Skip to content

BayObLG: Staatsanwaltschaft muss gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen solange Verjährungsfrist noch läuft

BayObLG
Beschluss v. 27.01.2020
203 VAs 1846/19

Das BayobLG hat entschieden, dass die Staatsanwaltschaft gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen, solange die Verjährungsfrist noch läuft.

Aus den Entscheidungsgründen:

"Der Antrag auf gerichtliche Entscheidung ist nach § 23 Abs. 1 und 2 EGGVG statthaft und auch im Übrigen zulässig, ein Vorschaltverfahren (§ 21 StVollstrO) ist entbehrlich. In der Sache hat der Antrag keinen Erfolg.

Der Antragsteller hat weder Anspruch auf Berichtigung, noch auf Löschung der durch die Staatsanwaltschaft Coburg gespeicherten Daten (§ 500 Abs. 1, Abs. 2 Nr. 1 StPO i.V.m. §§ 75 Abs. 1, Abs. 2 BDSG, 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO).

1. Das Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 ist am 26.11.2019 in Kraft getreten (BGBl. I 2019, S. 1774 ff.). § 500 Abs. 1 StPO erklärt hinsichtlich der Verarbeitung personenbezogener Daten Teil 3 des Bundesdatenschutzgesetzes für entsprechend anwendbar. Insoweit handelt es sich um eine eigenständige Normierung ohne Verweis auf die Datenschutzgrundverordnung (DSGVO); auch das Bayerische Datenschutzgesetz (BayDSG) ist damit grundsätzlich nicht anwendbar.

Der Antragsteller hat danach gemäß § 500 Abs. 1 StPO i.V.m. § 75 Abs. 1 BDSG einen Berichtigungsanspruch, wenn gespeicherte personenbezogene Daten unrichtig oder unvollständig sind. Er hat nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 2 BDSG, § 500 Abs. 2 Nr. 1 StPO i.V.m. § 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO (als ergänzende Sonderregelungen) einen Löschungsanspruch hinsichtlich gespeicherter personenbezogener Daten, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Einstellung, die die Wiederaufnahme (wie bei § 170 Abs. 2 StPO) nicht hindert, mit Eintritt der Verjährung.

2. Es besteht kein Berichtigungsanspruch, da die gespeicherten Daten nicht unrichtig und nicht unvollständig sind:

a) Der Tatvorwurf ist zu Recht gespeichert. Der Gegenstand eines Ermittlungsverfahrens muss zweifelsfrei erfasst sein, insbesondere auch um den Eintritt der Verjährung konkret bestimmen zu können, der - wie vorgehend dargestellt - maßgeblich ist für den Zeitpunkt der Löschung. Der Senat erachtet es deshalb nicht für zielführend, gespeicherte Datensätze mit Phantasieparagraphen (§ 999 StGB) zu verfälschen. Das Interesse der Strafverfolgungsbehörden an der Speicherung der Daten geht dem Interesse des Beschuldigten an der Vermeidung einer Stigmatisierung vor.

Der Senat folgt nicht dem Beschluss des Oberlandesgerichts Frankfurt vom 20.07.2010 (Az.: 3 VAs 19/10). Von einer Speicherung des urpsrünglichen Deliktsvorwurfes wurde dort nur wegen der „Besonderheiten“ des Falles abgesehen; welche „Besonderheiten“ dies sein sollen, ist jedoch nicht ersichtlich. Vorliegender Fall weist dagegen von vorneherein keine Besonderheiten auf. Das Ermittlungsverfahren wurde eingestellt, weil - wie in vielen Ermittlungsverfahren - kein konkreter Tatnachweis geführt werden konnte, und nicht etwa wegen erwiesener Unschuld, was eine andere Beurteilung rechtfertigen könnte.

b) Gespeichert ist, dass das Verfahren am 26.11.2018 eingestellt wurde, da Tatbestand, Rechtswidrigkeit oder Schuld nicht nachweisbar sind. Es ist nicht erforderlich, dass die Vorschrift des § 170 Abs. 2 StPO auch noch ausdrücklich genannt wird, da die gewählte Formulierung eindeutig ergibt, dass eine Sachbehandlung nach § 170 Abs. 2 StPO erfolgt ist.

2. Es besteht auch kein Löschungsanspruch:

Wie oben ausgeführt, ist eine Löschung erst dann vorzunehmen, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Verfahrenseinstellung nach § 170 Abs. 2 StPO mit Eintritt der Verjährung. Totschlag verjährt nach § 78 Abs. 3 Nr. 1 StGB in dreißig Jahren. Während des Laufs der Verjährungsfrist ist die Datenspeicherung zur Aufgabenerfüllung der Staatsanwaltschaft erforderlich, weil während dieses Zeitraums neue Beweismittel auftauchen könnten, die Anlass zur Wiederaufnahme der Ermittlungen geben. Eine Einstellung nach § 170 Abs, 2 StPO steht einer solchen Wiederaufnahme der Ermittlungen nicht entgegen."


Den Volltext der Entscheidung finden Sie hier:



KG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend - voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung

KG Berlin
Urteil vom 20.12.2019
5 U 9/18


Das KG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und die voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung darstellt.

Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das KG Berlin - zulässig und keine Irreführung.

Die Pressemitteilung des vzbv:

Facebook verstößt gegen Datenschutzrecht - Kammergericht Berlin gibt Klage des vzbv in vielen Punkten statt

Voreinstellungen zur Verwendung persönlicher Daten stellen keine informierte Einwilligung dar.

Gericht bestätigt Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen.

Werbung mit „Facebook ist und bleibt kostenlos“ ist erlaubt.

Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen gegen Verbraucher- und Datenschutzrecht. Dazu gehören eine Klausel zur Nutzung des Profilbilds für kommerzielle Zwecke sowie die voreingestellte Aktivierung eines Ortungsdienstes, der Chat-Partnern den Aufenthaltsort verrät. Das hat das Kammergericht in Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Der vzbv darf demnach bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gerichtlich vorgehen. Der Werbeslogan „Facebook ist und bleibt kostenlos“ ist hingegen laut Kammergericht nicht irreführend. Damit bestätigten die Richter ein Urteil des Landgerichts Berlin vom Januar 2018.

„Nicht zum ersten Mal wird Facebook wegen des sorglosen Umgangs mit den Daten seiner Nutzerinnen und Nutzer verurteilt“, sagt Heiko Dünkel vom Team Rechtsdurchsetzung beim vzbv. „Das Kammergericht hat dabei klargestellt, dass Verbraucherzentralen gegen Verstöße gegen die DSGVO vorgehen können.“

Privatsphäre-Einstellungen schon angekreuzt
Mit seiner Klage hatte der vzbv insgesamt 26 Einzelverstöße beanstandet. Das Kammergericht folgte der Rechtsauffassung des Verbandes in vielen Punkten. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen vorbelegt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das eigene Facebook-Profil für jeden schnell und leicht auffindbar. Die dafür jeweils nötige Einwilligung in Datennutzungen kann nach Auffassung des Gerichts nicht über ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer erst abwählen muss, wenn er damit nicht einverstanden ist.

Auch eine Reihe von Geschäftsbedingungen untersagte das Gericht. So erklärten sich Nutzer damit einverstanden, dass Facebook ihren Namen und ihr Profilbild „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagte, dass sie sich schon vorab mit allen künftigen Änderungen der Facebook-Datenrichtlinie einverstanden erklären. Solche vorformulierten Erklärungen erfüllen nach Auffassung des Senats nicht die Voraussetzungen an eine wirksame Einwilligung in die Datennutzung.
Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt.

Kein Zweifel an Klagebefugnis des vzbv
Das Kammergericht stellte eindeutig klar, dass der vzbv auch nach Inkrafttreten der DSGVO berechtigt ist, Datenschutzverstöße durch Unternehmen gerichtlich zu verfolgen. Entsprechende Klagerechte im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb seien anwendbar. Dafür brauche es auch nicht den Auftrag eines betroffenen Verbrauchers.

Werbung „Facebook ist und bleibt kostenlos“ bleibt zulässig
Der Slogan „Facebook ist und bleibt kostenlos“ ist nach dem Kammergerichtsurteil hingegen zulässig. Der vzbv hatte die Werbung als irreführend kritisiert, da Verbraucher die Facebook-Nutzung indirekt mit ihren Daten zahlen müssten, mit denen Facebook seinen Gewinn erzielt. Nach Auffassung des Kammergerichts bezieht sich die Werbung jedoch nur darauf, dass die Dienste ohne Geldzahlungen oder andere Vermögenseinbußen genutzt werden können. Der Senat wies außerdem die Klage gegen einzelne Klauseln aus der Datenrichtlinie des Unternehmens ab. Bei diesen handele es sich nicht um Allgemeine Geschäftsbedingungen.

Die Revision gegen das Urteil ist nicht zugelassen. Beide Parteien haben aber noch die Möglichkeit, Nichtzulassungsbeschwerde beim Bundesgerichtshof einzulegen.

Urteil des Kammergerichts vom 20.12.2019, Az. 5 U 9/18 – nicht rechtkräftig


Den Volltext der Entscheidung finden Sie hier:

EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



BVerfG: Meinungsfreiheit der Inhalteanbieter ist bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen - Recht auf Vergessen II

BVerfG
Beschluss vom 6. November 2019
1 BvR 276/17
Recht auf Vergessen II


Das BVerfG hat entschieden, dass die Meinungsfreiheit der Inhalteanbieter bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen ist.

Die Pressemitteilung des Bundesverfassungsgerichts:

Bundesverfassungsgericht prüft innerstaatliche Anwendung unionsrechtlich vollvereinheitlichen Rechts am Maßstab der Unionsgrundrechte - Meinungsfreiheit der Inhalteanbieter ist bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen

Dem heute veröffentlichten Beschluss „Recht auf Vergessen II“, der ergänzt wird durch den Beschluss vom selben Tag „Recht auf Vergessen I“ (vergleiche PM Nr. 83/2019), liegt ein Rechtsstreit zugrunde, der eine unionsrechtlich vollständig vereinheitlichte Materie betrifft. Der Erste Senat des Bundesverfassungsgerichts hat deshalb die Charta der Grundrechte der Europäischen Union angewandt und eine Verfassungsbeschwerde gegen ein Urteil des Oberlandesgerichts Celle zurückgewiesen. Dieses hatte eine Klage der Beschwerdeführerin gegen einen Suchmaschinenbetreiber abgewiesen, mit der sie sich dagegen wandte, dass auf Suchabfragen zu ihrem Namen der Link zu einem 2010 in ein Onlinearchiv eingestellten Transkript eines Fernsehbeitrags nachgewiesen wurde, in dem ihr unter namentlicher Nennung ein unfairer Umgang mit einem gekündigten Arbeitnehmer vorgeworfen wurde.

Das Bundesverfassungsgericht hat zunächst festgestellt, dass die anwendbaren Regelungen unionsrechtlich vollständig vereinheitlicht und deshalb die Grundrechte des Grundgesetzes nicht anwendbar sind. Soweit jedoch die Grundrechte des Grundgesetzes durch den Anwendungsvorrang des Unionsrechts verdrängt werden, kontrolliert das Bundesverfassungsgericht dessen Anwendung durch deutsche Stellen am Maßstab der Unionsgrundrechte, so dass keine Schutzlücken entstehen. Es nimmt hierdurch seine Integrationsverantwortung im Rahmen des Art. 23 GG wahr.

In der Sache führt der Senat aus, dass die Grundrechte der Charta wie die des Grundgesetzes nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten gewährleisten und hierbei miteinander in Ausgleich zu bringen sind. Das Oberlandesgericht hat in diesem Sinne die Grundrechtspositionen der Parteien sowie die zu berücksichtigenden Grundrechte Dritter, insbesondere die hierbei beachtliche Meinungsfreiheit des für den Beitrag verantwortlichen Norddeutschen Rundfunks, sachgerecht in die Abwägung eingestellt.

Sachverhalt:

1. Am 21. Januar 2010 strahlte der Norddeutsche Rundfunk einen Beitrag des Fernsehmagazins „Panorama“ mit dem Titel „Kündigung: Die fiesen Tricks der Arbeitgeber“ aus. Gegen Ende dieses Beitrags, für den die Beschwerdeführerin zuvor ein Interview gegeben hatte, wurde der Fall eines gekündigten ehemaligen Mitarbeiters des von ihr als Geschäftsführerin geleiteten Unternehmens dargestellt. In Anknüpfung an die geplante Gründung eines Betriebsrats wurde ihr in dem Beitrag ein unfairer Umgang mit dem Mitarbeiter vorgeworfen.

Der Norddeutsche Rundfunk stellte eine Datei mit einem Transkript dieses Beitrags unter dem Titel „Die fiesen Tricks der Arbeitgeber“ auf seiner Internetseite ein. Bei Eingabe des Namens der Beschwerdeführerin in die Suchmaske des Suchmaschinenbetreibers Google wurde als eines der ersten Suchergebnisse die Verlinkung auf diese Datei angezeigt. Nachdem dieser es abgelehnt hatte, die Nachweise dieser Seite zu unterlassen, erhob die Beschwerdeführerin Klage, die vom Oberlandesgericht abgewiesen wurde. Die Beschwerdeführerin könne weder aus § 35 Abs. 2 Satz 2 BDSG a. F. noch aus § 823 Abs. 1, § 1004 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG die Entfernung des Links (im Weiteren auch: Auslistung) beanspruchen.

2. Mit ihrer Verfassungsbeschwerde rügt die Beschwerdeführerin eine Verletzung ihres allgemeinen Persönlichkeitsrechts und ihres Grundrechts auf informationelle Selbstbestimmung. Bereits die Überschrift des Suchergebnisses sei verfälschend, da sie niemals „fiese Tricks“ angewandt habe. Das Suchergebnis rufe eine negative Vorstellung über sie als Person hervor, die geeignet sei, sie als Privatperson herabzuwürdigen. Überdies liege der Bericht zeitlich so weit zurück, dass auch in Folge des Zeitablaufs kein berechtigtes öffentliches Interesse mehr an ihm bestehe.

Wesentliche Erwägungen des Senats:

I. Das Verfahren gibt zunächst Anlass, den verfassungsgerichtlichen Prüfungsmaßstab im Kontext des Unionsrechts näher zu bestimmen.

1. Der von der Beschwerdeführerin im Ausgangsverfahren verfolgte Anspruch auf Auslistung richtet sich – sowohl für die damals geltende Datenschutzrichtlinie als auch für die heutige Datenschutz-Grundverordnung – nach Rechtsvorschriften, die unionsrechtlich vollständig vereinheitlicht sind und damit in allen Staaten der Europäischen Union gleichermaßen gelten. Die Frage, welche personenbezogenen Daten eine Suchmaschine auf Suchabfragen nachweisen darf, fällt auch nicht in den Bereich des sogenannten Medienprivilegs, für das den Mitgliedstaaten ein Ausgestaltungsspielraum zusteht (im Unterschied zur Rechtslage in dem Beschluss „Recht auf Vergessen I“ vom selben Tag, PM Nr. 83/2019).

2. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind grundsätzlich nicht die deutschen Grundrechte, sondern allein die Unionsgrundrechte maßgeblich. Das Unionsrecht hat hier gegenüber den Grundrechten des Grundgesetzes Anwendungsvorrang. Für die Frage, ob vollständig vereinheitlichte Regelungen gegen Grundrechte verstoßen, entspricht das der ständigen Rechtsprechung des Bundesverfassungsgerichts. Nichts anderes gilt für die Frage, ob das vollvereinheitlichte Fachrecht grundrechtskonform angewendet wird.

a) Die Anwendung der Unionsgrundrechte folgt hier aus der Übertragung von Hoheitsbefugnissen auf die Europäische Union. Wenn diese Regelungen schafft, die in allen Mitgliedstaaten gleichermaßen gelten und einheitlich angewendet werden sollen, muss auch der bei der Anwendung dieser Regelungen zu gewährleistende Grundrechtsschutz einheitlich sein. Dem steht eine Heranziehung der jeweiligen mitgliedstaatlichen Grundrechtsstandards von vorneherein entgegen. Denn derzeit kann nicht davon ausgegangen werden, dass diese mitgliedstaatlichen Grundrechtsstandards über das gemeinsame Fundament der Europäischen Menschenrechtskonvention hinaus deckungsgleich sind. In ihnen spiegeln sich vielfältig bedingte tatsächliche Unterschiede in den Mitgliedstaaten wie auch je eigene geschichtliche Erfahrungen. Ebensowenig kann davon ausgegangen werden, dass sich der Grundrechtsschutz der Grundrechtecharta gerade mit demjenigen des Grundgesetzes deckt. Damit ist von einem jeweiligen Eigenstand der unionsrechtlichen und der nationalen Grundrechte auszugehen.

b) Der Anwendungsvorrang des Unionsrechts steht nach ständiger Rechtsprechung des Bundesverfassungsgerichts unter dem Vorbehalt, dass der Grundrechtsschutz durch die Unionsgrundrechte hinreichend wirksam ist. Erforderlich ist deshalb, dass deren Schutz dem vom Grundgesetz jeweils als unabdingbar gebotenen Grundrechtsschutz im Wesentlichen gleich zu achten ist. Nach dem derzeitigen Stand des Unionsrechts – zumal unter Geltung der Charta – ist dies der Fall.

3. Das Bundesverfassungsgericht hat jetzt erstmals entschieden, dass es die Anwendung des Unionsrechts durch deutsche Stellen selbst am Maßstab der Unionsgrundrechte prüft, soweit diese die deutschen Grundrechte verdrängen.

a) In seiner bisherigen Rechtsprechung hat das Bundesverfassungsgericht eine Prüfung am Maßstab der Unionsgrundrechte nicht ausdrücklich in Erwägung gezogen. Soweit es die grundgesetzlichen Grundrechte nicht angewendet hat, hat es vielmehr auf eine Grundrechtsprüfung ganz verzichtet und die Grundrechtskontrolle den Fachgerichten in Kooperation mit dem Europäischen Gerichtshof überlassen. Diese Rechtsprechung bezog sich auf Fallkonstellationen, in denen, mittelbar oder unmittelbar, die Gültigkeit von Unionsrecht – also nicht dessen Anwendung – in Frage stand.

b) Geht es hingegen wie hier um die Frage, ob deutsche Gerichte oder Behörden bei der Anwendung vollvereinheitlichten Unionsrechts den hierbei zu beachtenden Anforderungen der Unionsgrundrechte im Einzelfall genügt haben, kann sich das Bundesverfassungsgericht nicht aus der Grundrechtsprüfung zurückziehen; vielmehr gehört es dann zu seinen Aufgaben, Grundrechtsschutz am Maßstab der Unionsgrundrechte zu gewährleisten. Die in Art. 23 Abs. 1 GG vorgesehene Öffnung des Grundgesetzes für das Unionsrecht meint nicht einen Rückzug der deutschen Staatsgewalt aus der Verantwortung für die der Union übertragenen Materien; vielmehr sieht sie eine Mitwirkung der deutschen Staatsorgane und damit auch des Bundesverfassungsgerichts an deren Entfaltung vor. Durch die Einbeziehung der Unionsgrundrechte als Prüfungsmaßstab nimmt das Bundesverfassungsgericht im Verfahren der Verfassungsbeschwerde daher seine Integrationsverantwortung wahr.

Maßgeblich ist hierfür vor allem, dass nach dem heutigen Stand des Unionsrechts anderenfalls eine Schutzlücke hinsichtlich der fachgerichtlichen Anwendung der Unionsgrundrechte entstünde. Denn eine Möglichkeit Einzelner, die Verletzung von Unionsgrundrechten durch die mitgliedstaatlichen Fachgerichte unmittelbar vor dem Europäischen Gerichtshof geltend zu machen, besteht nicht. Das Unionsrecht kennt anders als das deutsche Recht keine Verfassungsbeschwerde. Diese Schutzlücke wird auch nicht durch die schon bisher ausgeübte Kontrolle des Bundesverfassungsgerichts über die Vorlageverpflichtung der Fachgerichte an den Europäischen Gerichtshof hinreichend geschlossen.

4. Soweit das Bundesverfassungsgericht die Grundrechte der Grundrechtecharta als Prüfungsmaßstab anlegt, übt es seine Kontrolle in enger Kooperation mit dem Europäischen Gerichtshof aus. Denn die Zuständigkeit für die letztverbindliche Auslegung des Unionsrechts und damit auch der Grundrechte der Charta liegt bei diesem. Soweit er deren Auslegung nicht bereits geklärt hat oder die anzuwendenden Auslegungsgrundsätze nicht aus sich heraus offenkundig sind – etwa auf der Grundlage einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte –, wird das Bundesverfassungsgericht ihm Fragen gemäß Art. 267 Abs. 3 AEUV vorlegen. Ob die Fachgerichte, soweit sie im fachgerichtlichen Instanzenzug letztinstanzlich entscheiden, insoweit ebenfalls vorlagepflichtig bleiben, bedurfte keiner Entscheidung.

5. Die Frage, ob die Grundrechte des Grundgesetzes oder der Charta anzuwenden sind, hängt, wie sich aus den beiden heute veröffentlichten Senatsbeschlüssen „Recht auf Vergessen I und II“ ergibt, maßgeblich von einer Unterscheidung zwischen vollständig vereinheitlichtem und gestaltungsoffenem Unionsrecht ab. Dies richtet sich nach einer Auslegung des jeweils anzuwendenden unionsrechtlichen Fachrechts und lässt sich nicht entlang der im deutschen Recht bekannten Abgrenzung zwischen unbestimmten Rechtsbegriffen und Ermessen entscheiden, zwischen denen das Unionsrecht nicht in gleicher Weise unterscheidet wie das deutsche Recht. Es ist vielmehr in Bezug auf die jeweilige Norm des Unionsrechts zu untersuchen, ob sie auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt ist oder nicht.

6. Obwohl der Erste Senat des Bundesverfassungsgerichts damit erstmals entschieden hat, Verfassungsbeschwerden gegebenenfalls am Kontrollmaßstab der Unionsgrundrechte zu prüfen, bedurfte es keiner Entscheidung des Plenums. Diese ist nach § 16 BVerfGG nur geboten, wenn ein Senat von einer für die Entscheidung tragenden Auffassung des anderen Senats abweichen möchte. Eine solche Abweichung liegt nicht vor, insbesondere nicht von der mit der sogenannten Solange II-Entscheidung des Zweiten Senats begründeten Rechtsprechung beider Senate (vgl. BVerfGE 73, 339 <387>). Deren Gegenstand war allein, ob und wieweit Unions- und vollvereinheitlichtes innerstaatliches Recht am Maßstab des Grundgesetzes zu prüfen sind. Demgegenüber zog diese eine Anwendbarkeit der Unionsgrundrechte – und schon gar der erst im Jahr 2009 verbindlich gewordenen Grundrechtecharta – weder explizit noch implizit in Betracht und traf hierzu weder eine positive noch eine negative Aussage. Nichts anderes ergibt sich aus neueren Entscheidungen des Zweiten Senats.

II. In der Sache war die Verfassungsbeschwerde zulässig, hatte aber keinen Erfolg.

1. Die Beschwerdeführerin ist beschwerdebefugt, da sie sich auf die Unionsgrundrechte berufen kann. Indem sie sich auf eine Verletzung ihres Rechts auf Entfaltung ihrer Persönlichkeit stützt, rügt sie der Sache nach eine Verletzung ihrer Grundrechte auf Achtung des Privat- und Familienlebens und auf Schutz personenbezogener Daten nach Art. 7 und Art. 8 GRCh. Dass sie insoweit die Grundrechte des Grundgesetzes und nicht die Grundrechte der Charta nennt, ist unschädlich. Wird nur die falsche Norm benannt, aber in der Sache substantiiert vorgetragen, wird hierdurch die Verfassungsbeschwerde nicht unzulässig.

2. Die Verfassungsbeschwerde war aber unbegründet.

Wie bei der Heranziehung der Grundrechte des Grundgesetzes prüft das Bundesverfassungsgericht nicht die richtige Anwendung des einfachen Rechts (hier also die damals geltende Datenschutzrichtlinie und das Bundesdatenschutzgesetz), sondern allein, ob die Fachgerichte den Unionsgrundrechten hinreichend Rechnung getragen und zwischen ihnen im Rahmen der gebotenen Abwägung einen vertretbaren Ausgleich gefunden haben. Das hat das Bundesverfassungsgericht bejaht.

a) Wie die Grundrechte des Grundgesetzes gewährleisten auch die Grundrechte der Charta nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten. Auf Seiten der Beschwerdeführerin sind in die Abwägung die Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh einzustellen. Eine Entsprechung haben diese Garantien in Art. 8 EMRK.

b) Auf Seiten des beklagten Suchmaschinenbetreibers ist sein Recht auf unternehmerische Freiheit aus Art. 16 GRCh einzustellen, während er sich für die Verbreitung von Suchnachweisen nicht auf die Meinungsfreiheit aus Art. 11 GRCh berufen kann. Einzustellen sind jedoch die von einem solchen Rechtsstreit unmittelbar betroffenen Grundrechte Dritter und damit vorliegend – neben den Informationsinteressen der Nutzer – die Meinungsfreiheit des Norddeutschen Rundfunks. Da es darum geht, ob dem Suchmaschinenbetreiber verboten werden kann, die von einem Dritten, hier dem Norddeutschen Rundfunk, bereitgestellten Beiträge zu verbreiten, kann in einem solchen Verbot zugleich eine eigenständige Einschränkung der Meinungsfreiheit des Dritten liegen. Denn diesem wird dadurch ein bereitstehender Dienstleister genommen und so in Teilen zugleich ein wichtiges Medium für die Verbreitung seiner Berichte. Dies ist nicht ein bloßer Reflex einer Anordnung gegenüber dem Suchmaschinenbetreiber. Vielmehr knüpft die Entscheidung unmittelbar an die Äußerung und an den Gebrauch der Meinungsfreiheit an, da es gezielt darum geht, die Verbreitung des Beitrags wegen seines Inhalts zu beschränken.

c) Grundlage der Abwägung ist die Tätigkeit des Suchmaschinenbetreibers, die hinsichtlich der damit verbundenen Grundrechtseinschränkungen eigenständig zu beurteilen ist. Die Frage, ob er rechtmäßig gehandelt hat, ist nicht identisch mit der Frage, ob die Veröffentlichung des Beitrags durch den Dritten rechtmäßig war, auch wenn es insoweit Wechselwirkungen geben kann. Damit ist ein Vorgehen gegenüber dem Suchmaschinenbetreiber auch nicht subsidiär zu einem solchen gegenüber dem Dritten als Inhalteanbieter.

d) Nach der Entscheidung des Bundesverfassungsgerichts ist zwar im Rahmen der Abwägung das Gewicht allein der wirtschaftlichen Interessen des Suchmaschinenbetreibers grundsätzlich nicht hinreichend schwer, um den Schutzanspruch Betroffener zu beschränken. Allerdings können das Informationsinteresse der Öffentlichkeit sowie vor allem einzubeziehende Grundrechte Dritter größeres Gewicht haben. Vorliegend ist die Meinungsfreiheit des durch die Entscheidung belasteten, insoweit grundrechtsberechtigten Norddeutschen Rundfunks als unmittelbar mitbetroffenes Grundrecht in die Abwägung einzubeziehen. Daher gilt hier – anders als in einigen Entscheidungen des Europäischen Gerichtshofs, die insoweit andere Konstellationen betrafen – keine Vermutung eines Vorrangs des Schutzes des Persönlichkeitsrechts; vielmehr sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen. Denn ebensowenig wie Einzelne gegenüber den Medien einseitig darüber bestimmen können, welche Informationen im Rahmen der öffentlichen Kommunikation über sie verbreitet werden, haben sie eine solche Bestimmungsmacht gegenüber den Suchmaschinenbetreibern.

e) Bei der Abwägung kommt es für die Gewichtung der Grundrechtseinschränkung der Betroffenen maßgeblich darauf an, wieweit sie durch die Verbreitung des streitbefangenen Beitrags, insbesondere auch unter Berücksichtigung der Möglichkeit namensbezogener Suchabfragen, in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Hierfür reicht nicht eine Würdigung der Berichterstattung in ihrem ursprünglichen Kontext; vielmehr ist auch die leichte und fortdauernde Zugänglichkeit der Informationen durch die Suchmaschine zu berücksichtigen. Dabei ist insbesondere auch der Bedeutung der Zeit zwischen der ursprünglichen Veröffentlichung und deren späterem Nachweis Rechnung zu tragen, wie es nach der aktuellen Rechtslage auch in Art. 17 DSGVO nach dem Leitgedanken eines „Rechts auf Vergessenwerden“ normiert ist.

f) Nach diesen Maßstäben ist die angegriffene Entscheidung im Ergebnis nicht zu beanstanden. Das Oberlandesgericht stellt sowohl den Schutz des Persönlichkeitsrechts auf Seiten der Beschwerdeführerin als auch die unternehmerische Freiheit des Suchmaschinenbetreibers in die Abwägung ein, letztere zu Recht in Verbindung mit der Meinungsfreiheit des Norddeutschen Rundfunks sowie dem Zugangsinteresse der Internetnutzer. Die Abwägung des Oberlandesgerichts hält sich im fachgerichtlichen Wertungsrahmen.

Zu kurz greift es allerdings, wenn es dabei die Beschwerdeführerin nur als in ihrer Sozialsphäre betroffen ansieht. Die Auffindbarkeit und Zusammenführung von Informationen mittels namensbezogener Suchabfragen führt heute dazu, dass für deren Auswirkungen zwischen Privat- und Sozialsphäre kaum mehr zu unterscheiden ist. Als Kriterium für die Gewichtung des Gegenstands des Beitrags, nicht der Auswirkungen auf die Betroffenen, behält diese Unterscheidung aber ihre Aussagekraft. Tragfähig legt das Oberlandesgericht diesbezüglich dar, dass sich der Beitrag auf ein in die Gesellschaft hineinwirkendes berufliches Verhalten der Beschwerdeführerin, nicht aber allein auf ihr Privatleben bezieht und in Hinblick hierauf durch ein noch fortdauerndes, wenn auch mit der Zeit abnehmendes öffentliches Informationsinteresse gerechtfertigt ist. Diesbezüglich muss die Beschwerdeführerin belastende Wirkungen – auch in ihrem privaten Umfeld – weitergehend hinnehmen als gegenüber Beiträgen über ihr privates Verhalten.

Ergänzend konnte das Oberlandesgericht auch darauf abstellen, dass die Beschwerdeführerin zu dem Interview, das Gegenstand des streitigen Beitrags war, ihre Zustimmung gegeben hatte. Zu Recht beurteilt die angegriffene Entscheidung den Bericht und den hierauf verweisenden Link auch nicht als Schmähung, da es nicht ohne Sachbezug allein um die Verunglimpfung der Person geht.

Das Oberlandesgericht hat auch den Zeitfaktor in seine Abwägung eingestellt und geprüft, ob die Weiterverbreitung des Beitrags unter Namensnennung angesichts der inzwischen verstrichenen Zeit, die sowohl das Gewicht des öffentlichen Interesses als auch das der Grundrechtsbeeinträchtigung modifizieren kann (vergleiche dazu entsprechend den Beschluss vom selben Tag, PM Nr. 83/2019), noch gerechtfertigt ist. Letztlich sieht es einen Anspruch auf Auslistung im vorliegenden Fall mit verfassungsrechtlich nicht zu beanstandender Begründung als jedenfalls zum gegenwärtigen Zeitpunkt noch nicht gegeben an. Dies trägt den Garantien der Grundrechtecharta hinreichend Rechnung und lässt eine grundsätzlich unrichtige Anschauung von Bedeutung und Tragweite der berührten Unionsgrundrechte nicht erkennen.

III. Eine Vorlage an den Europäischen Gerichtshof nach Art. 267 Abs. 3 AEUV ist nicht geboten. Die Anwendung der Unionsgrundrechte auf den vorliegenden Fall wirft keine Auslegungsfragen auf, die nicht schon aus sich heraus klar oder durch die Rechtsprechung des Europäischen Gerichtshofs – unter ergänzender Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (vgl. Art. 52 Abs. 3 GRCh) – hinreichend geklärt sind.


Die Leitsätze des Bundesverfassungsgerichts:

1. Soweit die Grundrechte des Grundgesetzes durch den Anwendungsvorrang des Unionsrechts verdrängt werden, kontrolliert das Bundesverfassungsgericht dessen Anwendung durch deutsche Stellen am Maßstab der Unionsgrundrechte. Das Gericht nimmt hierdurch seine Integrationsverantwortung nach Art. 23 Abs. 1 GG wahr.

2. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind nach dem Grundsatz des Anwendungsvorrangs des Unionsrechts in aller Regel nicht die Grundrechte des Grundgesetzes, sondern allein die Unionsgrundrechte maßgeblich. Der Anwendungsvorrang steht unter anderem unter dem Vorbehalt, dass der Schutz des jeweiligen Grundrechts durch die stattdessen zur Anwendung kommenden Grundrechte der Union hinreichend wirksam ist.
Soweit das Bundesverfassungsgericht die Charta der Grundrechte der Europäischen Union als Prüfungsmaßstab anlegt, übt es seine Kontrolle in enger Kooperation mit dem Europäischen Gerichtshof aus. Nach Maßgabe des Art. 267 Abs. 3 AEUV legt es dem Gerichtshof vor.

3. Wie die Grundrechte des Grundgesetzes gewährleisten auch die Grundrechte der Charta nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten. Auf der Basis des maßgeblichen Fachrechts sind daher die Grundrechte der Beteiligten miteinander in Ausgleich zu bringen. Insoweit prüft das Bundesverfassungsgericht – wie bei den Grundrechten des Grundgesetzes – nicht das Fachrecht, sondern allein, ob die Fachgerichte den Grundrechten der Charta hinreichend Rechnung getragen und einen vertretbaren Ausgleich gefunden haben.

4. Soweit Betroffene von einem Suchmaschinenbetreiber verlangen, den Nachweis und die Verlinkung bestimmter Inhalte im Netz zu unterlassen, sind in die danach gebotene Abwägung neben den Persönlichkeitsrechten der Betroffenen (Art. 7 und Art. 8 GRCh) im Rahmen der unternehmerischen Freiheit der Suchmaschinenbetreiber (Art. 16 GRCh) die Grundrechte der jeweiligen Inhalteanbieter sowie die Informationsinteressen der Internetnutzer einzustellen.

5. Soweit das Verbot eines Suchnachweises in Ansehung des konkreten Inhalts der Veröffentlichung ergeht und dem Inhalteanbieter damit ein wichtiges Medium zu dessen Verbreitung entzieht, das ihm anderweitig zur Verfügung stünde, liegt hierin eine Einschränkung seiner Meinungsfreiheit.

Den Volltext der Entscheidung finden Sie hier





BfDI und Berliner Datenschutzbeauftragte: Personenbezogenes Webtracking nur mit Einwilligung - Cookie-Banner die lediglich auf Einsatz von Google Analytics und Co. hinweisen genügen nicht

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Berliner Beauftragte für Datenschutz und Informationsfreiheit haben nochmals ihre Ansicht bekräftigt, dass personenbezogenes Webtracking nur mit ausdrücklicher Einwilligung zulässig ist und es nicht genügt, wenn in einem Cookie-Banner auf den Einsatz hingewiesen wird.

Die Pressemitteilung des BfDI:

Personenbezogenes Webtracking nur mit Einwilligung

Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

Hierbei unterstützen kann die bereits im Frühjahr von den Datenschutz-Aufsichtsbehörden des Bundes und der Länder veröffentlichte „Orientierungshilfe für Anbieter von Telemedien“. In dieser wird im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Ältere Veröffentlichungen der Aufsichtsbehörden, beispielsweise zum Thema Google Analytics, gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse mitunter stark verändert haben.


Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Datenschutzbeauftragte: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar

Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont.

Bereits im Frühjahr haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Webseiten-Besucherinnen und -Besuchern zulässig ist. Trotzdem erhält die Berliner Datenschutzbeauftragte weiterhin eine Vielzahl von Beschwerden über Websites, die die Orientierungshilfe missachten.

Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden kann es demgegenüber, wenn eine Webseiten-Betreiberin eine Reichweitenerfassung durchführt und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden, wie es sich mittlerweile der Anbieter von Google Analytics vorbehält.

Maja Smoltczyk:
„Viele Webseiten-Betreiber berufen sich bei der Einbindung von Google Analytics auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die Google Analytics einsetzen. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.

Webseiten-Betreiber in Berlin sollten ihre Webseite umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der konkreten Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 20192 ausdrücklich bestätigt.“

Was eine wirksame Einwilligung ist, wird in Artikel 4 Nummer 11 der DatenschutzGrundverordnung (DSGVO) definiert. Danach ist eine „‘Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO sind Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher nicht als Einwilligung anzusehen.

Maja Smoltczyk:
„Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


AG Bochum: Schadensersatz wegen Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mail nur wenn tatsächlich Schaden entstanden ist und schlüssig dargelegt wird

AG Bochum
Beschluss vom 11.03.2019
65 C 485/18


Das AG Bochum hat im Rahmen eines Prozesskostenhilfeverfahrens entschieden, dass ein Anspruch auf Schadensersatz wegen eines Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mails nur dann im Betracht kommt, wenn ein konkreter Schaden entstanden ist und dieser schlüssig dargelegt wird.

Aus den Entscheidungsgründen:

Prozesskostenhilfe konnte nicht bewilligt werden, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg bietet.

Die Antragsgegnerin ist mit Beschluss des Amtsgerichts Recklinghausen vom 16.05.2018 als Berufsbetreuerin zur Betreuerin des Antragstellers bestellt worden. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.

Nach dem Vortrag des Antragstellers soll die Antragsgegnerin Daten und Informationen bezüglich des Antragstellers an dessen Vermieter und an weitere Stellen herausgegeben haben. Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, ist von dem Antragsteller substantiiert dargelegt. Da die Betreuung auch den Aufgabenkreis der Wohnungsangelegenheiten umfasste, gehört die Offenlegung der Betreuung unter Vorlage der Bestellungsurkunde wie auch die Erörterung der Einkommens- und Vermögensverhältnisse bezogen auf die mietvertraglichen Pflichten zur Erfüllung der rechtlichen Verpflichtungen des Antragsgegnerin aus der Betreuung und ist damit auch ohne Einwilligung des Antragstellers nach Art. 6 DSGVO rechtmäßig. Dies gilt naturgemäß auch für die Mitteilung der Beendigung der Betreuung, wenn die Antragsgegnerin noch seitens des Vermieters in mietrechtlichen Angelegenheiten angesprochen wird. Eine darüber hinausgehende Übermittlung personenbezogener Daten durch die Antragsgegnerin ist nicht dargelegt. Ein Verstoß gegen Datenschutzregeln oder die Schweigepflicht ergibt sich aus dem Vorbringen des Antragstellers nicht.

Die Übersendung der Bestellungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers am 30.05.2018 an sich ist aus den dargelegten Gründen ebenfalls rechtmäßig. Die Versendung als unverschlüsselte Email mag gegen Art. 32 DSGVO verstoßen. Dass aufgrund der Wahl eines ungesicherten Übertragungsweges persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, ist weder dargelegt noch ersichtlich. Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.

Ein Anspruch aus Art. 82 DSGVO ist im Ergebnis nicht schlüssig dargelegt und die Rechtsverfolgung bietet keine hinreichende Aussicht auf Erfolg.



Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht

In Ausgabe 21/2019, S. 15 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht".

Siehe auch zum Thema: EuGH: Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers - Es reicht nicht wenn voreingestellte Checkbox abgewählt werden kann

EuGH: Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers - Es reicht nicht wenn voreingestellte Checkbox abgewählt werden kann

EuGH
Urteil vom 01.10.2019
C-673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH


Der EuGH hat entschieden, dass das Setzen von Cookies ein aktive Einwilligung des Internetnutzers erfordert. Es reicht nicht, wenn eine voreingestellte Checkbox abgewählt werden kann.

Nicht von der Pflicht zur Einwilligung erfasst, sind nach Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG solche Cookies, bei denen"der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."

Die Pressemitteilung des EuGH:

Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers - Ein voreingestelltes Ankreuzkästchen genügt daher nicht

Der deutsche Bundesverband der Verbraucherverbände wendet sich vor den deutschen Gerichten dagegen, dass die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.

Der Bundesgerichtshof (Deutschland) ersucht den Gerichtshof um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation.

Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät
eindringen.

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.


Tenor der Entscheidung:

1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.

3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.


Den Volltext der Entscheidung finden Sie hier:




EuGH: Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten gilt auch für Suchmaschinen

EuGH
Urteil vom 24.09.2019
C-136/17
GC u. a. / Commission nationale de l'informatique et des libertés (CNIL)


Der EuGH hat entschieden, dass das Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten auch für Suchmaschinen gilt.

Die Pressemitteilung des EuGH:

Das Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten gilt auch für die Betreiber von Suchmaschinen

Im Rahmen eines Auslistungsantrags ist eine Abwägung zwischen den Grundrechten des Antragstellers und den Grundrechten der Internetnutzer vorzunehmen, die potenziell Interesse an diesen Informationen haben .

Frau G. C., Herr A. F., Herr B. H. und Herr E. D. erhoben beim Conseil d’État (Staatsrat, Frankreich) Klagen gegen die Commission nationale de l’informatique et des libertés (CNIL, Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) wegen vier Beschlüssen, mit denen die CNIL es ablehnte, die Google Inc. aufzufordern, aus der Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, verschiedene Links zu Websites Dritter zu entfernen. Die Links führen zu Websites Dritter, die u. a. eine unter einem Pseudonym online gestellte satirische Fotomontage, in der eine im Bereich der Politik tätige Frau dargestellt wird, einen Artikel, in dem einer der Betroffenen als Verantwortlicher für die Öffentlichkeitsarbeit der Scientology-Kirche genannt wird, Artikel über die Anklageerhebung gegen einen im Bereich der Politik tätigen Mann sowie Artikel über die Verurteilung eines anderen Betroffenen wegen sexueller Übergriffe auf Jugendliche enthalten.

Der Conseil d’État hat dem Gerichtshof mehrere Fragen zur Auslegung der Vorschriften des Unionsrechts über den Schutz personenbezogener Daten vorgelegt.

Der Conseil d’État möchte u. a. wissen, ob in Anbetracht des speziellen Verantwortungsbereichs, der speziellen Befugnisse und der speziellen Möglichkeiten des Betreibers einer Suchmaschine das den anderen für die Verarbeitung Verantwortlichen auferlegte Verbot, besondere Kategorien personenbezogener Daten (wie solche, die politische Meinungen, religiöse oder philosophische Überzeugungen oder das Sexualleben betreffen) zu verarbeiten, auch für einen solchen Betreiber gilt.

In seinem heutigen Urteil weist der Gerichtshof darauf hin, dass durch die Tätigkeit einer Suchmaschine die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten erheblich beeinträchtigt werden können, und zwar zusätzlich zur Tätigkeit der Herausgeber von Websites; als derjenige, der über die Zwecke und Mittel dieser Tätigkeit entscheidet, hat der Suchmaschinenbetreiber daher in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen, dass die Tätigkeit der Suchmaschine den Anforderungen des Unionsrechts entspricht, damit die darin vorgesehenen Garantien ihre volle Wirksamkeit entfalten können und ein wirksamer und umfassender Schutz der betroffenen Personen, insbesondere ihres Rechts auf Achtung ihres Privatlebens, tatsächlich verwirklicht werden kann.

Der Gerichtshof hebt sodann hervor, dass die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben vorbehaltlich bestimmter Abweichungen und Ausnahmen verboten ist. Außerdem darf die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, abgesehen von besonderen Ausnahmen, nur unter behördliche Aufsicht erfolgen, und ein vollständiges Register der strafrechtlichen Verurteilungen darf nur unter
behördlicher Aufsicht geführt werden.
Nach Ansicht des Gerichtshofs gelten das Verbot und die Beschränkungen vorbehaltlich der im Unionsrecht vorgesehenen Ausnahmen für sämtliche Verantwortliche, die solche Verarbeitungen
vornehmen.

Der Suchmaschinenbetreiber ist jedoch nicht dafür verantwortlich, dass die in diesen Bestimmungen genannten personenbezogenen Daten auf der Website eines Dritten vorhanden sind, wohl aber für die Listung dieser Website und insbesondere für die Anzeige des auf sie führenden Links in der Ergebnisliste, die den Internetnutzern im Anschluss an eine Suche angezeigt wird. Das Verbot und die Beschränkungen sind auf diesen Betreiber nur aufgrund der Listung der Website und somit über eine Prüfung anwendbar, die auf der Grundlage eines Antrags der betroffenen Person unter der Aufsicht der zuständigen nationalen Behörden vorzunehmen ist.

Der Gerichtshof stellt sodann fest, dass zwar die Rechte der betroffenen Person im Allgemeinen gegenüber dem Recht der Internetnutzer auf freie Information überwiegen; der Ausgleich kann in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann.

Der Gerichtshof schließt daraus, dass der Suchmaschinenbetreiber, wenn er mit einem Antrag auf Auslistung eines Links zu einer Website befasst ist, auf der sensible Daten veröffentlicht sind, auf der Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz personenbezogener Daten prüfen muss, ob sich die Aufnahme dieses Links in die im Anschluss an eine Suche anhand des Namens dieser Person angezeigte Ergebnisliste als unbedingt erforderlich erweist, um die Informationsfreiheit von Internetnutzern zu schützen, die potenziell daran interessiert sind, mittels einer solchen Suche Zugang zu der betreffenden Website zu erhalten.

Bezieht sich die Verarbeitung auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, kann der Suchmaschinenbetreiber einen Auslistungsantrag ablehnen, sofern die Verarbeitung alle sonstigen Voraussetzungen für die Zulässigkeit erfüllt und die betroffene Person nicht aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Datenverarbeitung Widerspruch einlegen kann.

Schließlich stellt der Gerichtshof zu Websites, auf denen Informationen zu einem Strafverfahren gegen eine bestimmte Person veröffentlicht sind, die sich auf einen früheren Verfahrensabschnitt beziehen und nicht mehr der aktuellen Situation entsprechen, fest, dass es Sache des Suchmaschinenbetreibers ist, zu beurteilen, ob diese Person ein Recht darauf hat, dass die betreffenden Informationen aktuell nicht mehr durch die Anzeige einer Ergebnisliste im Anschluss an eine Suche anhand ihres Namens mit ihrem Namen in Verbindung gebracht werden. Dabei hat der Suchmaschinenbetreiber sämtliche Umstände des Einzelfalls wie z. B. die Art und Schwere der Straftat, den Verlauf und Ausgang des Verfahrens, die verstrichene Zeit, die Rolle der Person im öffentlichen Leben und ihr Verhalten in der Vergangenheit, das Interesse der Öffentlichkeit zum Zeitpunkt der Antragstellung, den Inhalt und die Form der Veröffentlichung sowie die Auswirkungen der Veröffentlichung für die Person zu berücksichtigen.

Der Suchmaschinenbetreiber ist daher verpflichtet, einem Antrag auf Auslistung von Links zu Websites, auf denen sich Informationen zu einem Gerichtsverfahren, das eine natürliche Person betraf, sowie gegebenenfalls Informationen über die sich daraus ergebende Verurteilung befinden, stattzugeben, wenn sich diese Informationen auf einen früheren Abschnitt des Gerichtsverfahrens beziehen und nicht mehr der aktuellen Situation entsprechen, sofern festgestellt wird, dass unter Berücksichtigung sämtlicher Umstände des Einzelfalls die Grundrechte der betroffenen Person gegenüber den Grundrechten der potenziell interessierten Internetnutzer überwiegen.

Der Gerichtshof weist noch darauf hin, dass der Suchmaschinenbetreiber, selbst wenn er feststellen sollte, dass die betroffene Person kein Recht auf Auslistung solcher Links hat, weil sich die Einbeziehung des betreffenden Links als absolut erforderlich erweist, um die Rechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz ihrer Daten mit der Informationsfreiheit potenziell interessierter Internetnutzer in Einklang zu bringen, in jedem Fall verpflichtet ist, spätestens anlässlich des Auslistungsantrags die Ergebnisliste so auszugestalten, dass das daraus für den Internetnutzer entstehende Gesamtbild die aktuelle Rechtslage widerspiegelt, was insbesondere voraussetzt, dass Links zu Websites mit entsprechenden Informationen auf dieser Liste an erster Stelle stehen.

Den Volltext der Entscheidung finden Sie hier:



EuGH: Suchmaschinenbetreiber Google ist nicht verpflichtet Inhalte weltweit aus dem Suchindex zu entfernen - Recht auf Vergessenwerden

EuGH
Urteil vom 24.09.2019
C-507/17
Google LLC als Rechtsnachfolgerin der Google Inc. / Commission nationale de l'informatique et des libertés (CNIL)

Der EuGH hat entschieden, dass der Suchmaschinenbetreiber Google nicht verpflichtet ist, Inhalte weltweit aus dem Suchindex zu entfernen.

Die Pressemitteilung des EuGH:

Der Betreiber einer Suchmaschine ist nicht verpflichtet, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen

Er ist jedoch verpflichtet, sie in allen mitgliedstaatlichen Versionen vorzunehmen und Maßnahmen zu ergreifen, um die Internetnutzer davon abzuhalten, von einem Mitgliedstaat aus auf die entsprechenden Links in Nicht-EU-Versionen der Suchmaschine zuzugreifen.

Mit Beschluss vom 10. März 2016 verhängte die Präsidentin der Commission nationale de l’informatique et des libertés (CNIL, Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) eine Sanktion von 100 000 Euro gegen die Google Inc. wegen der Weigerung des Unternehmens, in Fällen, in denen es einem Auslistungsantrag stattgibt, die Auslistung auf
sämtliche Domains seiner Suchmaschine anzuwenden.

Die Google Inc., die von der CNIL am 21. Mai 2015 aufgefordert worden war, die Auslistung auf alle Domains zu erstrecken, kam dieser Aufforderung nicht nach und entfernte die betreffenden Links nur aus den Ergebnissen, die bei Sucheingaben auf Domains angezeigt wurden, die den Versionen ihrer Suchmaschine in den Mitgliedstaaten entsprachen. Die Google Inc. erhob beim Conseil d’État (Staatsrat, Frankreich) Klage auf Nichtigerklärung des Beschlusses vom 10. März 2016. Sie ist der Auffassung, das Auslistungsrecht setze nicht zwangsläufig voraus, dass die streitigen Links ohne geografische Beschränkung auf sämtlichen Domains ihrer Suchmaschine entfernt würden.

Der Conseil d’État hat dem Gerichtshof mehrere Fragen zur Vorabentscheidung vorgelegt, mit denen er wissen will, ob die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten dahin auszulegen sind, dass der Betreiber einer Suchmaschine, wenn er einem Auslistungsantrag stattgibt, die Auslistung in allen Versionen seiner Suchmaschine, nur in allen
mitgliedstaatlichen Versionen oder nur in der Version für den Mitgliedstaat, in dem der Auslistungsantrag gestellt wurde, vorzunehmen hat.

In seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass er bereits entschieden hat, dass der Suchmaschinenbetreiber dazu verpflichtet ist, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Websites mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Websites nicht vorher oder gleichzeitig gelöscht
werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Websites als solche rechtmäßig ist.

Der Gerichtshof stellt sodann fest, dass die Niederlassung, die die Google Inc. im französischen Hoheitsgebiet besitzt, Tätigkeiten ausübt, insbesondere gewerbliche und Werbetätigkeiten, die untrennbar mit der Verarbeitung personenbezogener Daten zum Betrieb der betreffendenSuchmaschine verbunden sind, und dass die Suchmaschine vor allem unter Berücksichtigung der Verbindungen zwischen ihren verschiedenen nationalen Versionen im Rahmen der Tätigkeiten der französischen Niederlassung der Google Inc. eine einheitliche Verarbeitung personenbezogener Daten ausführt. Eine solche Situation fällt somit in den Anwendungsbereich der Unionsvorschriften über den Schutz personenbezogener Daten.

In einer globalisierten Welt kann der Zugriff von Internetnutzern, insbesondere derjenigen, die sich außerhalb der Union befinden, auf die Listung eines Links, der zu Informationen über eine Person führt, deren Interessenschwerpunkt in der Union liegt, auch innerhalb der Union unmittelbare und erhebliche Auswirkungen auf diese Person haben, so dass mit einer weltweiten Auslistung das Schutzziel des Unionsrechts vollständig erreicht werden könnte. Zahlreiche Drittstaaten kennen jedoch kein Auslistungsrecht oder verfolgen bei diesem Recht einen anderen Ansatz. Auch ist das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Zudem kann die Abwägung zwischen dem Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten einerseits und der Informationsfreiheit der Internetnutzer andererseits weltweit sehr unterschiedlich ausfallen.

Aus den Vorschriften ergibt sich jedoch nicht, dass der Unionsgesetzgeber eine solche Abwägung in Bezug auf die Reichweite einer Auslistung über die Union hinaus durchgeführt hätte oder dass er entschieden hätte, den in diesen Bestimmungen verankerten Rechten des Einzelnen eine Reichweite zu verleihen, die über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Es ergibt sich daraus auch nicht, dass er einem Wirtschaftsteilnehmer wie der Google Inc. eine Pflicht zur Auslistung hätte auferlegen wollen, die auch für die nicht mitgliedstaatlichen nationalen Versionen seiner Suchmaschine gilt. Das Unionsrecht sieht zudem keine Instrumente und Kooperationsmechanismen im Hinblick auf die Reichweite einer Auslistung über die Union hinaus vor.

Der Gerichtshof schließt daraus, dass nach derzeitigem Stand ein Suchmaschinenbetreiber, der einem Auslistungsantrag der betroffenen Person – gegebenenfalls auf Anordnung einer Aufsichts- oder Justizbehörde eines Mitgliedstaats – stattgibt, nicht aus dem Unionsrecht verpflichtet ist, eine solche Auslistung in allen Versionen seiner Suchmaschine vorzunehmen.

Das Unionsrecht verpflichtet den Suchmaschinenbetreiber jedoch, eine solche Auslistung in allen mitgliedstaatlichen Versionen seiner Suchmaschine vorzunehmen und hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz der Grundrechte der betroffenen Person sicherzustellen. Eine solche Auslistung muss daher erforderlichenfalls von Maßnahmen begleitet sein, die es tatsächlich erlauben, die Internetnutzer, die von einem Mitgliedstaat aus eine Suche anhand des Namens der betroffenen Person durchführen, daran zu hindern oder zumindest zuverlässig davon abzuhalten, über die im Anschluss an diese Suche angezeigte Ergebnisliste mittels einer Nicht-EU-Version der Suchmaschine auf die Links zuzugreifen, die Gegenstand des Auslistungsantrags sind. Das vorlegende Gericht wird zu prüfen haben, ob die von der Google Inc. getroffenen Maßnahmen diesen Anforderungen genügen.

Schließlich stellt der Gerichtshof fest, dass nach derzeitigem Stand das Unionsrecht zwar keine Auslistung in allen Versionen der Suchmaschine vorschreibt, doch verbietet es dies auch nicht. Daher bleiben die Behörden eines Mitgliedstaats befugt, anhand von nationalen Schutzstandards für die Grundrechte eine Abwägung zwischen dem Recht der betroffenen Person auf Achtung des Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten einerseits und dem Recht auf freie Information andererseits vorzunehmen und nach erfolgter Abwägung gegebenenfalls dem Suchmaschinenbetreiber aufzugeben, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen.

Den Volltext der Entscheidung finden Sie hier:




Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“