisteten Ärzte. Diese Beiträge "erkauft" sich die Beklagte dadurch, dass sie es den Ärzten ermöglicht, ihre Profilseite für Besucher des Bewertungsportals ansprechender zu gestalten. Es ist offenkundig, dass sich aufgrund der mit einer solchen Gestaltung verbundenen psychologischen Wirkmechanismen Besucher des Portals von solchen Profilseiten auf einer - vorwiegend unbewussten - Ebene eher angesprochen fühlen werden als von den "Basis-Profilen", die - im Gegensatz zu den Profilen zahlender Ärzte - z.B. nur über eine graue Silhouette als Profilfoto verfügen. Das ist unmittelbar einsichtig, weil hierin gerade das Geschäftsmodell der Beklagten besteht, anderenfalls nicht ersichtlich wäre, warum ein Arzt bereit sein sollte, Monatsbeiträge in bis zu dreistelliger Höhe zu investieren.

Dieses Modell führt dazu, wie bereits der BGH ausgeführt hat, dass ohne bzw. gegen ihren Willen gelistete Ärzte sich gedrängt fühlen werden, sich bei der Beklagten kostenpflichtig anzumelden, um keine Wettbewerbsnachteile gegenüber ihren bereits zahlenden Konkurrenten zu erleiden, und verleitet Kunden durch die - vorwiegend unbewussten - psychologischen Wirkmechanismen zu der Annahme, dass den als Gold- oder Premium-Kunden gelisteten Ärzten gegenüber nicht zahlenden Ärzten bei der Arztwahl der Vorzug zu geben sei. Je mehr Ärzte sich diesem System anschließen, umso größer wird der Druck auf die verbleibenden Ärzte, dasselbe zu tun.

Durch dieses Konzept verfolgt die Beklagte bereits im Ansatz nicht (mehr) die von dem BGH als (datenschutzrechtlich) zulässig erachtete Rolle der "neutralen Informationsmittlerin". Vielmehr führt die Verknüpfung von Daten, die (noch) dem legitimen Informationsinteresse der Öffentlichkeit dienen (Name, Fachrichtung und Kontaktdaten der jeweiligen Ärzte bzw. deren Praxen), mit solchen Daten, die über dieses Interesse hinausgehen und gerade eine Besserstellung der zahlenden Ärzte gegenüber ihren nicht zahlenden Mitbewerbern bezwecken, dazu, dass zahlenden Ärzten gegenüber ihren nicht zahlenden (Zwangs-)Mitbewerbern Vorteile verschafft werden, die für einen durchschnittlichen Besucher des Bewertungsportals wegen - vorwiegend unbewussten - psychologischen Wirkmechanismen gerade nicht offensichtlich sind. Hierzu gehört zum einen und insbesondere das Profilbild, das für die Bewertung der fachlichen Qualifikation eines Arztes ersichtlich keine Rolle spielt, zum anderen aber auch die Möglichkeit der Hervorhebung zahlender Ärzte in den Suchergebnissen des Bewertungs-Portals selbst und / oder in Internet-Suchmaschinen sowie die weiteren von dem Kläger monierten und aus dem Urteilstenor zu Ziffer 2 ersichtlichen Vergünstigungen für zahlende Ärzte, selbst wenn sie - was unstreitig ist - in ihrer Darstellung gegenüber den Besuchern des Bewertungsportals infolge der bisher ergangenen Rechtsprechung des BGH teilweise von der Beklagten angepasst worden sind.

Eine (vollständige) Offensichtlichkeit für einen durchschnittlichen Besucher des Bewertungsportals wird insbesondere auch nicht dadurch hergestellt, dass die Beklagte einen zahlenden Arzt auf dessen Profilseite durch ein Symbol mit dem Text "Gold" bzw. "Platin" kenntlich macht. Denn dem Symbol selbst lässt sich seine Bedeutung nicht entnehmen und es kann ebenso gut - jedenfalls bei flüchtiger Betrachtung der Internetseite - zu der Annahme verleiten, der Arzt erfülle besondere fachliche Qualitäten. Dass zusätzlich die aus dem Tatbestand dieses Urteils ersichtliche textliche Erklärung eingeblendet wird, wenn ein Besucher mit der Computermaus über das Symbol fährt, reicht hierfür ebenfalls nicht aus, da dieser Mechanismus für einen durchschnittlichen Besucher nicht ohne weiteres ersichtlich ist und dem Besucher in der textlichen Erklärung auch keine vollständigen Informationen über die konkreten, dem betroffenen Arzt gewährten Vorteile gegenüber den nicht zahlenden Ärzten gegeben werden.

Einem betroffenen Arzt mutet es das geltende Recht vor diesem Hintergrund nicht zu, an diesem Mechanismus "zwangsweise" durch - ohne von seiner Einwilligung gedeckte - Verwertung seiner persönlichen Daten teilnehmen zu müssen.

II.

Der Kläger hat gegen die Beklagte auch einen Anspruch auf Unterlassung der Wiederaufnahme seiner Daten in die Online-Datenbank, sofern sie in der von dem Kläger gemäß seiner Antragsfassung konkret monierten Weise erfolgt (§§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 17 Abs. 1 Lit. d, 6 Abs. 1 DSGVO) (vgl. hierzu BGH, "Ärztebewertung III", Rn. 21 f.). Dass die Beklagte die in dem Antrag bezeichneten Darstellungen zwischenzeitlich geändert hat, steht dem Anspruch wegen der zu besorgenden Wiederholungsgefahr nicht entgegen."


Den Volltext der Entscheidung finden Sie hier:



Hamburger Datenschutzbeauftragter eröffnet Verwaltungsverfahren gegen Google wegen Google Assistant - Datenschutzrechtliche Prüfung von Sprachassistenzsystemen

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat ein Verwaltungsverfahren gegen Google wegen des Sprachassistenzsystems Google Assistant eingeleitet.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Sprachassistenzsysteme auf dem Prüfstand – Datenschutzbehörde eröffnet Verwaltungsverfahren gegen Google

Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. Google Assistant installiert ist.

Gestützt auf Mitschnitte, die von Whistleblowern zugespielt wurden, wurde in den Medien kürzlich berichtet, dass Google im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer von Menschen auswerten lässt, um die Spracherkennungsfähigkeit des Google Assistant zu optimieren. Bei diesen Auswertungen hören Mitarbeiter von Google bzw. von beauftragten Firmen die Sprachaufzeichnungen ab und transkribieren diese, um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden. Diese Praxis hat Google in seinem Blog dargestellt (https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/). Wie sich durch den Bericht der Whistleblower gezeigt hat, ließen sich den aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren erfolgte ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen. Damit sollen die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Zwar ist nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handelt es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google ist das die IDPC in Irland. Dennoch sieht die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Dies ist hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen kann nur durch einen zeitnahen Vollzug erreicht werden.

Google hat im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgen. Diese Zusicherung bezieht sich auf die EU insgesamt. Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: “Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen. Im Fall des Google Assistant bestehen daran gegenwärtig erhebliche Zweifel. Die Nutzung von Sprachassistenzsystemen muss in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist. Dabei geht es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich muss dem Erfordernis des Schutzes Dritter, die von den Sprachaufnahmen betroffen sind, hinreichend Rechnung getragen werden. Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind.“

EuGH: Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für Erhebung und Übermittlung aber nicht für spätere Verarbeitung durch Facebook mitverantwortlich

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,


Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.


Den Volltext der Entscheidung finden Sie hier:



OLG Köln: Zu den Grenzen der journalistischen Recherche - Keine Anwendung der DSGVO wegen des Medienprivilegs im Rundfunkstaatsvertrag

OLG Köln
Beschluss vom 18.07.2019
15 W 21/19


Das OLG Köln hat sich in dieser Entscheidung mit den Grenzen der Zulässigkeit journalistischen Recherche befasst. Das OLG Köln führt dabei auch aus, das die Vorgaben der DSGVO wegen des Medienprivilegs im Rundfunkstaatsvertrag nicht anzuwenden sind.

Heimliche Aufnahmen in psychiatrischer Klinik - Grenzen der journalistischen Recherche / Keine Anwendung der DSGVO wegen des Medienprivilegs im Rundfunkstaatsvertrag

Verdeckt erlangtes Ton- und Filmmaterial kann einen Unterlassungsanspruch begründen, auch wenn es nicht gesendet wird. Bereits die Weitergabe an Dritte kann das allgemeine Persönlichkeitsrecht verletzen und Straftatbestände erfüllen. Dies hat der 15. Zivilsenat des Oberlandesgerichts Köln in einem Beschluss vom 18.07.2019 ausgeführt.

Die Entscheidung erging im Zusammenhang mit einer Recherche für das TV-Format "Team Wallraff". Geklagt hatte ein seit früher Jugend unter einer Autismus-Störung leidender Patient einer geschlossenen psychiatrischen Klinik. Eine Journalistin (Beklagte zu 1) hatte sich im Auftrag der Produktionsfirma (Beklagte zu 2) mit dem Ziel einer verdeckten Recherche unter einem falschen Namen als Praktikantin in der Klinik anstellen lassen. Während ihres Praktikums fertigte sie in umstrittenem Umfang heimliche Ton- und Filmaufnahmen u.a. auch von dem Kläger. Am 18.03.2019 strahlte der Fernsehsender RTL eine Reportage über Zustände in psychiatrischen Kliniken in Deutschland aus. Ton- und Bildaufnahmen des Klägers waren nicht Teil dieser Sendung.

Die Parteien haben ursprünglich über den Antrag des Klägers gestritten, dass die ihn betreffenden Aufnahmen nicht verarbeitet oder verbreitet werden dürfen. Im Laufe des Verfahrens haben die Beklagten eidesstattliche Versicherungen vorgelegt, wonach das Material gelöscht worden war. Beide Parteien erklärten den Rechtsstreit daraufhin für erledigt, so dass nur noch über die Kosten zu entscheiden war. Hierbei ist vorgesehen, dass das Gericht in einer "summarischen Prüfung" die Erfolgsaussichten der Klage beurteilt.

Der 15. Zivilsenat des Oberlandesgerichts Köln hat entschieden, dass die Beklagten die Verfahrenskosten zu tragen haben. Ohne Löschung des Materials hätten sie den Rechtsstreit voraussichtlich verloren, auch wenn gar keine Veröffentlichung des Materials beabsichtigt gewesen wäre. Die Journalistin habe bereits durch die Aufnahmen bzw. die Weitergabe des Materials an die Produktionsfirma die Straftatbestände der §§ 201 Abs. 1 Nr. 2, 201 a Abs. 1 Nr. 3 StGB sowie 203 Abs. 4 S. 1 StGB verwirklicht.

Durch die Aufnahmen sei der höchstpersönliche Lebensbereich des Klägers verletzt worden. Auch eine zum Schein in die Klinik eingeschleuste Praktikantin sei eine sog. mitwirkende Person i.S.d. § 201 Abs. 4 S. 1, Abs. 3 S. 1 StGB. Die Produktionsfirma könne zwar selbst keine Straftatbestände verwirklichen, sie hafte zivilrechtlich aber über § 31 BGB.

Der Senat hat ausgeführt, dass investigative Recherchen von Journalisten grundsätzlich gerechtfertigt sein können. Dies sei der Fall, wenn bei gebotener Abwägung der widerstreitenden Interessen unter Beachtung der Schutzwürdigkeit der Dritten "erhebliche Missstände" sonst nicht aufzudecken wären und die berechtigten Interessen Dritter daher jedenfalls im Stadium der Recherche zurücktreten müssen. Für eine Rechtfertigung im vorliegenden Fall hätten die Beklagten aber nicht genügend vorgetragen.

Schließlich sieht der Senat keinen sich aus der Datenschutzgrundverordnung (DSGVO) ergebenden Unterlassungsanspruch. Art. 9 DSGVO finde bei einer Verarbeitung zu "journalistischen Zwecken" durch von privaten Rundfunkveranstaltern und deren "Hilfs- und Beteiligungsunternehmen" damit "befassten" Personen gemäß § 9 c Abs. 1 S. 4 bis 6 RStV keine Anwendung ("Medienprivileg").

Gegen den Beschluss sieht die ZPO kein Rechtsmittel vor.

Beschluss des Oberlandesgerichts Köln gem. § 91a BGB vom 18.07.2019 - Az. 15 W 21/19.