Skip to content

Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



BVerfG: Meinungsfreiheit der Inhalteanbieter ist bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen - Recht auf Vergessen II

BVerfG
Beschluss vom 6. November 2019
1 BvR 276/17
Recht auf Vergessen II


Das BVerfG hat entschieden, dass die Meinungsfreiheit der Inhalteanbieter bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen ist.

Die Pressemitteilung des Bundesverfassungsgerichts:

Bundesverfassungsgericht prüft innerstaatliche Anwendung unionsrechtlich vollvereinheitlichen Rechts am Maßstab der Unionsgrundrechte - Meinungsfreiheit der Inhalteanbieter ist bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen

Dem heute veröffentlichten Beschluss „Recht auf Vergessen II“, der ergänzt wird durch den Beschluss vom selben Tag „Recht auf Vergessen I“ (vergleiche PM Nr. 83/2019), liegt ein Rechtsstreit zugrunde, der eine unionsrechtlich vollständig vereinheitlichte Materie betrifft. Der Erste Senat des Bundesverfassungsgerichts hat deshalb die Charta der Grundrechte der Europäischen Union angewandt und eine Verfassungsbeschwerde gegen ein Urteil des Oberlandesgerichts Celle zurückgewiesen. Dieses hatte eine Klage der Beschwerdeführerin gegen einen Suchmaschinenbetreiber abgewiesen, mit der sie sich dagegen wandte, dass auf Suchabfragen zu ihrem Namen der Link zu einem 2010 in ein Onlinearchiv eingestellten Transkript eines Fernsehbeitrags nachgewiesen wurde, in dem ihr unter namentlicher Nennung ein unfairer Umgang mit einem gekündigten Arbeitnehmer vorgeworfen wurde.

Das Bundesverfassungsgericht hat zunächst festgestellt, dass die anwendbaren Regelungen unionsrechtlich vollständig vereinheitlicht und deshalb die Grundrechte des Grundgesetzes nicht anwendbar sind. Soweit jedoch die Grundrechte des Grundgesetzes durch den Anwendungsvorrang des Unionsrechts verdrängt werden, kontrolliert das Bundesverfassungsgericht dessen Anwendung durch deutsche Stellen am Maßstab der Unionsgrundrechte, so dass keine Schutzlücken entstehen. Es nimmt hierdurch seine Integrationsverantwortung im Rahmen des Art. 23 GG wahr.

In der Sache führt der Senat aus, dass die Grundrechte der Charta wie die des Grundgesetzes nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten gewährleisten und hierbei miteinander in Ausgleich zu bringen sind. Das Oberlandesgericht hat in diesem Sinne die Grundrechtspositionen der Parteien sowie die zu berücksichtigenden Grundrechte Dritter, insbesondere die hierbei beachtliche Meinungsfreiheit des für den Beitrag verantwortlichen Norddeutschen Rundfunks, sachgerecht in die Abwägung eingestellt.

Sachverhalt:

1. Am 21. Januar 2010 strahlte der Norddeutsche Rundfunk einen Beitrag des Fernsehmagazins „Panorama“ mit dem Titel „Kündigung: Die fiesen Tricks der Arbeitgeber“ aus. Gegen Ende dieses Beitrags, für den die Beschwerdeführerin zuvor ein Interview gegeben hatte, wurde der Fall eines gekündigten ehemaligen Mitarbeiters des von ihr als Geschäftsführerin geleiteten Unternehmens dargestellt. In Anknüpfung an die geplante Gründung eines Betriebsrats wurde ihr in dem Beitrag ein unfairer Umgang mit dem Mitarbeiter vorgeworfen.

Der Norddeutsche Rundfunk stellte eine Datei mit einem Transkript dieses Beitrags unter dem Titel „Die fiesen Tricks der Arbeitgeber“ auf seiner Internetseite ein. Bei Eingabe des Namens der Beschwerdeführerin in die Suchmaske des Suchmaschinenbetreibers Google wurde als eines der ersten Suchergebnisse die Verlinkung auf diese Datei angezeigt. Nachdem dieser es abgelehnt hatte, die Nachweise dieser Seite zu unterlassen, erhob die Beschwerdeführerin Klage, die vom Oberlandesgericht abgewiesen wurde. Die Beschwerdeführerin könne weder aus § 35 Abs. 2 Satz 2 BDSG a. F. noch aus § 823 Abs. 1, § 1004 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG die Entfernung des Links (im Weiteren auch: Auslistung) beanspruchen.

2. Mit ihrer Verfassungsbeschwerde rügt die Beschwerdeführerin eine Verletzung ihres allgemeinen Persönlichkeitsrechts und ihres Grundrechts auf informationelle Selbstbestimmung. Bereits die Überschrift des Suchergebnisses sei verfälschend, da sie niemals „fiese Tricks“ angewandt habe. Das Suchergebnis rufe eine negative Vorstellung über sie als Person hervor, die geeignet sei, sie als Privatperson herabzuwürdigen. Überdies liege der Bericht zeitlich so weit zurück, dass auch in Folge des Zeitablaufs kein berechtigtes öffentliches Interesse mehr an ihm bestehe.

Wesentliche Erwägungen des Senats:

I. Das Verfahren gibt zunächst Anlass, den verfassungsgerichtlichen Prüfungsmaßstab im Kontext des Unionsrechts näher zu bestimmen.

1. Der von der Beschwerdeführerin im Ausgangsverfahren verfolgte Anspruch auf Auslistung richtet sich – sowohl für die damals geltende Datenschutzrichtlinie als auch für die heutige Datenschutz-Grundverordnung – nach Rechtsvorschriften, die unionsrechtlich vollständig vereinheitlicht sind und damit in allen Staaten der Europäischen Union gleichermaßen gelten. Die Frage, welche personenbezogenen Daten eine Suchmaschine auf Suchabfragen nachweisen darf, fällt auch nicht in den Bereich des sogenannten Medienprivilegs, für das den Mitgliedstaaten ein Ausgestaltungsspielraum zusteht (im Unterschied zur Rechtslage in dem Beschluss „Recht auf Vergessen I“ vom selben Tag, PM Nr. 83/2019).

2. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind grundsätzlich nicht die deutschen Grundrechte, sondern allein die Unionsgrundrechte maßgeblich. Das Unionsrecht hat hier gegenüber den Grundrechten des Grundgesetzes Anwendungsvorrang. Für die Frage, ob vollständig vereinheitlichte Regelungen gegen Grundrechte verstoßen, entspricht das der ständigen Rechtsprechung des Bundesverfassungsgerichts. Nichts anderes gilt für die Frage, ob das vollvereinheitlichte Fachrecht grundrechtskonform angewendet wird.

a) Die Anwendung der Unionsgrundrechte folgt hier aus der Übertragung von Hoheitsbefugnissen auf die Europäische Union. Wenn diese Regelungen schafft, die in allen Mitgliedstaaten gleichermaßen gelten und einheitlich angewendet werden sollen, muss auch der bei der Anwendung dieser Regelungen zu gewährleistende Grundrechtsschutz einheitlich sein. Dem steht eine Heranziehung der jeweiligen mitgliedstaatlichen Grundrechtsstandards von vorneherein entgegen. Denn derzeit kann nicht davon ausgegangen werden, dass diese mitgliedstaatlichen Grundrechtsstandards über das gemeinsame Fundament der Europäischen Menschenrechtskonvention hinaus deckungsgleich sind. In ihnen spiegeln sich vielfältig bedingte tatsächliche Unterschiede in den Mitgliedstaaten wie auch je eigene geschichtliche Erfahrungen. Ebensowenig kann davon ausgegangen werden, dass sich der Grundrechtsschutz der Grundrechtecharta gerade mit demjenigen des Grundgesetzes deckt. Damit ist von einem jeweiligen Eigenstand der unionsrechtlichen und der nationalen Grundrechte auszugehen.

b) Der Anwendungsvorrang des Unionsrechts steht nach ständiger Rechtsprechung des Bundesverfassungsgerichts unter dem Vorbehalt, dass der Grundrechtsschutz durch die Unionsgrundrechte hinreichend wirksam ist. Erforderlich ist deshalb, dass deren Schutz dem vom Grundgesetz jeweils als unabdingbar gebotenen Grundrechtsschutz im Wesentlichen gleich zu achten ist. Nach dem derzeitigen Stand des Unionsrechts – zumal unter Geltung der Charta – ist dies der Fall.

3. Das Bundesverfassungsgericht hat jetzt erstmals entschieden, dass es die Anwendung des Unionsrechts durch deutsche Stellen selbst am Maßstab der Unionsgrundrechte prüft, soweit diese die deutschen Grundrechte verdrängen.

a) In seiner bisherigen Rechtsprechung hat das Bundesverfassungsgericht eine Prüfung am Maßstab der Unionsgrundrechte nicht ausdrücklich in Erwägung gezogen. Soweit es die grundgesetzlichen Grundrechte nicht angewendet hat, hat es vielmehr auf eine Grundrechtsprüfung ganz verzichtet und die Grundrechtskontrolle den Fachgerichten in Kooperation mit dem Europäischen Gerichtshof überlassen. Diese Rechtsprechung bezog sich auf Fallkonstellationen, in denen, mittelbar oder unmittelbar, die Gültigkeit von Unionsrecht – also nicht dessen Anwendung – in Frage stand.

b) Geht es hingegen wie hier um die Frage, ob deutsche Gerichte oder Behörden bei der Anwendung vollvereinheitlichten Unionsrechts den hierbei zu beachtenden Anforderungen der Unionsgrundrechte im Einzelfall genügt haben, kann sich das Bundesverfassungsgericht nicht aus der Grundrechtsprüfung zurückziehen; vielmehr gehört es dann zu seinen Aufgaben, Grundrechtsschutz am Maßstab der Unionsgrundrechte zu gewährleisten. Die in Art. 23 Abs. 1 GG vorgesehene Öffnung des Grundgesetzes für das Unionsrecht meint nicht einen Rückzug der deutschen Staatsgewalt aus der Verantwortung für die der Union übertragenen Materien; vielmehr sieht sie eine Mitwirkung der deutschen Staatsorgane und damit auch des Bundesverfassungsgerichts an deren Entfaltung vor. Durch die Einbeziehung der Unionsgrundrechte als Prüfungsmaßstab nimmt das Bundesverfassungsgericht im Verfahren der Verfassungsbeschwerde daher seine Integrationsverantwortung wahr.

Maßgeblich ist hierfür vor allem, dass nach dem heutigen Stand des Unionsrechts anderenfalls eine Schutzlücke hinsichtlich der fachgerichtlichen Anwendung der Unionsgrundrechte entstünde. Denn eine Möglichkeit Einzelner, die Verletzung von Unionsgrundrechten durch die mitgliedstaatlichen Fachgerichte unmittelbar vor dem Europäischen Gerichtshof geltend zu machen, besteht nicht. Das Unionsrecht kennt anders als das deutsche Recht keine Verfassungsbeschwerde. Diese Schutzlücke wird auch nicht durch die schon bisher ausgeübte Kontrolle des Bundesverfassungsgerichts über die Vorlageverpflichtung der Fachgerichte an den Europäischen Gerichtshof hinreichend geschlossen.

4. Soweit das Bundesverfassungsgericht die Grundrechte der Grundrechtecharta als Prüfungsmaßstab anlegt, übt es seine Kontrolle in enger Kooperation mit dem Europäischen Gerichtshof aus. Denn die Zuständigkeit für die letztverbindliche Auslegung des Unionsrechts und damit auch der Grundrechte der Charta liegt bei diesem. Soweit er deren Auslegung nicht bereits geklärt hat oder die anzuwendenden Auslegungsgrundsätze nicht aus sich heraus offenkundig sind – etwa auf der Grundlage einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte –, wird das Bundesverfassungsgericht ihm Fragen gemäß Art. 267 Abs. 3 AEUV vorlegen. Ob die Fachgerichte, soweit sie im fachgerichtlichen Instanzenzug letztinstanzlich entscheiden, insoweit ebenfalls vorlagepflichtig bleiben, bedurfte keiner Entscheidung.

5. Die Frage, ob die Grundrechte des Grundgesetzes oder der Charta anzuwenden sind, hängt, wie sich aus den beiden heute veröffentlichten Senatsbeschlüssen „Recht auf Vergessen I und II“ ergibt, maßgeblich von einer Unterscheidung zwischen vollständig vereinheitlichtem und gestaltungsoffenem Unionsrecht ab. Dies richtet sich nach einer Auslegung des jeweils anzuwendenden unionsrechtlichen Fachrechts und lässt sich nicht entlang der im deutschen Recht bekannten Abgrenzung zwischen unbestimmten Rechtsbegriffen und Ermessen entscheiden, zwischen denen das Unionsrecht nicht in gleicher Weise unterscheidet wie das deutsche Recht. Es ist vielmehr in Bezug auf die jeweilige Norm des Unionsrechts zu untersuchen, ob sie auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt ist oder nicht.

6. Obwohl der Erste Senat des Bundesverfassungsgerichts damit erstmals entschieden hat, Verfassungsbeschwerden gegebenenfalls am Kontrollmaßstab der Unionsgrundrechte zu prüfen, bedurfte es keiner Entscheidung des Plenums. Diese ist nach § 16 BVerfGG nur geboten, wenn ein Senat von einer für die Entscheidung tragenden Auffassung des anderen Senats abweichen möchte. Eine solche Abweichung liegt nicht vor, insbesondere nicht von der mit der sogenannten Solange II-Entscheidung des Zweiten Senats begründeten Rechtsprechung beider Senate (vgl. BVerfGE 73, 339 <387>). Deren Gegenstand war allein, ob und wieweit Unions- und vollvereinheitlichtes innerstaatliches Recht am Maßstab des Grundgesetzes zu prüfen sind. Demgegenüber zog diese eine Anwendbarkeit der Unionsgrundrechte – und schon gar der erst im Jahr 2009 verbindlich gewordenen Grundrechtecharta – weder explizit noch implizit in Betracht und traf hierzu weder eine positive noch eine negative Aussage. Nichts anderes ergibt sich aus neueren Entscheidungen des Zweiten Senats.

II. In der Sache war die Verfassungsbeschwerde zulässig, hatte aber keinen Erfolg.

1. Die Beschwerdeführerin ist beschwerdebefugt, da sie sich auf die Unionsgrundrechte berufen kann. Indem sie sich auf eine Verletzung ihres Rechts auf Entfaltung ihrer Persönlichkeit stützt, rügt sie der Sache nach eine Verletzung ihrer Grundrechte auf Achtung des Privat- und Familienlebens und auf Schutz personenbezogener Daten nach Art. 7 und Art. 8 GRCh. Dass sie insoweit die Grundrechte des Grundgesetzes und nicht die Grundrechte der Charta nennt, ist unschädlich. Wird nur die falsche Norm benannt, aber in der Sache substantiiert vorgetragen, wird hierdurch die Verfassungsbeschwerde nicht unzulässig.

2. Die Verfassungsbeschwerde war aber unbegründet.

Wie bei der Heranziehung der Grundrechte des Grundgesetzes prüft das Bundesverfassungsgericht nicht die richtige Anwendung des einfachen Rechts (hier also die damals geltende Datenschutzrichtlinie und das Bundesdatenschutzgesetz), sondern allein, ob die Fachgerichte den Unionsgrundrechten hinreichend Rechnung getragen und zwischen ihnen im Rahmen der gebotenen Abwägung einen vertretbaren Ausgleich gefunden haben. Das hat das Bundesverfassungsgericht bejaht.

a) Wie die Grundrechte des Grundgesetzes gewährleisten auch die Grundrechte der Charta nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten. Auf Seiten der Beschwerdeführerin sind in die Abwägung die Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh einzustellen. Eine Entsprechung haben diese Garantien in Art. 8 EMRK.

b) Auf Seiten des beklagten Suchmaschinenbetreibers ist sein Recht auf unternehmerische Freiheit aus Art. 16 GRCh einzustellen, während er sich für die Verbreitung von Suchnachweisen nicht auf die Meinungsfreiheit aus Art. 11 GRCh berufen kann. Einzustellen sind jedoch die von einem solchen Rechtsstreit unmittelbar betroffenen Grundrechte Dritter und damit vorliegend – neben den Informationsinteressen der Nutzer – die Meinungsfreiheit des Norddeutschen Rundfunks. Da es darum geht, ob dem Suchmaschinenbetreiber verboten werden kann, die von einem Dritten, hier dem Norddeutschen Rundfunk, bereitgestellten Beiträge zu verbreiten, kann in einem solchen Verbot zugleich eine eigenständige Einschränkung der Meinungsfreiheit des Dritten liegen. Denn diesem wird dadurch ein bereitstehender Dienstleister genommen und so in Teilen zugleich ein wichtiges Medium für die Verbreitung seiner Berichte. Dies ist nicht ein bloßer Reflex einer Anordnung gegenüber dem Suchmaschinenbetreiber. Vielmehr knüpft die Entscheidung unmittelbar an die Äußerung und an den Gebrauch der Meinungsfreiheit an, da es gezielt darum geht, die Verbreitung des Beitrags wegen seines Inhalts zu beschränken.

c) Grundlage der Abwägung ist die Tätigkeit des Suchmaschinenbetreibers, die hinsichtlich der damit verbundenen Grundrechtseinschränkungen eigenständig zu beurteilen ist. Die Frage, ob er rechtmäßig gehandelt hat, ist nicht identisch mit der Frage, ob die Veröffentlichung des Beitrags durch den Dritten rechtmäßig war, auch wenn es insoweit Wechselwirkungen geben kann. Damit ist ein Vorgehen gegenüber dem Suchmaschinenbetreiber auch nicht subsidiär zu einem solchen gegenüber dem Dritten als Inhalteanbieter.

d) Nach der Entscheidung des Bundesverfassungsgerichts ist zwar im Rahmen der Abwägung das Gewicht allein der wirtschaftlichen Interessen des Suchmaschinenbetreibers grundsätzlich nicht hinreichend schwer, um den Schutzanspruch Betroffener zu beschränken. Allerdings können das Informationsinteresse der Öffentlichkeit sowie vor allem einzubeziehende Grundrechte Dritter größeres Gewicht haben. Vorliegend ist die Meinungsfreiheit des durch die Entscheidung belasteten, insoweit grundrechtsberechtigten Norddeutschen Rundfunks als unmittelbar mitbetroffenes Grundrecht in die Abwägung einzubeziehen. Daher gilt hier – anders als in einigen Entscheidungen des Europäischen Gerichtshofs, die insoweit andere Konstellationen betrafen – keine Vermutung eines Vorrangs des Schutzes des Persönlichkeitsrechts; vielmehr sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen. Denn ebensowenig wie Einzelne gegenüber den Medien einseitig darüber bestimmen können, welche Informationen im Rahmen der öffentlichen Kommunikation über sie verbreitet werden, haben sie eine solche Bestimmungsmacht gegenüber den Suchmaschinenbetreibern.

e) Bei der Abwägung kommt es für die Gewichtung der Grundrechtseinschränkung der Betroffenen maßgeblich darauf an, wieweit sie durch die Verbreitung des streitbefangenen Beitrags, insbesondere auch unter Berücksichtigung der Möglichkeit namensbezogener Suchabfragen, in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Hierfür reicht nicht eine Würdigung der Berichterstattung in ihrem ursprünglichen Kontext; vielmehr ist auch die leichte und fortdauernde Zugänglichkeit der Informationen durch die Suchmaschine zu berücksichtigen. Dabei ist insbesondere auch der Bedeutung der Zeit zwischen der ursprünglichen Veröffentlichung und deren späterem Nachweis Rechnung zu tragen, wie es nach der aktuellen Rechtslage auch in Art. 17 DSGVO nach dem Leitgedanken eines „Rechts auf Vergessenwerden“ normiert ist.

f) Nach diesen Maßstäben ist die angegriffene Entscheidung im Ergebnis nicht zu beanstanden. Das Oberlandesgericht stellt sowohl den Schutz des Persönlichkeitsrechts auf Seiten der Beschwerdeführerin als auch die unternehmerische Freiheit des Suchmaschinenbetreibers in die Abwägung ein, letztere zu Recht in Verbindung mit der Meinungsfreiheit des Norddeutschen Rundfunks sowie dem Zugangsinteresse der Internetnutzer. Die Abwägung des Oberlandesgerichts hält sich im fachgerichtlichen Wertungsrahmen.

Zu kurz greift es allerdings, wenn es dabei die Beschwerdeführerin nur als in ihrer Sozialsphäre betroffen ansieht. Die Auffindbarkeit und Zusammenführung von Informationen mittels namensbezogener Suchabfragen führt heute dazu, dass für deren Auswirkungen zwischen Privat- und Sozialsphäre kaum mehr zu unterscheiden ist. Als Kriterium für die Gewichtung des Gegenstands des Beitrags, nicht der Auswirkungen auf die Betroffenen, behält diese Unterscheidung aber ihre Aussagekraft. Tragfähig legt das Oberlandesgericht diesbezüglich dar, dass sich der Beitrag auf ein in die Gesellschaft hineinwirkendes berufliches Verhalten der Beschwerdeführerin, nicht aber allein auf ihr Privatleben bezieht und in Hinblick hierauf durch ein noch fortdauerndes, wenn auch mit der Zeit abnehmendes öffentliches Informationsinteresse gerechtfertigt ist. Diesbezüglich muss die Beschwerdeführerin belastende Wirkungen – auch in ihrem privaten Umfeld – weitergehend hinnehmen als gegenüber Beiträgen über ihr privates Verhalten.

Ergänzend konnte das Oberlandesgericht auch darauf abstellen, dass die Beschwerdeführerin zu dem Interview, das Gegenstand des streitigen Beitrags war, ihre Zustimmung gegeben hatte. Zu Recht beurteilt die angegriffene Entscheidung den Bericht und den hierauf verweisenden Link auch nicht als Schmähung, da es nicht ohne Sachbezug allein um die Verunglimpfung der Person geht.

Das Oberlandesgericht hat auch den Zeitfaktor in seine Abwägung eingestellt und geprüft, ob die Weiterverbreitung des Beitrags unter Namensnennung angesichts der inzwischen verstrichenen Zeit, die sowohl das Gewicht des öffentlichen Interesses als auch das der Grundrechtsbeeinträchtigung modifizieren kann (vergleiche dazu entsprechend den Beschluss vom selben Tag, PM Nr. 83/2019), noch gerechtfertigt ist. Letztlich sieht es einen Anspruch auf Auslistung im vorliegenden Fall mit verfassungsrechtlich nicht zu beanstandender Begründung als jedenfalls zum gegenwärtigen Zeitpunkt noch nicht gegeben an. Dies trägt den Garantien der Grundrechtecharta hinreichend Rechnung und lässt eine grundsätzlich unrichtige Anschauung von Bedeutung und Tragweite der berührten Unionsgrundrechte nicht erkennen.

III. Eine Vorlage an den Europäischen Gerichtshof nach Art. 267 Abs. 3 AEUV ist nicht geboten. Die Anwendung der Unionsgrundrechte auf den vorliegenden Fall wirft keine Auslegungsfragen auf, die nicht schon aus sich heraus klar oder durch die Rechtsprechung des Europäischen Gerichtshofs – unter ergänzender Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (vgl. Art. 52 Abs. 3 GRCh) – hinreichend geklärt sind.


Die Leitsätze des Bundesverfassungsgerichts:

1. Soweit die Grundrechte des Grundgesetzes durch den Anwendungsvorrang des Unionsrechts verdrängt werden, kontrolliert das Bundesverfassungsgericht dessen Anwendung durch deutsche Stellen am Maßstab der Unionsgrundrechte. Das Gericht nimmt hierdurch seine Integrationsverantwortung nach Art. 23 Abs. 1 GG wahr.

2. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind nach dem Grundsatz des Anwendungsvorrangs des Unionsrechts in aller Regel nicht die Grundrechte des Grundgesetzes, sondern allein die Unionsgrundrechte maßgeblich. Der Anwendungsvorrang steht unter anderem unter dem Vorbehalt, dass der Schutz des jeweiligen Grundrechts durch die stattdessen zur Anwendung kommenden Grundrechte der Union hinreichend wirksam ist.
Soweit das Bundesverfassungsgericht die Charta der Grundrechte der Europäischen Union als Prüfungsmaßstab anlegt, übt es seine Kontrolle in enger Kooperation mit dem Europäischen Gerichtshof aus. Nach Maßgabe des Art. 267 Abs. 3 AEUV legt es dem Gerichtshof vor.

3. Wie die Grundrechte des Grundgesetzes gewährleisten auch die Grundrechte der Charta nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten. Auf der Basis des maßgeblichen Fachrechts sind daher die Grundrechte der Beteiligten miteinander in Ausgleich zu bringen. Insoweit prüft das Bundesverfassungsgericht – wie bei den Grundrechten des Grundgesetzes – nicht das Fachrecht, sondern allein, ob die Fachgerichte den Grundrechten der Charta hinreichend Rechnung getragen und einen vertretbaren Ausgleich gefunden haben.

4. Soweit Betroffene von einem Suchmaschinenbetreiber verlangen, den Nachweis und die Verlinkung bestimmter Inhalte im Netz zu unterlassen, sind in die danach gebotene Abwägung neben den Persönlichkeitsrechten der Betroffenen (Art. 7 und Art. 8 GRCh) im Rahmen der unternehmerischen Freiheit der Suchmaschinenbetreiber (Art. 16 GRCh) die Grundrechte der jeweiligen Inhalteanbieter sowie die Informationsinteressen der Internetnutzer einzustellen.

5. Soweit das Verbot eines Suchnachweises in Ansehung des konkreten Inhalts der Veröffentlichung ergeht und dem Inhalteanbieter damit ein wichtiges Medium zu dessen Verbreitung entzieht, das ihm anderweitig zur Verfügung stünde, liegt hierin eine Einschränkung seiner Meinungsfreiheit.

Den Volltext der Entscheidung finden Sie hier





BfDI und Berliner Datenschutzbeauftragte: Personenbezogenes Webtracking nur mit Einwilligung - Cookie-Banner die lediglich auf Einsatz von Google Analytics und Co. hinweisen genügen nicht

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Berliner Beauftragte für Datenschutz und Informationsfreiheit haben nochmals ihre Ansicht bekräftigt, dass personenbezogenes Webtracking nur mit ausdrücklicher Einwilligung zulässig ist und es nicht genügt, wenn in einem Cookie-Banner auf den Einsatz hingewiesen wird.

Die Pressemitteilung des BfDI:

Personenbezogenes Webtracking nur mit Einwilligung

Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

Hierbei unterstützen kann die bereits im Frühjahr von den Datenschutz-Aufsichtsbehörden des Bundes und der Länder veröffentlichte „Orientierungshilfe für Anbieter von Telemedien“. In dieser wird im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Ältere Veröffentlichungen der Aufsichtsbehörden, beispielsweise zum Thema Google Analytics, gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse mitunter stark verändert haben.


Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Datenschutzbeauftragte: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar

Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont.

Bereits im Frühjahr haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Webseiten-Besucherinnen und -Besuchern zulässig ist. Trotzdem erhält die Berliner Datenschutzbeauftragte weiterhin eine Vielzahl von Beschwerden über Websites, die die Orientierungshilfe missachten.

Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden kann es demgegenüber, wenn eine Webseiten-Betreiberin eine Reichweitenerfassung durchführt und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden, wie es sich mittlerweile der Anbieter von Google Analytics vorbehält.

Maja Smoltczyk:
„Viele Webseiten-Betreiber berufen sich bei der Einbindung von Google Analytics auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die Google Analytics einsetzen. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.

Webseiten-Betreiber in Berlin sollten ihre Webseite umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der konkreten Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 20192 ausdrücklich bestätigt.“

Was eine wirksame Einwilligung ist, wird in Artikel 4 Nummer 11 der DatenschutzGrundverordnung (DSGVO) definiert. Danach ist eine „‘Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO sind Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher nicht als Einwilligung anzusehen.

Maja Smoltczyk:
„Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


AG Bochum: Schadensersatz wegen Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mail nur wenn tatsächlich Schaden entstanden ist und schlüssig dargelegt wird

AG Bochum
Beschluss vom 11.03.2019
65 C 485/18


Das AG Bochum hat im Rahmen eines Prozesskostenhilfeverfahrens entschieden, dass ein Anspruch auf Schadensersatz wegen eines Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mails nur dann im Betracht kommt, wenn ein konkreter Schaden entstanden ist und dieser schlüssig dargelegt wird.

Aus den Entscheidungsgründen:

Prozesskostenhilfe konnte nicht bewilligt werden, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg bietet.

Die Antragsgegnerin ist mit Beschluss des Amtsgerichts Recklinghausen vom 16.05.2018 als Berufsbetreuerin zur Betreuerin des Antragstellers bestellt worden. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.

Nach dem Vortrag des Antragstellers soll die Antragsgegnerin Daten und Informationen bezüglich des Antragstellers an dessen Vermieter und an weitere Stellen herausgegeben haben. Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, ist von dem Antragsteller substantiiert dargelegt. Da die Betreuung auch den Aufgabenkreis der Wohnungsangelegenheiten umfasste, gehört die Offenlegung der Betreuung unter Vorlage der Bestellungsurkunde wie auch die Erörterung der Einkommens- und Vermögensverhältnisse bezogen auf die mietvertraglichen Pflichten zur Erfüllung der rechtlichen Verpflichtungen des Antragsgegnerin aus der Betreuung und ist damit auch ohne Einwilligung des Antragstellers nach Art. 6 DSGVO rechtmäßig. Dies gilt naturgemäß auch für die Mitteilung der Beendigung der Betreuung, wenn die Antragsgegnerin noch seitens des Vermieters in mietrechtlichen Angelegenheiten angesprochen wird. Eine darüber hinausgehende Übermittlung personenbezogener Daten durch die Antragsgegnerin ist nicht dargelegt. Ein Verstoß gegen Datenschutzregeln oder die Schweigepflicht ergibt sich aus dem Vorbringen des Antragstellers nicht.

Die Übersendung der Bestellungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers am 30.05.2018 an sich ist aus den dargelegten Gründen ebenfalls rechtmäßig. Die Versendung als unverschlüsselte Email mag gegen Art. 32 DSGVO verstoßen. Dass aufgrund der Wahl eines ungesicherten Übertragungsweges persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, ist weder dargelegt noch ersichtlich. Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.

Ein Anspruch aus Art. 82 DSGVO ist im Ergebnis nicht schlüssig dargelegt und die Rechtsverfolgung bietet keine hinreichende Aussicht auf Erfolg.



Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht

In Ausgabe 21/2019, S. 15 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht".

Siehe auch zum Thema: EuGH: Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers - Es reicht nicht wenn voreingestellte Checkbox abgewählt werden kann

EuGH: Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers - Es reicht nicht wenn voreingestellte Checkbox abgewählt werden kann

EuGH
Urteil vom 01.10.2019
C-673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH


Der EuGH hat entschieden, dass das Setzen von Cookies ein aktive Einwilligung des Internetnutzers erfordert. Es reicht nicht, wenn eine voreingestellte Checkbox abgewählt werden kann.

Nicht von der Pflicht zur Einwilligung erfasst, sind nach Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG solche Cookies, bei denen"der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."

Die Pressemitteilung des EuGH:

Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers - Ein voreingestelltes Ankreuzkästchen genügt daher nicht

Der deutsche Bundesverband der Verbraucherverbände wendet sich vor den deutschen Gerichten dagegen, dass die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.

Der Bundesgerichtshof (Deutschland) ersucht den Gerichtshof um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation.

Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät
eindringen.

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.


Tenor der Entscheidung:

1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.

3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.


Den Volltext der Entscheidung finden Sie hier:




EuGH: Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten gilt auch für Suchmaschinen

EuGH
Urteil vom 24.09.2019
C-136/17
GC u. a. / Commission nationale de l'informatique et des libertés (CNIL)


Der EuGH hat entschieden, dass das Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten auch für Suchmaschinen gilt.

Die Pressemitteilung des EuGH:

Das Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten gilt auch für die Betreiber von Suchmaschinen

Im Rahmen eines Auslistungsantrags ist eine Abwägung zwischen den Grundrechten des Antragstellers und den Grundrechten der Internetnutzer vorzunehmen, die potenziell Interesse an diesen Informationen haben .

Frau G. C., Herr A. F., Herr B. H. und Herr E. D. erhoben beim Conseil d’État (Staatsrat, Frankreich) Klagen gegen die Commission nationale de l’informatique et des libertés (CNIL, Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) wegen vier Beschlüssen, mit denen die CNIL es ablehnte, die Google Inc. aufzufordern, aus der Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, verschiedene Links zu Websites Dritter zu entfernen. Die Links führen zu Websites Dritter, die u. a. eine unter einem Pseudonym online gestellte satirische Fotomontage, in der eine im Bereich der Politik tätige Frau dargestellt wird, einen Artikel, in dem einer der Betroffenen als Verantwortlicher für die Öffentlichkeitsarbeit der Scientology-Kirche genannt wird, Artikel über die Anklageerhebung gegen einen im Bereich der Politik tätigen Mann sowie Artikel über die Verurteilung eines anderen Betroffenen wegen sexueller Übergriffe auf Jugendliche enthalten.

Der Conseil d’État hat dem Gerichtshof mehrere Fragen zur Auslegung der Vorschriften des Unionsrechts über den Schutz personenbezogener Daten vorgelegt.

Der Conseil d’État möchte u. a. wissen, ob in Anbetracht des speziellen Verantwortungsbereichs, der speziellen Befugnisse und der speziellen Möglichkeiten des Betreibers einer Suchmaschine das den anderen für die Verarbeitung Verantwortlichen auferlegte Verbot, besondere Kategorien personenbezogener Daten (wie solche, die politische Meinungen, religiöse oder philosophische Überzeugungen oder das Sexualleben betreffen) zu verarbeiten, auch für einen solchen Betreiber gilt.

In seinem heutigen Urteil weist der Gerichtshof darauf hin, dass durch die Tätigkeit einer Suchmaschine die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten erheblich beeinträchtigt werden können, und zwar zusätzlich zur Tätigkeit der Herausgeber von Websites; als derjenige, der über die Zwecke und Mittel dieser Tätigkeit entscheidet, hat der Suchmaschinenbetreiber daher in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen, dass die Tätigkeit der Suchmaschine den Anforderungen des Unionsrechts entspricht, damit die darin vorgesehenen Garantien ihre volle Wirksamkeit entfalten können und ein wirksamer und umfassender Schutz der betroffenen Personen, insbesondere ihres Rechts auf Achtung ihres Privatlebens, tatsächlich verwirklicht werden kann.

Der Gerichtshof hebt sodann hervor, dass die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben vorbehaltlich bestimmter Abweichungen und Ausnahmen verboten ist. Außerdem darf die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, abgesehen von besonderen Ausnahmen, nur unter behördliche Aufsicht erfolgen, und ein vollständiges Register der strafrechtlichen Verurteilungen darf nur unter
behördlicher Aufsicht geführt werden.
Nach Ansicht des Gerichtshofs gelten das Verbot und die Beschränkungen vorbehaltlich der im Unionsrecht vorgesehenen Ausnahmen für sämtliche Verantwortliche, die solche Verarbeitungen
vornehmen.

Der Suchmaschinenbetreiber ist jedoch nicht dafür verantwortlich, dass die in diesen Bestimmungen genannten personenbezogenen Daten auf der Website eines Dritten vorhanden sind, wohl aber für die Listung dieser Website und insbesondere für die Anzeige des auf sie führenden Links in der Ergebnisliste, die den Internetnutzern im Anschluss an eine Suche angezeigt wird. Das Verbot und die Beschränkungen sind auf diesen Betreiber nur aufgrund der Listung der Website und somit über eine Prüfung anwendbar, die auf der Grundlage eines Antrags der betroffenen Person unter der Aufsicht der zuständigen nationalen Behörden vorzunehmen ist.

Der Gerichtshof stellt sodann fest, dass zwar die Rechte der betroffenen Person im Allgemeinen gegenüber dem Recht der Internetnutzer auf freie Information überwiegen; der Ausgleich kann in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann.

Der Gerichtshof schließt daraus, dass der Suchmaschinenbetreiber, wenn er mit einem Antrag auf Auslistung eines Links zu einer Website befasst ist, auf der sensible Daten veröffentlicht sind, auf der Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz personenbezogener Daten prüfen muss, ob sich die Aufnahme dieses Links in die im Anschluss an eine Suche anhand des Namens dieser Person angezeigte Ergebnisliste als unbedingt erforderlich erweist, um die Informationsfreiheit von Internetnutzern zu schützen, die potenziell daran interessiert sind, mittels einer solchen Suche Zugang zu der betreffenden Website zu erhalten.

Bezieht sich die Verarbeitung auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, kann der Suchmaschinenbetreiber einen Auslistungsantrag ablehnen, sofern die Verarbeitung alle sonstigen Voraussetzungen für die Zulässigkeit erfüllt und die betroffene Person nicht aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Datenverarbeitung Widerspruch einlegen kann.

Schließlich stellt der Gerichtshof zu Websites, auf denen Informationen zu einem Strafverfahren gegen eine bestimmte Person veröffentlicht sind, die sich auf einen früheren Verfahrensabschnitt beziehen und nicht mehr der aktuellen Situation entsprechen, fest, dass es Sache des Suchmaschinenbetreibers ist, zu beurteilen, ob diese Person ein Recht darauf hat, dass die betreffenden Informationen aktuell nicht mehr durch die Anzeige einer Ergebnisliste im Anschluss an eine Suche anhand ihres Namens mit ihrem Namen in Verbindung gebracht werden. Dabei hat der Suchmaschinenbetreiber sämtliche Umstände des Einzelfalls wie z. B. die Art und Schwere der Straftat, den Verlauf und Ausgang des Verfahrens, die verstrichene Zeit, die Rolle der Person im öffentlichen Leben und ihr Verhalten in der Vergangenheit, das Interesse der Öffentlichkeit zum Zeitpunkt der Antragstellung, den Inhalt und die Form der Veröffentlichung sowie die Auswirkungen der Veröffentlichung für die Person zu berücksichtigen.

Der Suchmaschinenbetreiber ist daher verpflichtet, einem Antrag auf Auslistung von Links zu Websites, auf denen sich Informationen zu einem Gerichtsverfahren, das eine natürliche Person betraf, sowie gegebenenfalls Informationen über die sich daraus ergebende Verurteilung befinden, stattzugeben, wenn sich diese Informationen auf einen früheren Abschnitt des Gerichtsverfahrens beziehen und nicht mehr der aktuellen Situation entsprechen, sofern festgestellt wird, dass unter Berücksichtigung sämtlicher Umstände des Einzelfalls die Grundrechte der betroffenen Person gegenüber den Grundrechten der potenziell interessierten Internetnutzer überwiegen.

Der Gerichtshof weist noch darauf hin, dass der Suchmaschinenbetreiber, selbst wenn er feststellen sollte, dass die betroffene Person kein Recht auf Auslistung solcher Links hat, weil sich die Einbeziehung des betreffenden Links als absolut erforderlich erweist, um die Rechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz ihrer Daten mit der Informationsfreiheit potenziell interessierter Internetnutzer in Einklang zu bringen, in jedem Fall verpflichtet ist, spätestens anlässlich des Auslistungsantrags die Ergebnisliste so auszugestalten, dass das daraus für den Internetnutzer entstehende Gesamtbild die aktuelle Rechtslage widerspiegelt, was insbesondere voraussetzt, dass Links zu Websites mit entsprechenden Informationen auf dieser Liste an erster Stelle stehen.

Den Volltext der Entscheidung finden Sie hier:



EuGH: Suchmaschinenbetreiber Google ist nicht verpflichtet Inhalte weltweit aus dem Suchindex zu entfernen - Recht auf Vergessenwerden

EuGH
Urteil vom 24.09.2019
C-507/17
Google LLC als Rechtsnachfolgerin der Google Inc. / Commission nationale de l'informatique et des libertés (CNIL)

Der EuGH hat entschieden, dass der Suchmaschinenbetreiber Google nicht verpflichtet ist, Inhalte weltweit aus dem Suchindex zu entfernen.

Die Pressemitteilung des EuGH:

Der Betreiber einer Suchmaschine ist nicht verpflichtet, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen

Er ist jedoch verpflichtet, sie in allen mitgliedstaatlichen Versionen vorzunehmen und Maßnahmen zu ergreifen, um die Internetnutzer davon abzuhalten, von einem Mitgliedstaat aus auf die entsprechenden Links in Nicht-EU-Versionen der Suchmaschine zuzugreifen.

Mit Beschluss vom 10. März 2016 verhängte die Präsidentin der Commission nationale de l’informatique et des libertés (CNIL, Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) eine Sanktion von 100 000 Euro gegen die Google Inc. wegen der Weigerung des Unternehmens, in Fällen, in denen es einem Auslistungsantrag stattgibt, die Auslistung auf
sämtliche Domains seiner Suchmaschine anzuwenden.

Die Google Inc., die von der CNIL am 21. Mai 2015 aufgefordert worden war, die Auslistung auf alle Domains zu erstrecken, kam dieser Aufforderung nicht nach und entfernte die betreffenden Links nur aus den Ergebnissen, die bei Sucheingaben auf Domains angezeigt wurden, die den Versionen ihrer Suchmaschine in den Mitgliedstaaten entsprachen. Die Google Inc. erhob beim Conseil d’État (Staatsrat, Frankreich) Klage auf Nichtigerklärung des Beschlusses vom 10. März 2016. Sie ist der Auffassung, das Auslistungsrecht setze nicht zwangsläufig voraus, dass die streitigen Links ohne geografische Beschränkung auf sämtlichen Domains ihrer Suchmaschine entfernt würden.

Der Conseil d’État hat dem Gerichtshof mehrere Fragen zur Vorabentscheidung vorgelegt, mit denen er wissen will, ob die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten dahin auszulegen sind, dass der Betreiber einer Suchmaschine, wenn er einem Auslistungsantrag stattgibt, die Auslistung in allen Versionen seiner Suchmaschine, nur in allen
mitgliedstaatlichen Versionen oder nur in der Version für den Mitgliedstaat, in dem der Auslistungsantrag gestellt wurde, vorzunehmen hat.

In seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass er bereits entschieden hat, dass der Suchmaschinenbetreiber dazu verpflichtet ist, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Websites mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Websites nicht vorher oder gleichzeitig gelöscht
werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Websites als solche rechtmäßig ist.

Der Gerichtshof stellt sodann fest, dass die Niederlassung, die die Google Inc. im französischen Hoheitsgebiet besitzt, Tätigkeiten ausübt, insbesondere gewerbliche und Werbetätigkeiten, die untrennbar mit der Verarbeitung personenbezogener Daten zum Betrieb der betreffendenSuchmaschine verbunden sind, und dass die Suchmaschine vor allem unter Berücksichtigung der Verbindungen zwischen ihren verschiedenen nationalen Versionen im Rahmen der Tätigkeiten der französischen Niederlassung der Google Inc. eine einheitliche Verarbeitung personenbezogener Daten ausführt. Eine solche Situation fällt somit in den Anwendungsbereich der Unionsvorschriften über den Schutz personenbezogener Daten.

In einer globalisierten Welt kann der Zugriff von Internetnutzern, insbesondere derjenigen, die sich außerhalb der Union befinden, auf die Listung eines Links, der zu Informationen über eine Person führt, deren Interessenschwerpunkt in der Union liegt, auch innerhalb der Union unmittelbare und erhebliche Auswirkungen auf diese Person haben, so dass mit einer weltweiten Auslistung das Schutzziel des Unionsrechts vollständig erreicht werden könnte. Zahlreiche Drittstaaten kennen jedoch kein Auslistungsrecht oder verfolgen bei diesem Recht einen anderen Ansatz. Auch ist das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Zudem kann die Abwägung zwischen dem Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten einerseits und der Informationsfreiheit der Internetnutzer andererseits weltweit sehr unterschiedlich ausfallen.

Aus den Vorschriften ergibt sich jedoch nicht, dass der Unionsgesetzgeber eine solche Abwägung in Bezug auf die Reichweite einer Auslistung über die Union hinaus durchgeführt hätte oder dass er entschieden hätte, den in diesen Bestimmungen verankerten Rechten des Einzelnen eine Reichweite zu verleihen, die über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Es ergibt sich daraus auch nicht, dass er einem Wirtschaftsteilnehmer wie der Google Inc. eine Pflicht zur Auslistung hätte auferlegen wollen, die auch für die nicht mitgliedstaatlichen nationalen Versionen seiner Suchmaschine gilt. Das Unionsrecht sieht zudem keine Instrumente und Kooperationsmechanismen im Hinblick auf die Reichweite einer Auslistung über die Union hinaus vor.

Der Gerichtshof schließt daraus, dass nach derzeitigem Stand ein Suchmaschinenbetreiber, der einem Auslistungsantrag der betroffenen Person – gegebenenfalls auf Anordnung einer Aufsichts- oder Justizbehörde eines Mitgliedstaats – stattgibt, nicht aus dem Unionsrecht verpflichtet ist, eine solche Auslistung in allen Versionen seiner Suchmaschine vorzunehmen.

Das Unionsrecht verpflichtet den Suchmaschinenbetreiber jedoch, eine solche Auslistung in allen mitgliedstaatlichen Versionen seiner Suchmaschine vorzunehmen und hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz der Grundrechte der betroffenen Person sicherzustellen. Eine solche Auslistung muss daher erforderlichenfalls von Maßnahmen begleitet sein, die es tatsächlich erlauben, die Internetnutzer, die von einem Mitgliedstaat aus eine Suche anhand des Namens der betroffenen Person durchführen, daran zu hindern oder zumindest zuverlässig davon abzuhalten, über die im Anschluss an diese Suche angezeigte Ergebnisliste mittels einer Nicht-EU-Version der Suchmaschine auf die Links zuzugreifen, die Gegenstand des Auslistungsantrags sind. Das vorlegende Gericht wird zu prüfen haben, ob die von der Google Inc. getroffenen Maßnahmen diesen Anforderungen genügen.

Schließlich stellt der Gerichtshof fest, dass nach derzeitigem Stand das Unionsrecht zwar keine Auslistung in allen Versionen der Suchmaschine vorschreibt, doch verbietet es dies auch nicht. Daher bleiben die Behörden eines Mitgliedstaats befugt, anhand von nationalen Schutzstandards für die Grundrechte eine Abwägung zwischen dem Recht der betroffenen Person auf Achtung des Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten einerseits und dem Recht auf freie Information andererseits vorzunehmen und nach erfolgter Abwägung gegebenenfalls dem Suchmaschinenbetreiber aufzugeben, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen.

Den Volltext der Entscheidung finden Sie hier:




Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“


BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflich

BVerwG
Urteil vom 11.09.2019
6 C 15.18


Das BVerwG hat entschieden, dass Datenschutzbehörden grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen können. Es besteht keine Verpflichtung primär gegen Facebook vorzugehen. Das BVerwG hat die Sache allerdings an die Vorinstanz zurückverwiesen, dass Datenverarbeitungsvorgänge erneut prüfen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 - BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 - C-210/16 - entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

Urteil vom 11. September 2019 - BVerwG 6 C 15.18 -

Vorinstanzen:

OVG Schleswig, 4 LB 20/13 - Urteil vom 04. September 2014 -

VG Schleswig, 8 A 14/12 - Urteil vom 09. Oktober 2013 -


Siehe auch zum Thema EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich


VG Regensburg: Die Vorgaben der DSGVO stehen einer Fahrtenbuchauflage nicht entgegen

VG Regensburg
Urteil v. 17.04.2019
RN 3 K 19.267


Das VG Regensburg hat entschieden, dass die Vorgaben der DSGVO einer Fahrtenbuchauflage nicht entgegenstehen.

Aus den Entscheidungsgründen:

Dem kann der Kläger vorliegend jedenfalls nicht entgegenhalten, durch die Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27. April 2016 an der Preisgabe des Namens der Fahrzeugführerin gehindert gewesen zu sein. Die Datenschutz-Grundverordnung (DSGVO) findet für die Ermittlungen der Polizei nämlich von vornherein wohl schon keine unmittelbare Anwendung oder es würde sich wenigstens um eine nach den Anforderungen der Datenschutz-Grundverordnung auch ohne Einwilligung der betreffenden Person gerechtfertigte Datenverarbeitung gehandelt haben:

a) Nach Art. 2 Abs. 2 Buchst. d DSGVO ist von deren sachlichem Anwendungsbereich die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit ausgenommen. Dabei ist der Begriff der Straftaten europarechtlich zu verstehen und er wird nicht nur die Straftaten im Sinne des deutschen Strafrechts umfassen, sondern weiter zu verstehen sein. Dies zeigt ein Blick auf die zeitgleich mit der Datenschutz-Grundverordnung erlassene Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. Diese Richtlinie hat den durch Art. 2 Abs. 2 Buchst. d DSGVO von der Anwendung der DSGVO ausgenommenen Bereich zum Gegenstand. In ihrem Erwägungsgrund 13 ist klargestellt, dass eine Straftat im Sinne der Richtlinie ein eigenständiger Begriff des Unionsrechts ist. Die Richtlinie (EU) 2016/680 wurde in Deutschland insbesondere durch Regelungen im Teil 3 des Bundesdatenschutzgesetzes (BDSG) vom 30. Juni 2017 in nationales Recht umgesetzt, dessen Anwendungsbereich nach § 45 Satz 1 BDSG die Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten ausdrücklich mit umfasst. Zu dieser Erstreckung des Anwendungsbereichs ist in der Gesetzesbegründung (vgl. BT-Drs. 18/11325, S. 110) unter anderem ausgeführt:
„…; dies wird durch Erwägungsgrund 13 der Richtlinie (EU) 2016/680 unterstützt. Hierdurch wird insbesondere erreicht, dass die polizeiliche Datenverarbeitung einheitlichen Regeln folgt, unabhängig davon, ob eine Straftat oder eine Ordnungswidrigkeit in Rede steht. Aus dem Ziel, dem Ordnungswidrigkeitenverfahren einheitliche datenschutzrechtliche Regeln gegenüberzustellen, folgt, dass somit auch in Bezug auf die Datenverarbeitung durch Behörden, die nicht Polizeibehörden sind, soweit sie aber Ordnungswidrigkeiten verfolgen, ahnden und vollstrecken, der Teil 3 des vorliegenden Gesetzes gilt und die Datenverarbeitung auch sonst Regeln folgen muss, welche die Richtlinie (EU) 2016/680 umsetzen.“

Eine dem § 45 BDSG entsprechende Regelung findet sich für die bayerischen Behörden in Art. 28 des Bayerischen Datenschutzgesetzes (BayDSG), der für diese die Regelungen zu Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680 auf die Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit erstreckt. Hierzu heißt es in der einschlägigen Gesetzesbegründung (LT-Drs 17/19628, S. 47) unter anderem:
„Der Begriff der „Straftat“ ist gemäß Erwägungsgrund 13 DSGVO autonom im Sinne der Rechtsprechung des EuGH auszulegen und erfasst auch den nach dem deutschen Rechtsverständnis hiervon zu unterscheidenden Begriff der Ordnungswidrigkeiten.“

Wenn aber dem entsprechend davon auszugehen ist, dass der Bereich der Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten dem Anwendungsbereich der Richtlinie (EU) 2016/680 unterfällt, wird dieser Bereich im Umkehrschluss und unter Berücksichtigung von Art. 2 Abs. 2 Buchst. d DSGVO gerade nicht unmittelbar dem in Art. 2 DSGVO bestimmten sachlichen Anwendungsbereich der Datenschutz-Grundverordnung unterfallen.

b) Selbst soweit eine Anwendbarkeit der Datenschutz-Grundverordnung mittelbar, etwa über Art. 2 BayDSG, gegeben ist, wäre eine von der Polizei erfolgte Verarbeitung personenbezogener Daten durch deren Erhebung beim Kläger nach Art. 6 Abs. 1

Buchst. e DSGVO i.V.m. Art. 2 und 28 Abs. 2 Nr. 2 BayDSG auch ohne Einwilligung der betroffenen Person gerechtfertigt, da die Verarbeitung im Rahmen des Ordnungswidrigkeitenverfahrens insoweit für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Soweit für die darauf beruhende Herausgabe von personenbezogenen Daten durch den Kläger die Datenschutz-Grundverordnung wiederum anwendbar sein sollte, wäre er hierfür auch ohne Einwilligung der betroffenen Person nach Art. 6 Abs. 1 Buchst. c DSGVO berechtigt gewesen, da dies zur Erfüllung seiner rechtlichen Verpflichtung zur Mitwirkung bei der Feststellung des Fahrzeughalters (vgl. zu dieser z.B. BVerwG B.v. 14.5.1997 - 3 B 28/97 - juris) erforderlich gewesen wäre.

Der Kläger konnte sich daher in Bezug auf das fragliche Ordnungswidrigkeitenverfahren gegenüber der ermittelnden Polizei also auch nicht auf die Datenschutz-Grundverordnung berufen, um sich

4. Auch dem präventiv angeordneten Führen eines Fahrtenbuches steht die Datenschutz-Grundverordnung nicht entgegen. Soweit diese trotz der Regelung in Art. 2 Abs. 2 Buchst. d DSGVO, die die Abwehr von Gefahren für die öffentliche Sicherheit vom Anwendungsbereich der Datenschutz-Grundverordnung ausnimmt, etwa auch wegen Art. 2 BayDSG überhaupt anwendbar ist, ist auch insoweit eine entsprechende Verarbeitung der Daten der jeweiligen Fahrzeugführer wiederum über die vorgenannten Bestimmungen in Art. 6 Abs. 1 Buchst. c und e DSGVO auch ohne Einwilligung der betreffenden Personen gerechtfertigt.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für Erhebung und Übermittlung aber nicht für spätere Verarbeitung durch Facebook mitverantwortlich

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,


Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.


Den Volltext der Entscheidung finden Sie hier:



Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Angekreuzt git nicht - Vorab markierte Checkboxen stellen keine wirksame Einwilligung dar

In Ausgabe 8/2019, S. 15 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Angekreuzt git nicht - Vorab markierte Checkboxen stellen keine wirksame Einwilligung dar".

Zum Thema: EuGH-Generalanwalt: Keine datenschutzrechtliche Einwilligung wenn Checkbox voreingestellt angekreuzt ist - Diensteanbieter muss bei Cookies über Funktionsdauer und Zugriff Dritter informieren