Skip to content

Volltext BGH liegt vor: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 4 Nr. 11; UKlaG § 1; BGB § 307; TMG § 15 Abs. 3


Wir hatten bereits in dem Beitrag BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss über die Entscheidung berichtet.

Leitsätze des BGH:

a) Eine wirksame Einwilligung in telefonische Werbung im Sinne von § 7 Abs. 2 Nr. 2 Fall 1 UWG liegt nicht vor, wenn der Verbraucher bei der Erklärung der Einwilligung mit einem aufwendigen Verfahren der Abwahl von in einer Liste aufgeführten Partnerunternehmen konfrontiert wird, das ihn dazu veranlassen kann, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen dem Unternehmer die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.

b) § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.

BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:



Bundeskartellamt: Sektoruntersuchung zu Smart-TV - Bessere Verbraucher-Informationen über die Datenverarbeitung erforderlich

Das Bundeskartellamt hat den Abschlussbericht seiner Sektoruntersuchung zu Smart-TV vorgelegt.

Die Pressemitteilung des Bundeskartellamtes:

Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs

Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).

Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“

Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.

Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.

Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.

Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.

Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.

Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“

In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:

Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).

Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.

Den Bericht finden Sie hier:



LfDI Baden-Württemberg: Bußgeld in Höhe von 1.240.000,00 EURO gegen AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO

Das LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 1.240.000,00 EURO gegen die AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt.

Die Pressemitteilung des LfDI:

LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.


OVG Münster: Kundenkontaktdaten dürfen weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden

OVG Münster
Beschluss vom 23.06.2020
13 B 695/20.NE


Das OVG Münster hat entschieden, dass Kundenkontaktdaten weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden dürfen.

Die Pressemitteilung des Gerichts:

Kundenkontaktdaten dürfen weiterhin auf Grundlage der Coronaschutzverordnung erhoben werden

Das Oberverwaltungsgericht hat in einem Eilverfahren mit Beschluss vom heutigen Tag entschieden, dass die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios voraussichtlich rechtmäßig ist.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die Coronaschutzverordnung für bestimmte Wirtschaftsbereiche die papiergebundene Erfassung der Kundenkontaktdaten (Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise) vor. Die Kontaktdaten sind vier Wochen aufzubewahren und danach zu vernichten. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf deren Verlangen.

Gegen die Regelungen zur Kontaktdatenangabe in Restaurants, Fitnessstudios und Friseursalons hatte sich ein Bochumer Rechtsanwalt gewandt und geltend gemacht, die Datenerhebung verletze ihn in seinem Grundrecht auf informationelle Selbstbestimmung. Die Maßnahme sei insbesondere unverhältnismäßig und verstoße zudem gegen datenschutzrechtliche Vorgaben.

Das Oberverwaltungsgericht hat den Antrag auf Erlass einer einstweiligen Anordnung abgelehnt. Zur Begründung hat es im Wesentlichen ausgeführt, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Mit der vorsorglichen Erhebung der Kundendaten solle sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Angesichts der inzwischen weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei es voraussichtlich nicht zu beanstanden, wenn der Verordnungsgeber die Kontaktdatenerhebung in bestimmten kontaktintensiven Bereiche als - milderes Mittel - nutze, um Infektionsketten aufzudecken und zu unterbrechen. Das durch die Regelungen in erster Linie betroffene Recht auf informationelle Selbstbestimmung trete gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 695/20.NE



EU-Kommission: Bericht zur DSGVO - Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind

EU-Kommission hat seinen Bericht zur DSGVO vorgelegt. Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind. Dieses posititive Bild können wir leider nicht bestätigen. Die DSGVO weist erhebliche konzeptionelle Mängel auf. Auch die zahlreichen juristischen Streitfragen zur Auslegung der DSGVO zeigen, dass der Verordnungsgeber schlecht gearbeitet hat.

Die Pressemitteilung der EU-Kommission:

"Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß

Nach etwas mehr als zwei Jahren seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Kommission heute einen Bewertungsbericht veröffentlicht. Dem Bericht zufolge hat die DSGVO die meisten ihrer Ziele erreicht, insbesondere aufgrund der leistungsstarken, durchsetzbaren Vorschriften für die Bürgerinnen und Bürger und eines durch die DSGVO neu geschaffenen europäischen Governance- und Durchsetzungssystems. Auch bei der Unterstützung digitaler Lösungen in unvorhersehbaren Situationen wie der COVID-19-Krise hat sich die DSGVO als flexibel erwiesen. Der Bericht kommt auch zu dem Schluss, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung besteht, das ständig überwacht werden muss. Ferner wird festgestellt, dass Unternehmen eine Compliance-Kultur entwickeln und einen starken Datenschutz immer häufiger als Wettbewerbsvorteil nutzen. Im Bericht sind Maßnahmen aufgelistet, die allen Interessenträgern, insbesondere kleinen und mittleren Unternehmen, die Anwendung der DSGVO weiter erleichtern und somit eine wirklich europäische Datenschutzkultur mit konsequenter Durchsetzung fördern und weiterentwickeln sollen.

Věra Jourová, Vizepräsidentin für Werte und Transparenz: „Inzwischen ist das europäische Datenschutzrecht für uns ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist. Es ist eine wichtige Grundlage, auf der wir weitere Strategien, wie z. B. die Datenstrategie oder unser KI-Konzept, aufbauen.Die Datenschutz-Grundverordnung ist das perfekte Beispiel dafür, wie die Europäische Union das Leitmotiv Grundrechte nutzt, um die Rechte der Bürgerinnen und Bürger der EU zu stärken und die Unternehmen dabei zu unterstützen, die digitale Revolution zu meistern. Dennoch ist weiterhin unser aller Engagement gefragt, damit das Potenzial der DSGVO voll ausgeschöpft werden kann.“

„Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“

Die wichtigsten Ergebnisse der Überprüfung der Datenschutz-Grundverordnung:

Die Bürgerinnen und Bürger sind in ihren Rechten gestärkt und besser sensibilisiert: Die Datenschutz-Grundverordnung stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 % der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 % der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. Dies geht aus einer Umfrage der Agentur der Europäischen Union für Grundrechte hervor, die letzte Woche veröffentlicht wurde. Allerdings könnten die Bürgerinnen und Bürger bei der Wahrnehmung ihrer Rechte, insbesondere ihres Rechts auf Datenübertragbarkeit, noch besser unterstützt werden.

Die Datenschutzvorschriften sind zeitgemäß: In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse: Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 % beim Personalbestand und von 49 % bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) kann noch besser werden: Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen, das eine kohärente und wirksame Anwendung der Datenschutz-Grundverordnung durch die sogenannte einzige Anlaufstelle gewährleisten soll, damit ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur eine Datenschutzbehörde als Ansprechpartnerin hat, nämlich die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet. Zwischen dem 25. Mai 2018 und dem 31. Dezember 2019 gingen bei der zentralen Anlaufstelle 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
Datenschutzbehörden – Beratung und Leitlinien: Der EDSA gibt derzeit Leitlinien zu zentralen Aspekten der Verordnung und zu neuen Themen heraus. Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die auf nationaler Ebene bereitgestellten Hilfsangebote müssen unbedingt vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen.
Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenverkehr. Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. Da der Europäische Gerichtshof in einem für den 16. Juli erwarteten Urteil Aspekte klarstellen könnte, die möglicherweise für den Angemessenheitsstandard relevant sind‚ wird die Kommission nach der Urteilsverkündung gesondert über die derzeitigen Angemessenheitsbeschlüsse Bericht erstatten.
Internationale Zusammenarbeit fördern: In den letzten zwei Jahren hat die Kommission den bilateralen, regionalen und multilateralen Dialog bereits intensiviert und sich für eine globale Kultur der Achtung der Privatsphäre und der Konvergenz zwischen den verschiedenen Datenschutzsystemen zum Nutzen der Bürgerinnen und Bürger und der Unternehmen eingesetzt. Die Kommission ist entschlossen, diese Arbeit in all ihrem auswärtigen Handeln fortzusetzen, beispielsweise im Rahmen der Partnerschaft Afrika-EU und bei ihrer Unterstützung für internationale Initiativen wie „Data Free Flow with Trust“. In einer Zeit, in der Verstöße gegen den Datenschutz viele Menschen gleichzeitig in mehreren Teilen der Welt betreffen können, ist es an der Zeit, die internationale Zusammenarbeit der zuständigen Durchsetzungsinstanzen zu intensivieren. Aus diesem Grund wird die Kommission den Rat ersuchen, sie zu ermächtigen, mit bestimmten Drittländern Verhandlungen aufzunehmen, die den Abschluss von Abkommen über gegenseitige Amtshilfe und Zusammenarbeit bei der Durchsetzung ermöglichen werden.
Angleichung des EU-Rechts an die Richtlinie zum Datenschutz bei der Strafverfolgung:

Darüber hinaus hat die Kommission heute eine Mitteilung veröffentlicht, in der zehn Rechtsakte zur behördlichen Verarbeitung personenbezogener Daten zwecks Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten genannt werden, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten. Die Angleichung wird Rechtssicherheit schaffen und Fragen in Bezug auf den Zweck der Verarbeitung personenbezogener Daten durch die zuständigen Behörden sowie die Datenarten, die einer solchen Verarbeitung unterliegen können, klären.

Hintergrund

Die Datenschutz-Grundverordnung sieht vor, dass die Kommission erstmals nach zwei Jahren und anschließend alle vier Jahre einen Bericht über die Bewertung und Überprüfung der Verordnung vorlegt.

Die Datenschutz-Grundverordnung ist ein für alle Mitgliedstaaten geltendes Regelwerk des EU-Rechts zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie stärkt den Datenschutz insgesamt, gewährt dem Einzelnen zusätzliche und stärkere Rechte, erhöht die Transparenz und fordert mehr Rechenschaftspflicht und Verantwortung von denen, die personenbezogene Daten verarbeiten. Sie hat die nationalen Datenschutzbehörden mit umfassenderen und harmonisierten Durchsetzungsbefugnissen ausgestattet und ein neues Governance-System für die Datenschutzbehörden eingerichtet. Außerdem schafft sie gleiche Wettbewerbsbedingungen für alle Unternehmen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie niedergelassen sind, gewährleistet den freien Datenverkehr innerhalb der EU, erleichtert eine sichere Datenübermittlung zwischen der EU und Drittstaaten bzw. internationalen Organisationen und dient weltweit als Referenz.

Wie in Artikel 97 Absatz 2 der DSGVO festgelegt, bezieht sich der heute veröffentlichte Bericht insbesondere auf die Datenübermittlung an Drittstaaten bzw. internationale Organisationen und die Kooperations- und Kohärenzverfahren. Um darüber hinaus die in den letzten zwei Jahren von verschiedenen Akteuren aufgeworfenen Fragen zu behandeln, hat die Kommission ihre Überprüfung jedoch auf eine breitere Grundlage gestellt. Der Bericht greift deshalb Beiträge von Rat, Europäischem Parlament, Europäischem Datenschutzausschuss, nationalen Datenschutzbehörden und Interessenträgern auf."

Den Bericht und weitere Informationen der EU-Kommission finden Sie hier:





ArbG Düsseldorf: 5.000 EURO Schadensersatz aus Art 82 Abs.1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art 15 DSGVO gegen ehemaligen Arbeitgeber

ArbG Düsseldorf
05.03.2020
9 Ca 6557/18

Das ArbG Düsseldorf hat entschieden, dass einem ehemaligen Arbeitnehmer 5.000 EURO Schadensersatz aus Art 82 Abs. 1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art. 15 DSGVO gegen den ehemaligen Arbeitgeber zusteht.


Aus den Entscheidungsgründen:

d) Der Klageantrag zu 4) ist zu einem kleinen Teil begründet. Der Kläger hat gegen die Beklagte Anspruch auf Schadensersatz iHv. 5.000 € aus Art. 82 Abs. 1 E. nebst Zinsen.

aa) Auch Art. 82 Abs. 1 E. findet im nationalen Recht unmittelbar Anwendung (LG Karlsruhe 2. August 2019 – 8 O 26/19 –).

bb) Die Beklagte als für die Verarbeitung der personenbezogenen Daten des Klägers iSd. Art. 4 Ziff. 7 E. Verantwortliche hat gegen die E. verstoßen. Nach Art. 82 Abs. 1 E. kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen (Wybitul/Haß/Albrecht, NJW 2018, 113).

(1) Die Beklagte hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 E. verstoßen, wonach ua. ein Auskunftsantrag nach Art. 15 E. binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist. Die Kammer ist davon überzeugt, dass das Auskunftsgesuch des Klägers der Beklagten am 07.06.2018 zugegangen ist (s. oben I. 2. b) aa) (2) (b) der Entscheidungsgründe). Die Auskunft war am 07.07.2018, spätestens am 07.09.2018 zur Erteilung fällig, wurde aber erstmals am 10.12.2018 mit Übergabe des für die Einsicht in die elektronisch hinterlegten Unterlagen notwendigen Passwortes erbracht.

(2) Zum anderen hat die Beklagte gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 E. verstoßen, indem sie nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat (s. oben I. 2. b) aa) (3) und cc) der Entscheidungsgründe).

(3) Im Schriftsatz vom 23.12.2019 führt der Kläger aus, dass ein weiterer Verstoß gegen die E. darin bestehe, dass die Datenübermittlungsvereinbarung nicht vollständig vorgelegt worden sei. Indes ist die E. dadurch nicht verletzt. In Anbetracht der hier erfolgten Datenübermittlung vorbehaltlich geeigneter Garantien iSd. Art. 46 E. ist im Rahmen des Auskunftsrechts nach Art. 15 Abs. 2 E. nur über die geeigneten Garantien zu unterrichten. Dies ist geschehen (s. oben I. 2. b) ee) der Entscheidungsgründe).

(4) Soweit der Kläger verschiedentlich andere Datenverarbeitungen der Beklagten vorträgt und zum Ausdruck bringt, diese seien datenschutzwidrig, sind keine weiteren Verstöße gegen die E. dargetan, für die die Beklagte nach Art. 82 Abs. 1 E. haftbar wäre. Offensichtlich benennt der Kläger Ereignisse während des noch laufenden Arbeitsverhältnisses, das ab Geltung der E. ab dem 25.05.2018 bereits beendet war.

cc) Die Beklagte hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, sodass gemäß Art. 82 Abs. 3 E. eine Haftung entfiele. Insbesondere muss sie sicherstellen, dass sie Betroffenengesuche nach Art. 12 ff. E. auch dann erreichen, wenn rechtsgeschäftlich oder kraft Verkehrsanschauung ein Empfangsbote zur Entgegennahme von Willenserklärungen berechtigt ist.

dd) Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (EG 146; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 17; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers – das zentrale Betroffenenrecht – beeinträchtigt (vgl. Ehmann, in Ehmann/Selmayr, E., 2. Aufl., Art. 15 Rn. 1 mwN.; Bäcker, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (LG Karlsruhe 2. August 2019 – 8 O 26/19 –; Gola/Pitz, in Gola, E., 2. Aufl., Art. 82 Rn. 13 mwN. der restriktiveren Rspr. zu § 823 Abs. 1 BGB iVm. Art. 1 Abs. 1, Art. 2 Abs. 1 GG).

ee) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.

(1) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (Quaas, in BeckOK Datenschutzrecht, 31. Edition, Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der E. zur Wirkung zu verhelfen.

(2) Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.

Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.

Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.

ff) Die zugesprochenen Zinsen folgen aus §§ 291, 288 Abs. 1 BGB.

e) Die Klageanträge zu 5) bis 7) sind unbegründet. Eine Rechtsgrundlage, auf die der Kläger die damit verfolgten Begehren stützen könnte, ist nicht ersichtlich, worauf die Beklagte zutreffend hingewiesen hat.

Im Zusammenhang mit der hier vorliegenden Datenübermittlung vorbehaltlich geeigneter Garantien gemäß § 46 E. ergibt sich die besondere Auskunftspflicht aus Art. 15 Abs. 2 E.. Diese hat die Beklagte erfüllt (s. oben I. 2. b) aa) (3) und ee) der Entscheidungsgründe).


Den Volltext der Entscheidung finden Sie hier:



LG Berlin: Verwertungsverbot im Zivilprozess für Informationen die aufgrund unzulässiger Videoüberwachung erlangt wurden

LG Berlin
Urteil vom 13.02.2020
67 S 369/18


Das LG Berlin hat entschieden, dass im Zivilprozess ein Verwertungsverbot für Informationen besteht, die aufgrund unzulässiger Videoüberwachung erlangt wurden.

Aus den Entscheidungsgründen:

Es kann hier dahinstehen, ob den Beklagten substantiierterer Gegenvortrag überhaupt möglich gewesen wäre. Er war ihnen jedenfalls nicht zumutbar. Denn das Prozessrecht legt keiner Partei die Pflicht auf, von der Gegenseite behauptete Tatsachen zu bestreiten, wenn der Vortrag auf Informationen beruht, die die Gegenseite grundrechtswidrig erlangt hat (st. Rspr., vgl. nur BAG, Urt. v. 20. Oktober 2016 - 2 AZR 395/15, NZA 2017, 443, beckonline Tz. 25 m.w.N.). So aber liegt der Fall hier. Die Klägerin hat die für ihren Prozessvortrag zum Kündigungssachverhalt erforderlichen Informationen im Wesentlichen grundrechtswidrig erlangt, da die von ihr heimlich veranlassten Videoaufzeichnungen des Wohnungseingangsbereichs der von den Beklagten innegehaltenen Wohnungen einen Eingriff in das allgemeine Persönlichkeitsrecht der Beklagten darstellen, der nicht durch das in Art. 14 GG verbriefte Recht der Klägerin, geeignete und erforderliche Maßnahmen zum Schutz des Eigentums zu ergreifen, gerechtfertigt war.

Zwar kann die von einem Vertragspartner veranlasste Videoüberwachung eines anderen Vertragspartners nicht nur zur Aufdeckung von Straftaten, sondern ebenso zur Aufdeckung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung zulässig sein (st. Rspr., vgl. nur BAG, Urt. v. 29. Juni 2017 - 2 AZR 597/16, NJW 2017, 2853, juris Tz. 30 ff.; Kammer, Urt. v. 3. Juli 2018 - 67 S 20/18, WuM 2018, 562, beckonline Tz. 20). Eine Videoüberwachung mit Aufzeichnungsfunktion greift indes in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht auf informationelle Selbstbestimmung ein. Dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, und daher grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen (st. Rspr., vgl. nur BGH, Urt. v. 15. Mai 2018 -VI ZR 233/17, NJW 2018, 2883, beckonline Tz. 41).

[...]

Damit fällt der Klägerin, die sich als landeseigenes Wohnungsunternehmen gegenüber ihren Wohnraummietern überwachungsstaatlicher Ausforschungsmethoden bedient hat, eine schwerwiegende vorprozessuale Verletzung des allgemeinen Persönlichkeitsrechts der Beklagten zur Last. Diese Verletzung würde perpetuiert und vertieft, wenn dem Sachvortrag der Klägerin inso weit prozessuale Berücksichtigung zu Teil würde (vgl. BAG, Urt. v. 23. August 2018-2 AZR 133/18, NZA 2018, 1329, beckonline Tz. 15 m.w.N.). Das Vorbringen der Klägerin unterfällt deshalb nicht nur einem Beweis-, sondern auch einem bereits auf der Darlegungsebene verorteten Sachvortragsverwertungsverbot. Damit hätte das der Begründung der Kündigungen dienende Prozessvorbringen der Klägerin bei der Urteilsfindung selbst dann keine Berücksichtigung gefunden, wenn sich die Beklagten zu dem Vorbringen der Klägerin überhaupt nicht erklärt, sondern lediglich auf die Grundrechtswidrigkeit der Informationserlangung berufen hätten (vgl. BAG, Urt. v. 20. Oktober 2016 - 2 AZR 395/15, NZA 2017, 443, beckonline Tz. 25).


Den Volltext der Entscheidung finden Sie hier:





VGH München: Airbnb muss Behörde Vermieterdaten nur im Einzelfall bei einem konkreten personenbezogenen oder objektbezogenen Anfangsverdacht herausgeben

VGH München
Beschluss vom 20.05.2020
12 B 19.1648

Der VGH München hat entschieden, dass Airbnb den Behörden Vermieterdaten nur im Einzelfall bei einem konkreten personenbezogenen oder objektbezogenen Anfangsverdacht herausgeben muss.

Leitsätze des Gerichts:

1. Bei der Regelung eines Datenaustauschs zur staatlichen Aufgabenwahrnehmung ist streng zwischen der Datenübermittlung seitens der auskunftserteilenden Stelle und dem Datenabruf durch die auskunftsersuchende Stelle zu unterscheiden. Der Datenaustausch vollzieht sich durch die einander korrespondierenden Eingriffe von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen. Der (jeweilige) Gesetzgeber muss deshalb, bildlich gesprochen, nicht nur die Tür zur Übermittlung von Daten öffnen, sondern zugleich auch die Tür zu deren Abfrage. Erst beide Rechtsgrundlagen gemeinsam, die gleichsam wie eine „Doppeltür“ zusammenwirken und ineinandergreifen müssen, vermögen einen Austausch personenbezogener Daten zu legitimieren (im Anschluss an BVerfGE 130, 151 [184]).

2. § 14 Abs. 2 und § 15 Abs. 5 Satz 4 i.V.m. § 14 Abs. 2 TMG bilden insoweit keine eigene Ermächtigungsgrundlage für Auskünfte, sondern lediglich die „datenschutzrechtliche Öffnungsklausel“ für den Diensteanbieter, überhaupt Auskünfte zu erteilen, wenn die anfragende Behörde aufgrund einer gesetzlichen Ermächtigungsgrundlage - Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG; § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS - Auskunft begehrt.

3. Der Diensteanbieter muss und darf auf der Grundlage von § 14 Abs. 2 TMG nur dann Auskunft erteilen, wenn er durch diese Vorschrift selbst zur Auskunftserteilung berechtigt wird und zusätzlich die anfragende Behörde eine korrespondierende, passgenaue spezialgesetzliche Ermächtigungsgrundlage für den Auskunftsanspruch, die Übermittlung und den Empfang der Daten ins Feld führen kann. Liegen diese Voraussetzungen nicht kumulativ vor, so kommt eine Auskunftserteilung durch den Diensteanbieter nicht in Betracht.

4. Die bundesrechtlich konturierte „datenschutzrechtliche Öffnungsklausel“ des § 14 Abs. 2 TMG gestattet dem Diensteanbieter eine Erteilung von Auskünften ausdrücklich nur „im Einzelfall". Unter der Geltung des Grundgesetzes verpflichtet das Rechtsstaatsprinzip alle rechtssetzenden Organe des Bundes und der Länder, ihre Regelungen jeweils so aufeinander abzustimmen, dass die Normadressaten nicht gegenläufige Regelungen erreichen, die die Rechtsordnung widersprüchlich machen. Konzeptionelle Entscheidungen des zuständigen Bundesgesetzgebers dürfen auch durch auf Spezialzuständigkeiten gründende Entscheidungen eines Landesgesetzgebers nicht verfälscht oder gar unterlaufen werden. Die landesrechtlichen Regelungen der Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG; § 12 Abs. 1 Satz 1 Halbs. 1 und Satz 4 ZeS sind deshalb zur Vermeidung eines Normwiderspruchs - korrespondierend mit der höherrangigen bundesrechtlichen Vorschrift des § 14 Abs. 2 TMG - dergestalt auszulegen und anzuwenden, dass sie eine Abfrage von personenbezogenen Daten ebenfalls nur „im Einzelfall“ ermöglichen.

5. Durch die Verwendung des Tatbestandsmerkmals „im Einzelfall“ hat der (Bundes-) Gesetzgeber eine anlasslose, auf bloße Mutmaßungen gestützte, generelle und flächendeckende Verpflichtung zur Auskunftserteilung nachhaltig ausgeschlossen und die Eingriffsschwelle bewusst hoch angesetzt, denn zum Inbegriff eines freiheitlichen Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger - auch im Internet - grundsätzlich frei bewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Zeugnis ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein.

6. Die Beklagte muss sich deshalb auf eine Anwendung von Art. 3 Abs. 1 Sätze 1, 3 und 5 ZwEWG; § 12 Abs. 1 Satz 1 Halbs. 1, Satz 2 und Satz 4 ZeS und § 14 Abs. 2 TMG „im Einzelfall" beschränken, was jeweils einen konkreten personen- oder objektbezogenen Anfangsverdacht voraussetzt. Eine generelle und flächendeckende „Datenerhebung auf Vorrat“ kommt nicht in Betracht. Weder das Grundgesetz noch einfaches Bundes- oder Landesrecht geben der Beklagten eine Befugnis, die Rechtstreue ihrer Bürgerinnen und Bürger ohne Vorliegen eines konkreten personen- oder objektbezogenen Anfangsverdachts einer allgemeinen Kontrolle „ins Blaue hinein“ zu unterziehen.

7. Allein die Tatsache einer gelegentlichen, ggf. auch mehrfachen, kurz- oder auch längerfristigen Vermietung oder Gebrauchsüberlassung - und sei es auch unter der ausschließlichen Verwendung eines Vornamens oder Pseudonyms ohne weitere Anschrift oder Adresse - reicht angesichts der mannigfaltigen Möglichkeiten einer vollkommen legalen (genehmigten) Nutzung ohne das Hinzutreten weiterer, eindeutig auf eine Zweckentfremdung hinweisender Umstände regelmäßig nicht aus, die Annahme eines konkreten Anfangsverdachts zu rechtfertigen. In tatsächlicher Hinsicht wird es deshalb stets eines von der Beklagten zu benennenden, konkreten objektbezogenen Anknüpfungspunktes (bestimmte Wohnung) bedürfen, um nach vorheriger Prüfung des Nichtvorliegens eines Genehmigungstatbestandes ein Auskunftsersuchen im Einzelfall zu legitimieren.

Den Volltext der Entscheidung finden Sie hier:



BGH legt EuGH vor: Sind Verbraucherschutzverbände befugt Datenschutzverstöße zu verfolgen und Unterlassungsansprüche geltend zu machen ?

BGH
Beschluss vom 28.05.2020
I ZR 186/17

Der BGH hat dem EuGH die Frage zur Entscheidung vorgelegt, ob Verbraucherschutzverbände befugt sind Datenschutzverstöße zu verfolgen und diesbezüglich Unterlassungsansprüche geltend zu machen.

Die Pressemitteilung des BGH:

BGH legt EuGH die Frage vor, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundes-gerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg. Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf Klageabweisung weiter.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen. Diese Frage ist in der Rechtsprechung der Instanzgerichte und der rechtswissenschaftlichen Literatur umstritten. Es wird die Auffassung vertreten, dass die Datenschutzgrundverordnung eine abschließende Regelung zur Durchsetzung der in dieser Verordnung getroffenen datenschutzrechtlichen Bestimmungen enthält und eine Klagebefugnis von Verbänden deshalb nur unter den - im Streitfall nicht erfüllten - Voraussetzungen des Art. 80 der Datenschutzgrundverordnung besteht. Andere halten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und Verbände daher weiterhin für befugt, Unterlassungsansprüche wegen des Verstoßes gegen datenschutzrechtliche Bestimmungen unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege der Klage vor den Zivilgerichten durchzusetzen. Der Gerichtshof der Europäischen Union hat zwar bereits entschieden, dass die Regelungen der - bis zum Inkarafttreten der Datenschutzgrundverordnung am 25. Mai 2018 geltenden - Richtlinie 95/46/EG (Datenschutzrichtlinie) einer Klagebefugnis von Verbänden nicht entgegenstehen (Urteil vom 29. Juli 2019 - C-40/17). Dieser Entscheidung ist aber nicht zu entnehmen, ob diese Klagebefugnis unter Geltung der an die Stelle der Datenschutzrichtlinie getretenen Datenschutzgrundverordnung fortbesteht.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgebliche Vorschrift lautet:

Verordnung (EU) 2016/679 (Datenschutzgrundverordnung)

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Artikel 84 Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.





BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II

Der BGH hat entschieden, dass keine wirksame Einwilligung in telefonische Werbung und das Setzen technisch nicht notwendiger Cookies durch ein voreingestelltes Ankreuzkästchen erteilt wird, dass vom Nutzer abgewählt werden muss, wenn er die Zustimmung nicht erteilen will.

Mit dieser Entscheidung setzt der BGH nach seinem Vorlagebeschluss an den EuGH die Entscheidung des EuGH um (siehe dazu EuGH - Urteil vom 01.10.2019 - C-673/17 ).

Die Pressemitteilung des BGH:

Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung

Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

Sachverhalt:

Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.

Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:

"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."

In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.

Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Der Kläger hat außerdem Ersatz der Abmahnkosten verlangt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 1. Oktober 2019 beantwortet.

Entscheidung des Bundesgerichtshofs:

Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der "Einwilligung" richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der Verordnung (EU) 2016/679 vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.

Eine Einwilligung wird "in Kenntnis der Sachlage" im Sinne des Art. 2 Buchst. h der Richtlinie 95/46/EG erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift "für den konkreten Fall", wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung "für den bestimmten Fall" im Sinne des Art. 4 Nr. 11 der Verordnung (EU) 2016/679, die insoweit keine Rechtsänderung herbeigeführt hat.

Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage - also vor Geltung der Verordnung (EU) 2016/679 - im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.

Vorinstanzen:

LG Frankfurt am Main - Urteil vom 10. Dezember 2014 - 2/6 O 30/14

OLG Frankfurt am Main - Urteil vom 17. Dezember 2015 - 6 U 30/15

BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16, Cookie-Einwilligung I

EuGH, Urteil vom 1. Oktober 2019, C-673/17, PLANET49

Die maßgeblichen Vorschriften lauten:

§ 1 UKlaG:

Wer in Allgemeinen Geschäftsbedingungen Bestimmungen, die nach den §§ 307 bis 309 des Bürgerlichen Gesetzbuchs unwirksam sind, verwendet oder für den rechtsgeschäftlichen Verkehr empfiehlt, kann auf Unterlassung und im Fall des Empfehlens auch auf Widerruf in Anspruch genommen werden.

§ 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB:

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben benachteiligen. …

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist

§ 7 Abs. 1 Satz 1 und Abs. 2 Nr. 2 UWG:

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. …

(2) Eine unzumutbare Belästigung ist stets anzunehmen

2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.

§ 15 Abs. 3 Satz 1 TMG:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.

Art. 2 Satz 2 Buchst. f der Richtlinie 2002/58/EG:

Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck "Einwilligung" eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;

Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Art. 2 Buchst. h der Richtlinie 95/46/EG:

Im Sinne dieser Richtlinie bezeichnet der Ausdruck "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Art. 4 Nr. 11 der Verordnung (EU) 2016/679:

Im Sinne dieser Verordnung bezeichnet der Ausdruck "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Art. 94 Abs. 1 und 2 Satz 1 der Verordnung (EU) 2016/679:

(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …

Art. 95 der Verordnung (EU) 2016/679:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.




VG Gelsenkirchen: Prüfling hat nach DSGVO Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten

VG Gelsenkirchen
Urteil vom 27.04.2020
20 K 6392/18


Das VG Gelsenkirchen hat entschieden, dass ein Prüfling nach der DSGVO einen Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten hat.

Aus den Entscheidungsgründen:

"b) Der Anspruch des Klägers ergibt sich jedenfalls aus § 5 Abs. 8 Satz 1 des Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) i.V.m. Art. 15 Abs. 3 und Art. 12 Abs. 5 Satz 1 DS-GVO. Denn nach § 5 Abs. 8 Satz 1 DSG NRW sind auf Verarbeitungen, die „nicht in den Anwendungsbereich des Unionsrechts“ fallen, die Vorschriften der Verordnung (EU) 2016/679 und die Vorschriften des Teils 2 des Datenschutzgesetzes Nordrhein-Westfalen entsprechend anzuwenden, soweit nicht dieser Teil oder andere spezielle Rechtsvorschriften abweichende Regelungen enthalten. Die Voraussetzungen der insoweit jedenfalls entsprechend anzuwendenden Art. 2 Abs. 1, 12 und 15 DS-GVO sind erfüllt (vgl. hierzu unten (1)). Andere spezielle Rechtsvorschriften mit abweichenden Regelungen i.S.d. § 5 Abs. 8 Satz 1 DSG NRW sind nicht vorhanden (vgl. hierzu unten (2)).

(1) Die vom Kläger unter der Kennziffer XXXX/XX im Rahmen des zweiten juristischen Staatsexamens in Nordrhein-Westfalen angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten werden von Art. 2 Abs. 1 DS-GVO erfasst (vgl. hierzu unten (a)). Der daraus resultierende Anspruch gegen das Landesjustizprüfungsamt auf eine unentgeltliche Kopie (vgl. hierzu unten (b)) ist weder durch Art. 15 Abs. 4 DS-GVO (vgl. hierzu unten (c)) noch durch Art. 12 Abs. 5 Satz 2 DS-GVO ausgeschlossen (vgl. hierzu unten (d)). Der Anspruch ist auch nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, insbesondere nicht durch Vorschriften des Juristenausbildungsgesetzes, beschränkt i.S.v. Art. 23 DS-GVO (vgl. hierzu unten (e)).

(a) Die Betroffenenrechte aus der Datenschutz-Grundverordnung sind gemäß Art. 2 Abs. 1 DS-GVO vorliegend anwendbar. Danach gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Diese tatbestandlichen Anforderungen sind vorliegend gegeben. Bei den Klausuren einschließlich der Korrekturen handelt es sich um „personenbezogene Daten“ des Klägers (vgl. hierzu unten (aa)). Die korrigierten Examensklausuren werden vom Landesjustizprüfungsamt nichtautomatisiert „verarbeitet“ (vgl. unten (bb)) und in einem „Dateisystem“ gespeichert (vgl. unten (cc)).

(aa) Nach der grundlegenden Begriffsbestimmung in Art. 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Bereits in seinem Urteil im Fall C-434/16 (Nowak) hat der EuGH – noch mit Blick auf die Begriffsbestimmung in Art. 2 lit. a) der Richtlinie 95/46/EG – ausgeführt, dass die Antworten eines Kandidaten in einer schriftlichen Prüfung und die Kommentare des Prüfers zu diesen Antworten personenbezogene Daten des Prüflings darstellen können und damit u.a. der Auskunftspflicht unterliegen.

Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, mit Anm. Schütze, EuGH: Definition personenbezogener Daten, ZD-Aktuell 2018, 05926; siehe auch Pauly, Rechtsentwicklungen im Datenschutzrecht 2019, DB Beilage 2019, Nr. 3, 53 (57), der davon ausgeht, dass der EuGH mit seiner Entscheidung dem Betroffenen folglich auch „einen Anspruch auf eine elektronische Kopie seiner Examensklausuren gewährt“ habe.

Die in Art. 2 lit. a) der Richtlinie 95/46/EG enthaltene Begriffsdefinition entspricht im Wesentlichen jener des sie unmittelbar ersetzenden Art. 4 Nr. 1 DS-GVO. Die vom EuGH vorgenommene rechtliche Einordnung ist deshalb und mit Blick auf die maßgeblichen zugrundeliegenden Erwägungen auf die Examensarbeiten des Klägers übertragbar. Demnach sind personenbezogene Daten nicht lediglich sensible oder private Informationen, sondern alle Arten von Informationen, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind.

Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 34 f.; siehe zur Dreidimensionalität der Personenbezogenheit auch Klabunde, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 4 Rn. 11.

Prüfungsarbeiten einschließlich der Korrekturen des Prüfers erfüllen diese Voraussetzung nach Auffassung des EuGH u.a. insoweit, als sie einerseits den Kenntnisstand und das Kompetenzniveau des Prüflings in einem bestimmten Bereich sowie gegebenenfalls seine Gedankengänge, sein Urteilsvermögen und sein kritisches Denken widerspiegeln,

vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 37,

und sich andererseits die Verwendung dieser Informationen, die insbesondere im Erfolg oder Scheitern des Prüflings der in Rede stehenden Prüfung zum Ausdruck kommt, auf dessen Rechte und Interessen auswirken, insbesondere seine Chancen, den gewünschten Beruf zu ergreifen oder die gewünschte Anstellung zu erhalten, bestimmen oder beeinflussen kann,

vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 39.

All dies trifft auch auf die Examensarbeiten des Klägers zu.

Vgl. ebenso in Bezug auf Bachelor- und Masterarbeiten bereits VG Hamburg, Beweisbeschluss vom 20. März 2020 – 17 K 1312/19 –, juris Rn. 45 f.

Dass dem jeweiligen Korrektor eine Identifizierung während der Korrektur nicht möglich war, ist bei alledem unerheblich.

Vgl. Frank, in: Gola (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 15 Rn. 23.

(bb) Unter „Verarbeitung“ ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen wie u.a. das Erheben, das Erfassen, die Organisation, das Ordnen oder die Speicherung.

Die Organisation und das Ordnen erfasst dabei den Aufbau einer wie auch immer gearteten Struktur innerhalb der Daten, wobei es keine Rolle spielt, ob diese simpel oder komplex ist.

Vgl. Schild, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 31. Edition (Stand: 1. Februar 2020), Art. 4 DS-GVO Rn. 43.

Der Begriff der Speicherung bezeichnet die Überführung des Informationsgehalts personenbezogener Daten in eine verkörperte Form in einer Weise, die es dem Verantwortlichen ermöglicht, die Daten aus dem Datenträger wiederzugewinnen.

Vgl. Herbst, in: Kühling/Buchner (Hrsg.), Datenschutzgrundverordnung / BDSG, 2. Aufl. 2018, Art. 4 Rn. 24.

Das Speichern erfasst somit quasi als Kehrseite der Löschung und Vernichtung deren Unterlassung – auch ohne aktives Tun – schlicht durch weitere Aufbewahrung.

Vgl. Reimer, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 4 Rn. 61.

Nach § 64 Satz 1 JAG NRW sind die schriftlichen Prüfungsarbeiten des juristischen Staatsexamens einschließlich der Gutachten der Prüfer fünf Jahre, die übrigen Prüfungsunterlagen fünfzig Jahre aufzubewahren. Zu diesem Zweck werden die Klausuren – nach Jahrgängen und Kennziffern geordnet – im Landesjustizprüfungsamt archiviert. Auch nach Abschluss der Prüfung und Bekanntgabe des Prüfungsergebnisses an den Prüfling werden die Daten mithin dort noch vorgehalten. Dieses Aufbewahren personenbezogener Daten in Papierakten unterfällt als Unterfall der Organisation, des Ordnens und auch des Speicherns in einer nicht digitalen Form dem Begriff der Verarbeitung. Diese endet erst mit der endgültigen Löschung der Daten durch Aussonderung und Vernichtung der Akten."


Den Volltext der Entscheidung finden Sie hier:

LAG Nürnberg: Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund - §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar

LAG Nürnberg
Urteil vom 19.02.2020
2 Sa 274/19

Das LAG Nürnberg hat entschieden, dass die Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund möglich ist. §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG ist insoweit mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar.

Aus den Entscheidungsgründen:

Die Beklagte zu 1) bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DS-GVO.

1. Auch die Abberufung des Datenschutzbeauftragten ist in der DS-GVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DS-GVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Der Arbeitsvertragsinhalt ändert sich (BAG 23.03.2011 - 10 AZR 652/09 - Rn 30; 13.03.2007 - 9 AZR 612/05 - Rn 23). Die Abberufung als interner Datenschutzbeauftragter zielt damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel (a.A. Kühling/Buchner/Kühling/Sackmann, 2. Aufl., 2018, BDSG § 38 Rn 20; Ehmann/Sehmayr/Heberlein, 2.Aufl., 2018, DS-GVO Art. 38 Rn 28), da die europarechtliche Kompetenznorm sich insoweit in Art. 153 Abs. 1 lit. b AEUV („Arbeitsbedingungen“) findet. In diesem Bereich wird die EU jedoch nicht durch Verordnung, sondern durch Richtlinien tätig und hindert strengere Schutzmaßnahmen der Mitgliedstaaten nicht (Art. 153 Abs. 4, 2. Spiegelstrich). Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DS-GVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DS-GVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.

Mit dem Bundesgesetzgeber (BT-Drs. 18/11326, 82) vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DS-GVO auch im BDSG n. F. beibehalten werden kann (LAG Sachsen 19.08.2019 - 9 Sa 268/18 Rn 49; ErfK/Franzen, 20. Aufl., 2020, BDSG § 38 Rn 7; BeckOK DatenschutzR/Moos BDSG § 38 Rn 18; Pauly in Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 BDSG Rn 17; Körffer in Paal/Pauly, a.a.O § 6 BDSG, Rn 3).

2. Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Dies hat das Arbeitsgericht überzeugend unter Bezugnahme auf die Entscheidung des BAG vom 23.03.2011 - 10 AZR 562/09 herausgearbeitet. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.

3. Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten zu 1), dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DS-GVO stand. Die Beklagte zu 1) beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.

Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DS-GVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte zu 1) nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.

Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte zu 1) hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Dies gilt erst recht vor dem Hintergrund des behaupteten Wegfalls anderer Arbeitsaufgaben auf Grund der unternehmerischen Entscheidung. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DS-GVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam (Kühling/Buchner/Bergt, 2. Aufl., 2018, DS-GVO Art. 38 Rn 30).

Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DS-GVO festgehalten ist (vgl. hierzu EuArbRK/Franzen 3. Aufl., 2020, DS-GVO Art. 38, Rn 4).


Den Volltext der Entscheidung finden Sie hier:



VG Bremen: Anspruch aus Art. 16 DSGVO auf Berichtigung eines fehlerhaften Eintrags im Melderegister

VG Bremen
Beschluss vom 21.04.2020
2 V 164/20


Das VG Bremen hat entschieden, dass Anspruch aus Art. 16 DSGVO auf Berichtigung eines fehlerhaften Eintrags im Melderegister besteht.


ArbG Wesel: Mitbestimmungsrecht des Betriebsrats bei Videoüberwachung zur Überprüfung der Einhaltung der Sicherheitsabstände im Zusammenhang mit der Corona-Pandemie

Arbeitsgericht Wesel
Beschluss vom 24.04.2020
2 BVGa 4/20


Das Arbeitsgericht Wesel hat entschieden, dass ein Mitbestimmungsrecht des Betriebsrats bei Einführung der Videoüberwachung zur Überprüfung der Einhaltung der Sicherheitsabstände im Zusammenhang mit der Corona-Pandemie besteht.

Die Pressemitteilung des Gerichts:

Arbeitsgericht Wesel: Unterlassungsverfügung gegen die Nutzung von Kameraaufnahmen zum Zwecke der Abstandsüberwachung

Der Betriebsrat eines Logistik- und Versandunternehmen mit Sitz in Rheinberg, das einem internationalen Konzern angehört, hat den Arbeitgeber im Wege eines einstweiligen Verfügungsverfahrens wegen der Verletzung seiner Mitbestimmungsrechte auf Unterlassung in Anspruch genommen.

Der Arbeitgeber kontrolliert anhand Bildaufnahmen der Arbeitnehmer die Einhaltung der im Rahmen der Corona Pandemie empfohlenen Sicherheitsabstände von mindestens 2 Metern im Betrieb. Dazu verwendet er die im Rahmen der betrieblichen Videoüberwachung erstellen Aufnahmen, die er auf im Ausland gelegenen Servern mittels einer Software anonymisiert.

Das Arbeitsgericht hat dem Unterlassungsanspruch des Betriebsrates teilweise stattgegeben. Hierbei ist das Arbeitsgericht davon ausgegangen, dass die Übermittlung der Daten ins Ausland der im Betrieb geltenden Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras widerspricht. Zudem hat das Gericht bei seiner Entscheidung darauf abgestellt, dass die Mitbestimmungsrechte des Betriebsrates aus § 87 Abs. 1 Nr. 6 und 7 BetrVG verletzt sind.

Der Beschluss ist nicht rechtskräftig.


OLG Frankfurt: Arzt muss Eintrag in Ärztebewertungsportal Jameda mit Basisdaten und Nutzerbewertungen die keine Schmähkritik und nicht wahrheitswidig sind hinnehmen

OLG Frankfurt
Urteil vom 09.04.2020
16 U 218/18


Das OLG Frankfurt hat entschieden, dass Ärzte einen Eintrag im Ärztebewertungsportal Jameda mit Basisdaten und Nutzerbewertungen die keine Schmähkritik und nicht wahrheitswidig sind hinnehmen muss. Der Portalbetreiber habe - so das Gericht - sein Portal inzwischen so verändert, dass Jameda als neutraler Informationsmittler auftrete (siehe zu Problematik "Volltext BGH liegt vor: Arztbewertungsportal Jameda muss Daten und Bewertung von Arzt löschen da kein neutraler Informationsmittler"). Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des OLG Frankfurt:

Ärztebewertungsportal mit Basisdaten und Nutzerbewertungen

Ein Ärztebewertungsportal erfüllt eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion, sofern der Betreiber als neutraler Informationsmittler auftritt. Nutzerbewertungen in Form von Meinungsäußerungen auf einem solchen Portal sind hinzunehmen, wenn sie auf einer Tatsachengrundlage beruhen und die Grenze zur Schmähkritik nicht überschreiten, entschied das Oberlandesgericht Frankfurt am Main (OLG) mit einem heute veröffentlichten Urteil.

Die Klägerin ist Augenärztin in Hessen. Die Beklagte betreibt ein Arztsuche- und bewertungsportal, auf dem Informationen über Ärzte und Träger anderer Heilberufe kostenfrei abgerufen werden können. Die Beklagte bietet auf dem Portal als eigene Information sog. Basisdaten eines Arztes an (Name, Fachrichtung, Praxis Anschrift, Kontaktdaten ect.). Daneben sind Bewertungen abrufbar, die Nutzer in Form eines Notenschemas, aber auch in Form von Freitextkommentaren abgegeben haben. Gegen Bezahlung können die Ärzte als Anzeige gekennzeichnete zusätzliche Informationen veröffentlichen lassen, sog. Premiummitgliedschaft.

Die Klägerin bat um Löschung der negativen Bewertung und um Mitteilung des Urhebers. Die Bewertung wurde in der Folgezeit zunächst unsichtbar, nach einer Rücksprache mit dem/der Urheber/in des Kommentars jedoch wieder sichtbar gemacht. Der Urheber wurde nicht benannt. Eine Löschung der Basisdaten lehnte die Beklagte ebenfalls ab.

Die Klägerin nimmt die Beklagte nunmehr auf Löschung ihrer Basisdaten, hilfsweise auf Löschung des Nutzerkommentars in Anspruch. Das Landgericht hatte der Klage stattgegeben. Die hiergegen eingelegte Berufung hatte vor dem OLG Erfolg:

Die Klägerin könne nicht die Löschung ihrer Basisdaten verlangen, urteilte das OLG. Auch ohne Zustimmung der Klägerin liege hier eine rechtmäßige Datenverarbeitung vor. Dies sei gem. der DSGVO der Fall, „wenn die Datenverarbeitung zur Wahrnehmung des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“ Dritten seien hier die Nutzer de Portals, die sich über Ärzte informieren wollten.

Hier falle die „erforderliche Abwägung zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten einerseits und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person auf der anderen Seite“ zulasten der Klägerin aus. Dabei sei zu berücksichtigen, dass das von der Beklagten betriebene Ärztebewertungsportal eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion erfülle, sofern die Betreiberin als neutraler Informationsmittler auftrete. Dies sei hier der Fall. Anders als in früher vom BGH entschiedenen Konstellationen lägen insbesondere keine verdeckten Vorteile für die sog. Prämienkunden (mehr) vor. Für den Nutzer sei vielmehr klar ersichtlich, dass für die Anzeigen, die als solche bezeichnet und farblich unterlegt seien, eine Vergütung zu entrichten sei. Es fehle demnach nicht an der erforderlichen Transparenz.

Die Klägerin könne auch nicht Löschung der Bewertung verlangen. Das vom Portalbetreiber in derartigen Fällen einzuhaltende Verfahren sei hier durchgeführt worden. Die bemängelte Kritik sei von der Klägerin hinzunehmen, da sie dadurch nicht rechtswidrig in ihrem Persönlichkeitsrecht verletzt werde. Es handele sich um Meinungsäußerungen, die die Grenze zur Schmähkritik nicht überschritten. Sie beruhten auch auf einem Besuch bei der Klägerin und entbehrten demnach nicht jeder Tatsachengrundlage.

Der Senat hat die Revision zugelassen, da die Sache grundsätzliche Bedeutung hat.

Oberlandesgericht Frankfurt am Main, Urteil vom 9.4.2020, Az. 16 U 218/18
(vorausgehend Landgericht Hanau, Urteil vom 8.11.2018, Az. 7 O 599/18)