Skip to content

EuGH: Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen sind nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig

EuGH
Urteil vom 11.01.2024
C‑231/22


Der EuGH hat entschieden, dass die Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind.

2. Art. 5 Abs. 2 in Verbindung mit Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen.

Den Volltext der Entscheidung finden Sie hier:

ArbG Suhl: Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail verstößt gegen Art. 5 DSGVO - Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eins konkreten Schadens

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23


Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“


Den Volltext der Entscheidung finden Sie hier:


VG München: DSGVO-Verstoß durch Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung

VG München
Beschluss vom 22.11.2023
M 7 E 23.5047


Das VG München hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung nicht mit der DSGVO vereinbar ist.

Aus den Entscheidungsgründen:
3. Auch aus dem unionalen und nationalen Datenschutzrecht dürfte keine Ermächtigung zur Durchführung der streitgegenständlichen Maßnahmen folgen.

Der Anwendungsbereich der DSGVO ist eröffnet, da es sich bei den Informationen, die durch die streitgegenständlichen Maßnahmen erhoben werden sollen, um personenbezogene Informationen i. S. v. Art. 4 Nrn. 1 und 2 DSGVO handelt. Ein Personenbezug liegt nicht nur dann vor, wenn die Maßnahmen Personen möglicherweise (mit-)aufzeichnen, was hier durchaus im Bereich des Möglichen liegen könnte (vgl. OVG Saarl, U.v. 14.9.2017 ‒ 2 A 213/16 ‒ juris Rn. 23). Selbst wenn durch die streitgegenständlichen Maßnahmen tatsächlich keine Person mitaufgezeichnet würde, liegt der Personenbezug jedoch gleichwohl vor. Gemäß Art. 4 Nr. 1 DSGVO bezeichnen „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten etc. identifiziert werden kann. Die Informationen erfüllen die jeweils eigenständig zu prüfenden Merkmale (vgl. Klar/Kühling in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 4 Rn. 11) des Personenbezugs und der Identifizierbarkeit der Person. Bei den bildlichen Aufzeichnungen und ihrer anschließenden Auswertung insbesondere durch Erstellen von Modellen handelt sich nicht um Sachdaten, sondern um Informationen, die sich auf eine natürliche Person beziehen. Wenn in der Information über eine Sache aufgrund individualisierender Identifikationsmerkmale, des Detaillierungsgrads oder der Einzigartigkeit der Sache ein Personenbezug angelegt ist, handelt es sich um ein personenbezogenes Datum (vgl. Klar/Kühling a.a.O. Rn. 13). Der Personenbezug ergibt sich bei den streitgegenständlichen Maßnahmen aus mehreren Erwägungen. Es handelt sich bei den bildlichen Aufzeichnungen von Grundstücken (und daraus erstellten Modellen) nicht lediglich um Sachdaten, sondern um personenbezogene Daten. Der Personenbezug ergibt sich aus der Georeferenziertheit der Daten und der nachträglichen Bearbeitung der Daten durch den Ingenieurdienstleister. Die bildlichen Aufzeichnungen („Rohdaten“) zeigen stets auch die exakten Positionsdaten der Drohne wie die Flughöhe im Augenblick des Bildes, die geographische Lagebestimmung, die Aufnahmerichtung und den Neigungswinkel an. Auch die nachträgliche Verknüpfung der bildlichen Aufzeichnung mit den Informationen wie Name, Anschrift und Flurstücknummer stellt den Personenbezug i. S. v. Art. 4 Nr. 1 DSGVO her (ausdrücklich für die Anschrift als individualisierendes Identifikationsmerkmal Klar/Kühling a.a.O. Rn. 13). Zudem weisen die beabsichtigten Aufnahmen einen hohen Detailgrad auf und es handelt sich bei den aufzuzeichnenden Informationen um Wohngrundstücke. Die Aufzeichnungen sollen u. a. Terrassen und Balkone erfassen. Durch (leicht) seitliche Aufnahmen werden bei dem beabsichtigten Vorgehen auch Fenster zu (Wohn-)Räumen erfasst. Auch wenn man zu Gunsten der Antragsgegnerin von einem Detailgrad von drei Zentimetern ausgeht, könnten konkrete Details der Wohnverhältnisse erfasst werden. Auf nicht-überdachten Flächen wie Terrassen könnten Gegenstände von einer Größe über drei Zentimeter erfasst werden. Unter überdachten Flächen ist die Aufzeichnung der Wohnverhältnisse nicht ausgeschlossen. Die (leicht) seitliche Perspektive würde auch das Erfassen der Wohnverhältnisse in der Nähe eines Fensters oder einer Glastür ermöglichen. Wie weit durch die seitliche Perspektive der Einblick in Fenster und Glastüren ermöglicht wird, hängt von der konkreten Flugroute, während der Aufzeichnungen angefertigt werden, sowie von der vorhandenen Bebauung, dem Abstand zwischen den Gebäuden und dem Baumbestand ab. Je größer der Abstand zwischen zwei Wohngebäuden und je geringer der Baumbestand wäre, desto umfassender wären die möglichen Aufzeichnungen der Wohnverhältnisse. Ob der Ingenieurdienstleister die Grundstücke einzelnen befliegt oder eine zusammenhängende Befliegung mehrerer benachbarter Grundstücke „am Stück“ bei durchgehender Aufzeichnung vornimmt, kann zumindest im Eilverfahren offenbleiben. Bei lebensnaher Betrachtung ergeben sich die Vorzüge der Drohnenbefliegung gegenüber anderen Möglichkeiten der Geschossflächenermittlung indes daraus, dass in einem oder wenigen einheitlichen Vorgängen eine Vielzahl von Grundstücken erfasst wird. Bei durchgehender Aufzeichnung während der Befliegung wäre eine besonders weitreichende Aufzeichnung der Wohnverhältnisse durch Fenster und Glastüren möglich. Der Antragsteller ist durch die verarbeiteten Informationen auch identifizierbar. Ausgehend von den durch den Ingenieurdienstleister erstellten Modellen und Plänen folgt die Identität des Antragstellers unmittelbar aus der Information selbst. Mit Blick auf die Rohdaten wie bspw. „Orthofotos“ ist der Antragsteller zumindest unter Zuhilfenahme weiterer Informationen identifizierbar.

Die Verarbeitung personenbezogener Daten dürfte auch nicht gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO i. V. m. Art. 4 Abs. 1 BayDSG rechtmäßig sein.

Richtet sich die Datenverarbeitung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO nach dem Recht der Mitgliedstaaten, handelt es sich bei Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO nicht um die Rechtsgrundlage zur Datenverarbeitung, sondern um eine Vorschrift mit Richtliniencharakter. Die eigentliche Legitimationsgrundlage muss im (unionalen oder) nationalen Recht geregelt sein. Für öffentliche Stellen der Länder ist gemäß § 1 Abs. 1 Satz 1 BDSG der Anwendungsbereich des Bayerischen Landesdatenschutzgesetzes eröffnet, vgl. auch Art. 1 Abs. 1 Satz 1 BayDSG. Die von Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO vorausgesetzte Rechtsgrundlage ist Art. 4 Abs. 1 BayDSG (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 3; Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 73).

Die streitgegenständlichen Maßnahmen dürften nicht gemäß Art. 4 Abs. 1 BayDSG zur Erfüllung einer der Antragsgegnerin obliegenden Aufgabe erforderlich sein. Da es sich bei Art. 4 Abs. 1 BayDSG um eine Durchführungsvorschrift handelt, richtet sich die Bestimmung der Begriffe „Aufgabe“ und „Erforderlichkeit“ nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Art. 23 Abs. 1 Buchst. a bis Buchst. e DSGVO (vgl. vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 6). Die Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung fällt unter den Auffangtatbestand von Art. 23 Abs. 1 Buchst. e DSGVO (vgl. Bäcker in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, Art. 23 Rn. 22) als wichtiges Ziel des allgemeinen öffentlichen Interesses. Wirtschaftliche und finanzielle Interessen werden von Art. 23 Abs. 1 Buchst. e DSGVO explizit aufgeführt.

Die streitgegenständlichen Maßnahmen dürften jedoch nicht zur Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung erforderlich sein. Bei dem Kriterium der Erforderlichkeit handelt es sich um einen autonomen Begriff des Unionsrechts (vgl. Albers/Veit in Wolff/Brink/v.Ungern-Sternberg, BeckOK Datenschutzrecht, 45. Edition, DSGVO Art. 6 Rn. 60). Die Voraussetzung der Erforderlichkeit stellt sicher, dass der Verantwortliche ein vorgegebenes Ziel nicht zum Anlass nimmt, überschießend personenbezogene Daten zu verarbeiten (vgl. Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 118, 81). Gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist eine Datenverarbeitung erforderlich, wenn ohne die Verarbeitung die Erreichung des Zwecks nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte. Nach Erwägungsgrund 39 zur DSGVO sollten personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Ob Aufwand und Zeit angemessen sind, beurteilt sich nach einer Güterabwägung, in die einerseits die Schutzwürdigkeit der personenbezogenen Daten und andererseits der Verarbeitungszweck einzustellen ist (vgl. Wilde/Ehmann/Niese/Knoblauch in Datenschutz in Bayern, Stand Juni 2018, DSGVO Art. 6 Rn. 35).

Die streitgegenständlichen Maßnahmen dürften nicht erforderlich in diesem Sinne sein. Entgegen dem Vortrag der Antragsgegnerin dürften andere Verfahrensmöglichkeiten bestehen, mit denen der Zweck der Datenverarbeitung auch in zumutbarer Weise zu erreichen ist. So hat auch die Antragsgegnerin neben dem Befliegungsverfahren weitere Verfahrensmöglichkeiten zur Ermittlung der Geschossfläche in Betracht gezogen: die Grundstücksbegehung und das Selbstauskunftsverfahren.

Das Selbstauskunftsverfahren dürfte den Zweck hinlänglich, mit angemessenem Aufwand und in der angemessenen Zeit erreichen können. Es ist davon auszugehen, dass bei der letzten Beitragserhebung in 1995 über das Selbstauskunftsverfahren oder ein anderes geeignetes Verfahren ohne Befliegung und Aufzeichnung die Geschossflächenermittlung erfolgreich umgesetzt wurde. Es ist nicht ersichtlich, dass die Berechnung der Geschossfläche deutlich komplizierter wäre als die Berechnung der Wohnfläche. Der Großteil der Grundstückseigentümer dürfte bereits in der Grundsteuererklärung die Berechnung der Grundstücksfläche und ggf. der Wohnfläche vorgenommen haben und mit dem Selbstauskunftsverfahren vertraut sein. Zwar handelt es sich bei der Geschossfläche um einen anderen Wert als den der Wohnfläche, es dürfte sich jedoch bei beiden Flächen um Werte handeln, die ggf. durch händisches Messen der Bebauung unter Berücksichtigung des normativen Rahmens zu ermitteln sind. Die im Internet frei verfügbaren Berechnungshilfen für die Wohnfläche einerseits und die Geschossfläche andererseits dürften mit Blick auf ihre Anforderungen und die Komplexität des Vorhabens vergleichbar sein. Es ist auch nicht ersichtlich, weshalb bei der Ermittlung der Geschossfläche im Selbstauskunftsverfahren mit erheblichen Unrichtigkeiten und eventuell auch falschen Angaben gerechnet werden müsste. Bei Ermittlung der für die Herstellungsbeiträge erforderlichen Geschossfläche dürfte wie bei Ermittlung der für die Grundsteuer erforderlichen Wohnfläche (und anderen Angaben) davon auszugehen sein, dass die Beitragspflichtigen wie auch die Steuerpflichtigen wahrheitsgemäße Angaben machen, wovon die Antragsgegnerin grundsätzlich ausgehen können dürfte. Es liegen keine konkreten Anhaltspunkte dafür vor, dass die Antragsgegnerin bei Ermittlung der Werte im Selbstauskunftsverfahren in erheblichem Umfang mit bewussten oder unbewussten Falschangaben rechnen müsste. Die Antragsgegnerin hat in diesem Zusammenhang lediglich Vermutungen geäußert, ohne diese durch weiteren Vortrag plausibel zu belegen. Ob bspw. bei der letzten Erhebung des Beitrags und der dabei erfolgenden Geschossflächenermittlung Falschauskünfte zu verzeichnen waren, wurde nicht vorgetragen.

Das Selbstauskunftsverfahren dürfte auch mit angemessenem Aufwand und in der angemessenen Zeit durchführbar sein. Dies indiziert bereits ein der Antragsgegnerin vorliegendes Angebot einer anderen Kommunalberatung zur Kalkulation der Beiträge und Gebühren vom 23. Mai 2023, die ebenfalls mit einem (anderen) Ingenieurdienstleister zur Datenerhebung kooperiert. Nach dem Angebot dieses Ingenieurdienstleisters vom 19. Mai 2023 wurde zur Ermittlung der beitrags- und gebührenrelevanten Flächen vorgeschlagen, entweder auf die kostenpflichtig zu erwerbenden Bilder des Landesvermessungsamts zurückzugreifen und eine (lediglich ergänzende) Selbstauskunft durchzuführen („Alternative 1“) oder auf Grundlage des Amtlichen Liegenschaftskatasters ein reines Selbstauskunftsverfahren („Alternative 2“) durchzuführen. Für das als „Alternative 1“ bezeichnete Verfahren wurde wegen des geringen Baumbestands in der Gemarkung der Antragsgegnerin entgegen der üblichen Vorgehensweise vorgeschlagen, die Luftbilder des Landesvermessungsamtes zu erwerben. Auf dieser Grundlage würden die beitrags- und gebührenrelevanten Flächen ermittelt. Dadurch könnte direkt nach Erwerb der Luftbilder und damit deutlich schneller mit der Datenauswertung begonnen werden. Auch die Vorgehensweise in einem reinen Selbstauskunftsverfahren könnte in angemessener Zeit durchgeführt werden. Um die Rückgabe der Selbstauskunftsformulare zu beschleunigen, stünden der Antragsgegnerin verschiedene Möglichkeiten offen. Sie könnte Fristen setzen, Mahnungen aussprechen, Verspätungszuschläge erheben oder bei Einreichung innerhalb einer genannten Frist eine Reduzierung des Guthabens in Aussicht stellen. Auch der finanzielle Aufwand dürfte sowohl bei dem Rückgriff auf die Bilder des Landesvermessungsamtes als auch bei einem reinen Selbstauskunftsverfahren für die Antragsgegnerin und die Beitragspflichtigen nicht höher, sondern vielmehr niedriger sein.

Gegen die Rechtmäßigkeit der Datenverarbeitung durch die streitgegenständlichen Maßnahmen spricht auch der Grundsatz der Speicherbegrenzung. Nach Art. 5 Abs. 1 Buchst. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der Betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für welche diese verarbeitet werden, erforderlich ist. Aus dem Grundsatz der Speicherbegrenzung folgt das Verbot der Datenerhebung und Datenspeicherung auf Vorrat (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand April 2023, DSGVO Art. 6 Rn. 36). Ist bei der Erhebung nicht absehbar, zu welchem Zweck sie irgendwann einmal benutzt werden könnten, handelt es sich um Datenerhebung und Speicherung auf Vorrat. Sofern die Antragsgegnerin mit der Datenerhebung weitere, zusätzliche Zwecke verfolgt wie die Ermittlung von Gebäudehöhen, Firsthöhen und Dachneigungen, rechtfertigen diese Zwecke die konkrete Datenerhebung und -speicherung nicht.


Den Volltext der Entscheidung finden Sie hier:

VG Hannover: DSGVO gilt nicht für Altfälle bzw. Datenschutzverstöße vor Inkrafttreten am 25.05.2018

VG Hannover
Urteil vom 10.10.2023
10 A 5223/19


Das VG Hannover hat entschieden, dass die DSGVO nicht für Altfälle bzw. Datenschutzverstöße vor Inkrafttreten am 25.05.2018 gilt.

Aus den Entscheidungsgründen:
1. Auf den vorliegenden Fall findet die Verordnung (EU) Nr. 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) keine Anwendung.

Grundsätzlich ist für Frage, auf welchen Zeitpunkt für die Beurteilung der Sach- und Rechtslage abzustellen ist, bei Leistungs- oder Verpflichtungsklagen – wie hier – auf den Zeitpunkt der mündlichen Verhandlung abzustellen (vgl. dazu Hamb. OVG, Urteil vom 7.10.2019 – 5 Bf 279/17 –, juris Rn. 40). Aufgrund der Bindung an Recht und Gesetz nach Art. 20 Abs. 3 GG sind dabei aber Rechtsänderungen, die vor der behördlichen oder gerichtlichen Entscheidung über einen Antrag auf Vornahme eines Verwaltungsakts in Kraft getreten sind, bei der Entscheidung zu beachten, sofern das neu in Kraft gesetzte Recht nichts anderes bestimmt. Durch seine Auslegung ist zu ermitteln, ob das klägerische Begehren noch nach altem, also dem aufgehobenen oder nach dem inhaltlich geänderten Recht zu beurteilen ist (vgl. Decker in BeckOK VwGO, 66. Ed. 1.7.2023, VwGO § 113 Rn. 74.1; vgl. auch BVerwG, Urteil vom 31.3.2004 – 8 C 5/03 –, juris Rn. 35 f.)

Danach findet die DS-GVO auf den vorliegenden Fall keine Anwendung. Die Anwendbarkeit der DS-GVO ist in deren Art. 99 Abs. 2 DS-GVO festgelegt. Danach gilt die DS-GVO erst seit dem 25. Mai 2018. Die Klägerin hat gegenüber dem Beklagten beanstandet, dass sie betreffende medizinische Unterlagen im Jahr 2012 an einen Gutachter weitergegeben worden sind. Zu Sachverhalten, die sich vor Geltung der DS-GVO ereignet haben, enthält die DS-GVO keine expliziten Regelungen. Eine Übergangsvorschrift, die die Geltung der DS-GVO auch für Sachverhalte vor diesem Datum anordnet, existiert im deutschen Recht nicht. Im österreichischen Recht findet sich eine Regelung, welche die Anwendung des neuen Rechts, also der DS-GVO, explizit auch für Sachverhalte vor dem Inkrafttreten der DS-GVO anordnet, wenn die Fälle noch bei den Aufsichtsbehörden liegen (vgl. zu allem: VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 21 m.V.a. VGH der Republik Österreich, Beschluss vom 5.6.2020 - VwGO RO 2018/04/0023 -, abrufbar über das Rechtsinformationssystem des Bundes, https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Vwgh&Dokumentnummer=JWT_2018040023_20200605J00, zuletzt abgerufen am 10.10.2023).

Das Inkrafttreten der DS-GVO stellt nach deren Art. 99 eine klare Zäsur zwischen dem alten und dem neuen Recht dar. Da der deutsche Gesetzgeber keine Übergangsvorschrift erlassen hat, die unter bestimmten Umständen eine Anwendung des neuen Rechts auch auf vor deren Geltung begangene Verstöße gegen datenschutzrechtliche Vorschriften angeordnet hat, unterliegen vor diesem Datum erfolgte Verstöße vollständig dem alten Recht (VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 44).

2. Aus der Nichtanwendbarkeit der DS-GVO auf den vorliegenden Fall folgt, dass die Rüge, welche die Klägerin wegen der Weitergabe sie betreffender, medizinischer Unterlagen im April 2018 gegenüber dem Beklagten erhoben hat, keine "Beschwerde" im Sinne des Art. 77 DS-GVO darstellen kann, sondern nur als eine "Eingabe" im Sinne des Art. 28 Abs. 4 der (inzwischen außer Kraft getretenen) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1996 (hiernach: RL 95/46/EG) anzusehen sein kann. Für vor dem 25. Mai 2018 liegende Verstöße gegen die Datenschutzrichtlinie werden Aufsichtsbehörden und Gerichte grundsätzlich nach dem bisherigen Rechtsregime tätig (vgl. VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 38 m.V.a. Hornung/Spiecker in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 99 DS-GVO, Rn. 4).

3. Die Eingabe der Klägerin gemäß Art. 28 Abs. 4 RL 95/46/EG kann keinen Anspruch auf aufsichtsbehördliches Einschreiten begründen.

Die überwiegende Meinung in Rechtsprechung und Literatur hat die Auffassung vertreten, dass die Eingabe gemäß Art. 28 Abs. 4 RL 95/46/EG petitionsähnlich ausgestaltet gewesen ist und die gerichtliche Prüfung sich daher darauf beschränkt hat, ob die Eingabe entgegengenommen, sachlich und rechtlich geprüft und das Ergebnis mitgeteilt worden war (vgl. VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 21 m.V.a. BayVGH, Beschluss vom 23.3.2015 – 10 C 15.165BeckRS 2016, 44250; Döhmann in Simitis, BDSG a.F., 8. Auflage 2014, § 21 Rn. 18; Gola/Schomerus, BDSG, Kommentar, 11. Auflage 2012, § 21 Rn. 6; Körffer in Paal/Pauly, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 77 Rn. 5; Will, ZD 2020, 97; vgl. auch Nds. OVG, Beschluss vom 23.7.2013 - 11 PA 145/13 -, n.v.). Ein Anspruch auf aufsichtsbehördliches Einschreiten bestand dagegen nicht (Brink in BeckOK Datenschutzrecht, 22. Edition Stand 1.11.2017, § 38 BDSG, Rn. 51).

Die Regelungen der DS-GVO, aus denen sich nach Auffassung der überwiegenden Rechtsprechung ein Anspruch auf fehlerfreie Ermessensausübung über das "ob" und das "wie" eines aufsichtsrechtlichen Tätigwerdens der unabhängigen Aufsichtsbehörde und – im Falle einer Ermessensreduzierung auf Null – auch einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde ergeben kann, sind hier nicht anwendbar (vgl. zum Prüfungsumfang des Gerichts nach der DS-GVO OVG Hamburg, Urteil vom 7.10.2019 – 5 Bf 279/17 –, juris Rn. 63 ff. m.w.N.; VG Stuttgart, Urteil vom 11.11.2021 – 11 K 17/21 –, juris Rn. 90 f.; VG Wiesbaden, Beschluss vom 31.8.2021 – 6 K 226/21.WI –, juris; Urteil vom 7.6.2021 – 6 K 307/20.WI –, juris Rn. 37; VG Hamburg, Urteil vom 1.6.2021 - 17 K 2977/19 -, juris; VG Mainz, Urteil vom 16.1.2020 – 1 K 129/19.MZ –, juris; zur gegenteiligen Auffassung vgl. OVG Rheinland-Pfalz, Urteil vom 26.10.2020 – 10 A 10613/20 –, juris; VGH Baden-Württemberg, Urteil vom 22.1.2020 - 1 S 3001/19 -, juris). Insoweit wird mit den Erwägungsgründen 11, 142 und 143 der DS-GVO und Art. 57 Abs. 1 lit. f DS-GVO, der den Aufsichtsbehörden für das Beschwerdeverfahren konkrete Aufgaben zuweist, argumentiert (vgl. statt vieler: OVG Hamburg, Urteil vom 7.10.2019 – 5 Bf 279/17 –, juris Rn. 63 ff.). Diese Argumente können aber für den vorliegenden Fall nicht herangezogen werden. Der Erwägungsgrund 142 stellt nur auf die "Rechte nach dieser Verordnung" ab. Die Sätze 4 und 5 des Erwägungsgrundes 143 nennen zwar nicht ausdrücklich "diese Verordnung", nach ihrem Sinn und Zweck stellen sie jedoch auf die durch die DS-GVO ab ihrem Geltungsbeginn geschaffene Rechtslage ab und sprechen damit ebenfalls gegen einen Gleichlauf des gerichtlichen Prüfungsumfangs vor und nach dem Geltungsbeginn der DS-GVO. Nach Erwägungsgrund 11 erfordert ein wirksamer Schutz von personenbezogenen Daten die Stärkung der Rechte der Betroffenen. Diese Stärkung der Rechte der Betroffenen soll aber, wie sich aus dem Gesamtzusammenhang ergibt, gerade durch die DS-GVO erfolgen. Demnach lässt sich für den hier zu entscheidenden Fall, in dem die beanstandete Weitergabe von medizinischen Unterlagen Jahre vor Inkrafttreten der DS-GVO stattgefunden hat, aus den Erwägungsgründen nichts für die Rechtsauffassung der Klägerin ableiten. Anhaltspunkte dafür, dass diese Stärkung der Rechte der Betroffenen auch für Verstöße vor dem Inkrafttreten der DS-GVO gegen das zu diesem Zeitpunkt maßgebliche materielle Datenschutzrecht gelten soll, lassen sich daraus aber wiederum nicht ableiten (VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 42).

Ebenso wenig kann Art. 57 Abs. 1 Buchst. f DS-GVO für die Begründung eines über das alte Recht hinausgehenden Prüfungsumfangs herangezogen werden. Denn auch diese Bestimmung gilt nur für Beschwerden wegen einer Verletzung der DS-GVO i.S.v. Art. 77 DS-GVO. Dies ist aber nach den obigen Ausführungen hier nicht der Fall.

4. Danach ergibt sich bei Anwendung des hier einschlägigen Rechts, dass die gerichtliche Prüfung darauf beschränkt ist, ob die Eingabe der Klägerin von dem Beklagten entgegengenommen, sachlich und rechtlich geprüft und dass der Klägerin das Ergebnis der Prüfung mitgeteilt wurde. Dies ist hier der Fall. Der Beklagte hat den von der Klägerin im April 2018 mitgeteilten Sachverhalt an die D. weitergeleitet und diese zur Stellungnahme sowie ggf. zur Vorlage einer Schweigepflichtentbindungserklärung aufgefordert. Es ist zwar nicht erkennbar, dass sie auf Grundlage der Stellungnahme der Mecklenburgischen Versicherung eine eigene rechtliche Prüfung vorgenommen hat, bevor sie der Klägerin mitgeteilt hat, dass keine personenbezogenen Daten weitergegeben worden sind. Sie hat die D. aber jedenfalls auf den Widerspruch der Klägerin gegen die Einstellung des Verfahrens vom 12. Oktober 2018 erneut zur Stellungnahme aufgefordert. Deren umfangreiche Stellungnahme hat sie in dem Bescheid vom 1. Oktober 2019 gewürdigt, seine – in Teilen von der M. Versicherung abweichende – Rechtsauffassung kundgetan und das Ergebnis der Prüfung mitgeteilt.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO muss auch Art. 6 Abs. 1 DSGVO erfüllen - Schadensersatzanspruch aus Art. 82 DSGVO ist Kompensation für konkreten Schaden

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

OLG Nürnberg: Keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO wenn dies aus datenschutzfremden Motiven erfolgt

OLG Nürnberg
Urteil vom 29.11.2023
4 U 347/21


Das OLG Nürnberg hat entschieden, dass keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO vorliegt, wenn dies aus datenschutzfremden Motive erfolgt.

Aus den Entscheidunsggründen:
2. Die Berufung ist begründet.
a) Wie das Landgericht zutreffend ausführt, ist der Auskunftsantrag hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). In den Fällen der Geltendmachung eines Auskunftsanspruchs gern. Art. 15 Abs. 1 DSGVO genügt es grundsätzlich, wenn der Klageantrag dem Wortlaut der Vorschrift entsprechend auf Erteilung einer vollständigen Auskunft über die von der Beklagten verarbeiteten personenbezogenen Daten des Klägers gerichtet ist; eine Spezifizierung dieser Daten ist grundsätzlich nicht erforderlich (so zuletzt OLG Köln, NZA-RR 2023, 515 Rn. 16, beck-online).

b) Soweit der Kläger seinen Antrag wegen vorgerichtlich übermittelter Personalstamm- und BAV-Daten bereits beschränkt und wegen zweier Schriftsätze, die ihm im Rahmen des beim Landgericht Oldenburg anhängig gewesenen Verfahrens zugänglich gemacht wurden, Teilerledigungserklärungen unter Verweis auf diese Schriftsätze abgegeben hat, ändert dies nichts daran, dass „offen“ tenoriert werden kann. Denn es kann – wie auch sonst bei noch teilweise „unerledigten“ im Sinne von noch nicht vollständig erfüllten – Auskunftsansprüchen einfach offen zur geschuldeten Auskunft (als geschuldetem „Enderfolg“) verurteilt werden (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Die Beschränkung im ursprünglichen Antrag bzw. der Verweis auf Teilerledigungen berücksichtigt lediglich die Tatsache, dass die Beklagte bereits gewisse Auskünfte erteilt hat; mit der Beschränkung ist nur klargestellt, dass die Beklagte die bereits erteilten Auskünfte nach Auffassung des Klägers nicht mehr wiederholen muss, dieser die Auskunft ansonsten aber (zu Recht) als unvollständig ansieht und deswegen eine „vollständige“ Auskunft im Übrigen auch weiterhin einklagt (so auch OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online).

Wie das OLG Köln weiter ausgeführt hat, ,,ist eine Beschränkung durch Verweis auf bereits erteilte Teilauskünfte vor bzw. während des Verfahrens und/oder sonstige Klarstellungen prozessual nicht zwingend in Antrag und Tenor aufzunehmen, weil man mit dem oben Gesagten einfach einen weit gefassten Antrag in Anlehnung an den Gesetzeswortlaut stellen kann und alles andere dann nur – wie auch sonst – eine Frage des Erfüllungseinwands (§ 362 Abs. 1 BGB) im gerichtlichen Verfahren bzw. bei entsprechender Titulierung später im Zwangsvollstreckungsverfahren nach § 888 ZPO ist“ (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Dem schließt sich der Senat an. Es ist einem Kläger auch nach Auffassung dieses Senats bei Auskunftsbegehren jedenfalls nicht zuzumuten, die bereits erteilten Auskünfte im Einzelnen in den Klageantrag aufzunehmen. Erforderlich ist nur im Rahmen der Begründetheit der Klage, dass im maßgeblichen Zeitpunkt der letzten mündlichen Verhandlung tatsächlich noch keine vollständige Erfüllung des Auskunftsanspruchs i.S.d. § 362 Abs. 1 BGB feststellbar ist. Eine vollständige Erfüllung ist nicht eingetreten. Die Beklagte macht gerade geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO ist. Diese Aussage impliziert, dass es bei der Beklagten – wie auch aufgrund der langjährigen Tätigkeit des Klägers im dortigen Unternehmen nicht anders zu erwarten – umfangreiche weitere zu beauskunftende Daten gibt.

c) Art. 15 DSGVO gibt einen umfassenden Auskunftsanspruch über personenbezogene Daten.

aa) Art. 4 Nr. 1 DSGVO definiert den Begriff „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Dem Begriff der personenbezogenen Daten ist nach der Rechtsprechung des EuGH eine weite Bedeutung beizumessen: „Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“ (EuGH BeckRS 2017, 136145).

bb) Soweit Einschränkungen des umfassenden Auskunftsrechts auf Ewägungsgrund 63 der Verordnung gestützt werden sollen, haben diese Erwägungen in der Verordnung keinen Niederschlag gefunden. Der Anspruch auf Datenauskunft ist vielmehr voraussetzungslos. Der EuGH (Urteil vom 26.10.2023 – C-307/22, BeckRS 2023, 29132, beck-online) hat hierzu im ersten Leitsatz ausgeführt, dass Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

cc) Entgegen der Auffassung der Beklagten ist der klägerische Anspruch auch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden. Nach Art. 12 Abs. 5 S. 3 DS-GVO hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liegt kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Dies gilt auch, wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen (BeckOK DatenschuteR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 15 Rn. 48).

Da die Motivation des Klägers für die Begründetheit des Auskunftsverlangens keine Rolle spielt, kommt es auch nicht darauf an, ob er – jedenfalls ursprünglich – hoffte, durch die Datenauskunft Erkenntnisse für seine beim Landgericht Oldenburg anhängig gewesene Klage zu erlangen. Gleichfalls kommt es nicht darauf an, ob die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist, denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt.

dd) Die Geltendmachung des Anspruchs ist auch nicht rechtsmissbräuchlich. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der entsprechende Auskunftsanspruch wurde geregelt, um diesem Grundrecht Geltung zu verschaffen. Seine Geltendmachung kann daher über die gesetzlich geregelten (hier nicht einschlägigen) Tatbestände hinaus nicht rechtsmissbräuchlich sein. Dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, steht der Geltendmachung seiner Rechte nicht entgegen.

ee) Da die Datenauskunft voraussetzungslos zu erteilen ist, steht der Beklagten auch kein Zurückbehaltungsrecht wegen der zu erwartenden Kosten zu, denn diese kann die Beklagte nicht verlangen. Die Auskunft ist kostenlos zu erteilen.

ff) Der streitgegenständliche Antrag erfasst ausdrücklich auch das Recht auf „Kopien“. Nach der Entscheidung des EuGH vom 04.05.2023 (C-487/21, NJW 2023, 2253 Rn. 45) ist Art. 15 Abs. 3 DSGVO dahin auszulegen, „dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“ Damit ist die strittige Frage geklärt, was unter „Kopie“ zu verstehen ist.

In der genannten Entscheidung hat der EuGH auch ausgeführt, dass Art. 15 Abs. 3 DSGVO „nur die praktischen Modalitäten für die Erfüllung der aus Art. 15 Abs. 1 DSGVO folgenden Auskunftspflichtfestlegt. Art. 15 DSGVO kann deshalb gerade nicht so ausgelegt werden, dass er in seinem Abs. 3 S. 1 ein anderes Recht als das in Abs. 1 vorgesehene gewährt“ (vgl. EuGH, Urteil vom 04.05.2023 – C-487/21, NJW 2023, 2253 Rn. 31 f.). Nach dieser Entscheidung ist auch die Frage geklärt, ob ein auf Überlassung einer Datenkopie gem. Art. 15 Abs. 3 DSGVO gerichteter Antrag erkennen lassen muss, von welchen personenbezogenen Daten eine Kopie verlangt wird. Ein Anspruchsteller, der zu einer genaueren Bezeichnung außerstande ist, ist deswegen auch nicht gehalten, im Wege der Stufenklage zunächst eine Auskunft darüber zu verlangen, welche personenbezogenen Daten der Anspruchsgegner verarbeitet, um auf dieser Grundlage sodann einen Antrag auf Überlassung einer Kopie der sich aus der Auskunft ergebenden Daten stellen zu können (so noch vor der Entscheidung des EuGH das Bundesarbeitsgericht, vgl. BAG, Urteil vom 16.12.2021 – 2 AZR 235/21, NZA 2022, 362 Rn. 33; Urteil vom 27.04.2021 – 2 AZR 342/20, BAGE 174, 351 Rn. 20 f. = NZA 2021, 1053; kritisch dazu bereits Lembke/Fischels, NZA 2022, 513 (519 f.)). Art. 15 DSGVO enthält vielmehr nach der jüngsten Rechtsprechung des EuGH einen einheitlichen Auskunftsanspruch (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Der Kläger hatte sich zudem auch bereits erstinstanzlich auf sein Recht auf Überlassung einer Kopie berufen. Dieser einheitliche Anspruch muss grundsätzlich ohne eine Spezifizierung der personenbezogenen Daten – wie hier – einheitlich geltend gemacht werden können (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Da der Anspruch auf eine unvertretbare Handlung gerichtet ist, ist er nach § 888 ZPO zu vollstrecken (vgl. Lembke/Fischels, NZA 2022, 513 (520)). Erteilt ein zur Auskunftserteilung verurteilter Schuldner (weitere) Auskünfte und stellt dem Gläubiger Datenkopien zur Verfügung, muss gegebenenfalls im Vollstreckungsverfahren geprüft werden, ob der titulierte Auskunftsanspruch dadurch dann endgültig erfüllt worden ist. Daraus möglicherweise resultierende Schwierigkeiten sind keine datenschutzrechtliche Besonderheit, sondern können in ähnlicher Form auch bei anderen Auskunftsansprüchen auftreten (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online).


Den Volltext der Entscheidung finden Sie hier:

AG München: Unterlassungsanspruch wegen Persönlichkeitsrechtsverletzung durch Wildüberwachungskamera auf Nachbargrundstück wenn Kamera auch Grundstück des Betroffenen filmt

AG München
Urteil vom 01.02.2023
171 C 11188/22


Das AG München hat entschieden, dass ein Unterlassungsanspruch wegen einer Persönlichkeitsrechtsverletzung besteht, wenn eine Wildüberwachungskamera auf dem Nachbargrundstück auch das Grundstück des Betroffenen filmt.

Die Pressemitteilung des Gerichts:
Streit um Kamera auf Nachbargrundstück
In einem Nachbarschaftsstreit sah das Amtsgericht München in dem Aufstellen einer Kamera auf dem Nachbargrundstück eine Persönlichkeitsrechtsverletzung und bestätigte mit Urteil vom 01.02.2023 eine einstweilige Verfügung, wonach der Antragsgegnerin dies untersagt wurde.

Die Parteien sind unmittelbare Nachbarn in München und stritten über eine im April 2022 auf der Terrasse der Antragsgegnerin aufgestellte Wildüberwachungskamera, die von der Terrasse der Antragstellerin aus sichtbar war. Die Antragstellerin wehrte sich hiergegen unter Verweis auf ihre Persönlichkeitsrechte und forderte die Antragsgegnerin im Juli 2022 u.a. auf, die Videoüberwachung zu beenden und künftig zu unterlassen. Die Antragsgegnerin verweigerte dies mit der Begründung, dass es sich nicht um eine Videoüberwachung, sondern um eine sogenannte Wild-Kamera handeln würde. Es ginge ausschließlich um die Kontrolle des eigenen Gartens.

Am 12.08.2022 erließ das Amtsgericht München im einstweiligen Rechtsschutz auf Antrag der Antragstellerin eine einstweilige Verfügung. Danach wurde es der Antragsgegnerin untersagt, auf ihrem Grundstück eine Überwachungskamera aufzustellen, die die Terrasse oder den Garten der Antragstellerin erfasst oder erfassen kann oder den Eindruck hiervon erweckt. Anschließend entfernte die Antragsgegnerin die Kamera.

Auf Antrag der Antragstellerin bestätigte das Amtsgericht München mit Urteil vom 01.02.2023 die einstweilige Verfügung und begründete dies wie folgt:

„Die vormals aufgestellte Kamera hat die Antragstellerin in ihrem Persönlichkeitsrecht verletzt. Dabei kommt es nicht entscheidend darauf an, ob die Kamera tatsächlich ausschließlich den Bereich der Antragsgegnerin erfasst hat oder nicht. Die Antragstellerseite verweist insoweit mit Erfolg auf die Entscheidung des BGH vom 16.03.2010 (VI ZR 176/09). Das Gericht darf eine Passage aus dieser Entscheidung zitieren:

„Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, 1827 = NZM 2009, 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. […].“

Unter Berücksichtigung dieses Maßstabs hatte die Antragstellerin einen Anspruch auf Beseitigung der Kamera und entsprechende Unterlassung der etwaigen weiteren Installation einer vergleichbaren Kamera. Nach Ansicht der Lichtbilder ist das Gericht der Überzeugung, dass die Antragstellerin zu der Ansicht gelangen konnte, dass ihr Grundstück von der Kamera erfasst werde. Es handelte sich nicht mehr um die rein hypothetische Möglichkeit der Überwachung.

Weiterhin fehlte es auch nicht an einem Verfügungsgrund. Das Gericht schließt sich insoweit der überzeugenden Argumentation der Antragstellerseite an. Die Antragstellerin hatte sich von Anfang an gegen die Kamera zur Wehr gesetzt und die Antragsgegnerin war über diesen Umstand informiert.

Der Sachverhalt hat sich zwar mittlerweile maßgeblich verändert, da die Kamera entfernt worden ist. Weiterhin hat die Antragsgegnerin im Rahmen der mündlichen Verhandlung dargelegt, dass sie nicht die Absicht habe, eine weitere Kamera aufzustellen. Dieser Umstand alleine kann aber nicht ausreichen, die indizierte Wiederholungsgefahr aufzuheben.“

Urteil des Amtsgerichts München vom 01.02.2023
Aktenzeichen des AG München: 171 C 11188/22
Das Urteil ist rechtskräftig.



EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23


Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: SCHUFA-Scoring ist eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO soweit Score maßgeblich für Kreditgewährung oder Vertragsschluss ist

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)


Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]


Den Volltext der Entscheidung finden Sie hier:

EuGH: DSGVO-Geldbuße gegen Unternehmen durch Datenschutzbehörde setzt schuldhaften Verstoß voraus - Höhe richtet sich nach dem Jahresumsatz des Konzerns

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.


Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


VG Berlin: Kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen gewonnenen Aufzeichnungen da Aufwand unverhältnismäßig

VG Berlin
Urteil vom 12.10.2023
1 K 561/21


Das VG Berlin hat entschieden, kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen gewonnenen Aufzeichnungen besteht, da der Aufwand unverhältnismäßig wäre.

Aus den Entscheidungsgründen:
Letztlich kann jedoch offenbleiben, ob die im Rahmen der Videoüberwachung in den S-Bahnen der Klägerin gewonnenen Aufzeichnungen – allgemein bzw. im vorliegenden Sachverhalt – personenbezogene Daten darstellen. Denn der Beigeladene hatte, unter keinem Gesichtspunkt einen Anspruch auf Zurverfügungstellung einer Kopie der Videoaufzeichnungen.

Der insoweit nach dem allgemeinen Günstigkeitsprinzip (vgl. hierzu BVerwG, Urteil vom 27. November 1980 - 2 C 38.79, juris Rn. 39) darlegungsbelastete Beigeladene hat schon nicht nachgewiesen, dass – was von der zuvor aufgeworfenen Frage des Personenbezugs der Daten zu unterscheiden ist – er tatsächlich die „betroffene Person“ i.S.d. Art. 15 DSGVO ist, deren Bilddaten zu dem von ihm angegebenen Zeitraum in dem von ihm benannten Zug der Klägerin gespeichert wurden. Die Klägerin hat in diesem Zusammenhang zu Recht darauf hingewiesen, dass, um die Herausgabe an unberechtigte Dritte ausschließen zu können, eine zweifelsfreie Übereinstimmung der Person des Auskunftsbegehrenden mit der Person des auf den Videos Abgebildeten gewährleistet werden muss. Hierfür reichen aber allein Angaben, wie der Beigeladenen sie gemacht hat (Zeitraum der Beförderung, Zugnummer, äußeres Erscheinungsbild und Verhaltensweise der Person) nicht aus. Denn es erscheint beispielsweise denkbar, dass ein Antragsteller derartige Angaben zu einer anderen Person macht, die ihm etwa deshalb bekannt sind, weil er mit ihr zusammen in einem der Züge der Klägerin gefahren ist, um so an die Videoaufzeichnungen dieser Person zu gelangen. Unabhängig von der Frage, ob überhaupt – und wenn ja auf welche Art und Weise – verlässlich die Identität eines Antragstellers mit einer im Rahmen der Videoaufzeichnung erfassten Person überprüft werden könnte, erscheint dies im vorliegenden Fall ferner schon deshalb ausgeschlossen, weil der Beigeladene seinen eigenen Angaben zufolge anlässlich der Zugfahrt eine Mund-Nasen-Bedeckung trug und seine Gesichtszüge daher nicht erkennbar waren. Auf die von den Beteiligten in diesem Zusammenhang aufgeworfene Frage, ob aus Art. 11 DSGVO abgeleitet werden kann, dass die Klägerin nicht verpflichtet ist, weitere Anstrengungen zu unternehmen, um einen Auskunftsbegehrenden auf den Videoaufzeichnungen zu identifizieren, kommt es damit nicht mehr an.

Hinzu kommt, dass der Klägerin die Auskunftserteilung auch wegen eines dafür zu treibenden unverhältnismäßigen Aufwandes nicht zumutbar war. Hierzu hat das Amtsgericht Pankow in einem Verfahren, in dem der Beigeladene die Klägerin, gestützt auf Art. 82 DSGVO, wegen der Zurückweisung eines weiteren Auskunftsbegehrens auf Zahlung von Schadensersatz in Anspruch genommen hat, Folgendes ausgeführt (Urteil vom 28. März 2022 - 4 C 199/21, juris):

„Hinsichtlich des hierauf basierenden Auskunftsanspruch gemäß Art. 15 DSGVO ist der Beklagten das Erfüllen dieses Auskunftsanspruchs jedoch aufgrund unverhältnismäßigen Aufwands unzumutbar gemäß § 275 Abs. 2 BGB (vgl. Gola/Franck, DS-GVO, Kommentar, 1. Aufl. 2017, Art. 15, Rn. 30). Aufgrund des Ausnahmecharakters von § 275 Abs. 2 BGB und aufgrund der zentralen Bedeutung des Auskunftsanspruchs gemäß Art. 15 DSGVO sind strenge Maßstäbe an die Unverhältnismäßigkeit eines Auskunftsbegehrens anzulegen. Insbesondere besteht ein Verweigerungsrecht nur bei einem groben Missverhältnis zwischen Aufwand und Leistungsinteresse.

Ein solch grobes Missverhältnis besteht jedoch hier. Denn das Transparenzinteresse des Klägers ist äußerst gering. Insbesondere war er sich des Ob, Wie und Was der Datenverarbeitung bewusst (vgl. Gola/Franck, DS-GVO, Kommentar, 1. Aufl. 2017, Art. 15, Rn. 2). Der Kläger wusste genau, dass und in welchem Umfang personenbezogene Daten erhoben werden. Der Normzweck von Art. 15 DSGVO - das Bewusstwerden über die Datenverarbeitung - war daher weitestgehend schon erfüllt. Der hier vorliegende Sachverhalt ist gerade nicht einer Situation vergleichbar, bei der sich ein Auskunftsbegehrender einen Überblick über verarbeitete personenbezogene Daten verschaffen will, die gegebenenfalls länger in der Vergangenheit zurücklegen, oder bei den Daten zu unterschiedlichen Anlässen verarbeitet werden. Die Datenverarbeitung durch die Beklagte ist von vornherein auf 48 Stunden zeitlich und örtlich auf die Züge der Beklagten begrenzt. Dem Kläger und jedem anderen Dritten ist es zumutbar, sich innerhalb des kurzen Zeitraums von 48 Stunden zu erinnern, wann eine Dienstleistung der Beklagten in Anspruch genommen wurde und wann entsprechend eine Verarbeitung personenbezogener Daten stattgefunden hat. Mit Blick auf den sehr kurzen Zeitraum ist der vom Kläger beklagte Kontrollverlust nicht erkennbar. Wie der Kläger selbst darlegt, wurde er zudem von der Beklagten auch über sämtliche von Art. 15 Abs. 1 lit. a - h DSGVO erfassten Aspekte der Datenverarbeitung, einschließlich Verarbeitungszweck, Dauer der Verarbeitung und Beschwerderecht informiert. Auch insoweit ist der Normzweck von Art. 15 DSGVO der Vergewisserung über "Existenz, Zwecke, Absichten und Rechtsfolgen" der Datenverarbeitung erfüllt (vgl. Paal/Pauly Datenschutzgrundverordnung, Bundesdatenschutzgesetz, 3. Aufl. 2021, Art. 15 Rn. 3). Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht. Unabhängig von der konkreten Auflösung der Videoaufzeichnung oder der möglichen Erfassung von biometrischen Daten, steht der Eingriffscharakter der Aufzeichnung im Wesentlichen fest. Entsprechend gering ist das von Art. 15 DSGVO geschützte Vergewisserungsinteresse des Klägers.

Demgegenüber hat die Beklagte substantiiert dargelegt, dass die Erfüllung des Auskunftsanspruchs durch Verhinderung der automatischen Löschung und anschließenden Auskunft an den Kläger einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet. Dass ein solcher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (vgl. EuGH, Urteil v. 19.10.2016 C-582/14). Zum einen verfügt die Beklagte über keine Software zur Gesichtserkennung. Entsprechend komplex wäre es für die Beklagte, den Kläger aufgrund seiner Angaben zu identifizieren. Die Beklagte hat insoweit substantiiert vorgetragen, dass erhebliche Ressourcen zur Identifizierung von Personen nötig wären und dass die datenschutzgerechte Entnahme der Kassetten aufgrund von Anreisezeiten zu den Zügen und Sicherheitsvorkehrungen aufwendig sind. Zum anderen würde die Auskunft an den Kläger erfordern, dass die Beklagte ihre Betriebsvereinbarung mit Hinblick auf die Auswertung der Speicherkassetten anpasst und diese selbst auswertet, bzw. Dritte hiermit beauftragt. Eine Anpassung ihrer Prozesse, zum Beispiel durch die Anschaffung einer Software zur automatisierten Gesichtserkennung oder über eine zentrale Speicherung der Videoaufzeichnungen, bedeuten jedoch ebenso einen erheblichen Aufwand und begegnen darüber hinaus erheblichen datenschutzrechtlichen Bedenken. Die Beklagte hat insoweit dargelegt, dass ihre dezentralisierten Verarbeitungsprozesse gerade dem Datenschutz dienen. Wäre sie zu einer längeren Speicherung aufgrund des Verlangens des Klägers verpflichtet, wären notwendig auch die durch Art. 15 Abs. 4 DSGVO geschützten Interessen von Dritten betroffen. Aufgrund der datenschutzrechtlichen Verpflichtung der Beklagten gegenüber Dritten ist diese Drittbetroffenheit auch im Rahmen der gemäß § 275 Abs. 2 BGB erforderlichen Prüfung des Äquivalenzinteresses von Kläger und Beklagten zu berücksichtigen. Denn selbst wenn die Verpixelung oder anderweitige Unkenntlichmachung von Dritten technisch möglich ist, dürfte diese Identifizierung und Unkenntlichmachung regelmäßig nicht zuverlässig innerhalb von 48 Stunden, gegebenenfalls in sogar noch kürzeren Zeiträumen zu leisten sein. Daher würden bei einer längeren Speicherung nach einem Auskunftsersuchen notwendig die Datenschutzrechte von Dritten beeinträchtigt. Der Kläger verkennt insoweit, dass die von ihm begehrte Auskunft die strengen Löschfristen von § 20 Abs. 5 Bln DSG i. v. m. Art 17 DSGVO gegenüber Dritten und hiermit ein zentrales normatives datenschutzrechtliches Anliegen aufzuweichen droht. Aufgrund dessen tritt mit Blick auf den erheblichen Ressourcenaufwand der Beklagten, sowie Datenschutzrechten von Dritten, der begrenzte Erkenntnisgewinn des Klägers an der konkreten Gestalt der Videoaufzeichnung zurück, weswegen von einem groben Missverhältnis zwischen Leistungsinteresse und Aufwand gemäß § 275 Abs. 2 BGB auszugehen ist.

Es kann insoweit dahinstehen, ob ein Verweigerungsrecht der Beklagten auch aus einer analogen Anwendung von Art. 14 Abs. 5 DSGVO folgt. Ebenso kann dahinstehen, ob die vom Kläger begehrte längere Speicherung der personenbezogenen Daten und anschließender Auskunft hierüber bereits wegen eines Verstoßes gegen § 20 Abs. 5 Bln DSG rechtlich unmöglich ist, § 275 Abs. 1 BGB.“


Diesen Ausführungen schließt sich die Kammer an. Zwar ist in Art. 15 DSGVO keine ausdrückliche Ausnahme wegen unverhältnismäßigen Aufwands vorgesehen. Der durch das Amtsgericht herangezogene § 275 Abs. 2 BGB beinhaltet jedoch einen allgemeinen Rechtsgedanken, der auch in Erwägungsgrund 62 der DSGVO zum Ausdruck kommt. Danach darf eine Leistung verweigert werden, soweit diese einen Aufwand erfordert, der unter Beachtung des Gebots von Treu und Glauben, das nach Art. 8 Abs. 2 Satz 1 der Charta der Grundrechte der Europäischen Union und Art. 5 Abs. 1 lit. a DSGVO über dem gesamten Verarbeitungsvorgang steht, in einem groben Missverhältnis zum Leistungsinteresse des Gläubigers steht (vgl. Franck in: Gola/Heckmann, DSGVO - BDSG, 3. Aufl. 2022, Art. 15 Rn. 51 m.w.N.). Insoweit hat das Amtsgericht deutlich gemacht, dass zwar der Einwand der Klägerin, es sei nicht erkennbar, welchen Zweck der Beigeladene mit seinem Auskunftsanspruch verfolge, nicht unmittelbar verfängt, dass aber jedenfalls mittelbar das offenkundig nur geringe Informationsinteresse des Beigeladenen bei der vorzunehmenden Abwägung zu seinen Lasten zu berücksichtigen ist. Dies gilt gleichermaßen für die durch das Amtsgericht betonte Kollision des vom Beigeladenen geltend gemachten Anspruches mit der nach § 20 Abs. 5 BlnDSG gesetzlich vorgesehenen automatischen Löschung der Daten, die dem Schutz der Interessen aller anderen durch die Videoüberwachung erfassten Personen dient. Dieser ließe sich durch eine Unkenntlichmachung ihrer Gesichter nicht im gleichen Maße gewährleisten wie durch eine vorbehaltlose Löschung der gespeicherten Daten. Diese Unkenntlichmachung wäre, neben dem größeren datenschutzrechtlichen Risiko des Missbrauchs im Vergleich zu einer Löschung, zudem mit einigem Aufwand verbunden.

Schon aus diesem Grund bestand auch kein Anspruch des Beigeladenen auf Verhinderung der automatischen Löschung der Daten. Weder die Regelung in Art. 17 Abs. 3 lit.b) DSGVO noch die Rechte aus Art. 18 Abs. 1 lit. c) DSGVO standen dem entgegen, weil mit den dort angeführten rechtlichen Verpflichtungen der Klägerin bzw. den Rechtsansprüchen des Beigeladenen nicht die Auskunftsrechte i.S.d. Art. 15 DSGVO, sondern außerhalb der DSGVO liegende Rechtsansprüche gemeint sind. Hierfür spricht schon in systematischer Hinsicht, dass die genannten Regelungen ansonsten leerliefen, weil die Möglichkeit der zukünftigen Geltendmachung etwaiger Auskunftsansprüche in jedem Fall einer Löschung entgegenstünde. Im Übrigen spricht auch der Wortlaut des Art. 18 Abs. 1 lit. c) DSGVO gegen die Annahme, dass die Verhinderung der Löschung von Daten verlangt werden darf, nur um einen nach Art. 15 DSGVO bestehenden Auskunftsanspruch über jene Daten zu sichern. Denn danach ist Voraussetzung, dass die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen „benötigt“ werden – diese also nicht unmittelbar bzw. selbst Gegenstand des geltend gemachten Anspruchs sind.

Letztlich wäre, selbst wenn die Klägerin mit der Verweigerung der Auskunftserteilung gegen die Regelungen der DSGVO verstoßen hätte, die deswegen ausgesprochene Verwarnung deshalb rechtswidrig, weil die Beklagte das ihr insoweit nach Art. 58 Abs. 2 lit. b) DSGVO eröffnete Ermessen fehlerhaft ausgeübt hat.

Die Beklagte ist hierbei eigenem Bekunden nach davon ausgegangen, dass im Falle der Feststellung eines Datenschutzverstoßes zumindest eine Verwarnung auszusprechen sei, weil dies die mildeste der in Art. 58 Abs. 2 DSGVO vorgesehenen datenschutzrechtlichen Aufsichtsmaßnahmen darstelle. Dabei hat die Beklagte außer Acht gelassen, dass auch Sachverhaltskonstellationen denkbar sind, in denen sich trotz eines festgestellten Datenschutzverstoßes die Aussprache einer Verwarnung – wegen der Geringfügigkeit des Verstoßes auf der einen und den damit auf der anderen Seite für den Adressaten verbundenen Folgen – als unverhältnismäßig darstellen und damit gegen das rechtsstaatliche Übermaßverbot verstoßen würde. Der Beklagten kommt daher nicht nur ein Auswahlermessen hinsichtlich der Frage zu, wie bzw. mit welchem der in Art. 58 DSGVO vorgesehenen Mittel sie auf einen datenschutzrechtlichen Verstoß reagiert, sondern auch ein Entschließungsermessen dahin, ob sie im Einzelfall von einem Einschreiten absieht. Da die Beklagte dieses ihr eröffnete Ermessen im vorliegenden Fall unstreitig nicht ausgeübt hat, ist der Bescheid wegen Ermessensausfalls rechtswidrig. Es kann daher offenbleiben, ob der Bescheid – angesichts der oben aufgezeigten Diskrepanz zwischen dem geringfügigen Informationsinteresse des Beigeladenen einerseits und dem durch die Klägerin für eine Auskunftserteilung zu betreibenden erheblichen Aufwand andererseits – auch wegen Ermessensüberschreitung rechtswidrig ist.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Wird datenschutzrechtliche Aufsichtsbehörde mittelbar für Betroffenen tätig muss dieser gerichtlichen Rechtsbehelf gegen Entscheidung haben

EuGH
Urteil vom 16.11.2023
C-333/22
Ligue des droits humains (Prüfung der Datenverarbeitung durch die Aufsichtsbehörde)


Der EuGH hat entschieden, dass dem Betroffenen ein gerichtlicher Rechtsbehelf gegen eine Entscheidung der datenschutzrechtlichen Aufsichtsbehörde zustehen muss, wenn die Datenschutzbehörde mittelbar die Rechte des Betroffenen wahrgenommen hat.

Die Pressemitteilung des EuGH:
Verarbeitung personenbezogener Daten: Beschlüsse, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlässt, sind rechtsverbindlich

Die Gründe und Beweise, auf die sie sich stützen, müssen gerichtlich überprüft werden können.

Ein Bürger beantragte zu beruflichen Zwecken bei der belgischen nationalen Sicherheitsbehörde die Erteilung einer Sicherheitsbescheinigung. Das Dokument wurde ihm mit der Begründung verweigert, dass er an Demonstrationen teilgenommen habe. Unter Berufung auf sein Recht auf Auskunft über seine Daten wandte sich der Bürger an das Organ für die Kontrolle polizeilicher Informationen, das ihm mitteilte, dass ihm nur ein mittelbarer Auskunftsanspruch zustehe und es selbst die Rechtmäßigkeit der Verarbeitung seiner Daten prüfen werde. Im Einklang mit dem belgischen Recht beschränkte sich das Organ nach Abschluss der Prüfung jedoch darauf, dem Bürger zu antworten, dass die erforderlichen Prüfungen durch die Aufsichtsbehörde erfolgt seien. Der Bürger erhob daraufhin Klage vor dem Gericht des ersten Rechtszugs, das sich für sachlich unzuständig erklärte.

Die vom Betroffenen und der Ligue des droits humains angerufene Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) möchte vom Gerichtshof wissen, ob das Unionsrecht die Mitgliedstaaten dazu verpflichtet, der von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit zu geben, den Beschluss der Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt.

Der Gerichtshof ist der Auffassung, dass die zuständige Aufsichtsbehörde dadurch, dass sie die betroffene Person über das Ergebnis der Prüfungen unterrichtet, einen rechtsverbindlichen Beschluss erlässt. Gegen diesen Beschluss muss ein Rechtsbehelf eingelegt werden können, damit der Betroffene die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten bzw. gegen die Ausübung von Abhilfebefugnissen anfechten kann.

Der Gerichtshof weist darauf hin, dass die Aufsichtsbehörde nach dem Unionsrecht verpflichtet ist, die betroffene Person „zumindest“ darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, und diese „über ihr Recht auf einen gerichtlichen Rechtsbehelf“ zu informieren. Wenn die im öffentlichen Interesse liegenden Zwecke dem nicht entgegenstehen, haben die Mitgliedstaaten jedoch vorzusehen, dass die Unterrichtung der betroffenen Person über diese Mindestangaben hinausgehen kann, damit die betroffene Person ihre Rechte verteidigen und entscheiden kann, ob sie das zuständige Gericht anruft.

Außerdem müssen die Mitgliedstaaten in den Fällen, in denen die der betroffenen Person übermittelten Informationen auf das strikte Minimum beschränkt wurden, dafür Sorge tragen, dass das zuständige Gericht bei der Prüfung der Stichhaltigkeit der Rechtfertigungsgründe für eine solche Beschränkung der Informationen die im öffentlichen Interesse liegenden Zwecke (Sicherheit des Staates, Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten) und die Notwendigkeit, den Bürgern die Wahrung ihrer Verfahrensrechte zu gewährleisten, gegeneinander abwägen kann. Im Rahmen dieser gerichtlichen Kontrolle müssen die nationalen Vorschriften es dem Gericht ermöglichen, von den Gründen und Beweisen, auf die die Aufsichtsbehörde den Beschluss gestützt hat, aber auch von den daraus gezogenen Schlüssen Kenntnis zu nehmen.


Tenor der Entscheidung:

1. Art. 17 in Verbindung mit Art. 46 Abs. 1 Buchst. g, Art. 47 Abs. 1 und 2 und Art. 53 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates sowie in Verbindung mit Art. 8 Abs. 3 und Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass dass eine Person, wenn ihre Rechte in Anwendung von Art. 17 dieser Richtlinie über die zuständige Aufsichtsbehörde ausgeübt worden sind und diese Behörde sie über das Ergebnis der durchgeführten Prüfungen unterrichtet, über einen wirksamen gerichtlichen Rechtsbehelf gegen den Beschluss dieser Behörde, das Überprüfungsverfahren abzuschließen, verfügen muss.

2. Die Prüfung der zweiten Frage hat nichts ergeben, was geeignet wäre, die Gültigkeit von Art. 17 Abs. 3 der Richtlinie (EU) 2016/680 zu berühren.

Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein: Videoüberwachung von Trainingsfläche, Herrenumkleide und Sitzbereich durch Fitnessstudio unzulässig

OVG Schleswig-Holstein
Beschluss vom 13.07.2022
4 LA 11/20


Das OVG Schleswig-Holstein hat entschieden, dass die Videoüberwachung von Trainingsfläche, Herrenumkleide und Sitzbereich durch ein Fitnessstudio unzulässig ist.

Aus den Entscheidungsgründen:
1. Ernstliche Zweifel an der angegriffenen Entscheidung i.S.v. § 124 Abs. 2 Nr. 1 VwGO, die die Zulassung der Berufung rechtfertigen, sind zu bejahen, wenn ein einzelner tragender Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten zumindest insoweit infrage gestellt werden, dass der Erfolg des Rechtsmittels bei der im Zulassungsverfahren allein möglichen summarischen Überprüfung ebenso wahrscheinlich ist wie der Misserfolg. Ferner ist darzulegen, dass und aus welchen Gründen das verwaltungsgerichtliche Urteil auf diesen – aus Sicht der Klägerin fehlerhaften – Erwägungen beruht, d. h. die dargestellten Zweifel müssen im konkreten Fall entscheidungserheblich sein (stRspr des Senats, vgl. Beschl. v. 11.03.2021 – 4 LA 241/19 –, juris Rn. 4; Beschl. v. 27.01.2021 – 4 LA 165/19 –, juris Rn. 4 m. w. N.). Dies leistet das Zulassungsvorbringen nicht.

Das Verwaltungsgericht ist davon ausgegangen, dass die Verfügung des Beklagten vom 19. Juni 2017 in Gestalt des Widerspruchsbescheids vom 19. Oktober 2017, mit dem er der Klägerin aufgab, es zu unterlassen, den Bereich der Herrenumkleide (Kamera CH-02 und CH-03), den Bereich der Trainingsfläche (Kamera CH-05 und CH-06) sowie den Aufenthaltsbereich und die Sitzgelegenheiten bei der Getränkezapfanlage (Kamera CH-07) während der Öffnungszeiten ihres Fitnessstudios in Pinneberg mittels optisch-elektronischer Einrichtungen zu beobachten und Bildaufzeichnungen anzufertigen, sowie gespeicherte Aufzeichnungen zu vernichten, seine rechtliche Grundlage in „§ 38 Abs. 5 Satz 1 BDSG a.F.“ finde. Nach dieser Vorschrift habe die Aufsichtsbehörde nach pflichtgemäßem Ermessen darüber zu entscheiden, welche Maßnahmen sie ergreift, um den datenschutzrechtlich gebotenen Schutz personenbezogener Daten sicherzustellen. Das Verwaltungsgericht hat seiner Entscheidung sinngemäß ferner zugrunde gelegt, dass die streitbefangene Anfertigung von Videoaufnahmen in den genannten Bereichen gegen § 4 Abs. 1 BDSG a.F. verstoße, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sei, soweit das Bundesdatenschutzgesetz a.F. oder eine andere Rechtsvorschrift dies erlaube oder anordne oder der Betroffene eingewilligt habe. Bei den Videoaufzeichnungen, die hier der Identifikation der Personen dienten, handele es sich um personenbezogene Daten, die durch die Aufzeichnung verarbeitet und ggf. genutzt würden. Eine Einwilligung der Besucher des Fitnessstudios sei nicht gegeben.

Das Verwaltungsgericht hat des Weiteren ausgeführt, dass die hier in Streit stehende Datenverarbeitung auch nicht gemäß § 6b BDSG a.F. zulässig sei. Danach sei die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich sei und keine Anhaltspunkte bestünden, dass schutzwürdige Interessen der Betroffenen überwiegen. Die sich daraus ergebenden Voraussetzungen für eine zulässige Videoüberwachung lägen nicht vor. Zwar seien hier schutzwürdige Interessen der Klägerin an der Videoüberwachung tangiert. Für den Bereich der Herrenumkleide bestünden allerdings Anhaltspunkte, dass schutzwürdige Interessen der Betroffenen überwögen. Hier sei die Intimsphäre der Betroffenen berührt. Dies stelle einen besonders intensiven Eingriff in das Persönlichkeitsrecht dar. Die Kameraüberwachung in Umkleidebereichen sei deshalb grundsätzlich unzulässig, weil sich Betroffene hier zum Teil unbekleidet zeigten und durch Kameraaufnahmen das Schamgefühl in erheblicher Weise berührt werde. Aber auch im Bereich der Trainingsfläche überwögen die schutzwürdigen Interessen der Betroffenen. Hinsichtlich der Überwachung des Aufenthaltsbereichs habe der Beklagte in der mündlichen Verhandlung klargestellt, dass die Untersagungsverfügung nicht die Videoüberwachung der Automaten und der Getränkezapfanlage umfasse. Betroffen sei allein die Beobachtung des Aufenthaltsbereichs und der Sitzgelegenheiten. Hier ist von der Klägerin schon kein berechtigtes Interesse im Sinne des § 6b Abs. 2 BDSG a.F. dargelegt worden.

a) Soweit die Klägerin vorträgt, dass sich nicht erschließe, warum die Videoüberwachung in einem Fitnessstudio unzulässig sein solle, weil man sich dort längere Zeit aufhalte, gleichzeitig aber eine ständige Videoüberwachung in einem Verkehrsmittel des Öffentlichen Personennahverkehrs zulässig sein solle, bleibt unklar, auf welche Prüfungspunkte der verwaltungsgerichtlichen Entscheidung sich dieses Vorbringen bezieht. Weder ordnet die Klägerin diesen Vortrag der Prüfung bestimmter Normen oder konkret bezeichneter Tatbestandsvoraussetzungen der herangezogenen Ermächtigungsgrundlage zu, noch lässt sich anderweitig erkennen, welchen tragenden Rechtssatz oder welche entscheidungsrelevante Tatsachenfeststellung sie insoweit beabsichtigt in Frage zu stellen. Das Vorbringen erscheint daher mehr als pauschale Kritik an dem Endergebnis der Entscheidung denn als Darlegung, die aufgrund einer intensiven Auseinandersetzung mit der angegriffenen Entscheidung deren Richtigkeit in Frage zu stellen vermag. Auch im Übrigen fehlt es weitgehend an konkreten Bezugnahmen auf die angegriffene Entscheidung.

b) Es lässt sich insoweit nur vermuten, dass die Klägerin mit ihrem Vortrag zu ernstlichen Zweifeln an der Richtigkeit der verwaltungsgerichtlichen Entscheidung der im Rahmen der Prüfung des § 6b BDSG a.F. geäußerten Auffassung des Verwaltungsgerichts, dass die schutzwürdigen Interessen der Betroffenen das berechtigte Interesse der Klägerin an der Videoaufzeichnung überwiegen, entgegentritt. Dies bleibt jedoch ohne Erfolg.

aa) Die Klägerin vermag zunächst nicht mit dem sinngemäßen Verweis darauf, dass die Videoüberwachung im Öffentlichen Personennahverkehr zulässig sei, obwohl die Betroffenen dort auch längere Zeit beobachtet würden, dieser Beobachtung nicht ausweichen könnten und auch dort Personal (z.B. der Busfahrer) zur Abwehr von Gefahren zur Verfügung stünde, die Interessenabwägung des Verwaltungsgerichts im Ergebnis ernstlich in Zweifel zu ziehen. Denn die Zulässigkeit einer Datenverarbeitung bei anderer Sachlage kann nicht das Vorliegen der Voraussetzungen des § 6b Abs. 1 BDSG a.F. im vorliegenden Fall begründen. Im Rahmen der Interessenabwägung nach § 6b Abs. 1 BDSG a.F. ist auf Seiten der verantwortlichen Stelle insbesondere die Zwecksetzung der Videoüberwachung zu beachten, während auf Seiten der von der Überwachung betroffenen Personen das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in seiner Ausprägung als Recht der informationellen Selbstbestimmung, des Rechtes am eigenen Bild sowie des Schutzes der Privatsphäre von Bedeutung ist. Der Frage der Eingriffsintensität kommt dabei eine entscheidende Bedeutung zu. Das Gewicht des Eingriffs wird maßgeblich durch Art und Umfang der erfassten Informationen, durch Anlass und Umstände der Erhebung, den betroffenen Personenkreis und die Art und den Umfang der Verwertung der erhobenen Daten bestimmt (OVG Lüneburg, Urt. v. 07.09.2017 – 11 LC 59/16 –, juris Rn. 47 m.w.N.). Die Interessenabwägung ist damit abhängig von den konkreten Gegebenheiten des jeweils zu beurteilenden Falles (vgl. OVG Berlin-Brandenburg, Urt. v. 06.04.2017 – OVG 12 B 7.16 –, juris Rn. 32). Neben dem Umstand, dass die Zulässigkeit der Videoüberwachung im Öffentlichen Personennahverkehr von der Klägerin im Zulassungsverfahren ohnehin nur ohne weitere Darlegungen behauptet wird, ist weder ersichtlich noch dargetan, dass die für eine Videoüberwachung im Öffentlichen Personennahverkehr sprechenden berechtigten Interessen grundsätzlich identisch mit den hier von der Klägerin dargelegten berechtigten Interessen sind oder sein können. Gleiches gilt mit Blick auf die Interessen der Betroffenen. Vielmehr drängt sich hier insbesondere mit Blick auf die Videoüberwachung einer Umkleidekabine ein gewichtiger Unterschied zur Überwachung öffentlicher Verkehrsmittel auf. Daher ist nicht ersichtlich, dass die Interessenabwägung mit Blick auf den Öffentlichen Personennahverkehr zwingend identisch zu der hier vorzunehmenden Interessenabwägung auszufallen hat.

bb) Die Klägerin verweist außerdem darauf, dass das Verwaltungsgericht nicht berücksichtigt habe, dass die Betroffenen ihr Fitnessstudio trotz der Videoüberwachung freiwillig aufsuchten oder die Videoüberwachung möglicherweise gerade in deren Interesse läge, weil diese ihnen ein Gefühl von Sicherheit vermittelte und Straftaten vermeiden könnte. Insoweit kritisiert die Klägerin zwar die vom Verwaltungsgericht vorgenommene Interessenabwägung. Dies jedoch ohne darzulegen, ob und inwieweit die nach ihrer Auffassung begangenen Fehler hier ergebnisrelevant sind, d.h. die Interessenabwägung – trotz der Feststellung des Verwaltungsgerichts, dass hier die Intimsphäre der Besucher betroffen und die Interessen der Klägerin geringer zu bewerten seien bzw. es schon an der Darlegung eines berechtigten Interesses fehle – bei Berücksichtigung der genannten Aspekte zugunsten der Klägerin ausgefallen wäre. Dies ist auch nicht ohne weiteres zu erkennen.

2. Die Klägerin zeigt mit der Begründung des Antrags auf Zulassung der Berufung auch keine besonderen rechtlichen oder tatsächlichen Schwierigkeiten im Sinne des § 124 Abs. 2 Nr. 2 VwGO auf. Besondere tatsächliche oder rechtliche Schwierigkeiten weist eine Rechtssache nur dann auf, wenn sie voraussichtlich in tatsächlicher oder rechtlicher Hinsicht größere, d. h. überdurchschnittliche, das normale Maß nicht unerheblich überschreitende Schwierigkeiten verursacht. Im Tatsächlichen ist dies besonders bei wirtschaftlichen, technischen und wissenschaftlichen Zusammenhängen, im Rechtlichen bei neuartigen oder ausgefallenen Rechtsfragen der Fall (vgl. OVG Schleswig, Beschl. v. 14.05.1999 – 2 L 244/98 –, juris Rn. 17; Beschl. d. Senats v. 02.10.2020 – 4 LA 141/18 –, juris Rn. 57). Zur Darlegung genügt nicht allein die Behauptung einer überdurchschnittlichen Schwierigkeit, die problematischen Rechts- und Tatsachenfragen und die Schwierigkeit müssen vielmehr konkret bezeichnet werden. Darüber hinaus ist aufzuzeigen, dass und aus welchen Gründen sie sich qualitativ von denjenigen eines Verwaltungsrechtsstreits „durchschnittlicher“ Schwierigkeit abheben (vgl. OVG Schleswig, Beschl. v. 16.06.2021 – 3 LA 56/20 –, juris Rn. 23; Beschl. v. 05.03.2021 – 2 LA 214/17 –, juris Rn. 4, jeweils m.w.N.). Diese Voraussetzungen erfüllt das Zulassungsvorbringen nicht.

Die Klägerin meint besondere Schwierigkeiten darin zu erkennen, dass das Verwaltungsgericht angenommen habe, dass ein Fitnessstudio ein „öffentlicher Raum“ im Sinne des § 6b BDSG a.F. sei, ohne sich gegebenenfalls mit den Unterschieden zu beispielsweise einem Bahnhofsplatz auseinanderzusetzen. Außerdem sei schwierig, welche Folgen eine Unanwendbarkeit der herangezogenen Rechtsgrundlage habe und dass das Verwaltungsgericht nicht weiter zwischen den rechtfertigenden Gründen einer Videoüberwachung, nämlich der Wahrnehmung des Hausrechts einerseits und der Wahrnehmung berechtigter Interessen andererseits, differenziert habe. Damit sind besondere Schwierigkeiten rechtlicher oder gar tatsächlicher Art jedoch nicht dargelegt. In diesem Vorbringen ist lediglich eine Kritik an der rechtlichen Prüfung des Verwaltungsgerichts, insbesondere der Subsumtion des Sachverhalts unter die herangezogenen Vorschriften erkennbar. Dass die an die gerichtliche Prüfung zu stellenden Anforderungen ausgefallen oder neuartig und damit als überdurchschnittlich schwierig zu bewerten sind, ergibt sich daraus jedoch nicht.

3. Eine Zulassung der Berufung wegen grundsätzlicher Bedeutung der Rechtssache nach § 124 Abs. 2 Nr. 3 VwGO kommt vorliegend ebenfalls nicht in Betracht. Eine solche erfordert u.a., dass eine konkrete Rechts-(oder Tatsachenfrage) aufgeworfen wird, die klärungsfähig und -bedürftig ist, mithin für die Entscheidung der Vorinstanz von Bedeutung war und dies auch für die Entscheidung im Berufungsverfahren sein wird, sowie, dass sie bisher höchstrichterlich oder – bei tatsächlichen Fragen oder nicht revisiblen Rechtsfragen – durch die Rechtsprechung des Berufungsgerichts nicht geklärt und über den Einzelfall hinaus bedeutsam ist. Um die grundsätzliche Bedeutung der Rechtssache darzulegen, ist u.a. auszuführen, dass die aufgeworfene Frage entscheidungserheblich ist und ihre Klärung im Berufungsverfahren zu erwarten steht (stRspr. des Senats, vgl. Beschl. des v. 17.02.2021 – 4 LA 208/19 –, juris Rn. 67 m.w.N.).

Entsprechende Darlegungen lässt der Antrag auf Zulassung der Berufung vollständig vermissen. Es fehlt bereits an der Formulierung einer konkreten, grundsatzbedeutsamen Frage. Der bloße Verweis darauf, dass hier die rechtlichen Voraussetzungen für den Erlass der in Streit stehenden Ordnungsverfügung bzw. die Voraussetzungen der Zulässigkeit einer Videoüberwachung im allgemeinen Interesse lägen, genügt insoweit nicht. Daneben ist im Übrigen auch nicht dargelegt, ob und inwieweit bereits Rechtsprechung zu den Voraussetzungen einer Videoüberwachung ergangen ist und inwieweit sich die Zulässigkeit einer solchen allgemeingültig, d.h. losgelöst vom jeweiligen konkreten Sachverhalt, beantworten lässt.


Den Volltext der Entscheidung finden Sie hier: