Skip to content

BGH: Auskunftsanspruch aus Art. 15 DSGVO ist eher weit auszulegen und kann auch interne Vermerke und Kommunikation umfassen

BGH
Urteil vom 15.06.2021
VI ZR 576/19
Verordnung (EU) 2016/679 Art. 15; BGB § 362 Abs. 1


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO eher weit auszulegen ist und auch interne Vermerke und Kommunikation umfassen kann.

Leitsatz des BGH:

Zur Reichweite des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO.

BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19 - LG Köln - AG Brühl

Aus den Entscheidungsgründen:

aa) Das Berufungsgericht geht allerdings zu Recht davon aus, dass sich der datenschutzrechtliche Auskunftsanspruch des Klägers nach dem seit dem 25. Mai 2018 unmittelbar anwendbaren Art. 15 DS-GVO beurteilt (Art. 99 Abs. 2 DS-GVO; vgl. Senatsurteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 12). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

bb) Im Ausgangspunkt zutreffend nimmt das Berufungsgericht weiter an, dass dem Kläger nach dieser Vorschrift grundsätzlich ein Auskunftsanspruch über die bei der Beklagten als Verantwortlicher im Sinne des Art. 4 Nr. 7 Halbsatz 1 DS-GVO verarbeiteten ihn betreffenden personenbezogenen Daten zusteht. Seine Annahme, dieser Anspruch sei seitens der Beklagten bereits vollständig erfüllt, ist jedoch rechtsfehlerhaft.

(1) Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen.

Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 3. September 2020 - III ZR 136/18, GRUR 2021, 110 Rn. 43 mwN).

Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH, Urteil vom 6. März 1952 - IV ZR 45/50 und - IV ZR 16/51, BeckRS 1952,103508 Rn. 28 f.; Bittner/Kolbe in Staudinger, BGB, Neubearb. 2019, § 260 Rn. 36 und § 259 Rn. 32).

(2) Nach diesen Maßstäben tragen die Erwägungen des Berufungsgerichts die Annahme einer vollständigen Erfüllung des klägerischen datenschutzrechtlichen Auskunftsanspruchs nicht. Das Berufungsgericht hat zwar unangefochten festgestellt, dass die Beklagte dem Kläger bereits gewisse Auskünfte erteilt und angegeben hat, weitere personenbezogene Daten über den Kläger seien nicht gespeichert bzw. verarbeitet worden. Der Kläger hat jedoch, wie sich aus seinem Zwischenfeststellungsantrag und dem Sitzungsprotokoll der Berufungsverhandlung ergibt und worauf die Revision zu Recht hinweist, sein Auskunftsbegehren angesichts der bereits erteilten Auskünfte unter anderem dahingehend präzisiert, dass er weitergehende Auskünfte hinsichtlich der gesamten noch nicht mitgeteilten Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos und etwaig erteilter Zweitschriften und Nachträge zum Versicherungsschein, sowie Datenauskünfte bezüglich sämtlicher Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis
fordere. Dass die Beklagte auch hinsichtlich dieser Gegenstände des Auskunftsbegehrens erklärt hätte, bereits vollständig Auskunft erteilt zu haben, hat das Berufungsgericht nicht festgestellt. Soweit das Berufungsgericht die Auffassung vertritt, diese Auskunftsgegenstände unterfielen bereits ihrer Art nach nicht dem Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO, beruht dies - jedenfalls teilweise - auf einem fehlerhaften Verständnis des Begriffs der personenbezogenen Daten im Sinne der DS-GVO und des Zwecks des datenschutzrechtlichen Auskunftsanspruchs.

(a) Gemäß Art. 4 Nr. 1 Halbsatz 1 DS-GVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. - noch zu Art. 2 lit. a der Richtlinie 95/46/EG - EuGH, Urteil vom 20. Dezember
2017 - Rs. C-434/16, NJW 2018, 767 Rn. 33-35 mwN; Art.-29-Datenschutzgruppe, Stellungn. 4/2007, WP 136, 10 ff.; zu Art. 4 Nr. 1 DS-GVO vgl. Arning/ Rothkegel in Taeger/Gabel, DS-GVO/BDSG, 3. Aufl. 2019, Art. 4 DS-GVO Rn. 8 ff. mwN; Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 4 Nr. 1 DS-GVO Rn. 11 ff.; Klabunde in Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 4 Rn. 10 f.). Soweit die Revisionserwiderung meint, Art. 15 DS-GVO sei im Hinblick auf den Begriff der "personenbezogenen Daten" teleologisch dahingehend zu reduzieren, dass der Personenbezug im Rahmen von Art. 15 DSGVO voraussetze, dass es um "signifikante biografische Informationen" gehe, die "im Vordergrund" des fraglichen Dokuments stünden (so auch Härting, CR 2019, 219, 224; für eine teleologische Reduktion auch Britz/Beyer, VersR 2020, 65, 73
mwN), ist diese Auffassung mit der zitierten Rechtsprechung des Gerichtshofs der Europäischen Union, die sich zweifelsfrei auf den Begriff der personenbezogenen Daten im Sinne des Art. 15 i.V.m. Art. 4 Nr. 1 Halbsatz 1 DS-GVO übertragen lässt, ersichtlich nicht zu vereinbaren (ablehnend auch König, CR 2019, 295 Rn. 47; gegen eine Einschränkung auf Tatbestandsebene auch Lembke, NJW 2020, 1841, 1843; Schulte/Welge, NZA 2019, 1110, 1111; Brink/Joos, ZD 2019, 483, 488).

Nach Erwägungsgrund 63 Satz 1 der DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung (zum Begriff vgl. Art. 4 Nr. 2 DS-GVO; zu dem vom sachlichen Anwendungsbereich der Verordnung erfassten Bereich der Verarbeitung vgl. Art. 2 Abs. 1, Art. 4 Nr. 6 DS-GVO) bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

(b) Nach diesen Grundsätzen können entgegen der Ansicht des Berufungsgerichts die zurückliegende Korrespondenz der Parteien, das "Prämienkonto" des Klägers und Daten des Versicherungsscheins sowie interne Vermerke
und Kommunikation der Beklagten nicht kategorisch vom Anwendungsbereich des Art. 15 Abs. 1 DS-GVO ausgeschlossen werden.

(aa) Schreiben des Klägers an die Beklagte sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich der Kläger dem Schreiben gemäß geäußert hat (vgl. noch zu § 4 Abs. 1 BDSG 1990 - Senatsurteil vom 23. Juni 2009 - VI ZR 196/08, BGHZ 181, 328 Rn. 17; zu Art. 15 DS-GVO vgl. LArbG Baden-Württemberg, BB 2020, 2169, 2174). Auch die Schreiben der Beklagten an den Kläger unterfallen dem Auskunftsanspruch insoweit, als sie Informationen über den Kläger nach den oben genannten Kriterien enthalten. Dass die Schreiben dem Kläger bereits bekannt sind, schließt für sich genommen entgegen der Auffassung des Berufungsgerichts den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Brink/Joos ZD 2019, 483, 485; Schmidt-Wudy in BeckOK DatenschutzR, 35. Ed. 1.2.2021, Art. 15 DS-GVO Rn. 52.2; aA wohl LArbG Niedersachsen, Urteil vom 9. Juni 2020 - 9 Sa 608/19, juris Rn. 66; zum gegensätzlichen Regelungsansatz hinsichtlich der Informationspflichten nach Art. 13, 14 DS-GVO vgl. Art. 13 Abs. 4, Art. 14 Abs. 5 lit. a DS-GVO und Erwägungsgrund 62). Die Beklagte soll Auskunft darüber geben,
ob sie die im Schriftverkehr enthaltenen personenbezogenen Daten aktuell verarbeitet, insbesondere speichert. Die Auskunft soll den Kläger, wie bereits dargelegt, in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Er soll sich insbesondere vergewissern können, dass die ihn betreffenden Daten richtig sind und in zulässiger Weise verarbeitet werden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C-434/16, NJW 2018, 767 Rn. 57). Das etwaige Bewusstsein des Klägers, dass die fragliche Korrespondenz einst gewechselt wurde, genügt insoweit nicht. Zu beachten ist ferner, dass der Auskunftsberechtigte grundsätzlich wiederholt Auskunft verlangen kann (vgl. Erwägungsgrund 63 Satz 1, Art. 12 Abs. 5 Satz 2 DS-GVO). Dies spricht ebenfalls gegen die Auffassung des Berufungsgerichts, das Auskunftsrecht nach Art. 15 DS-GVO beschränke sich auf Daten, die dem Betroffenen noch nicht bekannt sind. Daher sind auch etwaige Zweitschriften und Nachträge zu dem Versicherungsschein, auf die sich das Auskunftsbegehren des Klägers ausweislich des Sitzungsprotokolls mit erstreckt, nicht grundsätzlich vom datenschutzrechtlichen Auskunftsanspruch ausgeschlossen, soweit die darin enthaltenen personenbezogenen Daten bei der Beklagten verarbeitet werden. Dementsprechend ist auch nicht ersichtlich, warum bei der Beklagten verarbeitete Daten über Prämienzahlungen des Klägers nicht grundsätzlich Gegenstand des Auskunftsanspruchs sein sollten.

Die Korrespondenz der Beklagten mit Dritten kann, wovon auch das Berufungsgericht ausgeht, ebenfalls auf die Person des Klägers bezogene Daten enthalten. Insoweit hat das Berufungsgericht aber unangefochten festgestellt, die Beklagte habe erklärt, dass solche Korrespondenz nicht über die bereits erteilten Auskünfte hinaus geführt worden sei. Mit dieser abschließenden Negativauskunft ist der Auskunftsanspruch des Klägers hinsichtlich dieses Auskunftsgegenstandes erfüllt.

(bb) Interne Vermerke oder interne Kommunikation bei der Beklagten, die Informationen über den Kläger enthalten, kommen als Gegenstand des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO ebenfalls grundsätzlich in Betracht. Dies ist beispielsweise entsprechend der Beurteilung der Schreiben des Klägers bei Vermerken der Fall, die festhalten, wie sich der Kläger telefonisch oder in persönlichen Gesprächen geäußert hat (vgl. OLG Köln, VersR 2020, 81, 85; Schaffland/Holthaus in Schaffland/Wiltfang, DS-GVO/BDSG, Lfg. 3/21, Art. 15 DS-GVO Rn. 1d). Auch Vermerke über den Gesundheitszustand des Klägers enthalten personenbezogene Daten. Die Erwägung des Berufungsgerichts, es handele sich bei Vermerken um "interne Vorgänge der Beklagten", ist im Hinblick auf den Begriff der personenbezogenen Daten ohne Relevanz. Der Auskunftsanspruch gemäß Art. 15 Abs. 1 DS-GVO setzt offensichtlich weder nach seinem Wortlaut noch nach Sinn und Zweck voraus, dass die fraglichen Daten extern zugänglich sind.

Soweit der Kläger Auskunft über die internen Bewertungen der Beklagten zu den Ansprüchen des Klägers aus der streitgegenständlichen Versicherungspolice verlangt, ist allerdings zu beachten, dass nach der Rechtsprechung des Gerichtshofs der Europäischen Union rechtliche Analysen zwar personenbezogene Daten enthalten können, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst aber keine Information über den Betroffenen und damit kein personenbezogenes Datum darstellt (vgl. EuGH, Urteil vom 17. Juli 2014 - Rs. C-141/12 und C-372/12, CR 2015, 103 Rn. 39 ff.). Daten über Provisionszahlungen der Beklagten an Dritte haben nach den vom Europäischen Gerichtshof entwickelten Kriterien ebenfalls keinen Bezug zur Person des Klägers. Sein nach dem Vorbringen der Revision auch hierauf gerichtetes Auskunftsbegehren kann der Kläger daher nicht auf die DS-GVO stützen.

cc) Die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung des Begriffs der personenbezogenen Daten i.S.d. Art. 15 i.V.m. Art. 4 Nr. 1 DS-GVO ist nicht geboten. Soweit im derzeitigen Stadium des streitgegenständlichen Verfahrens entscheidungserheblich, ist die Auslegung dieses unionsrechtlichen Begriffs durch die Rechtsprechung des Gerichtshofs der Europäischen Union (Urteile vom 20. Dezember 2017 - Rs. C-434/16, NJW 2018, 767 Rn. 33-35 und vom 17. Juli 2014 - Rs. C-141/12 und C-372/12, CR 2015, 103 Rn. 39 ff.) eindeutig geklärt ("acte clair", vgl. EuGH, Urteil vom 6. Oktober 1982 - Rs. C-283/81, NJW 1983, 1257, 1258; BVerfG, NVwZ 2015, 52 Rn. 35).


Den Volltext der Entscheidung finden Sie hier:






OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden dürfen

OLG Schleswig-Holstein
Urteil vom 02.07.2021
17 U 15/21


Das OLG Schleswig-Holstein hat entschieden, dass ein Verstoß gegen die DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet, als sie im Insolvenzbekanntmachungsportal nach der InsoBekVO veröffentlicht werden dürfen

Die Pressemitteilung des Gerichts:

Die Schufa darf Daten eines Insolvenzschuldners nicht länger verwerten als sie im "Insolvenzbekanntmachungsportal" veröffentlicht sein dürfen

Ein Insolvenzschuldner hat einen Löschungsanspruch gegen die Schufa Holding AG, wenn sie diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und schließlich wurde ihm am 11. September 2019 durch das Amtsgericht die Restschuldbefreiung erteilt. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa kopierte die Daten von dort und pflegte sie in ihren Datenbestand ein, um Vertragspartnern diese Daten bei Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne aufgrund des Eintrags kein Darlehen aufnehmen, keinen Mietkauf tätigen und keine Wohnung anmieten. Derzeit könne er nicht einmal ein Bankkonto eröffnen. Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Vertragspartner der Schufa von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Löschung der Daten sechs Monate nach Rechtskraft der Entscheidung des Amtsgerichts über die Restschuldbefreiung verlangen. Nach Ablauf dieser Frist steht die weitere Verarbeitung durch die Schufa im Widerspruch zu § 3 Abs. 2 InsoBekVO und ist daher nicht mehr rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung. Werden die Daten des Klägers unrechtmäßig verarbeitet, kann er die Löschung dieser Information nach Art. 17 Abs. 1 lit. d) Datenschutz-Grundverordnung von der Schufa verlangen und hat einen Anspruch auf künftige Unterlassung dieser Datenverarbeitung.

Die Schufa kann sich nicht darauf berufen, dass die Datenverarbeitung rechtmäßig sei, da sie ihren oder den berechtigten Interessen von Dritten diene. Ein Interesse kann nur dann berechtigt sein, wenn es nicht im Widerspruch zur Rechtsordnung oder den Grundsätzen von Treu und Glauben steht. Die Verarbeitung durch die Schufa steht aber nach Ablauf der gesetzlichen Löschungsfrist im Widerspruch zur gesetzlichen Wertung von § 3 Abs. 2 InsoBekVO, wonach die Information zur Entscheidung über die Restschuldbefreiung nur sechs Monate im Internetportal zu veröffentlichen ist. Die Verarbeitung und Weitergabe dieser Information an eine breite Öffentlichkeit durch die Beklagte kommt einer Veröffentlichung im Internet gleich und ist daher nach Ablauf der gesetzlichen Löschungsfrist zu unterlassen.

Die Schufa kann sich nicht auf die Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers und stehen im Widerspruch zur gesetzlichen Wertung.

(Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021, Az. 17 U 15/21, Revision ist zugelassen)



LAG Baden-Württemberg: Zur hinreichenden Bestimmtheit eines Auskunftsanspruchs aus Art. 15 DSGVO gemäß § 253 Abs. 2 Nr. 2 ZPO

LAG Baden-Württemberg
Urteil vom 17.3.2021
21 Sa 43/20


Das LAG Baden-Württemberg hat sich in dieser Entscheidung mit der hinreichenden Bestimmtheit eines Auskunftsanspruchs aus Art. 15 DSGVO gemäß § 253 Abs. 2 Nr. 2 ZPO befasst.

Leitsätze des Gerichts:

1. Der Informationsanspruch des Art. 15 Abs. 1 2. Halbs. DSGVO ist hinreichend bestimmt iSd. § 253 Abs. 2 Nr. 2 ZPO, wenn der Antragsteller konkret mitteilt, welche Informationen er im Rahmen von lit. a bis h der Norm für welche Kategorie von personenbezogenen Daten begehrt.

2. Dasselbe gilt für den Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gem. § 15 Abs. 3 Satz 1 DSGVO.

Aus den Entscheidungsgründen:

I. Zulässigkeit der Klaganträge

Die Klaganträge Ziffer 5 und 6 vom 01.02.2019 sind zulässig.

1. Grundsätze

Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klagschrift neben der bestimmten Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs auch einen bestimmten Antrag enthalten. Damit wird der Streitgegenstand abgegrenzt und sogleich eine Voraussetzung für die etwa erforderlich werdende Zwangsvollstreckung geschaffen. Daran gemessen ist ein Klagantrag grundsätzlich hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, da er den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH 14. Dezember 1998 – II ZR 330/97 in NJW 1999, 954 mwN.). Vermeidbare Ungenauigkeiten dürfen danach grundsätzlich nicht in das Zwangsvollstreckungsverfahren verlagert werden (BAG 14. Februar 2017 – 9 AZB 49/19 Rn. 10-12 und vom 15. April 2009 - 3 AZB 93/08 Rn. 16 – juris). Dessen Aufgabe ist es zu klären, ob der Schuldner einer festgelegten Verpflichtung nachgekommen ist, nicht aber worin diese besteht. Soweit ist auch das Rechtsstaatsprinzip zu beachten, da der Schuldner wissen muss, in welchen Fällen er mit einem Zwangsmittel zu rechnen hat. Andererseits erfordert es aber gerade auch das Rechtsstaatsprinzip und das daraus folgende Gebot effektiven Rechtsschutzes, dass materiell-rechtliche Ansprüche effektiv, auch in der Zwangsvollstreckung, durchgesetzt werden können. Das kann es rechtfertigen, auch das Vollstreckungsgericht nicht der Notwendigkeit zu entheben, eine möglicherweise schwierige Klärung der Frage herbeizuführen, ob gegen die aus einem Titel folgende Verpflichtung verstoßen wurde (BAG 15. April 2009 aaO. Rn. 18 mwN.).

2. Bei Anwendung dieser Grundsätze auf die vorliegend streitgegenständlichen Anträge ergibt sich deren Zulässigkeit. Zunächst ist davon auszugehen, dass der Kläger mit seinen geltend gemachten Informationsansprüchen gemäß Art. 15 Abs. 1 2. Halbs. DSGVO Auskunft über alle Daten geltend machen kann, die seine Person betreffen und die von der Beklagten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet werden oder worden sind. Was unter Verarbeiten zu verstehen ist, ergibt sich aus Art. 4 Nr. 2 DSGVO hinreichend deutlich, ohne dass der Kläger dies näher bestimmen müsste. Ebenfalls ist die vom Kläger in der Formulierung des geltend gemachten Informationsanspruchs gemachte Einschränkung dahingehend, dass er von der Beklagten - nur – Information über die seine Person betreffenden Daten geltend macht, die sein Verhalten und seine (Arbeits)Leistung betreffen haben will, hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Die von ihm insoweit gewählten Begriffe stellen eine Datenkategorie im Sinne des Art. 15 Abs. 1 2. Halbs. lit. b DSGVO dar. Die von ihm insoweit gewählten Begriffe des „Verhaltens“ und der „Leistung“ sind ihrerseits hinreichend bestimmt. Diese sind nach der Rechtsprechung zu § 87 Abs. 1 Ziffer 6 BetrVG hinreichend konkretisiert (vgl. hierzu etwa BAG 11. März 1986 – 1 ABR 12/84 und BAG 27. Mai 1986 – 1 ABR 48/84 Rn. 63 für die Frage, was unter Verhalten zu verstehen ist; BAG 23. April 1985 – 1 ABR 2/82 – juris zur Frage, was unter der Leistung eines Arbeitnehmers zu verstehen ist). Dies gilt auch, soweit der Kläger leistungs- und verhaltensbezogene Daten von seiner Person nicht zur Auskunft verlangt, die in seiner Personalakte enthalten sind. Dass bei der Beklagten eine (elektronische) Personalakte des Klägers geführt wird, ist zwischen den Parteien unstreitig. Insoweit ist für die Beklagte ohne Weiteres erkenntlich, dass er nicht die Daten zu Auskunft und zur Fertigung einer Kopie verlangt, die sich in dieser den Parteien bekannten, elektronischen Personalakte des Klägers befinden, in die der Kläger im Sinne des § 83 BetrVG Einsicht nehmen kann.

Eine weitergehende konkretere Benennung der von ihm verlangten Daten ist dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten will, nicht zumutbar. Dies deshalb, weil der Kläger gerade nicht weiß oder nicht mehr ohne Weiteres wissen kann, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet hat. Würde man dem Kläger insoweit eine weitere Konkretisierung zur Herbeiführung einer hinreichenden Vollstreckbarkeit seiner Forderungen abverlangen, würde sich sein in Art. 15 Abs. 1 DSGVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde. Damit könnte effektiver Rechtsschutz betreffend seine Ansprüche gemäß Art. 15 Abs. 1 2. Halbs. DSGVO gerade nicht erreicht werden. Es ist auch nicht ersichtlich, dass der Arbeitnehmer eine Verpflichtung hat, die personenbezogenen Daten, die für ihn erkennbar von der Beklagten verarbeitet werden, selbst zu dokumentieren, um sie später als Grundlage für seinen Auskunftsanspruch gegen den Arbeitgeber einsetzen zu können. Würde man diese Verpflichtung des Arbeitnehmers bejahen, würde er Auskunft über etwas begehren können, was ihm ohnehin schon bekannt ist. Das wäre widersinnig. Soweit der betreffenden Person vom Arbeitgeber bereits Auskünfte im Rahmen seiner Informationspflicht gem. den Art. 13 und 14 DSGVO erteilt worden sind, sind die Auskunftsverpflichteten berechtigt, bei einem Auskunftsersuchen hierauf Bezug zu nehmen (siehe hierzu noch unten). Im Hinblick darauf ist es dem Arbeitnehmer weder möglich noch zumutbar, konkrete Angaben über die Daten zu machen, die ihn konkret interessieren. Es genügt, wenn er gegenüber dem Arbeitgeber geltend macht, dass er über Daten, die seine Person betreffen und die der Arbeitgeber im Sinne des Art. 15 Abs. 1 1. HS DSGVO verarbeitet hat, Auskunft verlangt. Ansonsten würde sein Recht aus Art. 15 Abs. 1 2. Halbs. DSGVO leerlaufen. Im Hinblick darauf ist es unvermeidbar, dass ein eventueller Streit über die Vollständigkeit der Auskunftserteilung des Arbeitgebers, jedenfalls teilweise, in das Zwangsvollstreckungsverfahren verlagert wird.

Dasselbe gilt für den vom Kläger geltend gemachten Anspruch gemäß Art. 15 Abs. 3 Satz 1 DSGVO. Auch hier ist es dem Arbeitnehmer nicht möglich, genauere Angaben dazu zu machen, von welchen personenbezogenen Daten er eine Kopie zur Verfügung gestellt haben will. Dies ist nämlich seinerseits abhängig davon, welche personenbezogene Daten des Klägers/Arbeitnehmers der Arbeitgeber verarbeitet hat. Wenn der Kläger danach – wie vorliegend – aufführt, dass es ihm insbesondere, aber nicht ausschließlich, auf Kopien von verarbeiteten Leistungs- und Verhaltensdaten seiner Person in bestimmten IT-Systemen, in bestimmten Kommunikationssystemen und in bestimmten Akten ankomme, stellt dies keine prozessual notwendige – wenn auch mögliche – Präzisierung seines Klagantrags, sondern eine Kundgabe seines besonderen Interesses an der Kenntnis bestimmter verarbeiteter personenbezogener Daten dar.

3. Der Kläger hat aus Sicht der erkennenden Kammer kein besonderes Rechtsschutzinteresse an den von ihm gestellten Anträgen darzulegen. Alleinige Voraussetzung des Auskunfts-, Informations- und des Zurverfügungstellungsanspruchs gemäß Art. 15 Abs. 1 2. HS und Abs. 3 DSGVO ist die Verarbeitung personenbezogener Daten der die Ansprüche geltend machenden Person durch den Verantwortlichen im Sinne des Art. 4 Nrn. 1, 2 und 7 DSGVO. Insoweit genügt für das Vorliegen eines Rechtsschutzbedürfnisses die Behauptung des Klägers, dass dies der Fall sei. Vorliegend ist im Übrigen zwischen den Parteien sogar unstreitig, dass die Beklagte Leistungs- und Verhaltensdaten des Klägers verarbeitet hat.

4. Anderweitige Bedenken an der Zulässigkeit der zur Entscheidung gestellten Klaganträge bestehen nicht.



Den Volltext der Entscheidung finden Sie hier:

EU-Kommission: Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung

Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Datenschutz-Grundverordnung

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Polizeirichtlinie

Die Pressemitteilung der EU-Kommission:

Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an

Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.

Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“

Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“

Wichtigste Elemente der Angemessenheitsbeschlüsse

Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund

Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.

Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.



VG Schwerin: Art. 15 Abs. 3 DSGVO umfasst auch Anspruch auf Herausgabe eines Beweissicherungsgutachtens über ein Objekt an den datenschutzrechtlich betroffenen Eigentümer

VG Schwerin
Urteil vom 29.04.2021
1 A 1343/19 SN


Das VG Schwerin hat entschieden, dass Art. 15 Abs. 3 DSGVO auch einen Anspruch auf Herausgabe eines Beweissicherungsgutachtens über ein Objekt an den datenschutzrechtlich betroffenen Eigentümer umfasst.

Aus den Entscheidungsgründen:

"dd. Unter Anwendung der genannten Kriterien ist es gerechtfertigt, das hier streitgegenständlichen Gutachten als personenbezogenes Datum anzusehen. Es handelt sich nicht um ein bloßes Sachdatum, wie der Kläger meint.

Bei dem Beigeladenen zu 1. handelt es sich um eine identifizierte oder jedenfalls identifizierbare natürliche Person im Sinne von Art. 4 Nr. 1 DS-GVO. Vorliegend ist unstreitig, dass jedenfalls dem Kläger, dem Beklagten und dem Beigeladenen zu 2. die Person des Beigeladenen zu 1. bekannt ist und es sich für sie um eine identifizierte Person handelt. Jedenfalls ist es angesichts der Adressangaben im Gutachten sowohl ihnen als auch Dritten unschwer und zweifelsfrei möglich, den Beigeladenen zu 1. zu identifizieren.

Indem detailliert der individuelle und einzigartige Zustand des Eigentums des Beigeladenen zu 1. erfasst und mit seiner Adresse verknüpft wird, liegt eine indirekte personenbezogene Information vor. Durch diese werden Rückschlüsse auf die konkreten vermögens- und eigentumsrechtlichen Verhältnisse des Beigeladenen zu 1. ermöglicht. Aus dem Auszug der Seite 57 des Gutachtens ist ersichtlich, dass Fotos auch innerhalb des Objektes angefertigt wurden. Somit werden auch nicht öffentliche Bereiche des Eigentums des Beigeladenen zu 1. ausschnittsweise erfasst und wiedergegeben. Bereits die entsprechenden Fotos und Beschreibungen stellen für sich genommen jeweils ein personenbezogenes Datum dar. Denn durch die Abbildung von Gegenständen, können konkrete Rückschlüsse etwa auf Kaufvorlieben und den Wert der Gegenstände und folglich auch auf die Vermögensverhältnisse des Beigeladenen zu 1. gezogen werden.

Das Gutachten wurde gerade zum Zweck der Vermögens- und Eigentumserfassung des Beigeladenen zu 1. erstellt. Durch das Gutachten wurde der objektbezogene Zustand zu einem bestimmten Zeitpunkt zur Beweissicherung erfasst. Diese Momentaufnahme soll als Referenz in einer möglichen späteren rechtlichen Auseinandersetzung, insbesondere zwischen dem Kläger und dem Beigeladenen zu 1., als Beweismittel dienen. Dies wird auch aus der Bezeichnung des Gutachtens auf dem Deckblatt („Gutachten über den bau- und funktionstechnischen Gebäudezustand im Hinblick auf Schäden [...]“) deutlich und entspricht dem Wesen derartiger Gutachten. Durch diese sollen spätere Rückschlüsse auf Veränderungen eines konkreten Objektzustandes respektive den Vermögens- und Eigentumsverhältnissen zu konkreten Beurteilungszeitpunkten ermöglicht werden, indem Anknüpfungstatsachen für eine Vorher-Nachher-Betrachtung dokumentiert werden. Hierauf sollen spätere Schlussfolgerungen zu Kausalitäten und Nachweise von Schäden basieren. Das Objekt wird gerade hinsichtlich späterer Auseinandersetzungen mit dem Berechtigten begutachtet, wodurch zugleich auch das Inhaltselement verwirklicht wird. Somit sind alle Bestimmungselemente nach der Rechtsprechung des Europäischen Gerichtshofes erfüllt und es liegt eindeutig ein personenbezogenes Datum vor.

Durch die Verknüpfung der Teilinformationen in einem einheitlichen Gutachten, welches einer konkreten Adresse zugeordnet ist, folgt, dass das Gutachten als Einheit betrachtet werden muss. Alle Aussagen in dem Gutachten beziehen sich einzeln wie auch insgesamt auf das Eigentum respektive die Eigentums- und Vermögensverhältnisse des Beigeladenen zu 1.

b. Das Gutachten und die darin enthaltenen Informationen des Beigeladenen zu 1. werden nichtautomatisiert „verarbeitet“ und in einem „Dateisystem“ gespeichert gemäß Art. 4 Nr. 2 DS-GVO.

Unter „Verarbeitung“ ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen wie etwa das Erheben, Erfassen, Ordnen oder die Speicherung.

Das Erheben und Erfassen von personenbezogenen Daten bezeichnet einen Vorgang, durch den Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 4 Abs. 2 Rn. 21).

Der Begriff der Speicherung bezeichnet die Überführung des Informationsgehalts personenbezogener Daten in eine verkörperte Form in einer Weise, die es dem Verantwortlichen ermöglicht, die Daten aus einem Datenträger wiederzugewinnen (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020 Rn. 24, DS-GVO Art. 4 Abs. 2 Rn. 24).

Nach der Begriffsbestimmung in Art. 4 Nr. 6 DS-GVO ist ein „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Vorliegend liegt das Gutachten dem Kläger in einem PDF-Dateiformat vor. Entsprechend wurde die Datei in digitaler Form in einem Dateisystem beim Kläger erhoben bzw. erfasst und da er sie noch vorhält und sie noch nicht gelöscht wurde, wird die Datei aktuell noch von ihm gespeichert. Die Verarbeitung erfolgt auch manuell und nicht automatisiert, da eine Nutzung durch einen Anwender nach Bedarf individuell erfolgt.

c. Ein Anwendungsausschluss nach Art. 2 Abs. 2 DS-GVO liegt nicht vor.

d. Der räumliche Anwendungsbereich gemäß Art. 3 DS-GVO ist eröffnet, da die Tätigkeit des Klägers innerhalb der Europäischen Union stattfindet.

2. Der Bescheid ist formell und materiell rechtmäßig gemäß Art. 58 Abs. 2 Buchst. c i.V.m. Art. 15 Abs. 3 DS-GVO.

a. Der Bescheid ist formell rechtmäßig.

Die Vorschriften über Zuständigkeit, Verfahren und Form wurden eingehalten. Insbesondere ist der Beklagte die zuständige Aufsichtsbehörde gemäß Art. 58 Abs. 2 Buchst. c DS-GVO i.V.m. § 40 BDSG, § 19 Abs. 2 DSG M-V.

b. Der Bescheid ist materiell rechtmäßig.

Die tatbestandlichen Voraussetzungen des Art. 58 Abs. 2 Buchst. c i.V.m. Art. 15 Abs. 3 DS-GVO sind erfüllt. Der Aufsichtsbehörde ist es demnach gestattet, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, wenn ein vorheriger Antrag des Betroffenen abgelehnt wurde und sich dieser an die Aufsichtsbehörde wendet gemäß Art. 58 Abs. 2 Buchst. c DS-GVO.

aa. Der Kläger ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO, da er das streitgegenständliche Gutachten in Auftrag gegeben hat und er es zumindest – in digitaler Form – vorhält.

bb. Der Beigeladene zu 1. ist Betroffener, da – wie oben dargelegt – seine personenbezogenen Daten betroffen sind.

cc. Der Beigeladene zu 1. kann sich auf ein ihm zustehendes Recht im Sinne von Art. 58 Abs. 2 Buchst. c DS-GVO berufen.

Mit zustehenden Rechten im Sinne von Art. 58 Abs. 2 Buchst. c DS-GVO sind in erster Linie Anträge auf Auskunft nach den ersten beiden Abschnitten des Kapitels III der DS-GVO gemeint, vgl. Art. 12 Abs. 1 Satz 2, Abs. 3 Satz 1, Art. 15 Abs. 1 bis 3 DS-GVO (vgl. Nguyen in: Gola, DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 18). Vorliegend besteht zugunsten des Beigeladenen zu 1. ein Anspruch auf Herausgabe einer Kopie des Gutachtens aus Art. 15 Abs. 3 Satz 1 DS-GVO. Nach dieser Vorschrift stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Der Beigeladene zu 1. hat vom Kläger die Aushändigung einer Kopie des Gutachtens vom 13. August 2018 im Rahmen des Art. 15 Abs. 3 DS-GVO geltend gemacht. Die Aushändigung hat dieser – bis auf das Deckblatt sowie die Seiten 3 und 57 – mit Schreiben vom 15. Oktober 2018 abgelehnt. Mit Mail vom 28. Oktober 2018 wandte sich der Beigeladene zu 1. an den Beklagten. Er bat um Unterstützung, damit er vom Kläger eine vollständige Kopie des Gutachtens ausgehändigt bekomme.

dd. Der Umfang des Anspruchs erstreckt sich auf die Herausgabe des vollständigen Gutachtens gemäß Art. 15 Abs. 3 DS-GVO.

Was unter „Kopie“ gemäß Art. 15 Abs. 3 DS-GVO zu verstehen ist, ist umstritten. Nach einer extensiven Ansicht sind sämtliche gespeicherten und/oder verarbeiteten personenbezogenen Daten in der vorliegenden Rohfassung zu übermitteln (so: Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 39a; BeckOK DatenschutzR/B.-Wudy, 34. Ed. 1. November 2020, DS-GVO Art. 15 Rn. 85; Halder/Johanson, NJOZ 2019, 1457 (1459); VG Gelsenkirchen, Urteil vom 27. April 2020 – 20 K 6392/18, NVwZ-RR 2020, 1070 Rn. 78, beck-online; AG Bonn, Urteil vom 30. Juli 2020 – 118 C 315/19, BeckRS 2020, 19548 Rn. 15, 16); nach der restriktiven Gegenansicht regelt Art. 15 Abs. 3 Satz 1 DS-GVO lediglich eine besondere Form der Auskunft und bezieht sich nur auf die Informationen aus Abs. 1, der jedoch keinen Anspruch auf vollständige Datenauskunft, sondern nur auf Übersicht der Daten enthält (vgl. zum Streitstand: BeckOK DatenschutzR/B.-Wudy, 34. Ed. 1. November 2020, DS-GVO Art. 15 Rn. 85; und Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33 m.w.N.).

Das Gericht hat oben bereits dargelegt, dass es davon ausgeht, dass der DS-GVO ein extensives Verständnis von personenbezogenen Daten zu Grunde liegt. Die restriktive Auffassung, dass eine Auskunft lediglich in Form einer Übersicht der gespeicherten Informationen zu erfolgen hat, ist daher abzulehnen. Aus Sicht des Gerichts, kann es dahinstehen, ob Art. 15 Abs. 3 DS-GVO einen eigenständigen Anspruch oder nur eine Erweiterung des in Art. 15 Abs. 1 DS-GVO enthaltenen Auskunftsanspruchs darstellt. Denn personenbezogene Daten sollen umfassend geschützt werden. Dieser Schutz kann nur konsequent verwirklicht werden, wenn eine Auskunft über die vollständig gespeicherten Daten erteilt wird. Art. 15 DS-GVO kann in seiner Gesamtheit nur so verstanden werden, dass entweder das „Recht auf Auskunft über diese personenbezogenen Daten“ nach Art. 15 Abs. 1 Halbsatz 2 DS-GVO bereits ein Auskunftsrecht über sämtliche Informationen beinhaltet (Wortlaut: „Auskunft über diese personenbezogenen Daten und folgende Informationen“), welches durch Abs. 3 dahingehend erweitert wird, dass dem Betroffenen auch die Überlassung einer Kopie der Daten zusteht, oder im Recht auf „Kopie“ nach Art. 15 Abs. 3 DS-GVO ein eigenständiger Anspruch auf Überlassung der vollständigen Informationen zu sehen ist. Andernfalls wäre eine Überprüfung auf Richtigkeit der gespeicherten Daten und das Recht auf Berichtigung nach Art. 16 DS-GVO nicht umsetzbar. Ohne Kenntnis der konkreten Daten, ist eine Überprüfung auf Richtigkeit nicht möglich. Anhand einer Übersicht, dass etwa Name, Adresse und eine gewisse Anzahl von Fotos, etc. gespeichert werden, lässt sich nicht überprüfen, ob die Daten auch inhaltlich zutreffend erfasst wurden, etwa ob der Name richtig geschrieben wurde oder ob bei zugeordneten Fotos überhaupt ein Zusammenhang mit der betroffenen Person besteht. So können beispielsweise Bilder von verschiedenen Eigentumsobjekten falsch zugeordnet sein. Selbst bei Annahme größtmöglicher Sorgfalt, ist es nicht auszuschließen, dass bei der Verarbeitung großer Datenmengen in jedem Fall eine richtige Zuordnung vorgenommen wird. Dies gilt insbesondere dann, wenn sich etwa die betreffenden Informationen ähneln (Beispiele: Fotos von baugleichen Reihenhäusern oder von eineiigen Zwillingen), die Daten auf einem Datenträger erfasst wurden und erst im Nachgang eine abschließende Zuordnung zu einer Akte bzw. einem Datensatz erfolgt. Eine Überprüfung der richtigen Erfassung durch den Betroffenen ist nur bei vollständiger Kenntnis der Daten möglich. Gleiches gilt für das Recht auf Löschung nach Art. 17 DS-GVO. Für diese Sichtweise spricht auch der Erwägungsgrund 63 der DS-GVO. Aus diesem wird ersichtlich, dass der Normgeber einen eigenständigen und direkten Zugang des Betroffenen zu seinen Daten ermöglichen will („Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.“). Es wird nicht davon gesprochen, dass die betroffene Person Zugang zu einer Übersicht ihrer personenbezogenen Daten, sondern „direkten Zugang“ zu den Daten erhalten soll.

Unter Anwendung der dargelegten Auffassung ist es gerechtfertigt, das Gutachten in seiner Gesamtheit vom Anspruch auf Kopie erfasst anzusehen. Dieses stellt in seiner Summe sowie in seinen einzelnen Bestandteilen sachliche Informationen im Hinblick auf die Eigentums- und Vermögensverhältnisse des Beigeladenen zu 1. dar.

ee. Auch der Erwägungsgrund 62 der DS-GVO steht der Auskunft vorliegend nicht entgegen. Nach diesem entfällt die Pflicht, Informationen zur Verfügung zu stellen, wenn die betroffene Person die Information bereits hat. Diese Erwägung kann jedoch nur dann zum Tragen kommen, wenn die gewünschte Information in der konkret begehrten Form dem Auskunftsersuchenden bekannt ist.

Der Beigeladene zu 1. ist zwar Eigentümer des Objekts das begutachtet wurde und kann sich daher von dem Zustand grundsätzlich selbst überzeugen. Dies ist jedoch für die vorliegende datenschutzrechtliche Bewertung unerheblich. Es kommt vielmehr auf die konkreten Informationen an, die gespeichert bzw. verarbeitet wurden. Selbst wenn unterstellt werden würde, dass der Beigeladene zu 1. die vollständigen Informationen des aufgezeichneten Diktats des Beigeladenen zu 2. vernommen habe und dies ausreichend sei, eine Kenntnis der Informationen anzunehmen, wären diese Informationen jedoch nicht identisch mit dem streitgegenständlichen Gutachten. In dem Gutachten wurden Fotos und Beschreibungen in einem Gesamtwerk aus verschiedenen Quellen (Fotoapparat und Diktataufzeichnung) zusammengefasst. Dies stellt wiederum eine eigenständige Verarbeitung i.S.d. DS-GVO dar, von deren Ergebnis der Beigeladene zu 1. keine Kenntnis hat.

ff. Der Beigeladene zu 1. hat seinen Anspruch auch nicht verwirkt. Zum einen bestehen seitens des Gerichts Bedenken, ob der Anspruch überhaupt verwirkt werden kann und zum anderen setzt die Verwirkung eines materiellen Rechts voraus, dass ein Zeit- sowie ein Umstandsmoment vorliegen. Dies bedeutet, dass seit der Möglichkeit, ein Recht geltend zu machen, längere Zeit verstrichen ist (Zeitmoment) und besondere Umstände (Umstandsmoment) hinzutreten, sodass die späte Geltendmachung einen Verstoß gegen Treu und Glauben darstellt (vgl. Eyermann/Happ, 15. Aufl. 2019, VwGO § 42 Rn. 131). Für das Vorliegen dieser Voraussetzungen sind hier keine Anhaltspunkte ersichtlich. In dem Einverständnis des Beigeladenen zu 1. zur Begutachtung seines Eigentums kann auch keine konkludente Erklärung zum Verzicht auf Rechte aus der DS-GVO gesehen werden. Dass der Beigeladene zu 1. eine gegen seine eigenen Interessen gerichtete Vereinbarung mit dem Kläger treffen wollte, indem er auf eine Kopie des Gutachtens (konkludent) verzichtet und so dem Kläger einen Wissensvorsprung gegen sich selbst verschaffen wollte, ist zudem abwegig. Anhaltspunkte für eine derartige Annahme wurden vom Kläger zudem weder dargelegt noch bewiesen.

gg. Urheberrechte des Beigeladenen zu 2. stehen dem Auskunftsanspruch gemäß Art. 15 Abs. 4 DS-GVO nicht entgegen. Der insoweit beweisbelastete Kläger hat das Vorliegen entgegenstehender Rechte weder substantiiert dargelegt noch bewiesen.

Das Recht auf Erhalt einer Kopie gemäß Abs. 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Zur Auslegung dieser Vorschrift ist der 63. Erwägungsgrund zur DS-GVO heranzuziehen. Dessen Satz 5 stellt klar, dass das Auskunftsrecht die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen darf. Weil im darauffolgenden Satz 6 festgelegt ist, dass dies jedoch nicht dazu führen dürfe, dass der betroffenen Person die Auskunft verweigert wird, ist nach der Kommentarliteratur – der sich die Kammer anschließt – eine umfassende Abwägung mit den Grundrechten und Grundfreiheiten Dritter vorzunehmen. Wie diese in der Praxis auszusehen hat bzw. ab welcher Intensität von einer „Beeinträchtigung“ ausgegangen werden kann, wird von Art. 15 Abs. 4 DS-GVO nicht bestimmt (vgl. BeckOK DatenschutzR/B.-Wudy, 34. Ed. 1. November 2020, DS-GVO Art. 15 Rn. 96; Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 15 Rn. 36; Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 33, 34; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 40-43; Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 15 Rn. 24).

Beweisbelastet für das Vorliegen eines der Auskunft entgegenstehenden Rechts ist der für die Datenverarbeitung Verantwortliche (vgl. Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 15 Rn. 24; Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 42a).

Zwar hat der Kläger mit Schriftsatz vom 2. September 2019 ein Schreiben des Beigeladenen zu 2. - vom selben Tag - vorgelegt, aus dem sich ergibt, dass dieser davon ausgehe, dass ihm das Urheberrecht an dem Gutachten zustehe und eine Vervielfältigung des Gutachtens nur mit dessen Zustimmung erfolgen dürfe. Aus dem Schreiben ergibt sich jedoch nicht, in welchem Umfang Nutzungs- und Verwertungsrechte tatsächlich eingeräumt und vereinbart wurden. Auch geht aus dem Schreiben nicht hervor, dass der Anfertigung und Aushändigung einer Kopie zu Zwecken des Art. 15 Abs. 3 DS-GVO widersprochen wird. Das Schreiben ist somit nur allgemeiner Natur. Nachweise zu konkreten Vereinbarungen über Nutzungs- und Verwertungsrechte wurden weder vorgelegt noch konkret benannt. Das Gericht geht daher davon aus, dass keine konkreten Vereinbarungen hinsichtlich der Verwertungs- und Nutzungsrechte zwischen dem Kläger und dem Beigeladenen zu 2. getroffen wurden, die der Aushändigung des Gutachtens entgegenstehen.

Hinsichtlich des Textteils des Gutachtens ist bereits fraglich, ob dieser überhaupt schützenswert im Sinne von § 2 UrhG ist. Denn der Textteil eines Sachverständigengutachtens erreicht regelmäßig nicht die für einen Schutz als Sprachwerk erforderliche Schöpfungshöhe. Die für die Annahme eines Sprachwerkes nach § 2 Abs. Nr. 1, Abs. 2 UrhG erforderliche geistige Schöpfung kann einerseits in der Gedankenformung und -führung liegen, andererseits aber auch in der Form und Art der Sammlung, der Einteilung und Anordnung des dargebotenen Stoffs (vgl. BGH, Urteil vom 12. Juni 1981 - I ZR 95/79, GRUR 1982, 37). Geschützt ist bei sprachlichen Mitteilungen darüber hinaus die Darstellungsform, wenn sie Ausdruck einer persönlichen geistigen Schöpfung ist (vgl. Wandtke/Bullinger/Bullinger, 5. Aufl. 2019, UrhG § 2 Rn. 48, 49). Einschränkungen gelten für wissenschaftliche Sprachwerke. Ihr Inhalt ist einem Urheberrechtsschutz insoweit nicht zugänglich, als er auf gemeinfreien wissenschaftlichen Erkenntnissen, Lehren und Theorien beruht oder diese wiedergibt (vgl. Dreier/Schulze/Schulze, 6. Aufl. 2018, UrhG § 2 Rn. 41, 42). Geschützt sind hier nur die Formulierungen, soweit sie Ausdruck einer individuellen Schöpfung sind (vgl. BGH, Urteil vom 21. November 1980 - I ZR 106/78; GRUR 1981, 352; OLG Hamburg, Urteil vom 31. März 2004 - 5 U 144/03, GRUR-RR 2004, 285). Texte, die in der üblichen Fachsprache formuliert werden, bleiben schutzlos (vgl. BGH, Urteil vom 21. November 1980 - I ZR 106/78; GRUR 1981, 352, Dreier/Schulze/Schulze, 6. Aufl. 2018, UrhG § 2 Rn. 26). Sie heben sich nicht von der Masse des Alltäglichen ab. Darunter zählen insbesondere Textteile von Gutachten, die schematisch erstellt werden (vgl. KG Berlin, Beschluss vom 11. Mai 2011 – 24 U 28/11, BeckRS 2011, 14067; LG Berlin, Urteil vom 3. Juli 2012 – 16 O 309/11, NJOZ 2012, 2122).

Gemessen an diesen Grundsätzen hat der Kläger bereits nicht substantiiert vorgetragen, dass der Textteil des Gutachtens eine hinreichende Schöpfungshöhe erreicht. Bei Sachverständigengutachten ist regelmäßig davon auszugehen, dass die Struktur des Textes durch den Zweck vorgegeben ist. Der klägerische Vortrag beschränkt sich auf allgemeine Ausführungen, die er damit begründet, dass genauere Ausführung einer Offenlegung gleichkämen. Dies ist weder ausreichend noch plausibel. Er hätte wenigstens beschreiben müssen, inwieweit das Gutachten eine von der reinen Faktenwiedergabe abweichende Darstellung des Gebäudezustandes enthält. Dies wäre auch ohne Offenlegung des konkreten Inhalts möglich gewesen. Zudem sprechen die Ausführungen des Beigeladenen zu 2. gegen das Erreichen einer schöpferischen Höhe im Sinne des UrhG. Er hat vorgetragen, dass mit einer Art „Tunnelblick“ lediglich der objektive Objektzustand erfasst worden sei. Bewertungen zu Ursachen und Maßnahmen seien nicht Gegenstand dieses Gutachtens gewesen. Es dürfte daher davon auszugehen sein, dass sich die Sprache auf die nüchterne Mitteilung von Fakten reduziert und sich üblicher Formulierungen bedient wird, die jeder Bausachverständige in vergleichbarer Form gebraucht.

Diese Frage kann letztendlich dahinstehen. Selbst wenn man den Textteil als urheberrechtlich geschützt ansieht, ergibt sich auch unter Einbeziehung der im Gutachten enthaltenen Fotos - die eigenständig urheberrechtlich geschützt sind gemäß § 72 UrhG - kein urheberrechtliches Hindernis, das der Herausgabe entgegensteht.

Wie bereits ausgeführt, hat der Kläger nicht dargelegt, dass diesbezüglich konkrete Vereinbarungen getroffen wurden. Es stehen auch die im UrhG enthaltenen gesetzliche Wertungen einer Herausgabe nicht entgegen.

§§ 15 Abs. 2 Nr. 2, 19 a UrhG steht der Weitergabe jedenfalls deswegen nicht entgegen, weil nicht das Recht der öffentlichen Zugänglichmachung betroffen ist, da das Gutachten nur gegenüber dem Beigeladenen zu 1. bekannt gemacht werden soll.

§§ 15 Abs. 1 Nr. 2, 17 UrhG ist auch nicht einschlägig. Der Tatbestand der Verbreitung umfasst gemäß § 17 Abs. 1 UrhG das Recht, das Original oder Vervielfältigungsstücke des Werkes der Öffentlichkeit anzubieten oder in den Verkehr zu bringen. Die Verletzung dieses Verwertungsrecht scheitert jedenfalls am Erschöpfungsgrundsatz des § 17 Abs. 2 UrhG, nachdem der Beigeladene zu 2. das Gutachten mit den Fotos dem Kläger selbst zur Verfügung gestellt hat.

Ein Eingriff in das Vermietungsrecht des Beigeladenen zu 2. nach § 17 Abs. 3 Satz 1 UrhG ist ebenfalls nicht einschlägig. Die Vorschrift setzt eine vorübergehende Gebrauchs-überlassung der geschützten Leistung zu Erwerbszwecken voraus. Vorliegend fehlt es jedoch an der kommerziellen Verwertung. Der Beigeladene zu 1. begehrt das Gutachten im Rahmen einer privaten Auskunft auf Basis der DS-GVO. Es ist nicht ersichtlich, dass er das Gutachten zu Erwerbszwecken verwenden möchte. Die Verwendung in einem Gerichtsverfahren stellt keinen Erwerbszweck dar.

Die Wertung des § 31 Abs. 5 UrhG spricht vorliegend gegen entgegenstehende Urheberrechte. Nach der Norm richtet sich der Umfang bei fehlender Vereinbarung über Nutzung und Verwertung nach dem zugrunde gelegten Vertragszweck. Wie bereits oben geschildert, hat der Kläger nicht hinreichend dargelegt, dass Nutzungs- und Verwertungsrechte konkret vereinbart wurden. Sein Vortrag steht zudem im Widerspruch zu dem Grundsatz, dass der Nutzer diejenigen Rechte erwirbt, welche die Erreichung des Vertragszwecks erst ermöglichen und hierfür erforderlich sind (vgl. BGH, Urteil vom 15. März 1984 - I ZR 218/81, GRUR 1984, 528; Dreier/Schulze/Schulze, 6. Aufl. 2018, UrhG § 31 Rn. 122).

Vorausgesetzter Vertragszweck des Werkvertrages über die Erstellung des Gutachtens ist vorliegend, dass das Gutachten zur Anspruchsgeltendmachung und -durchsetzung im Rahmen von Schadensersatzansprüchen verwertet werden soll, somit ist wenigstens von einer konkludenten Übertragung der Nutzungsrechte gemäß § 151 BGB zur Vorlage des Gutachtens beim Beigeladenen zu 1. sowie im Rahmen von Streitigkeiten über den Objektzustand zum Begutachtungszeitpunkt als vertraglich vorausgesetzte Nutzungsart im Sinne des § 31 Abs. 1 Satz 1 UrhG auszugehen.

Dass der Beigeladene zu 2. – vertreten durch seinen Mitarbeiter – in der mündlichen Verhandlung erklärt hat, dass regelmäßig nach Anfrage des Auftraggebers die Freigabe zur Herausgabe erteilt werde, steht dieser Wertung nicht entgegen. Vielmehr hat er im streitgegenständlichen Fall erklärt, dass er davon ausgehe, dass auch hier eine urheberrechtliche Freigabe erteilt werden könne, wenn eine konkrete Anfrage des Auftraggebers vorliege, obgleich er eine solche, mangels konkreten Antrags des Klägers, als Auftraggeber, nicht habe erklären wollen. Hieraus wird deutlich, dass der Beigeladene zu 2. grundsätzlich eigene Urheberrechte einer Herausgabe nicht entgegenstellt.

Die Verweigerung der Zustimmung seitens des Beigeladenen zu 2. zur Weitergabe einer Kopie des Gutachtens an den Beigeladenen zu 1. würde zudem einen Verstoß gegen Treu und Glauben gemäß § 34 Abs. 1 Satz 2 UrhG darstellen.

Ein Verstoß gegen Treu und Glauben liegt vor, wenn kein schutzwürdiger Grund besteht, der zu einer Verweigerung der Zustimmung berechtigt. Die Grenze liegt dort, wo die Zustimmungsverweigerung – auch unter Berücksichtigung der Verkehrssitte § 242 BGB – unbillig erscheint. Entscheidend ist eine umfassende Abwägung der beiderseitigen Interessen. Insbesondere soll der Urheber den Vorbehalt seiner Zustimmung nicht dazu missbrauchen können, ein Nutzungsrecht grundlos zu verhindern, obwohl seine Interessen in keiner Weise beeinträchtigt werden (vgl. BeckOK UrhR/Soppe, 29. Ed. 15. Juni 2020 Rn. 11, UrhG § 34 Rn. 11).

Das Gutachten kann den Zweck der Beweissicherung nicht erfüllen, wenn es nicht zwischen den direkt Betroffenen (Kläger und Beigeladenem zu 1.) gleichermaßen bekannt gegeben wird. Durch das Gutachten sollen der Gebäudezustand sowie etwa vorhandene Schäden vor Beginn der Baumaßnahmen des Klägers von dem Beigeladenem zu 2. - als einem unabhängigen Dritten - festgestellt werden, sodass einheitliche und unstreitige Anknüpfungstatsachen zwischen den Beteiligten bei späteren Rechtsstreitigkeiten zu Grunde gelegt werden können. Das Gutachten dient daher auch den Interessen des Beigeladenen zu 1., weshalb dieser ein Auskunftsrecht auch auf den Grundsatz der „Waffengleichheit“ stützen kann (vgl. OLG Schleswig, Urteil vom 13. Juli 2020 – 16 U 137/19, NJW-RR 2020, 1351; OLG Frankfurt a. M., Urteil vom 12. Februar 2019 – 11 U 114/17, BeckRS 2019, 5094; OLG Karlsruhe, Beschluss vom 26. April 2005 – 12 W 32/05, BeckRS 2005, 4902; OLG Saarbrücken, Urteil vom 14. Oktober 1998 - 5 U 1011–97-80, NJW-RR 1999, 759; Heinrich, NZV 2015, 68).

Konkrete Interessen des Beigeladenen zu 2., die diesbezüglich entgegenstehen könnten, sind weder substantiiert vorgetragen worden noch ersichtlich.

hh. Aus den gleichen Gründen kann sich auch der Kläger nicht auf entgegenstehende Rechte berufen, wenn er vorträgt, dass er seine eigenen Rechtspositionen durch Offenlegung schmälern würde. Das Gutachten soll gerade Klarheit zwischen ihm und dem Beigeladenen zu 1. bezüglich des Objektzustandes des Eigentums des Beigeladenen zu 1. schaffen. Es wird insoweit auf die Ausführungen zur Verwirkung und zum Verstoß gegen Treu und Glauben verwiesen.

ii. Das Auskunftsersuchen des Beigeladenen zu 1. ist nicht rechtsmissbräuchlich und steht daher der Anordnung des Beklagten nicht entgegen gemäß Art. 12 Abs. 5 Satz 2 DS-GVO.

Rechtsmissbrauch kann bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person gegeben sein. In diesen Fällen kann sich der Verantwortliche weigern, eine Auskunft zu geben oder hierfür ein Entgelt verlangen. Nach Satz 3 hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Offenkundig unbegründet sind Anträge, bei denen das Fehlen der Voraussetzungen auf der Hand liegt respektive der Antrag eindeutig aussichtlos ist (vgl. allgemein BVerfG, Urteil vom 14. Mai 1996 - 2 BvR 1516/93, BeckRS 9998, 170716).

Exzessiv sind Anträge, wenn sie ohne Maß gestellt werden. Dies kann bei häufiger Wiederholung anzunehmen sein, insbesondere dann, wenn es keine plausiblen Gründe für die häufigen Wiederholungen wie eine Änderung der tatsächlichen Umstände oder eine anderweitige, abweichende Auskunft gibt (vgl. BeckOK DatenschutzR/Quaas, 34. Ed. 1. November 2020, DS-GVO Art. 12 Rn.43-48).

Vorliegend ist der Antrag weder offenkundig unbegründet - vielmehr ist der Antrag wie dargelegt begründet - noch exzessiv, da er nur einmal gestellt wurde. Der Umfang ist auch sachlich begründet und ergibt sich daraus, dass sämtliche Seiten des Gutachtens personenbezogene Daten des Beigeladenen zu 1. enthalten.

Dem Kläger ist zwar zuzugeben, dass originärer Sinn und Zweck des Auskunftsanspruchs die Rechtmäßigkeitskontrolle im Hinblick auf die Verarbeitung der personenbezogenen Daten ist (vgl. Erwägungsgrund 63 der DS-GVO). Jedoch begründet die Verfolgung eines danebenstehenden Zwecks noch nicht den Einwand des Rechtsmissbrauchs. Die Beweggründe für ein Auskunftsbegehren müssen gerade nicht offenlegt werden, folglich kann es sich hierbei nicht um ein Kriterium der Abwägung handeln. Entsprechend wurde von der Rechtsprechung anerkannt, dass es unschädlich ist, wenn der Betroffene zu erkennen gibt, dass er die betreffenden Daten zur Vorbereitung eines Rechtsstreits bzw. zur Verbesserung seiner Position in einem solchen verlangt (vgl. hierzu LAG Baden-Württemberg, Urteil vom 20. Dezember 2018 - 17 Sa 11/18; LG Köln, Urteil vom 11. November 2020 – 23 O 172/19; LG Dresden, Urteil vom 29. Mai 2020 – 6 O 76/20; AG Bonn, Urteil vom 30. Juli 2020 – 118 C 315/19, BeckRS 2020, 19548 Rn. 18, beck-online; AG München, Teilurteil vom 4. September 2019 – 155 C 1510/18; BeckOK DatenschutzR/B.-Wudy, 32. Ed. 1. Mai 2020, DS-GVO Art. 15 Rn. 52.2)."


Den Volltext der Entscheidung finden Sie hier:


EuGH: Systematische Speicherung und Weiterleitung von IP-Daten, Namen und Anschriften von Filesharing-Nutzern zur Verfolgung von Urheberrechtsverletzungen zulässig

EuGH
Urteil vom 17.06.2021
C-597/19
Mircom International Content Management & Consulting (M.I.C.M.) Limited gegen Telenet BVBA,
Beteiligte: Proximus NV, Scarlet Belgium NV


Der EuGH hat entschieden, dass die systematische Speicherung und Weiterleitung von IP-Daten, Namen und Anschriften von Filesharing-Nutzern an Rechteinhaber zur Verfolgung von Urheberrechtsverletzungen zulässig ist.

Die Pressemitteilung des EuGH:

Die systematische Speicherung von IP-Adressen von Nutzern und die Übermittlung ihrer Namen und Anschriften an den Inhaber geistiger Rechte oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, ist unter bestimmten Voraussetzungen zulässig

Der Auskunftsantrag eines Inhabers von Rechten des geistigen Eigentums darf nicht missbräuchlich sein und er muss gerechtfertigt und verhältnismäßig sein Das Unternehmen Mircom International Content Management & Consulting (M.I.C.M.) Limited (im Folgenden: Mircom) stellte bei der Ondernemingsrechtbank Antwerpen (Unternehmensgericht Antwerpen, Belgien) einen Auskunftsantrag gegen die Telenet BVBA, einen Internetzugangsanbieter. Dieser Antrag ist auf eine Entscheidung gerichtet, mit der Telenet verpflichtet wird, die Daten zur Identifizierung ihrer Kunden auf der Grundlage der von einem spezialisierten Unternehmen im Auftrag von Mircom erhobenen IP-Adressen vorzulegen. Die Internetanschlüsse von Kunden von Telenet wurden dazu genutzt, in einem Peer-to-Peer-Netz über das BitTorrent-Protokoll Filme aus dem Repertoire von Mircom zu teilen. Telenet tritt dem Antrag von Mircom entgegen.

Vor diesem Hintergrund hat das vorlegende Gericht den Gerichtshof als Erstes gefragt, ob das Teilen von Segmenten einer Mediendatei, die ein geschütztes Werk enthält, in einem Peer-toPeer-Netz eine öffentliche Wiedergabe nach dem Unionsrecht darstellt. Als Zweites wollte es wissen, ob einem Inhaber von Rechten des geistigen Eigentums wie Mircom, der sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangt, die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe offenstehen, um die Durchsetzung dieser Rechte zu gewährleisten, z. B. durch die Einholung von Informationen. Als Drittes hat das vorlegende Gericht den Gerichtshof um Klärung ersucht, ob die Art und Weise, in der die IP-Adressen der Kunden durch Mircom gesammelt werden, und die Übermittlung der von Mircom bei Telenet angefragten Daten zulässig sind.

In seinem Urteil entscheidet der Gerichtshof erstens, dass ein Hochladen von Segmenten einer Mediendatei in einem Peer-to-Peer-Netz wie das in Rede stehende eine öffentliche Zugänglichmachung im Sinne des Unionsrechts darstellt. Zweitens kann ein Inhaber von Rechten des geistigen Eigentums wie Mircom das System zum Schutz dieser Rechte in Anspruch nehmen,
aber sein Auskunftsantrag muss insbesondere nicht missbräuchlich, gerechtfertigt und verhältnismäßig sein. Drittens sind die systematische Speicherung von IP-Adressen von Nutzern eines Peer-to-peer-Netzes und die Übermittlung ihrer Namen und Anschriften an den Rechtsinhaber oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, unter bestimmten Voraussetzungen zulässig.

Würdigung durch den Gerichtshof
Der Gerichtshof, der sich bereits zum Begriff „öffentliche Wiedergabe“ im Kontext des Urheberrechtsschutzes geäußert hat, stellt erstens klar, dass es sich um eine „öffentliche Zugänglichmachung eines Werks“ handelt, wenn die zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, unter Nutzung eines Peer-to-Peer-to-Peer-Netzes hochgeladen werden, auch wenn diese Segmente als solche nicht nutzbar sind und das Hochladen automatisch erfolgt, sofern der Nutzer sein Einverständnis mit der Filesharing-Software BitTorrent-Client erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

Jeder Nutzer des Peer-to-Peer-Netzes kann die Originaldatei aus den auf den Computern der anderen Nutzer verfügbaren Segmenten leicht wieder zusammensetzen. Durch das Herunterladen der Segmente einer Datei macht er sie zugleich für das Hochladen durch andere Nutzer zugänglich. Er muss auch keine Mindestmenge an Segmenten herunterladen. Jede Handlung, mit der er in voller Kenntnis der Folgen seines Verhaltens Zugang zu geschützten Werken verschafft, kann eine Zugänglichmachung darstellen. Im vorliegenden Fall handelt es sich um eine solche Handlung, weil sie auf eine unbestimmte Zahl potenzieller Adressaten abzielt, eine recht große Zahl von Personen betrifft und gegenüber einem neuen Publikum erfolgt. Mit dieser Auslegung soll der angemessene Ausgleich zwischen den Interessen und Grundrechten der Inhaber von Rechten
des geistigen Eigentums einerseits und den Interessen und Grundrechten der Nutzer von Schutzgegenständen andererseits gesichert werden.

Der Gerichtshof stellt zweitens fest, dass dem Inhaber von Rechten des geistigen Eigentums wie Mircom, der diese Rechte im Wege einer Forderungsabtretung erworben hat und sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangen möchte, grundsätzlich die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe zustehen können, es sei denn, sein Antrag ist missbräuchlich. Die etwaige Feststellung eines solchen Missbrauchs unterliegt der Würdigung durch das vorlegende Gericht, das zu diesem Zweck z. B. prüfen könnte, ob tatsächlich Klagen erhoben worden sind, wenn eine gütliche Lösung abgelehnt wurde. Insbesondere kann ein Auskunftsantrag wie der von Mircom nicht deshalb als unzulässig angesehen werden, weil er in einem vorgerichtlichen Verfahren gestellt wurde. Der Antrag ist jedoch abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat. Mit dieser Auslegung möchte der Gerichtshof ein hohes Schutzniveau für das geistige Eigentum im Binnenmarkt gewährleisten.

Der Gerichtshof entscheidet drittens, dass das Unionsrecht grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP-Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern (vorgelagerte Datenverarbeitung), noch dem entgegensteht, dass die Namen und Anschriften der Nutzer an den Rechtsinhaber oder an einen Dritten im Hinblick auf eine Schadensersatzklage übermittelt werden (nachgelagerte Datenverarbeitung). Die dahin gehenden Maßnahmen und Anträge müssen jedoch gerechtfertigt, verhältnismäßig, nicht missbräuchlich und in einer nationalen Rechtsvorschrift vorgesehen sein, die die Rechte und Pflichten aus dem Unionsrecht beschränkt. Der Gerichtshof stellt klar, dass das Unionsrecht keine Verpflichtung für eine Gesellschaft wie Telenet begründet, personenbezogene Daten an Privatpersonen zu übermitteln, damit diese vor den Zivilgerichten Urheberrechtsverstöße verfolgen können. Das Unionsrecht erlaubt es den Mitgliedstaaten jedoch, eine solche Verpflichtung vorzusehen.


Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:
1. Art. 3 Abs. 1 und 2 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass es sich um eine öffentliche Zugänglichmachung im Sinne dieser Bestimmung handelt, wenn die von einem Nutzer eines Peer-to-Peer-Netzes zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, von dem Endgerät dieses Nutzers aus auf die Endgeräte anderer Nutzer dieses Netzes hochgeladen werden, obwohl diese Segmente als solche erst nach dem Herunterladen eines bestimmten Prozentsatzes aller Segmente nutzbar sind. Unerheblich ist, dass dieses Hochladen aufgrund der Konfiguration der Filesharing-Software BitTorrent-Client durch die Software automatisch erfolgt, wenn der Nutzer, von dessen Endgerät aus das Hochladen erfolgt, sein Einverständnis mit dieser Software erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

2. Die Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums ist dahin auszulegen, dass eine Person, die vertragliche Inhaberin bestimmter Rechte des geistigen Eigentums ist, diese Rechte aber nicht selbst nutzt, sondern lediglich Schadensersatzansprüche gegen mutmaßliche Verletzer geltend macht, die in Kapitel II dieser Richtlinie vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe grundsätzlich in Anspruch nehmen kann, es sei denn, es wird aufgrund der allgemeinen Verpflichtung aus Art. 3 Abs. 2 der Richtlinie und auf der Grundlage einer umfassenden und eingehenden Prüfung festgestellt, dass ihr Antrag missbräuchlich ist. Ein auf Art. 8 der Richtlinie gestützter Auskunftsantrag ist insbesondere auch dann abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat.

3. Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass er grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP‑Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern, noch dem entgegensteht, dass die Namen und Anschriften dieser Nutzer an den Rechtsinhaber oder an einen Dritten übermittelt werden, um ihm die Möglichkeit zu geben, bei einem Zivilgericht eine Schadensersatzklage wegen eines Schadens zu erheben, der von diesen Nutzern verursacht worden sein soll, jedoch nur unter der Voraussetzung, dass die dahin gehenden Maßnahmen und Anträge des Rechtsinhabers oder des Dritten gerechtfertigt, verhältnismäßig und nicht missbräuchlich sind und ihre Rechtsgrundlage in einer Rechtsvorschrift im Sinne von Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung haben, die die Tragweite der Bestimmungen der Art. 5 und 6 dieser Richtlinie in geänderter Fassung beschränkt.



LG Köln: Abmahnfähiger Wettbewerbsverstoß durch Cookie-Banner wenn Nutzer durch weitere Nutzung der Website konkludent dem Setzen technisch nicht notwendiger Cookies zustimmt

LG Köln
Beschluss vom 13.04.2021
31 O 36/21


Das LG Köln hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß vorliegt, wenn ein Website-Betreiber einen Cookie-Banner verwendet, wonach der Nutzer durch weitere Nutzung der Website dem Setzen technisch nicht notwendiger Cookies zustimmt.

Die Entscheidung:

Tenor:

Im Wege der einstweiligen Verfügung wird gemäß §§ 935 ff. ZPO, 1, 5 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1BGB, 15 Abs. 3 S. 1 TMG wegen der Dringlichkeit des Falles ohne vorherige mündliche Verhandlung angeordnet:

Der Antragsgegnerin wird bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,- EUR, ersatzweise Ordnungshaft, oder Ordnungshaft jeweils bis zu sechs Monaten, zu vollziehen an den Geschäftsführern der Antragsgegnerin, untersagt, im geschäftlichen Verkehr im Internet einen Datenschutzhinweis mit folgenden Informationen über Cookies zu veröffentlichen:

"Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung"

wie geschehen im Internet unter der URL: https://[...].de und nachstehend eingeblendet:

[...]

Die Antragsgegnerin hat die Kosten des Verfahrens zu tragen.

Gründe:

I. Der Sachverhalt ergibt sich aus der Antragsschrift, auf die zur Vermeidung von Wiederholungen Bezug genommen wird.

II. Der Verfügungsgrund ergibt sich aus § 5 UKlaG in Verbindung mit § 12 Abs. 1 UWG. Der Verfügungsanspruch folgt aus § 1 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1 BGB, 15 Abs. 3 TMG. Der Antragsteller ist nach § 3 Abs. 1 Nr. 2 UKlaG aktiv legitimiert (vgl. BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 17). Die von ihm angegriffene Klausel ist mit § 307 Abs. 2 S. 2 BGB nicht vereinbar. Denn sie widerspricht dem wesentlichen Gedanken von § 15 Abs. 3 TMG. Nach letztgenannter Vorschrift darf der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Nach der Rechtsprechung des Bundesgerichtshofes ist die Vorschrift dahingehend richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nicht einsetzen darf, wenn die Einwilligung des Nutzers mittels eines voreingestellten Ankreuzkästchens eingeholt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 52). Dem folgend widerspricht eine, wie hier verwendete, Klausel erst Recht § 15 Abs. 3 TMG, wenn mit der Weiternutzung der Internetseite konkludent in die Nutzung von Cookies eingewilligt werden soll (so auch Haberer, MMR 2020, 810 (813)).

III. Der Verfahrenswert wird auf 2.500,- EUR festgesetzt. Nach der Rechtsprechung des Bundesgerichtshofes richtet sich der Verfahrenswert in Verfahren nach dem Unterlassungsklagengesetz allein nach dem Interesse der Allgemeinheit an der Beseitigung einer gesetzwidrigen Allgemeinen Geschäftsbedingung, nicht hingegen nach der wirtschaftlichen Bedeutung des Verbotes einer Klausel (siehe nur BGH, Bes. v. 29.07.2015 - IV ZR 45/15).


EU-Kommission: Neue Standardvertragsklauseln für Übermittlung personenbezogener Daten an Drittländer und zwischen Verantwortlichen und Auftragsverarbeitern angenommen - scc

Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28(7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 (7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Die Pressemitteilung des EU-Kommission:

European Commission adopts new tools for safe exchanges of personal data

Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.

The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.

Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”

Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”

Main Innovations

The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.

Main innovations of the new standard contractual clauses:

Update in line with the General Data Protection Regulation (GDPR);

One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.

These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.

Background

The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.

The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.

On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.


BAG lässt offen ob Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO auch die geführte E-Mail-Korrespondenz umfasst - Klageantrag zu unbestimmt

BAG
Urteil vom 27.04.2021
2 AZR 342/20


Das BAG hat leider offengelassen, ob ein Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO auch die geführte E-Mail-Korrespondenz umfasst. Der Klageantrag war zu unbestimmt.

Die Pressemitteilung des Gerichts:
Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO

Ein Klageantrag auf Überlassung einer Kopie von E-Mails ist nicht hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO, wenn die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, nicht so genau bezeichnet sind, dass im Vollstreckungsverfahren unzweifelhaft ist, auf welche E-Mails sich die Verurteilung bezieht.

Der Kläger war bei der Beklagten vom 1. bis 31. Januar 2019 als Wirtschaftsjurist beschäftigt. Mit seiner Klage hat er ua. Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten sowie die Überlassung einer Kopie dieser Daten gemäß Art. 15 Abs. 3 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) verlangt. Nachdem die Beklagte dem Kläger Auskunft erteilt hat, haben die Parteien den Rechtsstreit insoweit für erledigt erklärt.

Die Klage auf Erteilung einer Kopie der personenbezogenen Daten des Klägers hat das Arbeitsgericht abgewiesen. Das Landesarbeitsgericht hat ihr teilweise entsprochen und sie im Übrigen abgewiesen. Es hat angenommen, der Kläger habe zwar einen Anspruch auf Erteilung einer Kopie seiner personenbezogenen Daten, die Gegenstand der Auskunft der Beklagten waren, nicht aber auf die darüber hinaus verlangten Kopien seines E-Mail-Verkehrs sowie der E-Mails, die ihn namentlich erwähnen.

Die gegen die teilweise Abweisung seiner Klage gerichtete Revision des Klägers hatte vor dem Zweiten Senat des Bundesarbeitsgerichts keinen Erfolg. Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier. Bei einer Verurteilung der Beklagten, eine Kopie des E-Mail-Verkehrs des Klägers zur Verfügung zu stellen sowie von E-Mails, die ihn namentlich erwähnen, bliebe unklar, Kopien welcher E-Mails die Beklagte zu überlassen hätte. Gegenstand der Verurteilung wäre die Vornahme einer nicht vertretbaren Handlung iSv. § 888 ZPO, für die im Zwangsvollstreckungsrecht nicht vorgesehen ist, dass der Schuldner an Eides statt zu versichern hätte, sie vollständig erbracht zu haben


Bundesarbeitsgericht, Urteil vom 27. April 2021 - 2 AZR 342/20 -
Vorinstanz: Landesarbeitsgericht Niedersachsen, Urteil vom 9. Juni 2020 - 9 Sa 608/19 -


BMJV: Verbesserung des strafrechtlichen Schutzes gegen sogenannte Feindeslisten - Entwurf eines Gesetzes zur Änderung des Strafgesetzbuches

Das BMVJ hat den Regierungsentwurf eines Gesetzes zur Änderung des Strafgesetzbuches - Verbesserung des strafrechtlichen Schutzes gegen sogenannte Feindeslisten vorgelegt.

Aus dem Entwurf:

A. Problem und Ziel
Die Existenz der in den letzten Jahren bekannt gewordenen sogenannten Feindeslisten führt zu einer erheblichen Verunsicherung in der Bevölkerung und bei den Betroffenen. Unter „Feindeslisten“ sind Sammlungen von Daten, vor allem Adressdaten, aber auch Informationen über persönliche Umstände oder Fotos, von Personen zu verstehen, die – vorwiegend im Internet – verbreitet und zum Teil mit ausdrücklichen oder subtilen Drohungen oder Hinweisen verbunden werden, wie beispielsweise, die Person könne „ja mal Besuch bekommen“ oder „gegen so jemanden müsse man mal etwas unternehmen“.

Die Betroffenen, meist politisch oder gesellschaftlich engagierte Personen, empfinden die Nennung auf einer solchen „Feindesliste“ mitunter als einschüchternd, weil sie befürchten, Opfer von Straftaten zu werden. Ein solches Verbreiten von Daten kann sich auch auf Personen beziehen, die nicht bereits in der Öffentlichkeit stehen (sogenanntes Outing). Es kann Einzelpersonen und Personenmehrheiten gleichermaßen betreffen. Von der Öffentlichkeit werden „Feindeslisten“ als verunsichernd oder sogar bedrohlich wahrgenommen. Ist das Verbreiten der Daten zugleich geeignet, die Bereitschaft anderer zu wecken oder zu fördern, Straftaten gegen die genannten Personen zu begehen, beeinträchtigt die hierdurch entstehende Verängstigung der Bevölkerung zugleich das friedliche Zusammenleben. Die bestehenden Strafvorschriften erfassen das Phänomen der „Feindeslisten“ regelmäßig nicht oder nur teilweise. Der Entwurf zielt auf die Erstreckung des strafrechtlichen Schutzes auch dieser Konstellationen.

Durch den Entwurf sollen zudem zwei durch das 59. Gesetz zur Änderung des Strafgesetzbuches – Verbesserung des Persönlichkeitsschutzes bei Bildaufnahmen vom 9. Oktober 2020 (BGBl. I S. 2075) entstandene redaktionelle Fehler im Regelungstext des § 201a Absatz 4 des Strafgesetzbuches (StGB) korrigiert werden.

B. Lösung; Nutzen

Der Entwurf sieht mit § 126a StGB-E die Einführung eines neuen Straftatbestandes nach § 126 StGB (Störung des öffentlichen Friedens durch Androhung von Straftaten) vor, der ebenfalls den öffentlichen Frieden schützt. Als Tathandlung soll das in einer bestimmten Art und Weise erfolgte Verbreiten personenbezogener Daten mehrerer Personen oder auch einer einzelnen Person erfasst werden, wenn dies öffentlich, in einer Versammlung oder durch Verbreiten von Inhalten geschieht. Über den neuen Inhaltsbegriff (§ 11 Absatz 3 StGB) wird damit sowohl das Verbreiten von verkörperten Inhalten mit solchen Daten (zum Beispiel Flugblättern) als auch – in der Praxis bedeutsamer – von entsprechenden Inhalten im Internet erfasst. Der neue Straftatbestand dient dem verbesserten Schutz der allgemeinen Rechtssicherheit und des friedlichen Zusammenlebens der Bürgerinnen und Bürger sowie des Vertrauens auf diesen Zustand, der durch das Phänomen sogenannter Feindeslisten erheblich beeinträchtigt wird. In § 201a StGB werden die erforderlichen Korrekturen vorgenommen.

[...]

§ 126a [ENTWURF] Gefährdendes Verbreiten personenbezogener Daten

(1) Wer öffentlich, in einer Versammlung oder durch Verbreiten eines Inhalts (§ 11 Absatz 3) personenbezogene Daten einer anderen Person in einer Art und Weise verbreitet, die geeignet ist, diese Person oder eine ihr nahestehende Person der Gefahr
1. eines gegen sie gerichteten Verbrechens oder

2. einer gegen sie gerichteten sonstigen rechtswidrigen Tat gegen die sexuelle Selbstbestimmung, die körperliche Unversehrtheit, die persönliche Freiheit oder gegen eine Sache von bedeutendem Wert

auszusetzen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um nicht allgemein zugängliche Daten, so ist die Strafe Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

(3) § 86 Absatz 3 gilt entsprechend.“

Volltext LG Berlin: 14,5 Millionen EURO DSGVO-Bußgeld gegen Deutsche Wohnen SE aufgehoben - § 30 OWiG gilt über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße

LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20


Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.

Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen

Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.

Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.

Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.

Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.

Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.

II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.

1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).

aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.

bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.

Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).

Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.

Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.

Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.

Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.

Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).

Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.

Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).

Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).

Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.

b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.

Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.

Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.

2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.


Den Volltext der Entscheidung finden Sie hier:



LfDI Baden-Württemberg: Bußgeld in Höhe von 300.000 EURO gegen VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat gegen den VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ein Bußgeld in Höhe von 300.000 EURO verhängt.

Die Pressemitteilung des LfDI:

Bußgeldverfahren gegen VfB Stuttgart 1893 AG endet mit der Verhängung eines Bußgeldes.

LfDI Stefan Brink: „Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink schließt das Verfahren gegen die VfB Stuttgart 1893 AG ab und erlässt ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.

Die Verantwortlichen des VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG haben die Aufklärungs- und Ermittlungsmaßnahmen des Landesbeauftragten unterstützt, durch eigene Initiative gefördert sowie mit der Behörde des Landesbeauftragten umfangreich kooperiert.

Neben der Bußgeldzahlung und der kostenträchtigen Umstrukturierung und Verbesserung ihres Datenschutzmanagements ergreift die VfB Stuttgart 1893 AG in Abstimmung mit dem LfDI Maßnahmen zur Sensibilisierung junger Menschen für Datenschutzanliegen.

So fördert der VfB das Projekt „Datenschutz geht zur Schule“ durch Unterstützung bei der Öffentlichkeitsarbeit für regionale Schul-Aktionstage und im Rahmen kind-/jugendgerechter Videos zur Sensibilisierung für datenschutzrelevante Themen. Darüber hinaus konzipiert der VfB Schulungen für die Fußballnachwuchsmannschaften U10 bis U21 zum Thema „Datenschutz bei Jugendlichen“.

LfDI Stefan Brink: „Mit dem Erlass dieses Bußgeldbescheides schließen wir ein Verfahren ab, das auch für uns als Aufsichtsbehörde ungewöhnlich war. Ungewöhnlich war nicht nur der Gegenstand unseres Verfahrens, sondern vor allem das hiermit verbundene öffentliche und mediale Interesse. Ungewöhnlich war auch der Umfang des durch die Einschaltung der Esecon belegten Aufklärungsinteresses und der Kooperationsbereitschaft des VfB mit unserer Behörde.“

Aus diesem Verfahren heraus ergebe sich die gute Chance, so Stefan Brink weiter, dass der VfB Stuttgart künftig beim fairen Umgang mit den Daten der Mitglieder besser aufgestellt ist. „Auch wenn wir mit Blick auf Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig untersuchen konnten, ist doch das jetzt einvernehmlich gefundene Ergebnis überzeugend: Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Mit dem Erlass des Bußgeldbescheids sind die Ermittlungen gegen den VfB Stuttgart 1893 e.V. und die VfB Stuttgart 1893 AG abgeschlossen.


LG Stuttgart: Auskunftsanspruch gemäß Art. 15 DSGVO eines Kunden gegen Versicherung umfasst Stammdaten aber nicht die geführte Korrespondenz

LG Stuttgart
Urteil vom 04.11.2020
18 O 333/19


Das LG Stuttgart hat entschieden, dass ein Auskunftsanspruch gemäß Art. 15 DSGVO eines Kunden gegen eine Versicherung die Stammdaten aber nicht die geführte Korrespondenz umfasst.

LG Köln: Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ist ein abmahnfähiger Wettbewerbsverstoß

LG Köln
Beschluss vom 29.10.2020
31 O 194/20


Das LG Köln hat entschieden, dass das Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ein abmahnfähiger Wettbewerbsverstoß ist.

Aus den Entscheidungsgründen:

Die Kammer hat von § 938 Abs. 1 ZPO Gebrauch gemacht und den Tenor abweichend von dem gestellten Antrag formuliert. Die durch den Antragsteller in seinem Antrag gewählte Formulierung war nicht sachdienlich, weil die beanstandete Nutzung von Cookies ohne Einwilligung keine Werbung darstellt. Die gewählte Formulierung hält sich im Rahmen des gestellten Antrags, weil dieser ausweislich der Antragsbegründung und der in dem Antrag eingeblendeten Passage aus der Webseite des Antragstellers darauf gerichtet ist, dem Antragsteller das Setzen von Cookies zu untersagen, wenn keine aktive Einwilligung der Nutzer eingeholt wird, sondern deren Inaktivität als Einwilligung gewertet wird.

2. Der Verfügungsgrund wird vermutet, § 12 Abs. 2 UWG. Umstände, aufgrund derer die Vermutung erschüttert wäre, hat der Antragsgegner nicht vorgetragen.

3. Der Verfügungsanspruch des nach § 8 Abs. 3 Nr. 2 UWG prozessführungsbefugten Antragstellers folgt aus §§ 8 Abs. 1, 3, 3a UWG i.V.m. 12 Abs. 1, 15 Abs. 3 TMG in richtlinienkonformer Auslegung der zuletzt genannten Vorschriften unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG. Entgegen dem Vorbringen des Antragsgegners sind diese Vorschriften, nicht hingegen die Datenschutzgrundverordnung anwendbar. Die Datenschutzgrundverordnung beansprucht gemäß ihres Artikels 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12, 15 TMG, bei denen es sich um Marktverhaltensregelungen handelt (Köhler/Bornkamm/Feddersen/Köhler, 38. Aufl. 2020 Rn. 1.74d, UWG § 3a Rn. 1.74d, m.w.N.).

Durch Vorlage der im Tenor dieses Beschlusses eingeblendeten Screenshots hat der Antragsteller glaubhaft gemacht, dass der Antragsgegner Cookies setzt, ohne eine aktive Einwilligung der betroffenen Nutzer einzuholen. Dies stellt im konkreten Fall einen Verstoß gegen §§ 12 Abs. 1, 15 Abs. 3 TMG dar, die insoweit richtlinienkonform unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG auszulegen sind (vgl. (Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 59, m.w.N.; vgl. auch BGH NJW 2020, 2540, Rn. 49 ff. d.A.).

Zwar ist § 15 Abs. 1, 3 TMG unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG dahingehend auszulegen, dass eine Einwilligung unter den dort in Satz 2 genannten Voraussetzungen nicht erforderlich ist (rein technische Speicherung bzw. Zugang, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht in ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit die Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann). Dass diese Voraussetzungen nicht gegeben sind, ergibt sich jedoch aus dem im Tenor eingeblendeten Screenshot. Der Verweis auf die Nutzung von Cookies erfolgt dort nicht im Zusammenhang mit der Übertragung einer Nachricht; ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklich angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre (vgl. Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 61).
[...]
Streitwert: 10.000 Euro (§51 Abs. 4 GKG)


Den Volltext der Entscheidung finden Sie hier:



DSK: Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.

Die Pressemitteilung des DSK:

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“


Siehe auch zum Thema: Brexit-Deal zwischen EU und Großbritannien liegt als Entwurf vor