Skip to content

BGH: Verfahren über Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO wird bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt

BGH
Beschluss vom 31.05.2022
VI ZR 223/21


Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.

Aus den Entscheidungsgründen:
Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.

II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).



Den Volltext der Entscheidung finden Sie hier:


LG Hamburg: Kein Anspruch Dritter gegen Hamburger Datenschutzbeauftragten auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M

LG Hamburg
Beschluss vom vom 28.10.2021
625 Qs 21/21 OWi


Das LG Hamburg hat entschieden, dass Dritte keinen Anspruch gegen den Hamburger Datenschutzbeauftragten (HmbBfDI ) auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M haben.

Aus den Entscheidungsgründen:
Der Antrag auf gerichtliche Entscheidung ist zulässig und hat auch in der Sache überwiegend Erfolg. Auf die mit Bescheid des HmbBfDI vom 28. Januar 2021 beabsichtigte umfassende Herausgabe des teilweise anonymisierten Bußgeldbescheids vom 30. September 2020 haben die vier Antragssteller keinen Anspruch. Ihnen ist lediglich hinsichtlich der Passage „Zumessung der Geldbuße“, Seite 9 des Bußgeldbescheids bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“ Auskunft zuzubilligen.
[...]
Der Antrag auf gerichtliche Entscheidung hat in der Sache überwiegend Erfolg. Den vier auskunftssuchenden Antragsstellern steht kein Anspruch auf die Übermittlung des Bußgeldbescheids vom 30. September 2020 in der vom HmbBfDI teilanonymisierten Form, die dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügt war, und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 des Bescheids vom 28. Januar 2021nach § 475 Abs. 1 und 4 StPO zu.

Gemäß § 475 Absatz 1 und 4 StPO können Privatpersonen Auskünfte aus Akten erteilt werden, soweit diese hierfür ein berechtigtes Interesse darlegen. Sie sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Im Übrigen soll Akteneinsicht grundsätzlich nur in dem Umfang erfolgen, als dies zur Wahrnehmung des berechtigten Interesses der Privatperson erkennbar erforderlich ist (vgl. LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04).

Zwar haben alle auskunftssuchenden Antragssteller ein berechtigtes Interesse darlegt; deren Auskunftsinteresse der Antragsteller stehen aber die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskünfte jedenfalls in Form der Übersendung des vom HmbBfDI lediglich geringfügig geschwärzten Bußgeldbescheids gemäß Anlage 1 und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 zum Bescheid vom 28. Januar 2021 entgegen.

a. Berechtigtes Interesse der Antragssteller

Das „berechtigte Interesse“ i. S. d. § 475 StPO wird weit ausgelegt. Darunter fällt grundsätzlich jedes verständige, durch die Sachlage gerechtfertigte Interesse tatsächlicher, wirtschaftlicher oder ideeller Art, sofern es von dem jeweiligen Antragssteller schlüssig dargelegt wird; eine Glaubhaftmachung oder gar ein Beweis sind nicht erforderlich (BeckOK StPO/Wittig, 40. Ed. 1. Juli 2021, § 475 Rn. StPO, Rn. 9 f.).

Bei Anwendung dieser Maßstäbe habe alle vier Antragssteller ihr berechtigtes Interesse hinreichend dargelegt. Die Antragsteller 2 bis 4 haben angegeben, dass sie als (Syndikus-) Anwälte im Bereich Datenschutzrecht tätig sind. Antragssteller 2 und 3 haben ausgeführt, dass sie die Entscheidung für ihre berufliche Tätigkeit, d. h. in der Beratung ihrer Mandanten im Datenschutzrecht, nutzen wollen. Der Antragsteller zu 2 hat ferner ein Interesse daran dargelegt, zu erfahren, anhand welcher Kriterien die Adressatenauswahl und die Bußgeldberechnung erfolgt sei. Die Antragssteller 1, 3 und 4 haben weiter erklärt, dass sie beabsichtigten, einen wissenschaftlichen Aufsatz zu schreiben, der unter anderem den Bußgeldbescheid zum Gegenstand hat.

Diese Interessen sind grundsätzlich als ein berechtigtes Interesse anzuerkennen, denn dabei handelt es sich um verständige und durch die Sachlage gerechtfertigte Interessen.

b. Schutzwürdigen Interessen der Betroffenen

Dem Auskunftsinteresse der Antragssteller an der Übersendung des Bußgeldbescheids in der vom HmbBfDI teilgeschwärzten Fassung gemäß Anlage 1 zum Bescheid vom 28. Januar 2021 stehen jedoch die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskunft entgegen (§ 475 Abs. 1 S. 2 StPO).

Im Unterschied zur ähnlich gelagerten Regelung des § 406e Abs. 2 StPO kommt es im Rahmen des § 475 StPO nicht auf ein „Überwiegen” der einer Auskunft entgegenstehenden schutzwürdigen Interessen an. Es genügt, dass ein schutzwürdiges Interesse an der Versagung besteht (LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04, NJW 2005, 999). Ob die Interessen der Betroffenen i.S.d. § 475 Abs. 1 Satz 2 StPO schutzwürdig sind, ist dabei im Wege einer umfassenden Abwägung zwischen dem Informationsinteresse der Antragsteller und den entgegenstehenden Interessen der Betroffenen zu ermitteln. Entscheidend ist dabei, wie hoch das Informationsinteresse der Antragsteller an der begehrten Auskunft zu bewerten und wie stark der Eingriff in die Rechte der Betroffenen durch die Offenlegung der begehrten Informationen im Einzelfall zu gewichten ist. Je geringer der Eingriff in das Recht des Betroffenen, desto geringere Anforderungen sind an das Informationsinteresse der Antragsteller zu stellen; je intensiver und weitergehend die begehrte Auskunft reicht, desto gewichtiger muss das Informationsinteresse sein (vgl. VGH Baden-Württemberg DVBl 2014, 101 m.w.Nw, LG München, Beschluss vom 24.03.2015 – 7 Qs 5/15, ZD 2015, 483).

Ob eine Verletzung schutzwürdiger Interessen vorliegt, ist daher anhand des zu beurteilenden Einzelfalls festzustellen. Diese Abwägung geht hier zugunsten der Betroffenen aus:

Wie der HmbBfDI in dem angefochtenen Bescheid vom 28. Januar 2021 zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids vom 30. September 2020 für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid vom 30. September 2020 enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und –organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren. Insoweit wird ergänzend auf die diesbezüglichen Ausführungen des Bescheids vom 28. Januar 2021 Bezug genommen, denen sich die Kammer anschließt.

bb. Darüber hinaus steht dem Auskunftsinteresse der Antragsteller auch die durch Art. 12 Abs. 1 GG geschützte Berufsfreiheit der Betroffenen entgegen.

Art. 12 Abs. 1 GG gewährt das Recht der freien Berufswahl und -ausübung und ist gemäß Art. 19 Abs. 3 GG auch auf juristische Personen anwendbar, soweit sie - wie hier die Betroffenen - eine Erwerbszwecken dienende Tätigkeit ausüben, die ihrem Wesen und ihrer Art nach in gleicher Weise einer juristischen wie einer natürlichen Person offensteht. In der bestehenden Wirtschaftsordnung umschließt das Freiheitsrecht des Art. 12 Abs. GG das berufsbezogene Verhalten der Unternehmen am Markt nach den Grundsätzen des Wettbewerbs (Vgl. BVerfG, Beschlüsse vom 21. März 2018 - 1BVF113 1 BvF 1/13 - BVerfGE 148, Seite 40 = juris, Rn. 26 und vom 26. Juni 2002 - 1 BvR 558/91 -, BVerfGE 105, Seite 252 = juris, Rn. 41; OVG Münster Beschl. v. 17.5.2021 – 13 B 331/21, BeckRS 2021, 11654 Rn. 11).

Die in dem Bußgeldbescheid vom 30. September 2020 enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern. Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten. Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat. Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken. Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden. Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten.

Diese Erwägungen gelten auch unter Berücksichtigung der Art des geltend gemachten Interesses der Antragssteller und der grundsätzlichen Beschränkung der Verwendung der durch Akteneinsicht erlangten personenbezogenen Daten lediglich für die Zwecke, für die Akteneinsicht gewährt wurde, §§ 46, 49b OWIG i.V.m. § 479 Abs. 6 StPO i.V.m. § 32f Abs. 5 S. 2 StPO. Zwar haben die Antragssteller 2 und 3 geltend gemacht, den Bußgeldbescheid vorrangig für die Mandantenberatung nutzen zu wollen. Dies beinhaltet jedoch nicht ausschließbar auch, wesentliche Inhalte des Bescheids, insbesondere im Zusammenhang mit der Herleitung der Haftung der Betroffenen zu 2 für Verstöße der Betroffenen zu 1, im Rahmen eines Kanzlei-Newsletters über die Internetseite einer unbestimmten Anzahl an Personen zugänglich zu machen. Soweit die Antragsteller 1, 3 und 4 den Bußgelbescheid zudem in Publikationen bzw. Fachaufsätzen verarbeiten zu wollen, begehren die Antragssteller die Übermittlung des Bußgeldbescheids – entgegen der anderweitigen Auffassung des HmbBfDI – sehr wohl zum Zweck der (wissenschaftlichen) Veröffentlichung. Diese Veröffentlichungsform ist auch geeignet, die oben beschriebenen Verletzungen der Rechte der Betroffenen zu intensivieren. Auch hier erlangt eine unbekannte Anzahl Dritter Kenntnis über den Inhalt des Bußgeldbescheids. Zudem ist zu erwarten, dass die Publikationen in anderen Printmedien zitiert werden oder sonst wie weiterverbreitet werden. Hierbei ist auch zu berücksichtigen, dass die Übermittlungen zu wissenschaftlichen oder beruflichen Zwecken auch keine konkreten Vorgaben beinhalten, wie mit dem Bußgeldbescheid umzugehen ist. Auch eine Veröffentlichung zu wissenschaftlichen Zwecken könnte demnach freizugänglich im Internet erfolgen. Daneben ist zu erwarten, dass der Bußgeldbescheid oder dessen Inhalt auf anderen Medien – und wahrscheinlich auch unabhängig von einer etwaigen Publikation – öffentlich verbreitet werden. Dafür spricht auch, dass – so von den Betroffenen vorgetragen und anhand eines Screenshots belegt – der Antragssteller 1, S. H. auf seinem Twitter-Account bereits seine bisherige Kommunikation mit dem HmbBfDI betreffend den Bußgeldbescheid gegen die Betroffenen im Internet veröffentlicht hat (vgl. Tweet des Twitter Accounts @ s. h. vom 24. Februar 2021; https:// t..com/ s._ h./status/ ). In der Gesamtschau ist daher bei der Herausgabe des Bußgeldbescheids von einem Eingriff bzw. einer Intensivierung des Eingriffs (siehe nachfolgend, cc) in die Rechte der Betroffenen auszugehen.

cc. Das schutzwürdige Interesse der Betroffenen entfällt auch nicht dadurch, dass bereits Informationen über den Bußgeldbescheid in der Pressemitteilung vom 01. Oktober 2020 veröffentlicht wurden und die Vorgänge sowohl vor als auch nach Veröffentlichung der Pressemitteilung mehrfach Gegenstand von Presseberichterstattungen in Deutschland waren.
[...]
Insgesamt ist daher von einem Überwiegen der schutzwürdigen Interessen der Betroffenen aus Art. 12 GG auszugehen.

3. Daraus folgt, dass weite Teile des Bußgeldbescheids von der Akteneinsicht auszunehmen wären. Durch die Herausgabe eines geschwärzten Bußgeldbescheids in der bislang vom HmbBfDI vorgesehenen Form würde den schutzwürdigen Interessen der Betroffenen nicht hinreichend Rechnung getragen werden. Eine die Interessen der betroffenen wahrende Schwärzung des Bußgeldbescheides vom 30. September 2020 würde dazu führen, dass der Rest des Bußgeldbescheides überwiegend aus abstrakten Rechtssätzen, Normenketten und allgemeinen Ausführungen bestünde, die einer Nichtübermittlung des Bußgeldbescheides gleichkommen würden.


Den Volltext der Entscheidung finden Sie hier:


OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden

OLG Schleswig-Holstein
Urteil vom 03.06.2022
17 U 5/22


Das OLG Schleswig-Holstein hat abermals entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden. Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:

Der 17. Zivilsenat hält daran fest, dass dem Insolvenzschuldner regelmäßig ein Löschungsanspruch gegen die Schufa Holding AG zusteht, wenn diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Auch bei der Berechnung eines Score-Wertes darf die Schufa die Daten zum Insolvenzverfahren danach nicht mehr berücksichtigen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und am 25. März 2020 wurde das Verfahren durch Beschluss des Amtsgerichts aufgehoben. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa pflegte diese Daten von dort in ihren Datenbestand ein, um diese ihren Vertragspartnern bei laufenden Vertragsbeziehungen und Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte Ende 2020 die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne u.a. nur noch gegen Vorkasse bestellen und keine neue Wohnung anmieten.

Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Schufa und ihre Vertragspartner von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Unterlassung der Verarbeitung der Informationen zu seinem Insolvenzverfahren sechs Monate nach Aufhebung des Insolvenzverfahrens verlangen. Nach Ablauf dieser Frist überwiegen die Interessen und Grundrechte des Klägers gegenüber den berechtigten Interessen der Schufa und ihrer Vertragspartner an einer Verarbeitung, so dass sich die Verarbeitung nicht mehr als rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung darstellt.

Es ist eine konkrete Abwägung zwischen den Interessen der Schufa und ihrer Vertragspartner an der Verarbeitung der Daten und den durch die Verarbeitung berührten Grundrechten und Interessen des Klägers anzustellen. Der Kläger hat ein Interesse daran, möglichst ungehindert am wirtschaftlichen Leben teilnehmen zu können, nachdem die Informationen über sein Insolvenzverfahren aus dem Insolvenzbekanntmachungsportal gelöscht worden sind. Dieses Interesse geht dem eigenen wirtschaftlichen Interesse der Schufa als Anbieterin von bonitätsrelevanten Informationen vor. Auch gegenüber typisierend zu betrachtenden Interessen der Vertragspartner sind die Interessen des Klägers vorrangig, da keine besonderen Umstände in der Person des Klägers oder seines Insolvenzverfahrens erkennbar sind, die eine Vorratsdatenspeicherung bei der Schufa über den Zeitraum der Veröffentlichung im Insolvenzbekanntmachungsportal hinaus rechtfertigen könnten.

Die Schufa kann sich nicht auf die in den Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien genannte Speicherfrist von drei Jahren berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers. Sie vermögen auch keine Abwägung der Interessen vorzuzeichnen oder zu ersetzen. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 3. Juni 2022, Az. 17 U 5/22, Revision ist zugelassen)



BGH legt EuGH vor: Anspruch gegen Arzt auf kostenfreie Zurverfügungstellung der Patientenakte nach Art. 15 Abs. 3 DSGVO und Möglichkeit der Beschränkung nach § 630g Abs. 2 Satz 2 BGB

BGH
Beschluss vom 29.03.2022
VI ZR 1352/20
Verordnung (EU) 2016/679 Art. 12 Abs. 5, Art. 15 Abs. 3 Satz 1, Art. 23 Abs. 1; BGB § 630g Abs. 2 Satz 2


Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.

BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen

Den Volltext der Entscheidung finden Sie hier:


BGH: Auskunftsanspruch aus Art. 15 DSGVO kann durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein - Abwägung des Einzelfalls

BGH
Urteil vom 22.02.2022
VI ZR 14/21
DS-GVO Art. 15 Abs. 1 Halbsatz 2 lit. g


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein kann. Insofern ist eine Abwägung des Einzelfalls erforderlich.

Leitsatz des BGH:
Zur Beschränkung des Auskunftsrechts über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO durch datenschutzrechtlich geschützte Interessen Dritter.

BGH, Urteil vom 22. Februar 2022 - VI ZR 14/21 - OLG Stuttgart - LG Ravensburg

Den Volltext der Entscheidung finden Sie hier:


EU-Kommission und USA haben sich auf Trans-Atlantic Data Privacy Framework verständigt - Privacy-Shield-Nachfolger

EU-Kommission und USA haben sich auf ein neues Trans-Atlantic Data Privacy Framework verständigt, welches die Nachfolge des des EU-US-Privacy-Shield antreten soll (dazu: EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig).

Die Pressemitteilung der EU-Kommission:

The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.

The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.

The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.

The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.

The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.


Fact Sheet:

The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.

Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards

• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court

• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce

• Specific monitoring and review mechanisms

Benefits of the deal

• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)

• Safe and secure data flows

• Durable and reliable legal basis

• Competitive digital economy and economic cooperation

• Continued data flows underpinning €900 billion in cross-border commerce every year

Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.



LfDI Bremen: Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung

Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen hat ein Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen eine Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung verhängt.

Die Pressemitteilung der LfDI Bremen:
LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO

Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.

Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.

Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: "Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.



OVG Schleswig-Holstein: Datenschutzbehörde durfte 2011 anordnen dass Unternehmen seine Facebook-Fanpage schließt - Entscheidung nach 10 Jahren nach dem Weg durch die Instanzen bis zum EuGH

OLG Schleswig-Holstein
Urteil vom 25.11.2021
4 LB 20/13


Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.

Den Volltext der Entscheidung finden Sie hier:1

Aus den Entscheidungsgründen:

B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.

I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.

Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).

Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.

1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.

Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).

§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.

[...]

3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).

a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.

Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.

Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).

Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).

bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:

(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.

(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).

Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).

Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.

(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.

Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.

Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.




OLG Dresden: Löschungsanspruch aus Art. 17 DSGVO schließt Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht aus

OLG Dresden
Urteil vom 14.12.2021
4 U 1278/21


Das OLG Dresden hat entschieden, dass der Löschungsanspruch aus Art. 17 DSGVO einen Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht ausschließt.

Aus den Entscheidungsgründen:
"Es handelt sich hierbei um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit denen der Kläger als natürliche Person identifiziert werden kann. Dem steht hier nicht entgegen, dass es neben dem Kläger mit dem tatsächlichen Schuldner eine Person gibt, die denselben Namen trägt. Zu Unrecht meinen die Beklagten, ein Löschungsanspruch sei bereits deswegen ausgeschlossen, weil der Name nicht dem Kläger allein „gehöre“, sondern mehrere Personen des gleichen Namens existierten. Der Name gehört unbeschadet dessen nach Art. 4 DSGVO zu den personenbezogenen Daten, sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen (vgl. Karg in: Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr.1, a.a.O. Rn 51). Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist (vgl. Karg in Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr. 1, Rn. 46). So liegen die Dinge hier. Unstreitig ist bei beiden Beklagten nämlich nicht lediglich der Name des Klägers hinterlegt, sondern zusätzlich dessen Geburtsdatum und Wohnanschrift, mag auch letztere bei der Beklagten zu 2) mit einem Sperrvermerk versehen sein. Es kann dahinstehen, ob diese Daten in der IT der Beklagten konkret miteinander schon so verbunden sind, dass der Kläger hierüber eindeutig identifizierbar ist, weil eine solche Zusammenstellung jedenfalls im Bedarfsfall unschwer bewerkstelligt werden könnte. Dass hiergegen aufgrund der Ausgestaltung ihrer jeweiligen Datenbanksoftware Vorkehrungen getroffen worden wären, die eine solche Zuordnung und damit die konkrete Identifizierung des Klägers ausschließen, haben die Beklagten nicht behauptet und unter Beweis gestellt. Sind damit die über den Kläger gespeicherten Daten trotz der Namensidentität mit dem tatsächlichen Schuldner infolge dieser Verknüpfungsmöglichkeit personenbezogene Daten des Klägers, obliegt es den Beklagten entweder, diese Daten für sich genommen zu löschen oder durch Schutzvorkehrungen sicherzustellen, dass eine Verknüpfung, die eindeutig auf den Kläger hinweist, zukünftig ausgeschlossen ist. Dabei hat der Kläger nur einen Anspruch darauf, dass dies geschieht, nicht jedoch in welcher Weise die Beklagten hierbei vorgehen müssen. Ebenso wie im Bereich der negatorischen und quasinegatorischen Ansprüche aus § 1004 BGB, bei denen die Entscheidung, mit welchen Mitteln die Beeinträchtigung zu beseitigen ist, dem Störer überlassen bleibt und bei denen das Gericht regelmäßig davon absieht, bestimmte Maßnahmen anzuordnen (vgl. statt aller BGH, Urteil vom 14. Dezember 2017 – I ZR 184/15 –, juris; Ebbing in: Erman, BGB, 16. Aufl. 2020, § 1004 BGB, Rn. 6), hat nämlich auch der Schuldner eines Löschungsanspruchs nach Art. 17 DSGVO die Wahl, wie er eine aus der Zusammenstellung von Einzelinformationen resultierende Verletzung der Schutzrechte des Betroffenen abstellt.

b) Entgegen der Auffassung der Beklagten erfolgt die Verarbeitung der Daten des Klägers auch nicht rechtmäßig gemäß Art. 17 Abs. 1d i.V.m. Art. 6 DSGVO.

aa) Der Kläger hat seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten nicht erteilt, Art. 7, 6 Abs. 1a) DSGVO.

bb) Die Voraussetzungen von Art. 6 Abs. 1b) DSGVO sind nicht erfüllt. Danach liegt Rechtmäßigkeit vor, wenn die Verarbeitung für die Erfüllung eines Vertrages, dessen 8 Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgte. Der Kläger ist jedoch weder Vertragspartner der K...... Bank noch der Beklagten. Ob den Beklagten im Rahmen ihres Auftragsverhältnisses mit der K...... Bank oder untereinander die Daten zur Erfüllung der jeweiligen Verträge übermittelt wurden, ist unerheblich. Denn nach dem Wortlaut der Vorschrift kommt es auf die vertraglichen Beziehungen mit der betroffenen Person - dem Kläger - an.

cc) Die Beklagten können sich auch nicht mit Erfolg auf Art. 6 1c) DSGVO i.V.m. § 147 AO berufen, denn die Löschung steht den Aufbewahrungspflichten nicht entgegen.

Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei muss es sich um eine gesetzliche Pflicht handeln (vgl. Roßnagel in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 51). Die Datenverarbeitung kann erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen (vgl. Roßnagel a.a.O., Rn 54). Die Erlaubnis zur Datenverarbeitung ist auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (vgl. Roßnagel a.a.O.). Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen (vgl. Mues in Gosch, Kommentar zur Abgabenordnung, Stand 01.04.2021, § 147 B Rn. 13 - juris). Auf die Form der Korrespondenz kommt es nicht an, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind (vgl. Mues a.a.O.). Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Die Beklagten sind nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige - und aufbewahrungspflichtige Daten zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen (vgl. Bundesministerium der Finanzen: Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28.11.2019, Rn 172 - juris). Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

dd) Die Rechtmäßigkeit der Verarbeitung ergibt sich auch nicht aus Art. 6 Abs. 1f) DSGVO, denn im Rahmen der Abwägung überwiegen die Interessen des Klägers.

Nach dieser Regelung ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Begriff der berechtigten Interessen ist weit zu verstehen. Er umfasst sowohl rechtliche als auch wirtschaftliche und ideelle Interessen (vgl. Schantz in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 98). Zu den berechtigten Interessen der Beklagten zu 2) gehört das Interesse an einer möglichst hohen Effektivität der Inkassodienstleistung, also an einem möglichst effizienten Forderungsmanagement (vgl. AG Hamburg - St. Georg, Urteil vom 25.08.2020 - 912 C 145/20, Rn. 37 - juris). Die Forderungsausfälle der Gläubiger sollen so gering wie möglich gehalten werden, die notwendige Liquidität der Wirtschaftsunternehmen gewahrt und der erstattungspflichtige Schuldner so wenig wie möglich mit weiteren Kosten belastet werden (so AG Hamburg - St. Georg, a.a.O.). Im Hinblick darauf hat die Beklagte zu 2) ein Interesse daran, bei der Ermittlung des Wohnortes des Schuldners nicht erneut den Kläger zu ermitteln und diesen anzuschreiben, um erst nach Inanspruchnahme des Klägers erneut festzustellen, dass dieser nicht der richtige Schuldner ist. Dies entspricht auch dem Interesse der Beklagten zu 1), die von der Beklagten zu 2) mit einer Einwohnermeldeanfrage betraut worden ist. Auch bei ihr besteht die Gefahr, dass ihr mit den von der Auftraggeberin - der K...... Bank - mitgeteilten Kontaktdaten, die Adresse des Klägers ermittelt wird. Die Speicherung der Daten des Klägers verhindert seine erneute Inanspruchnahme. Zwingend für die Forderungseintreibung ist dies jedoch nicht. Auch ohne eine solche Speicherung bleibt die Forderungseintreibung möglich (ebenso AG Hamburg - St. Georg a.a.O.). Zwar wird der Kläger damit dem Risiko unterworfen, in der Zukunft erneut unberechtigterweise in Anspruch genommen zu werden. Diesem Risiko hat er sich aber selbst ausgesetzt, indem er die Löschung der Daten verlangt hat. Dies ist von ihm hinzunehmen (ebenso AG Hamburg - St. Georg a.a.O.).

Die Interessen des Klägers an seinem Recht zur informationellen Selbstbestimmung überwiegen im vorliegenden Fall. Bereits durch die Verarbeitung seiner Daten ohne seine Einwilligung werden seine Grundrechte aus Art. 7, 8 GRCh betroffen. Seine Daten werden bei einem Inkassounternehmen, wie der Beklagten zu 2), und einem Unternehmen, das sich mit Einwohnermeldeanfragen befasst, wie der Beklagten zu 1) gespeichert, ohne dass dies durch eine Forderungseintreibung veranlasst wäre. Die Speicherung der Daten des Klägers beruht auf der Namensidentität mit seinem Sohn und der damit verbundenen Verwechselung mit dem Schuldner. Zwar ist entgegen der Darlegung des Klägers ein Schufa-Eintrag nicht erfolgt, denn ausweislich des vorgelegten Schreibens der Schufa vom 17.04.2020 (Anlage K9) liegen dort nur positive Vertragsinformationen zu ihm vor. Gleichwohl ist es in Zukunft nicht auszuschließen, dass auf Anfrage bei den Beklagten die Daten des Klägers weiterverbreitet werden und den unzutreffenden Eindruck erwecken, ein Inkassounternehmen sei mit der Eintreibung einer Forderung gegen ihn oder mit der Ermittlung seiner Wohnanschrift beauftragt worden, was gegen seine Bonität spricht. Im Hinblick auf den hohen Wert, den die Charta der Grundrechte der Europäischen Union dem Schutz der personenbezogenen Daten in Art. 8 GRCh und damit dem Recht auf informationelle Selbstbestimmung beimisst, hat das Interesse der Beklagten an einer einfachen Beitreibung von Schulden ohne Fehlermittlungen von Anschriften zurückzustehen.

c) Der Anspruch auf Löschung entfällt auch nicht gemäß Art. 17 Abs. 3 b) DSGVO. Wie bereits unter Ziffer cc) ausgeführt steht die rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 147 AO dem Löschungsanspruch nicht entgegen.

2. Dem Kläger steht ein Anspruch gegen die Beklagten auf Unterlassung der Verarbeitung seiner personenbezogenen Daten insoweit zu, als er als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen vom 21.12.2015 geführt wird, §§ 823, 1004 BGB.

Die Geltendmachung eines Anspruchs auf Unterlassung aus §§ 823 Abs. 1 i.V.m. 1004 BGB ist neben den Rechten aus der Datenschutzgrundverordnung möglich, da nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden kann, die wiederum in das Persönlichkeitsrecht des Betroffenen gemäß Art. 1, 2 GG rechtswidrig eingreift, auch wenn ein solcher Anspruch in der Datenschutzgrundverordnung weder explizit geregelt ist noch etwa gemäß Art. 17 DSGVO über eine Auslegung ein solcher Unterlassungsanspruch anzunehmen sein könnte (Senat, Urteil vom 31.8.2021 - 4 U 324/21 - juris; Beschluss vom 19.04.2021 - 4 W 243/21 - juris; ebenso Landgericht Darmstadt, Urteil vom. 26.05.2020 - 13 O 244/19, Rn. 38 - juris; a.A. allerdings VG Regensburg, Gerichtsbescheid vom 06.08.2020 - Rn 9 K 19.1061 - juris; vgl. zum Streitstand Halder, jurisPR-ITR 4/2021 Anm. 5). Würde man einen solchen Unterlassungsanspruch verneinen, wäre kein ausreichender Individualrechtsschutz gegeben. Es ist daher nicht davon auszugehen, dass die Datenschutzgrundverordnung, weil sie keinen ausdrücklichen Unterlassungsanspruch enthält, eine Sperrwirkung entfaltet (so auch Landgericht Darmstadt, a.a.O.). Die Voraussetzungen für einen solchen Unterlassungsanspruch liegen vor. Wie bereits ausgeführt war die Verarbeitung der personenbezogenen Daten nicht rechtmäßig, auch eine Wiederholungsgefahr liegt vor. Ein rechtswidriger Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründet eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. Diese Vermutung kann entkräftet werden, wobei daran strenge Anforderungen zu stellen sind; im Grundsatz ist eine strafbewehrte Unterlassungserklärung erforderlich (vgl. Senat, Beschluss vom 18.10.2021 - 4 U 1407/21 - juris). Vorliegend haben die Beklagten die Vermutung für eine Wiederholungsgefahr nicht widerlegt. Sie bestehen vielmehr darauf, dass die Datenverarbeitung rechtmäßig war und ihnen auch zukünftig gestattet ist. Allerdings kann die Unterlassung der Verarbeitung der personenbezogenen Daten nur insoweit verlangt werden, als der Kläger als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen geführt wird. Denn es kann für die Zukunft nicht ausgeschlossen werden, dass ein anderer Gläubiger Forderungen gegen den Kläger haben wird, mit deren Eintreibung die Beklagten beauftragt werden. In diesem Rahmen kann die Berechtigung zur Datenverarbeitung nicht verneint werden. Dies gilt auch insoweit, als die Beklagten berechtigt sind, die personenbezogenen Daten des Klägers im Zusammenhang mit der vorliegenden rechtlichen Auseinandersetzung zu speichern und zu verarbeiten.

3. Dem Kläger steht kein Anspruch auf Schadensersatz gemäß § 82 Abs. 1 DSGVO gegen die Beklagten zu. Der Kläger hat den Eintritt eines kausal auf die Pflichtverletzung der Beklagten zurückzuführenden Schadens nicht schlüssig dargelegt. Der geltend gemachte Schadensersatzanspruch in Höhe von 10.000,00 € findet im Vortrag überhaupt keine Stütze. Zu seinem materiellen Schaden hat der Kläger ausgeführt, dass ihm durch die Beantragung von Meldebescheinigungen, Geburtsurkunden, Aufforderungsschreiben durch den Prozessbevollmächtigten ein Schaden von mehreren hundert Euro entstanden sei. Der Kläger hat seinen Schaden nicht beziffert, was ihm aber unschwer möglich gewesen wäre. Denn die Kosten für die Einholung von behördlichen Bestätigungen lassen sich beziffern. Soweit er vorgerichtliche Kosten seines Rechtsanwaltes behauptet, so ist dies bereits Gegenstand seines Klageantrages. Es fehlt jegliche konkrete Darlegung der Höhe des bei ihm eingetretenen Schadens.

Der Kläger hat auch einen immateriellen Schaden nicht dargelegt. Sein Vortrag ist insoweit schon widersprüchlich und nicht nachvollziehbar. Er behauptet, er sei ernsthaft in Misskredit gebracht worden, weil er unberechtigter Weise der Schufa gemeldet worden sei. Dies ist aber nicht zutreffend. Die Beklagten haben in Abrede gestellt, eine Schufa-Meldung erstattet zu haben. Aus der von vom Kläger vom 17.04.2020 (Anlage K9) vorgelegten Schufa-Auskunft ergibt sich ebenfalls keine Meldung über seine Person. Dort heißt es vielmehr ausdrücklich, dass bis zum 17.04.2020 dort ausschließlich positive Vertragsinformationen über den Kläger vorgelegen haben. Er hat in allen Bereichen die beste Ratingstufe: A und der Orientierungswert zur Bonität beträgt für ihn 113 bei einem Bereich von 100 (sehr gute Bonität) bis 600 (Insolvenzverfahren). Eine Beeinträchtigung seines Ansehens durch die Datenverarbeitung der Beklagten ist nicht ersichtlich und von ihm auch nicht nachvollziehbar dargelegt worden. Es kommt daher nicht auf die in der Rechtsprechung streitig diskutierte Frage an, ob auch wegen immaterieller Bagatellschäden ein Ausgleich erfolgen muss (vgl. Senat, Urteil vom 31.08.2021 - 4 U 324/21 - juris). Denn der Wortlaut von § 82 Abs. 1 DSGVO setzt den Eintritt eines Schadens voraus (vgl. Hanseatisches Oberlandesgericht Bremen, Beschluss vom 16.07.2021 - 1 W 18/21 - juris). Die Frage, ob bei einem immateriellen Bagatellschaden - anders an in anderen Fällen der Persönlichkeitsrechtsverletzung - eine Entschädigung zu zahlen ist, stellt sich nicht. Erst wenn der Eintritt des Schadens feststeht, ist in einem zweiten Schritt zu entscheiden, ob ein erheblicher Schaden oder ein Bagatellschaden vorliegt. Auch aus den Ausführungen im Erwägungsgrund 75 lässt sich entnehmen, dass von dem Erfordernis des Eintritts eines Schadens nicht abgesehen wird. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einer physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn ...“

4. Die Beklagten sind gemäß Art. 19 Satz 2 DSGVO verpflichtet, die Löschung der personenbezogen Daten des Klägers allen Empfängern, denen diese Daten offengelegt wurden, mitzuteilen und den Kläger davon zu unterrichten."


Den Volltext der Entscheidung finden Sie hier:


Landesdatenschutzbeauftragter RLP: Datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz eingeleitet.

Die Pressemitteilung des Landesdatenschutzbeauftragten RLP

Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein

Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die LUCA-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen wurden bereits versendet.

Hintergrund ist ein Vorfall aus dem November 2021. Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die LUCA-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten. Das Gesundheitsamt kam der Aufforderung nach und übermittelte die Daten von 21 Personen, die der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt wurden. Die Betroffenen wurden dann von der Polizei kontaktiert und zu dem Vorfall befragt. Mittlerweile haben die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, kommentiert der Landesbeauftragte Prof. Dr. Kugelmann den Vorfall. Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes geht eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürfen und eine anderen Zwecken dienende Datenverwendung unzulässig ist. „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden Pandemie das völlig falsche Signal.“ Kugelmann kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

LG Berlin: Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO umfasst nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen

LG Berlin
Urteil vom 21.12.2021
4 O 381/20


Das LG Berlin hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen umfasst.

Aus den Entscheidungsgründen:
Der Auskunfts- und Herausgabeanspruch aus § 15 DS-GVO betrifft lediglich personenbezogene Daten, nicht aber Dokumenten, die Vertragserklärungen enthalten. Zwar ist der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen; davon wären auch Beitragsanpassungsschreiben erfasst, die den Namen des Klägers enthalten. Ein derartiges am Wortlaut haftendes Verständnis ist mit dem Zweck des Auskunftsanspruchs nach Art. 15 DS-GVO unvereinbar. Die Auskünfte, die eine natürliche Person nach Art. 15 DS-GVO fordern kann, dienen primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DS-GVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf Einschränkung der Verarbeitung nach Art. 18. Zwar mag eine Auskunft über personenbezogene Daten auch Erkenntnisse und Indizien hervorbringen, die einen Anspruch nach gänzlich anderen Vorschriften begründen oder zumindest nahelegen können. Dabei handelt es aber nicht um den eigentlichen Zweck der DS-GVO, sondern um einen bloß zufälligen Nebeneffekt. Es gibt keine Anhaltspunkte dafür, dass die DS-GVO gezielt dazu geschaffen worden wäre, die grundsätzliche Struktur des deutschen Zivilprozessrechts, die jedem Anspruchsteller die Darlegung und den Beweis der ihm günstigen Tatsachen auferlegt, umzukehren (OLG Köln r+s 2021, 97 Rn. 73, beck-online). Danach sind die vorliegend antragsgegenständlichen Auskünfte nicht mehr als personenbezogen (Art. 4 Nr. 1 DS-GVO) zu verstehen, sondern als vertragsbezogen.

Den Volltext der Entscheidung finden Sie hier:

KG Berlin legt EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vor - Bußgeldverfahren unmittelbar gegen Unternehmen

KG Berlin
Beschluss vom 06.12.2021
3 Ws 250/21


Das KG Berlin hat dem EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vorgelegt. Insbesondere geht es um die Streitfrage, ob Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden können.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verord­nung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?

2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszul­egen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettb­werbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability") ?



LG Frankfurt: Abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers

LG Frankfurt
Urteil vom 19.10.2021
3-06 O 24/21


Das LG Frankfurt hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne vorherige rechtskonforme Einholung der Einwilligung des Nutzers vorliegt. Insofern liegt ein Verstoß gegen § 3a UWG i.V.m § 15 Abs. 3 TMG vor. Ein Website-Betreiber haftet dabei für etwaige Fehler seines Cookie-Banner-Dienstleisters. Geklagt hatte die Wettbewerbszentrale.


OLG Dresden: Negativauskunft kann zur Erfüllung des Auskunftsanspruchs aus Art. 15 DSGVO genügen

OLG Dresden
Urteil vom 31.08.2021
4 U 324/21


Das OLG Dresden hat entschieden, dass eine Negativauskunft zur Erfüllung des Auskunftsanspruchs aus Art. 15 DSGVO genügen kann.

Aus den Entscheidungsgründen:

Der Kläger hat weder nach § 15 DS-GVO noch nach § 666 BGB einen Anspruch auf weitergehende Auskunft.

a) Nach Art. 15 DS-GVO hat der Verantwortliche dem Betroffenen zunächst Auskunft darüber zu erteilen, ob dessen personenbezogene Daten verarbeitet werden. Hieraus wird in der Literatur eine Einschränkung auf aktuell noch vorhandene personenbezogenen Daten abgeleitet, weil eine vergangenheitsbezogene Auskunftspflicht, die sich auch auf bereits gelöschte Daten erstreckte, Art. 5 Abs. 1 Buchst. e und den über Art. 15 Abs. 1 Buchst. d anzugebenden Speicherfristen widerspräche (Kamlah in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Artikel 15 DSGVO, Rn. 5; BeckOK DatenschutzR/Schmidt-Wudy, Art. 15 DSGVO Rz. 52; Kühling/Buchner/Bäcker, Art. 15 DSGVO Rz. 9). Der Senat lässt offen, ob dieser Auffassung, die dem Auskunftsanspruch des Klägers von vornherein die Grundlage entzöge, zu folgen ist. Jedenfalls steht im Anschluss an die erstinstanzliche Beweisaufnahme fest, dass die Beklagte über die eingesandte Festplatte nicht mehr im Besitz und auf die darauf möglicherweise enthaltenen Daten keinen Zugriff (mehr) hat, was sie dem Kläger auch bereits vorprozessual mitgeteilt hatte. Etwaige Auskunftspflichten nach Art. 15 DSGVO hat sie damit jedenfalls gemäß § 362 BGB erfüllt. Wie der Bundesgerichtshof zu Art. 15 DSGVO bereits entschieden hat, ist ein Auskunftsanspruch erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist allein die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 3.9.2020 - III ZR 136/18, GRUR 2021, 110 Rn. 43 mwN). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (BGH, Urteil vom 15.6.2021 – VI ZR 576/19 –, Rn. 19 - 20, juris). Dies ist hier der Fall. Zwar mag im Ergebnis der Beweisaufnahme offengeblieben sein, ob die Festplatte bei der Beklagten vernichtet oder an den Hersteller zurückgesandt wurde; in jedem Fall ist die Beklagte zu weiteren Auskünften aber nicht mehr in der Lage, eine etwaige Unvollständigkeit der Auskunft steht einer Erfüllung mithin nicht entgegen.

b) Liegt – wie hier – eine negative Verarbeitungsbestätigung vor, kommt ein Anspruch auf weitergehende Auskunft hinsichtlich der in Art. 15 Abs. 1 Buchst. a - h beschriebenen Informationsbestandteile von vornherein nicht in Betracht (Kamlah in: Plath, aaO, Artikel 15 DSGVO, Rn. 3). Auch der unter b) geltend gemachte Anspruch auf Rechenschaftslegung nach § 666 BGB scheidet aus. Ob § 666 BGB im Anwendungsbereich der Datenschutzgrundverordnung durch Art. 15 DSGVO verdrängt wird, kann offenbleiben, weil auch dieser Anspruch erfüllt wäre. Eine weitergehende Rechenschaft als die hier allein mögliche Angabe, dass die Festplatte sich nicht mehr in ihrem Besitz befindet und sie keinen Zugriff auf die aufgespielten Daten genommen hat, schuldet die Beklagte auch nach dieser Vorschrift nicht. Dabei kommt es nicht darauf an, ob sie vernünftigerweise nach den Umständen des konkreten Falles und des Hinweises auf die Verantwortlichkeit des Kunden für die Datensicherheit in der E-Mail vom 30.3.2020 (K5) davon ausgehen durfte, dass der Kläger im Tausch gegen eine neue Festplatte auf den eingesandten Datenträger und die aufgespielten Daten verzichtet hatte. Wie das Landgericht auf der Grundlage der Zeugenaussagen ohne Fehler in der Beweiswürdigung festgestellt hat, hat die Beklagte jedenfalls auf die Festplatte und die aufgespielten Daten keinerlei Zugriff mehr, Aufzeichnungen hierüber hat sie ebenfalls nicht geführt. Weitere Rechenschaftspflichten sind ihr damit unmöglich geworden.

2. Aus denselben Gründen kommt auch, ungeachtet des Vorliegens der sonstigen Voraussetzungen des § 985 BGB die Herausgabe der Festplatte wegen objektiver Unmöglichkeit nicht in Betracht. Ob die Unterlassung einer weiteren Verarbeitung der Daten, sofern sie auf einen Verstoß gegen Bestimmungen der DSGVO gestützt wird, überhaupt mit einem zivilrechtlichen Unterlassungsanspruch durchgesetzt werden könnte, ist bereits im Ausgangspunkt fraglich. Nach dem Wortlaut des Art. 79 Abs. 1 DSGVO bleiben nur andere verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe „unbeschadet“, nicht aber gerichtliche Rechtsbehelfe. Hieraus wird teilweise gefolgert, dass über die in den Art. 12 bis 22 DSGVO eingeräumten Auskunfts-, Berichtigungs- und Löschungsrechte (Art. 17 DSGBO) sowie das Recht auf Einschränkung der Verarbeitung personenbezogener Daten hinaus dem Betroffenen keine Rechte zustünden, zu deren Durchsetzung ein wirksamer Rechtsbehelf nach Art. 79 DSGVO zur Verfügung gestellt werden müsste; dies schließe auch Ansprüche nach §§ 823, 1004 BGB aus (VG Regensburg, Gerichtsbescheid vom 6.8.2020 – RN 9 K 19.1061 –, Rn. 19 - 20, juris; anders allerdings Senat, Beschluss vom 19.4.2021 – 4 W 243/21 –, juris). Dies kann hier aber ebenfalls dahinstehen, weil es jedenfalls an der für einen solchen Unterlassungsanspruch erforderlichen Wiederholungsgefahr fehlt. Ebenso wenig wie der Beklagten eine Herausgabe der Festplatte möglich ist, ist ihr wegen Zerstörung oder Verlust des Datenträgers auch eine Weitergabe der darauf ggf. enthaltenen Daten möglich. Anhaltspunkte dafür, dass die Beklagte diese vor der Vernichtung gesichert oder an Dritte weitergegeben hätte, sind vom Kläger weder vorgetragen noch nach der Beweisaufnahme des Landgerichts ersichtlich.

3. Vertragliche Ansprüche auf den hier allein geltend gemachten immateriellen Schaden scheiden von vornherein aus. Der Kläger hat aber auch weder einen Anspruch auf eine Geldentschädigung nach Art. 2 Abs. 1 i.V.m. Art. 1 GG noch auf immateriellen Schadensersatz nach Art. 82 DSGVO wegen des behaupteten Verlusts seiner personenbezogenen Daten, die sich auf der Festplatte befunden haben sollen.

Zwar läge in einem solchen Vorgang, seine Richtigkeit unterstellt, eine Verletzung seines Grundrechts auf informationelle Selbstbestimmung, die grundsätzlich auch Ansprüche auf eine Geldentschädigung begründen kann. Die freie Entfaltung der Persönlichkeit setzt nach allgemeiner Auffassung unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Das Grundrecht gewährleistet damit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Das Recht auf informationelle Selbstbestimmung gilt im Wege der mittelbaren Drittwirkung auch im Verhältnis zwischen Privaten (BVerfG, Beschluss vom 6.11.2019 – 1 BvR 16/13 –, BVerfGE 152, 152 - 215, Rn. 84 – 85 Recht auf Vergessen I).
Der aus Art. 1, 2 Abs. 1 GG hergeleitete Anspruch auf eine immaterielle Geldentschädigung liegt aber nicht schon bei jeder Verletzung des allgemeinen Persönlichkeitsrechts, erst recht nicht bei jeder Vertragsverletzung vor. Er setzt vielmehr einen schwerwiegenden Eingriff in das allgemeine Persönlichkeitsrecht voraus, dessen Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Dabei hängt die Entscheidung, ob eine hinreichend schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, insbesondere von der Bedeutung und Tragweite des Eingriffs, ferner auch von Anlass und Beweggrund des Handelnden sowie von dem Grad seines Verschuldens ab (Senat, Beschluss vom 11. Juni 2019 – 4 U 760/19 –, Rn. 8, juris; Urteil vom 30.1.2018 – 4 U 1110/17 –, Rn. 4, juris mit weiteren Nachweisen). Vorliegend lässt sich die Bedeutung der behaupteten Datenlöschung für den Kläger mangels eines hierauf bezogenen Vorbringens schon nicht absehen. Der Kläger hat überdies nicht einmal behauptet, die nicht näher spezifizierten personenbezogenen Daten, die sich auf der Festplatte befunden haben sollen, seien nur dort gespeichert gewesen und nunmehr unwiederbringlich verloren.
Der Anordnung des persönlichen Erscheinens zur mündlichen Anhörung durch den Senat gemäß § 141 ZPO hat er ohne Angabe von Gründen nicht Folge geleistet. Unabhängig hiervon liegt jedoch auch das für einen Anspruch auf eine Geldentschädigung erforderliche schwerwiegende Verschulden nicht vor, weil die Beklagte lediglich im Rahmen der von ihr eingeräumten Garantie und ohne Schädigungsvorsatz gehandelt hat.

Daneben scheidet auch ein Anspruch nach Art. 82 Abs. 1 DSGVO wegen der zugunsten des Klägers unterstellten Datenvernichtung aus. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat hiernach Anspruch auf Schadenersatz gegen den Verantwortlichen. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet dabei für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein solcher Verstoß liegt hier aber nicht vor.

Allerdings hat die Beklagte die auf der Festplatte gespeicherten Daten des Klägers i.S.d. DSGVO verarbeitet, unabhängig davon, ob die Festplatte vor Ort vernichtet oder zur Zerstörung an den Hersteller zurückgesandt wurde. Die damit in jedem Fall einhergehende Löschung der Daten stellt eine Datenverarbeitung nach Art. 4 Nr. 2 DSGVO dar, auch soweit sie allein durch Zerstörung des Datenträgers erfolgt ist. (vgl. insoweit Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 17 Rn. 39). Die Zerstörung der Festplatte war auch nicht zur Erfüllung des Vertrags (Erwägungsgrund 44 DSGVO), aufgrund einer rechtlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (Erwägungsgrund 45 DSGVO) oder um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen (Erwägungsgrund 46 DSGVO) erforderlich.

Vorliegend hat der Kläger aber konkludent seine Einwilligung in die mit dem Austausch der Festplatte einhergehende Datenlöschung erteilt. Unstreitig hat er die Rücksendung nach Erhalt und in Kenntnis der E-Mail der Beklagte vom 30.3.2020 (K5) vorgenommen, in der ausdrücklich darauf hingewiesen wird, dass es vorkommen kann, dass "im Zuge der Reparatur die Festplatte gelöscht oder getauscht werden muss.". In der Rücksendung der Festplatte lag angesichts dessen nach dem objektiven Empfängerhorizont die Zustimmung dazu, die eingeräumte Garantie entweder durch Reparatur oder Austausch unter gleichzeitigem Datenverlust vorzunehmen, zumal in diesem Kontext ebenfalls darauf hingewiesen wurde, dass die Beklagte Datensicherung und Datenrettung nicht anbietet und jeder Kunde "für die Sicherheit der Daten selbst verantwortlich" sei (K 5). Ob hierdurch der zwischen den Parteien bestehende Kaufvertrag und die damit einhergehenden vertraglichen Verpflichtungen wirksam nach §§ 305 ff. BGB abgeändert wurden, kann im Rahmen des Anspruchs nach Art. 82 DSGVO dahinstehen. Entgegen der Auffassung des Klägers ist es auch ohne Belang, dass er nicht ausdrücklich in die Löschung seiner Daten eingewilligt hat. Wie sich aus Erwägungsgrund 32 der DSGVO ergibt, ist eine solche ausdrückliche Einwilligung gerade nicht erforderlich (so auch Härting in: Härting, Internetrecht, 6. Aufl. 2017, Datenschutzrecht, Rn. 48). Ausreichend ist vielmehr "eine eindeutige bestätigende Handlung ..., mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.". Die DSGVO stellt damit entscheidend darauf ab, dass die Einwilligung nicht aus der passiven Hinnahme der Datenverarbeitung abgeleitet wird, etwa durch ein voreingestelltes Ankreuzkästchen auf einer Internetseite, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (vgl. hierzu EuGH, Urteil vom 1.10.2019 - C-673/17, GRUR 2019, 1198 - Verbraucherzentrale Bundesverband/Planet49 sowie nachfolgend BGH, Urteil vom 28.5.2020 – I ZR 7/16 –, Rn. 10, juris), sondern dass eine aktive, unmissverständliche Handlung des Betroffenen erforderlich ist, die vor Beginn der Datenverarbeitung liegt, freiwillig erfolgt und aus der sich ein Einverständnis mit der gebotenen Eindeutigkeit ableiten lässt. (EuGH NJW 2019, 3433 Rn. 62; BeckRS 2020, 30027 Rn. 36, BeckOK DatenschutzR/Schild, 36. Ed. 1.5.2021, DS-GVO Art. 4 Rn. 124). Es genügt nicht, sich auf die Abwesenheit einer Erklärung oder Handlung zu berufen, die als Ausdruck der Verweigerung gedacht ist (Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 53). An diese Unmissverständlichkeit dürfen aber gerade bei Massengeschäften wie der Abwicklung von Gewährleistungsansprüchen im Internet bereits nach den aufgeführten Erwägungen des Verordnungsgebers keine überzogenen Anforderungen gestellt werden, die im Ergebnis doch wieder auf eine ausdrückliche Einwilligung hinausliefen. Dies gilt im vorliegenden Fall umso mehr, als es der Kläger es in der Hand gehabt hätte, den Erklärungswert der in Kenntnis der E-Mail vom 30.3.2020 erfolgten Rücksendung zu präzisieren, indem er zugleich darauf hingewiesen hätte, dass sich auf der Festplatte personenbezogenen Daten befanden, die er aufgrund des Schadensfalls nicht mehr gesichert hatte oder nicht mehr hatte sichern können und dass in jedem Fall eine Rücksendung der Festplatte zur Datensicherung erbeten werde.

Ob der bloße Datenverlust überhaupt einen immateriellen Schaden i.S.d. Art. 82 DSGVO darstellen kann oder ob hierfür eine erhebliche Beeinträchtigung erforderlich ist (vgl. Senat, Beschluss vom 11.6.2019 - 4 U 760/19 Rn. 13; zur Problematik der Geltendmachung von Bagatellschäden Wybitul, NJW 2020,1190, 1193 unter Hinweis auf BVerfG NJW 2021, 1005; vgl. jetzt auch Vorlagebeschluss des ÖstOGH, Beschluss vom 15.4.2021, BeckRS 2021, 13879), kann angesichts dessen dahinstehen. Unabhängig hiervon steht dem Anspruch aber auch entgegen, dass es an jeglichem Vortrag des Klägers zu den Auswirkungen des behaupteten Datenverlusts fehlt. Der geltend gemachte immaterielle Schaden in Höhe von 10.000,00 € findet in seinem Vortrag keinerlei Stütze, sondern dient ersichtlich nur dazu, ein Drohpotential aufzubauen, um die Beklagte zu einer letztlich nicht gerechtfertigten Zahlung zu veranlassen.

III. 1. Die Kostenentscheidung folgt aus § 97 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Nr. 10, 711, 713 ZPO, für die nichtvermögensrechtlichen Ansprüche auf Auskunft und Unterlassung aus § 709 ZPO.

2. Gründe für die Zulassung der Revision sieht der Senat nicht. Auch eine Vorlage an den Europäischen Gerichtshof zur Auslegung des Begriffs der Einwilligung im Sinne der Art. 4 Nr. 11, 6 Abs. 1 lit a) DSGVO ist nicht geboten. Nach der Rechtsprechung des EuGH (EuGH NJW 1983, 1257 Rn. 21 – C. I. L. F. I. T.; EuGH BeckRS 2005, 70935 Rn. 16; stRspr) kann von einer Vorlage abgesehen werden, wenn feststeht, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair). Davon darf das innerstaatliche Gericht ausgehen, wenn es überzeugt ist, dass auch für die Gerichte der übrigen Mitgliedstaaten und für den EuGH die gleiche Gewissheit bestünde (st. Rspr., vgl. zuletzt BVerfG NJW 2021, 1005 Rn. 10, beck-online). So liegt der Fall hier. Der Senat geht angesichts der Formulierung in den Erwägungsgründen zur DSGVO, die das Verständnis des normsetzenden europäischen Gesetzgebers wiedergeben und für die Auslegung durch die Gerichte der Mitgliedsstaaten maßgeblich sind, von einer eindeutigen Rechtslage ("acte clair") aus; abweichende Auffassungen zur Zulässigkeit einer konkludenten Einwilligung werden in Literatur und Rechtsprechung – soweit ersichtlich – nicht vertreten.

3. Bei der Streitwertsetzung gemäß § 48 Abs. 2 GKG hat der Senat den Schadensersatzanspruch entsprechend dem Antrag des Klägers mit 10.000,00 €, die daneben haupt- und hilfsweise geltend gemachten Auskunftsansprüche mit 3.000,00 € bewertet, den Unterlassungsanspruch mit 2.000,00 € und den Herausgabeanspruch der Festplatte mit 35,00 €, da dies der unwidersprochen vorgetragene Wert der Festplatte ist.


Den Volltext der Entscheidung finden Sie hier:


OLG München: Reichweite des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO und des Anspruchs auf Kopien aus Art. 15 Abs. 3 DSGVO ist eher weit auszulegen

OLG München
Urteil vom 04.10.2021
3 U 2906/20


Das OLG München hat entschieden, dass die Reichweite des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO und des Anspruchs auf Kopien aus Art. 15 Abs. 3 DSGVO eher weit auszulegen ist.

Aus den Entscheidungsgründen:

"Das Landgericht München I hat die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilt, Art. 15 Abs. 3 DS-GVO.

4) Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten. Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH NJW 2021, 2726 m.w.Nachw.). Betreffend den bei den Beklagten befindlichen Daten lässt sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen. Schreiben und E-Mails der Klägerin an die Beklagten sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich die Klägerin jeweils entsprechend geäußert hat. Telefonnotizen, Aktenvermerke und Protokolle als interne Vermerke bei den Beklagten, die Informationen über die Klägerin enthalten, sind ebenfalls als personenbezogene Daten einzuordnen. Hier wird durch die Beklagten festgehalten, was die Klägerin telefonisch oder in persönlichen Gesprächen geäußert hat (vgl. nur BGH NJW 2021, 2726 Rn. 25).

4) Der datenschutzrechtliche Auskunftsanspruch des Klägers beurteilt sich nach dem seit dem 25.5.2018 unmittelbar anwendbaren Art. 15 DS-GVO beurteilt (Art. 99 Abs. 2 DS-GVO). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 S. 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Die Klägerin macht vorliegend nicht den Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO geltend, die entsprechende Auskunft haben die Beklagten bereits vorgerichtlich erteilt. Die Frage, ob aus Art. 15 Abs. 3 DS-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folgt, ist in Literatur und Rechtsprechung umstritten (vgl. zum Streitstand BeckOK DatenschutzR/Schmidt-Wudy, 37. Ed. 1.8.2021, DS-GVO Art. 15 Rn. 85 ff.; sowie zur Rechtsprechungsübersicht Leibold, ZD-Aktuell 2021, 05313)

4) Die von der Klageseite vorgelegte Entscheidung des BGH vom 15.06.2021 (BGH NJW 2021, 2726) beantwortet die Frage eines eigenständigen Anspruches nach Abs. 3 des Art. 15 DS-GVO nicht. Zwar äußert sich der BGH aaO. Rn. 17 dergestalt, dass eine Kopie zur Verfügung gestellt wird, da die Frage eines solchen Anspruchs in der Entscheidung nicht von Bedeutung war, nimmt der BGH dazu jedoch nicht abschließend Stellung.

4) Zum Teil wird ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach dem Wortlaut des Art. 15 Abs. 3 S. 1 DS-GVO hat die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Der Anspruch umfasst dem Wortlaut nach nicht über die personenbezogenen Daten hinausgehende Informationen. Nachdem der Auskunftsanspruch gem. Art. 15 Abs. 1 DS-GVO jedoch den Zweck verfolgt, es der betroffenen Person zu ermöglichen, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen, ist es nicht erforderlich, im Rahmen des Anspruchs auf Übermittlung einer Kopie der personenbezogenen Daten mehr zu übermitteln, als zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung erforderlich ist. Zu diesem Zwecke ist es jedoch ausreichend, dass die betroffene Person die in Art. 15 Abs. 1 lit. a bis h DS-GVO genannten Angaben in Kopie erhält. Weitergehende Informationen sind nicht erforderlich (OLG Stuttgart GRUR-RS 2021, 20480; LAG Baden-Württemberg NZA-RR 2021, 410 Rn. 47; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33-39), um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.

4) Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DS-GVO einen eigenständigen Herausgabeanspruch (OVG Münster, Urt. v. 8.6.2021 - 16 A 1582/20, BeckRS 2021, 13156; BeckOK DatenschutzR/Schmidt-Wudy, 35. Ed. 01.02.2021, DS-GVO Art. 15 Rn. 85; Ehmann/Selmayr/Ehmann, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 34; Zikesch/Sörup in ZD 2019, 239, beckonline). Innerhalb dieser Ansicht besteht über die Form der Überlassung wiederum Uneinigkeit, so wird zum Teil vertreten, dass sämtliche Rohdaten herausgegeben werden müssen (Ehmann/Selmayr/Ehmann aaO.), während anderer vertreten, dass eine Art „Registerauszug“ überlassen werden muss (Zikesch/SörupaaO.).

4) Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche, welche zwar denselben Gegenstand - personenbezogene Daten - betreffen, sich jedoch auf der Rechtsfolgenseite unterscheiden. Dies legt Wortlaut und Systematik der Vorschrift nahe. Indem der Verordnungs- und sich ihm anschließend der nationale Gesetzgeber einen eigenständigen Abs. 3 und nicht eine Ausgestaltung des Auskunftsanspruchs nach Abs. 1 formulierten, legt die Systematik nahe, dass es sich dabei um einen eigenen Anspruch handelt. Auch beinhaltet dem Wortlaut nach Abs. 3 eine Verpflichtung des Auskunftsverpflichteten, entsprechende Kopien zur Verfügung zu stellen. Dieser Verpflichtung muss jedoch korrespondierend die Möglichkeit des Auskunftsberechtigten gegenüberstehen, diese Verpflichtung auch durchzusetzen (vgl. Koreng, NJW 2021, 2692).

4) Der Gegenstand dieses Anspruchs richtet sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO enthalten ist. Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen (so auch Koreng aaO.). Ein notwendiger Schutz des Schuldners wird durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DS-GVO gewährleistet."


Den Volltext der Entscheidung finden Sie hier: