Skip to content

LG Frankfurt: Veröffentlichung von Fotos und Videos auf Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten verstößt gegen Vorgaben der DSGVO und KUG

LG Frankfurt
13.09.2018
2-03 O 283/18


Das LG Frankfurt hat entschieden, dass die Veröffentlichung von Fotos und Videos auf der Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten gegen Vorgaben der DSGVO und des KUG verstoßen.

Aus den Entscheidungsgründen:

Die Parteien streiten über Ansprüche wegen Verletzung des Persönlichkeitsrechts durch eine Bildnisveröffentlichung.

Der Verfügungsbeklagte (nachfolgend: Beklagter) betreibt einen Frisörsalon in Frankfurt am Main. Am 29.06.2018 begab sich die Verfügungsklägerin (nachfolgend: Klägerin) mit ihrem Lebenspartner, ... , in den Frisörsalon des Beklagten, um eine Haarverlängerung vornehmen zu lassen. Während der Behandlung fotografierte ein der Klägerin unbekannter Mann die Klägerin. Zudem wurde das streitgegenständliche Video (Anl. AS 1, Bl. 16 der Akte), auf dem die Klägerin erkennbar ist, erstellt, wobei streitig ist, ob dies am 29.06.2018 oder am Folgetag geschah.

Kurze Zeit später stellte die Klägerin fest, dass der Beklagte am 04.07.2018 (16:42 Uhr) auf seiner Facebook Fanpage unter der URL

...............

unter anderem das streitgegenständliche Video (Anlage AS 1, Bl. 16 d.A.) postete/veröffentlichte, auf dem die Klägerin - wie auch auf dem nachstehenden Screenshot zu sehen - klar und eindeutig erkennbar ist.

[Foto]

Auf der Facebook Seite befanden sich zum damaligen Zeitpunkt auch Lichtbilder der Klägerin.

Die Klägerin forderte den Beklagten persönlich auf, die Lichtbilder und das Video zu entfernen. Der Beklagte kam der Aufforderung lediglich hinsichtlich der Lichtbilder nach, hinsichtlich des Videos reagierte er - trotz desanwaltlichen Schreibens vom 11.07.2018 (Anlage AS 3, Bl. 8 f. d.A.) - vorgerichtlich nicht.

Die Kammer hat dem Beklagten durch einstweilige Verfügung - Beschluss - vom 27.07.2018 (Bl. 17 ff. d.A.) untersagt, das Bildnis der Klägerin in Form eines Fotos oder als Filmaufnahme/Video öffentlich zur Schau zu stellen, wie dies auf der Website ... mit dem Film wie in Anlage AS 1 geschehen ist. Die Kosten des Eilverfahrens hat die Kammer dem Beklagten auferlegt.

Gegen den Beschluss hat der Beklagte mit Schriftsatz vom 22.08.2018 Widerspruch eingelegt.

Die Klägerin behauptet, ein Hinweis auf etwaige Foto- und/oder Videoaufnahmen oder darauf, dass es sich um einen der sogenannten "Haarmodell-Termine" handele, sei nicht erteilt worden.

Während der Haarverlängerung am 29.06.2018 habe sie mehrfach ausdrücklich darum gebeten, die Fotoaufnahmen zu unterlassen, als ein ihr unbekannter Mann sie aus etwa 1 m Entfernung fotografiert habe.

Die angebliche Videoaufnahme am 30.06.2018 sei heimlich, unbemerkt und gegen ihren Willen erfolgt. Sie habe weder ausdrücklich noch konkludent in die Aufnahme oder die Veröffentlichung des Videos eingewilligt.

Durch die Veröffentlichung des Videos sei sie in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt worden. Eine Ausnahme vom Einwilligungsvorbehalt gemäß § 23 KUG liege nicht vor.

Die Klägerin beantragt,

die einstweilige Verfügung - Beschluss - vom 27.07.2018 zu bestätigen.

Der Beklagte beantragt,

die einstweilige Verfügung des Landgerichts Frankfurt am Main, Az. 2-03 O 283/18 vom 27.07.2018 aufzuheben und den Antrag auf ihren Erlass zurückzuweisen.

Der Beklagte behauptet, dass in seinem Frisörsalon regelmäßig Video- und Bildaufnahmen erfolgten, welche die Arbeiten der Angestellten im Bereich der unterschiedlichsten Frisurentechniken an dafür vorgesehenen Haarmodellen dokumentierten. Diese Aufnahmen würden zu Werbezwecken auf der Internetplattform Facebook veröffentlicht, um dadurch den Frisörsalon der Allgemeinheit vorzustellen und die Vielfältigkeit der Arbeiten zu präsentieren. Diese Aufnahmen erfolgten stets ausschließlich im Beisein der Haarmodelle und grundsätzlich unter Ausschluss weiterer Kunden an dafür bestimmten ausgewählten Terminen.

Als die Klägerin den Frisörsalon des Beklagten am 29.06.2018 aufgesucht habe, hätten die vorbezeichneten Videoaufzeichnungen stattgefunden. Sie habe an diesem Tag keinen Termin zur Haarverlängerung gehabt. Die Klägerin sei von dem Beklagten selbst in Anwesenheit seiner zwei Angestellten, Frau ... und Frau ...,

darauf hingewiesen worden, dass zu diesem Zeitpunkt Videoaufnahmen zum Zwecke der Veröffentlichung durchgeführt würden. Die Klägerin habe der Mitarbeiterin signalisiert, dass es für sie kein Problem darstelle und sie damit einverstanden sei. Sie habe ausdrücklich ihre Einwilligung in die streitgegenständliche Videoaufnahme und deren Veröffentlichung erklärt und werde daher nicht in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt. Die mündlich erteilte Einwilligung habe bis zum Ende der Filmaufnahmen bestanden.

Die Zustimmung sei jedoch zumindest als stillschweigend erteilt anzunehmen, da die Klägerin trotz der ausdrücklichen Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden. Hierdurch habe sie ein Verhalten an den Tag gelegt, das für den objektiven Erklärungsempfänger nur als Einwilligung habe verstanden werden können.

Auch habe die Klägerin ihre Einwilligung zur Veröffentlichung der Aufnahmen nicht wirksam widerrufen. Eine bereits erteilte Einwilligung sei nicht frei widerruflich, da hier kein Widerrufsgrund gemäß § 42 UrhG analog vorläge.

Wegen der weiteren Einzelheiten wird ergänzend auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie den sonstigen Akteninhalt Bezug genommen.

Gründe
Die einstweilige Verfügung der Kammer ist zu bestätigen, denn es besteht sowohl ein Verfügungsanspruch (hierzu nachstehend unter I.) als auch ein Verfügungsgrund (hierzu nachstehend unter II.).

I. Die Klägerin kann von dem Beklagten die Unterlassung der weiteren Veröffentlichung des streitgegenständlichen Videos aus den §§ 823, 1004 BGB, 22 f. KUG bzw. Art. 6 Abs. 1 DSGVO, jeweils i.V.m. Art. 79 Abs. 1, 85 DSGVO verlangen.

Insoweit kann letztlich offen bleiben, ob die §§ 22, 23 KUG als Normen im Sinne von Art. 85 Abs. 1 DSGVO (VO (EU) 2016/679), die am 25.05.2018 Geltung erlangt hat und nationale Regelungen zum Datenschutz grundsätzlich verdrängt, für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Art. 85 Abs. 1 DSGVO einen - zwingend durch die Mitgliedstaaten auszuübenden - Regelungsauftrag enthält oder die §§ 22, 23 KUG insoweit fortgelten können, s. Specht/Bienemann in: Sydow, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 9; Albrecht/Janson, CR 2016, 500; Hansen/Brechtel, GRUR-Prax 2018, 369; Kahl/Piltz, K&R 2018, 289, 292; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1061; Ziebarth/Elsaß, ZUM 2018, 578; Paschke, jurisPR-ITR 15/2018, Anm. 3; jew. m.w.N.; zur weiteren Anwendung von §§ 22, 23 KUG im Falle von Pressemedien vgl. OLG Köln, ZD 2018, 434 m. Anm. Hoeren). Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Art. 6 Abs. 1 lit. a), f), 7 DSGVO war die Veröffentlichung rechtswidrig.

1.
a) Das streitgegenständliche Video ist ein Bildnis der Klägerin im Sinne von § 22 KUG. Ein solches ist jede Abbildung einer natürlichen Person, welche bestimmt und geeignet ist, sie dem Betrachter in ihrer dem Leben nachgebildeten äußeren Erscheinung vor Augen zu führen und das Aussehen, wie es gerade dieser Person zu Eigen ist, im Bilde wiederzugeben (BGH, NJW 1965, 2148 [BGH 09.06.1965 - Ib ZR 126/63] - Spielgefährtin I; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, Urheberrecht, 4. Aufl. 2018, § 22 Rn. 5). Dies ist bei dem streitgegenständlichen Video der Fall, denn in diesem wird die Klägerin in vielen aufeinanderfolgenden Bildern im Zusammenhang mit der Haarverlängerung abgebildet.

b) Zudem handelt es sich bei dem Video, bzw. dessen Inhalt, um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, da die Klägerin durch das von dem Beklagten veröffentlichte Video identifizierbar ist (vgl. insoweit zur Datenschutz-RL 95/46/EG EuGH, NJW 2015, 463 Rn. 22 ff. - Rynes).

Zu Gunsten des Beklagten greift insbesondere nicht die Haushaltsausnahme gemäß Art. 2 Abs. 2 lit. c) DSGVO, da die streitgegenständliche Veröffentlichung nicht im Rahmen ausschließlich persönlicher Verarbeitung erfolgte, sondern im gewerblichen Kontext und zudem öffentlich im Internet (dazu EuGH, EuZW 2004, 245 Rn. 47 - Lindqvist).

2.
a)
Das Bildnis der Klägerin wurde auch verbreitet im Sinne des KUG, denn der Beklagte hat es auf seiner öffentlich zugänglichen Fanpage bei Facebook im Internet abrufbar gemacht (vgl. hierzu auch OLG Frankfurt a.M. Urt. v. 19.4.2012 - 16 U 189/11, BeckRS 2013, 11801; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 12 m.w.N.).

b)
Damit wurden zugleich personenbezogene Daten verarbeitet im Sinne von Art. 4 Nr. 2 DSGVO.

3. Die Veröffentlichung bzw. Verarbeitung stellt sich sowohl unter Zugrundelegung des Maßstabs des § 22 KUG i.V.m. Art. 85 Abs. 1 DSGVO als auch unter Zugrundelegung des Maßstabs von Art. 6 Abs. 1 lit. a) i.V.m. Art. 7 DSGVO als unzulässig dar, da die Klägerin in die Veröffentlichung ihres Bildnisses nicht eingewilligt hat.

a) Nach dem abgestuften Schutzkonzept der §§ 22, 23 KUG (BGH, GRUR 2007, 527 [BGH 06.03.2007 - VI ZR 51/06] - Winterurlaub m.w.N.; OLG Frankfurt, Urt. vom 07.08. 2018 - 11 U 156/16 -, Rn. 32, juris) dürfen Bildnisse einer Person grundsätzlich nur mit ihrer Einwilligung verbreitet werden (§ 22 S. 1 KUG). Hiervon besteht allerdings gemäß § 23 Abs. 1 KUG eine Ausnahme, z.B. wenn es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt (§ 23 Abs. 1 Nr. 1 KUG). Diese Ausnahme gilt aber nicht für eine Verbreitung, durch die berechtigte Interessen des Abgebildeten gemäß § 23 Abs. 2 KUG verletzt werden (BGH, GRUR 2013, 1065 [BGH 28.05.2013 - VI ZR 125/12] Rn. 10 - Eisprinzessin Alexandra).

Der insoweit darlegungs- und glaubhaftmachungsbelastete Beklagte (vgl. OLG Hamm, AfP 1998, 304 [OLG Hamm 03.03.1997 - 3 U 132/96]; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 32) hat nicht zur Überzeugung der Kammer glaubhaft gemacht, dass die Klägerin in die Aufnahme und Veröffentlichung des streitgegenständlichen Videos eingewilligt hat. Obwohl die Klägerin die eidesstattliche Versicherung vom 26.07.2018 (AS 2, Bl. 6 f. d.A.) vorgelegt hat, welche besagt, dass das Video heimlich und ohne ihre Einwilligung gedreht worden sei, hat der Beklagte keine Glaubhaftmachungsmittel vorgelegt. Auch waren weder die von ihm in diesem Zusammenhang benannten Zeuginnen noch er selbst im Termin zur mündlichen Verhandlung zugegen.

Sofern der Beklagte sich darauf beruft, dass die Klägerin zumindest konkludent eingewilligt habe, da sie trotz ausdrücklicher Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden, so ist dieser Vortrag des Beklagten widersprüchlich, da er zuvor die ausdrückliche Zustimmung der Klägerin behauptet hat. Darüber hinaus hat der Beklagte auch die vorstehenden Behauptungen nicht glaubhaft gemacht.

b) Auch gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche - hier der Beklagte - nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (zur Definition der Einwilligung s. Art. 4 Nr. 11 DSGVO). Dies ist - wie zuvor dargestellt - nicht der Fall.

4.
Die Veröffentlichung bzw. Datenverarbeitung erfolgte in rechtswidriger Weise.

a) Die Veröffentlichung des streitgegenständlichen Videos war gemäß § 23 KUG i.V.m. Art. 85 Abs. 1 DSGVO unzulässig, da es sich bei dem Video offensichtlich nicht um ein Bildnis aus dem Bereich der Zeitgeschichte (§ 23 Abs. 1 Nr. 1 KUG) handelt und auch die sonstigen dort genannten Ausnahmen nicht greifen. Die Einwilligung gemäß § 23 Abs. 2 KUG war daher nicht entbehrlich.

b) Die Verarbeitung des Videos in Form der Veröffentlichung war auch nicht gemäß Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt.

Gemäß Art. 6 Abs. 1 S. 1 DSGVO bzw. Art. 8 Abs. 2 S. 1 GRCh unterliegt die Verarbeitung personenbezogener Daten einem sogenannten "Verbot mit Erlaubnisvorbehalt" (vgl. Reimer in: Sydow, a.a.O., Art. 6 Rn. 1 m.w.N.). In Betracht käme hier - neben einer nicht vorliegenden Einwilligung, wie vorstehend erläutert - lediglich die Ausnahme gemäß Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (vgl. hierzu mit Beispielen ErwGr 47-49 DSGVO).

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung - unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) - als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3). In Anwendung dieser Grundsätze überwiegt vorliegend - wie vorstehend erläutert - das Interesse der Klägerin an der Unterlassung der streitgegenständlichen Verarbeitung in Form der Veröffentlichung.

Selbst ohne Anwendung der Grundsätze der §§ 22, 23 KUG im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO erachtet die Kammer die Interessen der Klägerin gegenüber dem Werbeinteresse des Beklagten hier als überwiegend. Zwar ist die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung grundsätzlich als berechtigtes Interesse anzuerkennen (vgl. ErwGr 47 DSGVO). Es ist jedoch bereits fraglich, ob diese Werbung unter Verwendung von bildlichen Aufnahmen von Kunden ohne weiteres als erforderlich im Sinne von Art. 6 Abs. 1 lit. f) DSGVO anzusehen sind. Darüber hinaus widerspricht es den vernünftigen Erwartungen (vgl. ErwGr 47 DSGVO) eines Kunden in einem Frisörsalon, dass sein Besuch im Salon filmisch festgehalten und zur Bewerbung im Internet verwendet wird.

5. Auch die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ist gegeben. Im Regelfall indiziert die Erstbegehung die Wiederholungsgefahr (ständige Rechtsprechung BGH, GRUR 1997, 379, 380 [BGH 16.11.1995 - I ZR 229/93] - Wegfall der Wiederholungsgefahr II). Im Allgemeinen gelingt eine Widerlegung der Wiederholungsgefahr durch Abgabe einer strafbewehrten Unterlassungserklärung, die jedoch beklagtenseits verweigert wurde. Damit zeigt der Beklagte, dass nach wie vor Wiederholungsgefahr besteht (vgl. BGH, GRUR 1998, 1045, 1046 [BGH 19.03.1998 - I ZR 264/95] - Brennwertkessel).

6. Die Entscheidung über die Androhung eines Ordnungsmittels beruht auf § 890 ZPO.

II. Es besteht auch ein Verfügungsgrund. Ohne den Erlass einer einstweiligen Verfügung würde das Persönlichkeitsrecht der Klägerin für einen nicht unerheblichen Zeitraum gravierend beeinträchtigt. Dass mit dem Erlass der einstweiligen Verfügung die Hauptsache zumindest für den Zeitraum bis zur Entscheidung in einem Hauptsacheverfahren vorweggenommen wird, liegt in der Natur einer Unterlassungsverfügung.

Auch liegt die erforderliche Dringlichkeit vor. Die einstweilige Verfügung wurde nach weniger als einem Monat nach der Veröffentlichung des streitgegenständlichen Videos bei Facebook beantragt.


Den Volltext der Entscheidung finden Sie hier:

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

LG Würzburg
Beschluss vom 13.09.2018
11 O 1741/18


Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.

Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.

Aus den Entscheidungsgründen:

Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.

Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.

Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.


Den Volltext der Entscheidung finden Sie hier:



Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.



Bayerisches Landesamt für Datenschutzaufsicht: Wann liegt Auftragsdatenverarbeitung vor - Liste mit Beispielen und Erläuterungen

Das Bayerisches Landesamt für Datenschutzaufsicht hat eine Liste mit Beispielen und Erläuterungen vorgelegt:

Was ist Auftragsverarbeitung und was nicht?

BGH: Ermittlungsbehörden dürfen auch stille SMS verwenden - Rechtsgrundlage § 100i Abs 1 Nr. 2 StPO

BGH
Beschluss vom 08.02.2018
3 StR 400/17
StPO § 100i Abs. 1 Nr. 2


Der BGH hat entschieden, dass Ermittlungsbehörden auch "stille SMS" verwenden dürfen. Rechtsgrundage ist dabei § 100i Abs 1 Nr. 2 StPO.

Leitsatz des BGH:

Rechtsgrundlage für das Versenden sogenannter "stiller SMS" durch die Ermittlungsbehörden ist § 100i Abs. 1 Nr. 2 StPO.

BGH, Beschluss vom 8. Februar 2018 - 3 StR 400/17 - KG Berlin

VGH Kassel: Speicherung personenbezogener Daten von Anlageberatern durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig

VGH Kassel
Urteil vom 25.07.2018
6 A 673/15


Der VGH Kassel hat entschieden, dass die Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig ist.

Die Pressemitteilung des VGH Kassel:

Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) grundsätzlich zulässig

Der Hessische Verwaltungsgerichtshof hat mit heute verkündetem Urteil die Berufung von Anlageberatern bzw. Betriebsbeauftragten, die bei unterschiedlichen Sparkassen beschäftigt waren, gegen ein Urteil des Verwaltungsgerichts Frankfurt am Main zurückgewiesen.

Die Kläger wenden sich gegen die Speicherung personenbezogener Daten in einer bei der BaFin eingerichteten Datenbank.

Die als Anlageberater bzw. Betriebsbeauftragte bei unterschiedlichen Sparkassen beschäftigten Kläger baten bei der Beklagten um Auskunft über die zu ihrer Person gespeicherten Daten und beantragten deren Löschung. Die BaFin erteilte Auskunft über die gespeicherten Daten, die den Namen - einschließlich Vornamen -, das Geburtsdatum, den Geburtsort, den Beginn der Tätigkeit und die jeweilige Funktion im Sparkassenwesen sowie die Namen der zuständigen Anlageberater oder Vertriebsbeauftragten in der Datenbank der BaFin umfasste. Die beantragte Löschung der Daten lehnte die BaFin jedoch ab.

Die hiergegen erhobene Klage wurde durch das Verwaltungsgericht Frankfurt am Main mit Urteil vom 2. Juli 2014 abgewiesen.

Die Berufung der Kläger gegen diese erstinstanzliche Entscheidung hat der 6. Senat des Hessischen Verwaltungsgerichtshofs zurückgewiesen. Zur Begründung hat er ausgeführt, die Voraussetzungen eines Löschungsanspruches nach Maßgabe der datenschutzrechtlichen Bestimmungen seien nicht erfüllt. Auch aus einer etwaigen Verfassungswidrigkeit der Rechtsgrundlagen ergebe sich kein Löschungsanspruch.

Aus den gesetzlichen Regelungen ergebe sich hinreichend, welche Daten von der BaFin im Mitarbeiter- und Beschwerderegister zu speichern seien. Es sei erkennbar, dass der Gesetzgeber insoweit die Daten erfasst sehen wollte, die eine Identifikation der betreffenden Mitarbeiter ermögliche. Hierfür sei die Angabe von Vorname, Familien- und Geburtsname, Tag und Ort der Geburt erforderlich. Dies seien die Daten, die zu einer Identifikation der Person notwendig seien. Dass sich die Dauer der Speicherung nicht bereits aus dem Gesetz ergibt, ist verfassungsrechtlich unbedenklich.

Die Revision gegen das Urteil wurde nicht zugelassen. Gegen die Nichtzulassung der Revision haben die Kläger die Möglichkeit der Beschwerde, über die das Bundesverwaltungsgericht in Leipzig zu entscheiden hätte.

Aktenzeichen: 6 A 673/15


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

OLG Celle: Schornsteinfeger darf Daten die er im Rahmen hoheitlicher Tätigkeit gewinnt nicht für Bewerbung privatwirtschaftlicher Tätigkeit verwenden

OLG Celle
Urteil vom 26.06.2018
13 U 136/17

Das OLG Celle hat entschieden, dass ein Schornsteinfeger Daten, die er im Rahmen hoheitlicher Tätigkeit gewinnt, nicht für die Bewerbung siener privatwirtschaftlichen Tätigkeit verwenden darf.
Insofern liegt eine unzulässige und zugleich wettbewerbswidrige Nutzung der Daten des Kehrbuchs vor.

Aus den Entscheidungsgründen:

"Zu Recht hat das Landgericht dem Kläger einen Anspruch gegen den Beklagten auf Unterlassung der titulierten Handlungen gemäß §§ 8 Abs. 1 S. 1, Abs. 2, Abs. 3 Nr. 1, 3 Abs. 1, 3a UWG i.V.m. 19 Abs. 5 S. 1 SchfHwG (vgl. nachfolgend unter 1) bzw. i.V.m. § 18 Abs. 1 SchfHwG (vgl. nachfolgend unter 2) sowie auf Erstattung der geltend gemachten Abmahnkosten nach § 12 Abs. 1 S. 2 UWG (vgl. nachfolgend unter 3) zuerkannt.

1. Der Beklagte als Mitbewerber des Klägers im Sinne des § 8 Abs.3 Nr.1 UWG auf dem Gebiet des privatwirtschaftlichen Schornsteinfegerhandwerks hat durch die Nutzung der Daten aus dem ihm ausschließlich für hoheitliche Tätigkeiten überlassenen Kehrbuch eines bevollmächtigen Bezirksschornsteinfegers gegen § 19 Abs. 5 S. 1 SchfHwG verstoßen.

a) Die Regelung des § 19 Abs. 5 S. 1 SchfHwG ist als Marktverhaltensregelung im Sinne des § 3a UWG anzusehen. Danach handelt unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Die verletzte Norm muss daher jedenfalls auch die Funktion haben, gleiche Voraussetzungen für die auf einem Markt tätigen Wettbewerber zu schaffen (BGH, Urteile vom 2. Dezember 2009 - I ZR 152/07, GRUR 2010, 654 Rn.18 - Zweckbetrieb und vom 1. Dezember 2016 - I ZR 143/15, WRP 2017, 536 Rn. 20 - Zulassungsverzicht bei Hilfsmitteln). Dieser Zweck muss nicht der einzige und nicht einmal der primäre sein (Köhler, in: Bornkamm/Köhler, UWG, 36. Aufl., § 3a Rn. 1.61 ff.).

Nach dem erst im Verlauf des Gesetzgebungsverfahrens (vgl. zum Gesetzesentwurf der Bundesregierung, Entwurf eines Gesetzes zur Neuregelung des Schonsteinfegerwesens, BT-Drucks. 16/9237, S. 9 ff, in der § 19 lediglich vier Absätze enthält) eingefügten - und auch durch die Neufassung des Gesetzes vom 17. Juli 2017 unverändert gebliebenen - Abs. 5 Satz 1 in § 19 SchfHwG (vgl. Beschlussempfehlung und Bericht des Ausschusses für Wirtschaft und Technologie zu dem Gesetzesentwurf der BReg, BT-Drucks. 16/9794, S. 5) dürfen

„Bevollmächtigte Bezirksschornsteinfeger und Bezirksschornsteinfegermeister (dürfen) die Daten nach Absatz 1 nur nutzen, soweit das zur Erfüllung ihrer Aufgaben nach diesem Gesetz erforderlich ist.“

Dadurch und durch die in Satz 2 und 3 des Abs. 5 eingefügten Einschränkungen zur Datenweitergabe an öffentliche und nichtöffentliche Stellen sollte dem Bedenken des Sanitär-, Heizungs- und Klimahandwerks Rechnung getragen und ein „Datenmissbrauch“ durch bevollmächtigte Bezirksschornsteinfegerinnen und-schornsteinfeger zu Wettbewerbszwecken ausgeschlossen werden (BT-Drucks. 16/9794, S. 18). Damit dient § 19 Abs. 5 SchfHwG dazu, die Freiheit der wettbewerblichen Entfaltung zu schützen. Es handelt sich mithin um eine Marktverhaltensregelung, bei deren Verletzung eine unlautere geschäftliche Handlung im Sinne der §§ 3, 3a UWG vorliegt.

b) Der Beklagte hat die ihm nach § 19 Abs. 5 S. 1 SchfHwG obliegende Verpflichtung verletzt, die Daten aus dem Kehrbuch nur insoweit zu nutzen, als das zur Erfüllung seiner Aufgaben erforderlich ist, indem er sich mit Terminsankündigung vom 16. Januar 2017 gegenüber der Zeugin S. zur Durchführung von freien Arbeiten angemeldet hat, ohne vorher von ihr oder ihrem Ehemann dazu beauftragt worden zu sein (vgl. unter bb) aaa)), und indem seine beiden Mitarbeiter S. und W. am 11. Januar 2017 unangemeldet bei dem Zeugen J. zur Überprüfung der Abgaswege erschienen sind, ohne dass dieser zuvor die Leistung bestellt oder in Auftrag gegeben hatte (vgl. unter bb) bbb)). Von diesem Sachverhalt ist nach der vom Landgericht durchgeführten Beweisaufnahme auszugehen."


Den Volltext der Entscheidung finden Sie hier:

EuGH: Datenschutzrechtliche Vorgaben gelten auch für Religionsgemeinschaften die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten

EuGH
Urteil vom 10.07.2018
C-25/17
Tietosuojavaltuutettu / Jehovan todistajat – uskonnollinen yhdyskunta

Der EuGH hat entschieden, dass die datenschutzrechtlichen Vorgaben auch für Religionsgemeinschaften gelten, die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten. Vorliegend ging es um die Zeugen Jehovas.

Die Pressemitteilung des EuGH:

Eine Religionsgemeinschaft wie die der Zeugen Jehovas ist gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden

Die im Rahmen einer solchen Tätigkeit erfolgenden Verarbeitungen personenbezogener Daten müssen mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen im 17. September 2013 verbot die Tietosuojalautakunta (finnische Datenschutzkommission) der Jehovan todistajat – uskonnollinen yhdyskunta (Religionsgemeinschaft der Zeugen Jehovas in Finnland), im Rahmen der von ihren Mitgliedern von Tür zu Tür durchgeführten Verkündigungstätigkeit personenbezogene Daten zu erheben oder zu verarbeiten, ohne dass die rechtlichen Voraussetzungen der Verarbeitung solcher Daten eingehalten werden.

Die Mitglieder dieser Gemeinschaft machen sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können die Namen und Adressen der aufgesuchten Personen sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären. Die Gemeinschaft der Zeugen Jehovas und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den verkündigenden Mitgliedern aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen Jehovas eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet.

Das Vorabentscheidungsersuchen des Korkein hallinto-oikeus (Oberster Verwaltungsgerichtshof, Finnland) betrifft im Wesentlichen die Frage, ob die Gemeinschaft den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt, weil sich ihre Mitglieder bei der Ausübung ihrer Verkündigungstätigkeit von Tür zu Tür veranlasst sehen können, sich Notizen über den Inhalt ihrer Gespräche und insbesondere die religiöse Orientierung der von ihnen aufgesuchten Personen zu machen.

In seinem heute verkündeten Urteil stellt der Gerichtshof zunächst fest, dass die von den Mitgliedern der Gemeinschaft der Zeugen Jehovas von Tür zu Tür durchgehführte Verkündigungstätigkeit nicht unter die Ausnahmen fällt, die die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten vorsehen. Insbesondere ist diese Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit, für die diese Vorschriften nicht gelten. Der Umstand, dass die Verkündigungstätigkeit von Tür zu Tür durch das in Art. 10 Abs. 1 der Charta der Grundrechte der EU verankerte Grundrecht auf Gewissens- und Religionsfreiheit geschützt ist, verleiht ihr keinen ausschließlich persönlichen oder familiären Charakter, da sie über die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft hinausgeht.

Sodann weist der Gerichtshof einschränkend darauf hin, dass die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten nur dann auf die manuelle Verarbeitung von Daten anwendbar sind, wenn diese Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Da im vorliegenden Fall die Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, stellt sich die Frage, ob die verarbeiteten Daten in einer Datei gespeichert sind oder gespeichert
werden sollen. Insoweit gelangt der Gerichtshof zu dem Ergebnis, dass der Begriff „Datei“ jede Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so
strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

Demnach müssen die Verarbeitungen personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erfolgen, mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen. Zu der Frage, wer als für die Verarbeitung der personenbezogenen Daten Verantwortlicher angesehen werden kann, weist der Gerichtshof darauf hin, dass der Begriff „für die Verarbeitung Verantwortlicher“ mehrere an dieser Verarbeitung beteiligte Akteure betreffen kann, wobei dann jeder von ihnen den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt. Diese Akteure können in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Der Gerichtshof stellt außerdem fest, dass aus keiner Bestimmung des Unionsrechts geschlossen werden kann, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen muss. Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nimmt und damit an der Entscheidung
über die Zwecke und Mittel dieser Verarbeitung beteiligt ist, als für die Verarbeitung Verantwortlicher angesehen werden.

Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure nicht voraus, dass jeder von ihnen Zugang zu den personenbezogenen Daten hat. Im vorliegenden Fall ist davon auszugehen, dass die Gemeinschaft der Zeugen Jehovas dadurch, dass sie die Verkündigungstätigkeit ihrer Mitglieder organisiert und koordiniert und zu ihr ermuntert, gemeinsam mit ihren verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten der aufgesuchten Personen beteiligt ist, was jedoch das finnische Gericht anhand sämtlicher Umstände des vorliegenden
Falles zu beurteilen hat. Der in Art. 17 AEUV niedergelegte Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften stellt diese Würdigung nicht in Frage.

Der Gerichtshof gelangt zu dem Schluss, dass nach den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitung personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf die Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu dieser Datenverarbeitung gegeben hat.


Den Volltext der Entscheidung finden Sie hier:



Volltext BGH: Dashcam-Aufnahmen trotz Verstoß gegen Datenschutzrecht als Beweismittel im Unfallhaftpflichtprozess verwertbar

BGH
Urteil vom 15.05.2018
VI ZR 233/17
ZPO §§ 284, 286; BDSG §§ 6b, 28

Wir hatten bereits in dem Beitrag BGH: Dashcam-Aufnahmen sind trotz Verstoß gegen Datenschutzbestimmungen als Beweismittel im Unfallhaftpflichtprozess verwertbar über die Entscheidung berichtet.

Leitsätze des BGH:

a) Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens ist mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar.

b) Die Verwertung von sogenannten Dashcam-Aufzeichnungen, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hat, als Beweismittel im Unfallhaftpflichtprozess ist dennoch zulässig.

BGH, Urteil vom 15. Mai 2018 - VI ZR 233/17 - LG Magdeburg - AG Magdeburg

Den Volltext der Entscheidung finden Sie hier:


Rechtsanwalt Marcus Beckmann im Online-Artikel der Internet World Business - DSGVO: Die Angst vor der Abmahnflut - Statements weshalb diese ausgeblieben ist

Im Rahmen des Online-Beitrags Datenschutzgrundverordnung - DSGVO: Die Angst vor der Abmahnflut der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Frage, weshalb die befürchtete Abmahnwelle wegen Verstößen gegen die Datenschutzgrundverordnung ( DSGVO ) bislang ausgeblieben ist.

OLG Köln: DSGVO schließt Anwendung des KUG jedenfalls im journalistischen Bereich nicht aus - KUG erlaubt Abwägung der betroffenen Grundrechte

OLG Köln
Beschluss vom 18.06.2018
15 W 27/18


Das OLG Köln hat zutreffend entschieden, dass die Normen der DSGVO die Anwendung des KUG jedenfalls im journalistischen Bereich nicht ausschließt. Insbesondere erlaubt das KUG eine umfassende Abwägung der betroffenen Grundrechte.

Die Entscheidungsgründe:

Die gemäß §§ 127, 569 ZPO zulässige sofortige Beschwerde des Antragstellers ist nicht begründet. Die beabsichtigte Rechtsverfolgung hat keine Aussicht auf Erfolg (§ 114 ZPO).

Maßgeblich für die Entscheidung ist bereits, dass der Antragsteller – worauf auch das Landgericht hingewiesen hat – den streitgegenständlichen Fernsehbeitrag nicht in seiner Gesamtheit zu den Akten gereicht hat. Die von ihm eingereichten, höchst lückenhaften Fragmente aus der Sendung belegen zum einen nur Teile der von ihm gerügten konkreten Verletzungsformen. Darüber hinaus ist der Senat mangels Glaubhaftmachung nicht in der Lage, die angeblichen Verletzungshandlungen im Gesamtkontext verlässlich zu prüfen, insbesondere die Frage zu bewerten, ob es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt, zumal – wie das Landgericht zutreffend ausgeführt hat – die Vorgänge um die Räumung, Sperrung und Bewachung des Gebäudes „I“ von erheblichem öffentlichem Interesse sind.

Der Senat geht allerdings nach eigener Überprüfung aufgrund der – lückenhaften - Aktenlage derzeit davon aus, dass das Landgericht die Vorschriften des KUG zutreffend angewandt hat und dass dem Antragsteller gegen den Antragsgegner kein Unterlassungsanspruch gemäß §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG zusteht, da Bildnisse der Zeitgeschichte im Sinne von § 23 Abs.1 Nr. 1 KUG in Rede stehen. Das Landgericht hat hierzu unter zutreffender Anwendung der maßgeblichen höchstrichterlichen Grundsätze richtig ausgeführt. Hierauf wird zwecks Vermeidung unnötiger Wiederholung mit folgender Ergänzung verwiesen: Soweit mit dem Antrag des Antragstellers formuliert ist, es zu unterlassen, das Bildnis des Antragstellers „weiterhin kenntlich zur Schau zu stellen“, so umfasst dies – als Minus - auch eine etwaige Verpixelung, auf die gegebenenfalls in Hinblick auf § 938 Abs. 1 ZPO erkannt werden könnte. Ob allerdings eine solche Verpixelung bei Würdigung der Gesamtumstände zur Wahrung der Interessen des Antragstellers im Sinne des § 23 Abs. 2 KUG erforderlich ist, ist von Antragstellerseite ebenfalls nicht glaubhaft gemacht. Denn hierfür wäre - da auch in diesem Zusammenhang auf den Gesamtkontext abzuheben ist - eine Darstellung des gesamten Beitrages nötig gewesen.

Soweit der Antragsteller sich mit der Beschwerdebegründung auf die Datenschutzgrundverordnung (DS-GVO) beruft, geht dies fehl

Artikel 85 DS-GVO erlaubt wie die Vorgängerregelung in Art 9 der Richtlinie RL 95/46/EG nationale Gesetze mit Abweichungen von der DS-GVO zugunsten der Verarbeitung zu journalistischen Zwecken. Er enthält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sie sich einfügen – erfassen kann. Dies zeigt sich auch daran, dass für den Bereich des Art. 85 DS-GVO nur die Frage der nachträglichen Notifizierungspflicht strittig ist (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 66).

Insgesamt verkennt der Antragsteller, dass die Tätigkeit des Antragsgegners durch den gerade mit Blick auf Art. 85 DS-GVO durch das 16. RundfunkänderungsG vom 8.5.2018 (GV. NRW. S. 214) neu gefassten § 48 WDR-Gesetz (vgl. auch § 46 LMG und § 12 LPresseG) geregelt worden ist, wonach sich die Verarbeitung personenbezogener Daten zu journalistischen Zwecken durch den Antragsgegner nach Maßgabe der §§ 9c und 57 des Rundfunkstaatsvertrages in der jeweils geltenden Fassung bestimmt. Diese normieren – ebenfalls mit Blick auf Art 85 DS-GVO gerade neu gefasst – in §§ 9c, 57 RStV dann das früher in § 41 BDSG a.F. enthaltene sog. „Medienprivileg“. Nach den Regelungen gelten außer den Kapiteln I, VIII, X und XI der DS-GVO nur Artikel 5 Abs. 1 Buchst. f in Verbindung mit Abs. 2, Artikel 24 und Artikel 32 DS-GVO und damit nicht die Regelungen, auf die der Antragsteller sich hier beruft.

Aus Sicht des Senates bestehen hiergegen keine europarechtlichen Bedenken. Art 85 Abs. 2 DS-GVO macht im Kern keine materiell-rechtlichen Vorgaben (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 3, 34, 67, 72 ff.), sondern stellt nur auf die Erforderlichkeit zur Herbeiführung der praktischen Konkordanz zwischen Datenschutz einerseits und Äußerungs- und Kommunikationsfreiheit andererseits ab. Da Datenschutzregelungen als Vorfeldschutz letztlich immer die journalistische Arbeit beeinträchtigen, sind daher hier keine strengen Maßstäbe anzulegen (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 61). Dies ist auch vor dem Hintergrund zu sehen, dass Art 85 DS-GVO gerade den Normzweck hat, einen sonst zu befürchtenden Verstoß der DS-GVO gegen die Meinungs- und Medienfreiheit zu vermeiden (vgl. etwa Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 1). Der Erwägungsgrund 4 S. 3 der DS-GVO will solche Komplikationen gerade ausschließen.

Mit Blick darauf sind dann Ausführungen des Landgerichts im Nichtabhilfebeschluss zum „Fortgelten“ des KUG im journalistischen Bereich und das Berufen auf den zitierten Aufsatz Lauber-Rönsberg/Hartlaub, NJW 2017, 1057 ff. überzeugend. Für das Äußerungsrecht (§ 823 Abs. 1 BGB i.V.m. APR) ist auch bereits thematisiert worden, dass dieses die Abwägungs- und Ausgleichsfunktion zur Herbeiführung praktischer Konkordanz der widerstreitenden Grundrechtspositionen im hiesigen Bereich übernehmen kann (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 8); für das KUG kann im Bereich der Bildberichterstattung nichts anderes gelten. Die umfangreichen Abwägungsmöglichkeiten im Rahmen des KUG erlauben dann auch – was künftig geboten sein dürfte – eine Berücksichtigung auch der unionsrechtlichen Grundrechtspositionen. Dass sich daraus hier etwas anderes ergeben sollte, ist weder vorgetragen noch ersichtlich. Insbesondere ist dem Senat keine Abweichung zu den – ohnehin in der Abwägung bewusst offen gehaltenen (Überblick bei Ehmann/Selmayr/Schiedermair, DS-GVO 2017, Art 85 Rn. 8 – 15 m.w.N.) – Rspr. des EuGH bzw. des EGMR ersichtlich; auch Erwägungsgrund 153 der DS-GVO wünscht in diesem Bereich nur eine - national im Zuge des § 823 Abs. 1 BGB als Rahmenrecht bzw. bei §§ 22, 23 KUG ohnehin erfolgende - umfassende Abwägung der widerstreitenden Grundrechtspositionen.

Aus den zur Glaubhaftmachung eingangs gemachten Ausführungen kommt es darauf aber letztlich auch nicht entscheidend an, so dass auch nicht mit Blick auf diese Rechtsfragen ausnahmsweise Prozesskostenhilfe zu gewähren wäre.

Eine Kostenentscheidung ist nicht veranlasst, § 127 Abs. 4 ZPO.

Den Volltext der Entscheidung finden Sie hier:



SG München: Grundsatz der Datensparsamkeit gilt nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes

SG München
Urteil vom 21.06.2017
S 38 KA 1792/14


Das SG München hat entschieden, dass der Grundsatz der Datensparsamkeit nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes gilt.

Aus den Entscheidungsgründen:

Unstrittig dürfte sein, dass auch für den Notarzt eine Dokumentationspflicht besteht und mit „emDoc“ der gesetzliche Auftrag der Dokumentation in Art. 46 Abs. 1 BayRDG umgesetzt werden kann. Danach hat der Notarzt die Pflicht, die Einsätze und die dabei getroffenen aufgabenbezogenen Feststellungen und Maßnahmen zu dokumentieren. Die Dokumentation hat nach Art. 46 Abs. 3 BayRDG nach einheitlichen Grundsätzen zu erfolgen. Gemäß Art. 34 Abs. 8 BayRDG ist für den Vollzug der Abs. 2-7 und des Art. 35 (insbesondere Vollzug der Benutzungsentgeltvereinbarung) eine Zentrale Abrechnungsstelle eingeschaltet, die auch Auszahlungen auf die mit den Sozialversicherungsträgern vereinbarten oder rechtskräftig festgesetzten Kosten der Leistungserbringung an die Kassenärztliche Vereinigung Bayerns vornimmt (vgl. § 34 Abs. 8 Ziff. 5 BayRDG).

Die Einführung von “emDoc“ soll insbesondere dazu dienen, dass die gesetzlich vorgeschriebene Dokumentation (Art. 46 BayRDG) und deren Einheitlichkeit (Art. 46 Abs. 3 BayRDG) sichergestellt wird. Ferner soll sie dem Qualitätsmanagement dienen.

Wie die Dokumentation im Einzelnen für den Notarzt im Detail aussehen soll, ist allerdings gesetzlich nicht geregelt. Hierfür finden sich weder im Bayerischen Rettungsdienstgesetz (Art. 46, 47 BayRDG), noch in §§ zu 285, 294, 295 SGB V entsprechende Anhaltspunkte. In diesem Zusammenhang ist fraglich, ob die Grund-sätze der sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts (vgl. BVerfG Entscheidung vom 08.08.1978, Az. 2 BvL 8/77) und das rechtsstaatliche Gebot der Normenklarheit (vgl. BVerfG, Entscheidung vom 15.12.1983, Az. 1 BvR 209/83) eingehalten wurden.

Abgesehen davon ist die Zulässigkeit der Dokumentation nicht unbegrenzt, soweit es sich um die Erfassung personenbezogener Daten handelt. Nach Art. 47 Abs. 1 BayRDG dürfen personenbezogene Daten unter anderem nur erhoben werden, wenn dies für rettungsdienstliche Aufgaben (Art. 47 Abs. 1 Ziff. 1-6 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung erforderlich ist oder die betroffene Person eingewilligt hat. Damit wird wie in anderen gesetzlichen Regelungen (vgl. § 35 Abs. 2 SGB I i.V.m. § 67 a SGB X, § 284 Abs. 1 S. 1 SGB V, § 285 Abs. 1 und 2 SGB V) die Zulässigkeit der Erhebung von der Daten von der Erforderlichkeit abhängig gemacht. Die Erforderlichkeit der Datenerhebung nach Art. 47 Abs. 1 BayRDG ist von dem Grundsatz der Datensparsamkeit zu unterscheiden. Letzterer ist ausdrücklich in § 3a Bundesdatenschutzgesetz (BDSG) genannt. Dieser Grundsatz der Datensparsamkeit gilt jedoch im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes (BayRDG) nicht. Nach § 1 Abs. 3 BDSG gehen zwar nur andere Rechtsvorschriften des Bundes den Vorschriften des BDSG vor. Ein Nachrang gegenüber Landesgesetzen besteht somit nicht. Jedoch sind die allgemeinen Datenschutzregeln des § 285 Abs. 2 SGB V, die sich ebenfalls auf die Zulässigkeit der Erhebung personenbezogener Daten durch die Kassenärztliche Vereinigung beziehen und ebenfalls wie Art. 47 BayRDG auf die Erforderlichkeit, nicht aber die Datensparsamkeit abstellen, sowie die Datenschutzregeln des § 35 SGB I i.V.m. §§ 67 ff. SGB X heranzuziehen, so dass eine Anwendung von § 3a BDSG ausscheidet (vgl. LSG Baden-Württem-berg, Urteil vom 21.06.2016, L 11 KR 2510/15).

Nach Auffassung des Gerichts bestehen gegen die Dokumentation, wie sie in der aktuellen Fassung (Kurz-Fassung) vorgesehen ist, rechtliche Bedenken, insbesondere vor dem Hintergrund datenschutzrechtlicher Aspekte.

Zwar hat der Datenschutzbeauftragte in seiner Stellungnahme vom 12.01.2010 zum Projekt („emDoc“) die Auffassung geäußert, „die Erhebung und Speicherung personenbezogener Daten durch die KVB im Rahmen des Projekts „emDoc“ könne zur Erfüllung rettungsdienstlicher Aufgaben im Ergebnis als erforderlich angesehen werden. Außerdem wurde auf die Begründung zur Novelle des Bayerischen Rettungsdienstgesetzes hingewiesen. Dort sei zum Ausdruck gebracht worden, dass der Gesetzgeber eine Erhebung und Speicherung personenbezogener Daten zu den in Art. 47 genannten Zwecken für zulässig erachte, weil andernfalls ein zweiter Datensatz notwendig wäre und dies in der Praxis einen erheblichen Zeitaufwand bedeuten würde (siehe Landtags-Drucksache 15/10391, Anmerkungen zu Art. 47 - Datenschutz). Die Stellungnahme bezieht sich jedoch nicht auf die aktuelle Kurz-Fassung von „emDoc“. Außerdem ist sie für das Gericht nicht bindend.

Die Beklagte beruft sich insbesondere darauf, die in „emDoc“ vorgesehenen Daten seien im Hinblick auf die Abrechnung der erbrachten Leistungen bzw. aus Gründen der Qualitätssicherung notwendig. Damit beruft sie sich auf Art. 47 Abs. 1 Ziff. 2 bzw. auf Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG. Fraglich scheint zunächst, ob es sich bei den Angaben über die Einsatzzeit, die Kreisverbandsnummer, die Wache, die Auftragsnummer des Rettungstransportwagens, die PLZ, den Einsatzort und die Alarmierungszeit um personenbezogene Daten handelt. Denn ein direkter Zusammenhang mit einer bestimmten Person besteht nicht. Es reicht aber aus, dass es sich um personenbeziehbare Daten handelt (vgl. Kassler Kommentar, Komment. zum SGB, Rn 5 zu § 284 SGB V). Personenbeziehbare Daten sind personenbezogenen Daten gleichzusetzen. Kann beispielsweise durch Zusammenfügen von Daten auf eine bestimmte Person geschlossen werden, liegen personenbeziehbare Daten vor. Die geforderten Pflichtangaben in „emDoc“ lassen nach Auffassung des Gerichts in Gesamtschau befürchten, dass eine Identifizierung möglich ist.

Soweit sich die Beklagte auf Gründe der Qualitätssicherung (Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG) bezieht, lässt sich daraus aktuell eine Erforderlichkeit nicht herleiten. Denn die Beteiligten haben übereinstimmend angegeben, dass eine Dokumentation aus Gründen der Qualitätssicherung bis zur Neuregelung von „emDoc“ ausgesetzt wurde. Insofern widerspricht sich die Beklagte, wenn sie sich auf Gründe der Qualitätssicherung beruft.

Somit ist zu prüfen, ob die Dokumentation personenbeziehbarer Daten, die vom Kläger abverlangt wird, aus sonstigen rettungsdienstlichen Gründen - mit Ausnahme der Gründe der Qualitätssicherung - erforderlich ist. Die Beklagte hält die Erhebung der Daten insbesondere zur Abrechnung der erbrachten Leistungen (Art. 47 Abs. 1 Ziff. 2 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung für erforderlich.

Auch nach der hierzu von der Beklagten vom Gericht ausdrücklich angeforderten und abgegebenen Stellungnahme ist nicht nachvollziehbar, warum die Angaben, die vom Kläger abverlangt werden und von ihm beanstandet werden, zur Abrechnung der im Notarztdienst erbrachten Leistungen erforderlich sein sollen. Bedeutsam ist, dass auch im Datenschutzrecht der Verhältnismäßigkeitsgrundsatz gilt. Der in Art. 47 BayRDG formulierte Datenschutz als Ausfluss des Persönlichkeitsrechts von Art. 2, 1 Grundgesetz verlangt, dass die Einschränkung des Rechts auf informationelle Selbstbestimmung hinreichend aus Gründen des Allgemeinwohls gerechtfertigt wird, das gewählte Mittel zur Erreichung des Zwecks geeignet und erforderlich ist und bei der Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der rechtfertigen Gründe die Grenze des Zumutbaren noch gewahrt ist (vgl. BVerfG 65, 1,41 f.; 56, 37, 41ff.). Auszuschließen und mit Datenschutzrecht nicht vereinbar ist, wenn personenbezogene Daten zu noch nicht bestimmbaren Zwecken, quasi auf Vorrat gesammelt werden (vgl. Kassler Kommentar, Komment. zum SGB, Rn 7 zu § 284).

Die obligatorischen Angaben über die Nummer des Kreisverbands, Wache des Rettungswagen, Postleitzahl, Einsatzort, Auftragsnummer der Leitstelle für den Rettungswagen dienen nach Auffassung des Gerichts nicht der Abrechnung der Leistungen des Notarztes, sondern vielmehr, wie von der Beklagten eingeräumt wird, allenfalls dem Datenabgleich bei der Zentralen Abrechnungsstelle für den Rettungsdienst Bayern GmbH (ZAST). Die Aufgabe der ZAST, einer juristischen Person des Privatrechts besteht nach Art. 34 Abs. 8 BayRDG u.a. darin, die Abrechnung der Einsätze aller Durchführenden des öffentlichen Rettungsdienstes gegenüber den Kostenträgern durchzuführen. So sind auch Auszahlungen an die Kassenärztliche Vereinigung Bayerns vorzunehmen. Ein Abgleich der Daten des Notarztes einerseits und der sonstigen Durchführenden des Rettungsdienstes ist aber speziell zur Abrechnung der Leistungen des Notarztes nicht erforderlich und nicht von Art. 47 Abs. 1 BayRDG bzw. §§ 285 Abs. 2, 295 Abs. 1 SGB V gedeckt. Letztendlich führt die „Zwischenschaltung“ der ZAST, die gesetzlich zwar in Art. 34 Abs. 8 BayRDG vorgesehen ist, dazu, dass ein „Mehr“ an Daten u.U. erforderlich ist. Diese „Zwischenschaltung“ rechtfertigt aber nicht das Erfordernis der Erhebung dieser Daten. Im Gegenteil! Je mehr Stellen die Daten zugänglich gemacht werden bzw. zugänglich zu machen sind, umso mehr besteht die Gefahr des Datenmissbrauchs. Deshalb sind bei dieser Konstellation an die Erforderlichkeit der Datenerhebung äußerst strenge Maßstäbe zu stellen. Im Übrigen erscheint die Aussage der Beklagten, die Angaben dienten der „Verifizierung“ des Einsatzes, sehr pauschal, zumal auch Art. 47 Abs. 1 Ziff. 2 BayRDG nicht von einer „Verifizierung“, sondern von der „Abwicklung“ des Einsatzes spricht. Davon abgesehen kann es nicht Aufgabe des Notarztes sein, im Nachhinein ihm zunächst nicht bekannte Daten (Kreisverbandsnummer, Nummer der Rettungswache) zu erfragen.

Ebensowenig besteht eine Erforderlichkeit der Angaben über Alarmzeit und Zeit des Einsatzendes, Postleitzahl und Einsatzort zu Abrechnungszwecken. Diese Angaben mögen bestimmte Vergütungszuschläge auslösen, sind aber nicht abrechnungsrelevant. Wenn hierzu keine Angaben gemacht werden, entfällt ein etwaiger Zuschlag. Gegen eine freiwillige Angabe - wenn also der Notarzt auch Zuschläge abrechnen will - bestehen aber keine rechtlichen Bedenken.


Den Volltext der Entscheidung finden Sie hier:



VG Bayreuth: Einsatz von Facebook Custom Audience verstößt gegen Datenschutzrecht und kann von Datenschutzbehörde untersagt werden

VG Bayreuth
Beschluss vom 08.05.2018
B 1 S 18.105


Das VG Bayreuth hat entschieden, dass der Einsatz von Facebook Custom Audience gegen Datenschutzrecht verstößt und von Datenschutzbehörde untersagt werden kann.

Aus den Entscheidungsgründen:

"Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

b) Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Antragstellerin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen (S. 24 des Klage-/Antragsschriftsatzes vom 01.02.2018).

c) Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen (vgl. hierzu Plath a.a.O., § 11 Rn. 20 m.w.N.). Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.

aa) Die Antragstellerin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind (vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.).

Soweit die Antragstellerin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Antragstellerin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird (Simitis a.a.O., § 28 Rn. 232) – die Verwendung einer zusätzlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei
E-Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält (vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“).

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.

Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Antragstellerin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. F.), würde aber vorgelagert eine rechtmäßige Datenerhebung F.s voraussetzen. Der hier zu würdigende Übermittlungsakt von der Antragstellerin an F. wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet (vgl. Plath a.a.O., § 28 Rn. 144).

Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Antragstellerin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Antragstellerin aus (dazu nachfolgend unter II. 1. a) bb)).

Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre. Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, C-468/10 und C-469/10 – juris Rn. 47 f.). Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.

bb) Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“ (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62).

Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten (vgl. dazu oben) bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden. Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte (vgl. Plath a.a.O., § 28 Rn. 124). Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Antragstellerin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen (Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.). Allein der Umstand, dass es sich um Angebote der Antragstellerin handelt, die dem Betroffenen bei F. angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Antragstellerin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Antragstellerin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an F. Personen, die ihre Daten vor diesem Datum an die Antragstellerin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Antragstellerin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei F. hochgeladen worden sind, ist somit unerheblich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann (vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.). Zu berücksichtigen ist daher auch, dass die Antragstellerin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an F. einzuholen.

Somit geht auch die Interessenabwägung zu Ungunsten der Antragstellerin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.

d) Die Datenübermittlung an F. ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.

Letztlich geht somit auch die im Rahmen des Verfahrens nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zu deren Nachteil aus. Nachdem die derzeitigen Zustände sich voraussichtlich als datenschutzwidrig darstellen, ist es geboten, diesen Zustand auch schon vor einer (rechtskräftigen) Entscheidung in der Hauptsache zu beenden."

Den Volltext der Entscheidung finden Sie hier: