Skip to content

EuGH: Datenschutzrechtliche Vorgaben gelten auch für Religionsgemeinschaften die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten

EuGH
Urteil vom 10.07.2018
C-25/17
Tietosuojavaltuutettu / Jehovan todistajat – uskonnollinen yhdyskunta

Der EuGH hat entschieden, dass die datenschutzrechtlichen Vorgaben auch für Religionsgemeinschaften gelten, die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten. Vorliegend ging es um die Zeugen Jehovas.

Die Pressemitteilung des EuGH:

Eine Religionsgemeinschaft wie die der Zeugen Jehovas ist gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden

Die im Rahmen einer solchen Tätigkeit erfolgenden Verarbeitungen personenbezogener Daten müssen mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen im 17. September 2013 verbot die Tietosuojalautakunta (finnische Datenschutzkommission) der Jehovan todistajat – uskonnollinen yhdyskunta (Religionsgemeinschaft der Zeugen Jehovas in Finnland), im Rahmen der von ihren Mitgliedern von Tür zu Tür durchgeführten Verkündigungstätigkeit personenbezogene Daten zu erheben oder zu verarbeiten, ohne dass die rechtlichen Voraussetzungen der Verarbeitung solcher Daten eingehalten werden.

Die Mitglieder dieser Gemeinschaft machen sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können die Namen und Adressen der aufgesuchten Personen sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären. Die Gemeinschaft der Zeugen Jehovas und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den verkündigenden Mitgliedern aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen Jehovas eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet.

Das Vorabentscheidungsersuchen des Korkein hallinto-oikeus (Oberster Verwaltungsgerichtshof, Finnland) betrifft im Wesentlichen die Frage, ob die Gemeinschaft den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt, weil sich ihre Mitglieder bei der Ausübung ihrer Verkündigungstätigkeit von Tür zu Tür veranlasst sehen können, sich Notizen über den Inhalt ihrer Gespräche und insbesondere die religiöse Orientierung der von ihnen aufgesuchten Personen zu machen.

In seinem heute verkündeten Urteil stellt der Gerichtshof zunächst fest, dass die von den Mitgliedern der Gemeinschaft der Zeugen Jehovas von Tür zu Tür durchgehführte Verkündigungstätigkeit nicht unter die Ausnahmen fällt, die die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten vorsehen. Insbesondere ist diese Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit, für die diese Vorschriften nicht gelten. Der Umstand, dass die Verkündigungstätigkeit von Tür zu Tür durch das in Art. 10 Abs. 1 der Charta der Grundrechte der EU verankerte Grundrecht auf Gewissens- und Religionsfreiheit geschützt ist, verleiht ihr keinen ausschließlich persönlichen oder familiären Charakter, da sie über die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft hinausgeht.

Sodann weist der Gerichtshof einschränkend darauf hin, dass die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten nur dann auf die manuelle Verarbeitung von Daten anwendbar sind, wenn diese Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Da im vorliegenden Fall die Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, stellt sich die Frage, ob die verarbeiteten Daten in einer Datei gespeichert sind oder gespeichert
werden sollen. Insoweit gelangt der Gerichtshof zu dem Ergebnis, dass der Begriff „Datei“ jede Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so
strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

Demnach müssen die Verarbeitungen personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erfolgen, mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen. Zu der Frage, wer als für die Verarbeitung der personenbezogenen Daten Verantwortlicher angesehen werden kann, weist der Gerichtshof darauf hin, dass der Begriff „für die Verarbeitung Verantwortlicher“ mehrere an dieser Verarbeitung beteiligte Akteure betreffen kann, wobei dann jeder von ihnen den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt. Diese Akteure können in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Der Gerichtshof stellt außerdem fest, dass aus keiner Bestimmung des Unionsrechts geschlossen werden kann, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen muss. Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nimmt und damit an der Entscheidung
über die Zwecke und Mittel dieser Verarbeitung beteiligt ist, als für die Verarbeitung Verantwortlicher angesehen werden.

Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure nicht voraus, dass jeder von ihnen Zugang zu den personenbezogenen Daten hat. Im vorliegenden Fall ist davon auszugehen, dass die Gemeinschaft der Zeugen Jehovas dadurch, dass sie die Verkündigungstätigkeit ihrer Mitglieder organisiert und koordiniert und zu ihr ermuntert, gemeinsam mit ihren verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten der aufgesuchten Personen beteiligt ist, was jedoch das finnische Gericht anhand sämtlicher Umstände des vorliegenden
Falles zu beurteilen hat. Der in Art. 17 AEUV niedergelegte Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften stellt diese Würdigung nicht in Frage.

Der Gerichtshof gelangt zu dem Schluss, dass nach den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitung personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf die Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu dieser Datenverarbeitung gegeben hat.


Den Volltext der Entscheidung finden Sie hier:



SG München: Grundsatz der Datensparsamkeit gilt nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes

SG München
Urteil vom 21.06.2017
S 38 KA 1792/14


Das SG München hat entschieden, dass der Grundsatz der Datensparsamkeit nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes gilt.

Aus den Entscheidungsgründen:

Unstrittig dürfte sein, dass auch für den Notarzt eine Dokumentationspflicht besteht und mit „emDoc“ der gesetzliche Auftrag der Dokumentation in Art. 46 Abs. 1 BayRDG umgesetzt werden kann. Danach hat der Notarzt die Pflicht, die Einsätze und die dabei getroffenen aufgabenbezogenen Feststellungen und Maßnahmen zu dokumentieren. Die Dokumentation hat nach Art. 46 Abs. 3 BayRDG nach einheitlichen Grundsätzen zu erfolgen. Gemäß Art. 34 Abs. 8 BayRDG ist für den Vollzug der Abs. 2-7 und des Art. 35 (insbesondere Vollzug der Benutzungsentgeltvereinbarung) eine Zentrale Abrechnungsstelle eingeschaltet, die auch Auszahlungen auf die mit den Sozialversicherungsträgern vereinbarten oder rechtskräftig festgesetzten Kosten der Leistungserbringung an die Kassenärztliche Vereinigung Bayerns vornimmt (vgl. § 34 Abs. 8 Ziff. 5 BayRDG).

Die Einführung von “emDoc“ soll insbesondere dazu dienen, dass die gesetzlich vorgeschriebene Dokumentation (Art. 46 BayRDG) und deren Einheitlichkeit (Art. 46 Abs. 3 BayRDG) sichergestellt wird. Ferner soll sie dem Qualitätsmanagement dienen.

Wie die Dokumentation im Einzelnen für den Notarzt im Detail aussehen soll, ist allerdings gesetzlich nicht geregelt. Hierfür finden sich weder im Bayerischen Rettungsdienstgesetz (Art. 46, 47 BayRDG), noch in §§ zu 285, 294, 295 SGB V entsprechende Anhaltspunkte. In diesem Zusammenhang ist fraglich, ob die Grund-sätze der sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts (vgl. BVerfG Entscheidung vom 08.08.1978, Az. 2 BvL 8/77) und das rechtsstaatliche Gebot der Normenklarheit (vgl. BVerfG, Entscheidung vom 15.12.1983, Az. 1 BvR 209/83) eingehalten wurden.

Abgesehen davon ist die Zulässigkeit der Dokumentation nicht unbegrenzt, soweit es sich um die Erfassung personenbezogener Daten handelt. Nach Art. 47 Abs. 1 BayRDG dürfen personenbezogene Daten unter anderem nur erhoben werden, wenn dies für rettungsdienstliche Aufgaben (Art. 47 Abs. 1 Ziff. 1-6 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung erforderlich ist oder die betroffene Person eingewilligt hat. Damit wird wie in anderen gesetzlichen Regelungen (vgl. § 35 Abs. 2 SGB I i.V.m. § 67 a SGB X, § 284 Abs. 1 S. 1 SGB V, § 285 Abs. 1 und 2 SGB V) die Zulässigkeit der Erhebung von der Daten von der Erforderlichkeit abhängig gemacht. Die Erforderlichkeit der Datenerhebung nach Art. 47 Abs. 1 BayRDG ist von dem Grundsatz der Datensparsamkeit zu unterscheiden. Letzterer ist ausdrücklich in § 3a Bundesdatenschutzgesetz (BDSG) genannt. Dieser Grundsatz der Datensparsamkeit gilt jedoch im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes (BayRDG) nicht. Nach § 1 Abs. 3 BDSG gehen zwar nur andere Rechtsvorschriften des Bundes den Vorschriften des BDSG vor. Ein Nachrang gegenüber Landesgesetzen besteht somit nicht. Jedoch sind die allgemeinen Datenschutzregeln des § 285 Abs. 2 SGB V, die sich ebenfalls auf die Zulässigkeit der Erhebung personenbezogener Daten durch die Kassenärztliche Vereinigung beziehen und ebenfalls wie Art. 47 BayRDG auf die Erforderlichkeit, nicht aber die Datensparsamkeit abstellen, sowie die Datenschutzregeln des § 35 SGB I i.V.m. §§ 67 ff. SGB X heranzuziehen, so dass eine Anwendung von § 3a BDSG ausscheidet (vgl. LSG Baden-Württem-berg, Urteil vom 21.06.2016, L 11 KR 2510/15).

Nach Auffassung des Gerichts bestehen gegen die Dokumentation, wie sie in der aktuellen Fassung (Kurz-Fassung) vorgesehen ist, rechtliche Bedenken, insbesondere vor dem Hintergrund datenschutzrechtlicher Aspekte.

Zwar hat der Datenschutzbeauftragte in seiner Stellungnahme vom 12.01.2010 zum Projekt („emDoc“) die Auffassung geäußert, „die Erhebung und Speicherung personenbezogener Daten durch die KVB im Rahmen des Projekts „emDoc“ könne zur Erfüllung rettungsdienstlicher Aufgaben im Ergebnis als erforderlich angesehen werden. Außerdem wurde auf die Begründung zur Novelle des Bayerischen Rettungsdienstgesetzes hingewiesen. Dort sei zum Ausdruck gebracht worden, dass der Gesetzgeber eine Erhebung und Speicherung personenbezogener Daten zu den in Art. 47 genannten Zwecken für zulässig erachte, weil andernfalls ein zweiter Datensatz notwendig wäre und dies in der Praxis einen erheblichen Zeitaufwand bedeuten würde (siehe Landtags-Drucksache 15/10391, Anmerkungen zu Art. 47 - Datenschutz). Die Stellungnahme bezieht sich jedoch nicht auf die aktuelle Kurz-Fassung von „emDoc“. Außerdem ist sie für das Gericht nicht bindend.

Die Beklagte beruft sich insbesondere darauf, die in „emDoc“ vorgesehenen Daten seien im Hinblick auf die Abrechnung der erbrachten Leistungen bzw. aus Gründen der Qualitätssicherung notwendig. Damit beruft sie sich auf Art. 47 Abs. 1 Ziff. 2 bzw. auf Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG. Fraglich scheint zunächst, ob es sich bei den Angaben über die Einsatzzeit, die Kreisverbandsnummer, die Wache, die Auftragsnummer des Rettungstransportwagens, die PLZ, den Einsatzort und die Alarmierungszeit um personenbezogene Daten handelt. Denn ein direkter Zusammenhang mit einer bestimmten Person besteht nicht. Es reicht aber aus, dass es sich um personenbeziehbare Daten handelt (vgl. Kassler Kommentar, Komment. zum SGB, Rn 5 zu § 284 SGB V). Personenbeziehbare Daten sind personenbezogenen Daten gleichzusetzen. Kann beispielsweise durch Zusammenfügen von Daten auf eine bestimmte Person geschlossen werden, liegen personenbeziehbare Daten vor. Die geforderten Pflichtangaben in „emDoc“ lassen nach Auffassung des Gerichts in Gesamtschau befürchten, dass eine Identifizierung möglich ist.

Soweit sich die Beklagte auf Gründe der Qualitätssicherung (Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG) bezieht, lässt sich daraus aktuell eine Erforderlichkeit nicht herleiten. Denn die Beteiligten haben übereinstimmend angegeben, dass eine Dokumentation aus Gründen der Qualitätssicherung bis zur Neuregelung von „emDoc“ ausgesetzt wurde. Insofern widerspricht sich die Beklagte, wenn sie sich auf Gründe der Qualitätssicherung beruft.

Somit ist zu prüfen, ob die Dokumentation personenbeziehbarer Daten, die vom Kläger abverlangt wird, aus sonstigen rettungsdienstlichen Gründen - mit Ausnahme der Gründe der Qualitätssicherung - erforderlich ist. Die Beklagte hält die Erhebung der Daten insbesondere zur Abrechnung der erbrachten Leistungen (Art. 47 Abs. 1 Ziff. 2 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung für erforderlich.

Auch nach der hierzu von der Beklagten vom Gericht ausdrücklich angeforderten und abgegebenen Stellungnahme ist nicht nachvollziehbar, warum die Angaben, die vom Kläger abverlangt werden und von ihm beanstandet werden, zur Abrechnung der im Notarztdienst erbrachten Leistungen erforderlich sein sollen. Bedeutsam ist, dass auch im Datenschutzrecht der Verhältnismäßigkeitsgrundsatz gilt. Der in Art. 47 BayRDG formulierte Datenschutz als Ausfluss des Persönlichkeitsrechts von Art. 2, 1 Grundgesetz verlangt, dass die Einschränkung des Rechts auf informationelle Selbstbestimmung hinreichend aus Gründen des Allgemeinwohls gerechtfertigt wird, das gewählte Mittel zur Erreichung des Zwecks geeignet und erforderlich ist und bei der Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der rechtfertigen Gründe die Grenze des Zumutbaren noch gewahrt ist (vgl. BVerfG 65, 1,41 f.; 56, 37, 41ff.). Auszuschließen und mit Datenschutzrecht nicht vereinbar ist, wenn personenbezogene Daten zu noch nicht bestimmbaren Zwecken, quasi auf Vorrat gesammelt werden (vgl. Kassler Kommentar, Komment. zum SGB, Rn 7 zu § 284).

Die obligatorischen Angaben über die Nummer des Kreisverbands, Wache des Rettungswagen, Postleitzahl, Einsatzort, Auftragsnummer der Leitstelle für den Rettungswagen dienen nach Auffassung des Gerichts nicht der Abrechnung der Leistungen des Notarztes, sondern vielmehr, wie von der Beklagten eingeräumt wird, allenfalls dem Datenabgleich bei der Zentralen Abrechnungsstelle für den Rettungsdienst Bayern GmbH (ZAST). Die Aufgabe der ZAST, einer juristischen Person des Privatrechts besteht nach Art. 34 Abs. 8 BayRDG u.a. darin, die Abrechnung der Einsätze aller Durchführenden des öffentlichen Rettungsdienstes gegenüber den Kostenträgern durchzuführen. So sind auch Auszahlungen an die Kassenärztliche Vereinigung Bayerns vorzunehmen. Ein Abgleich der Daten des Notarztes einerseits und der sonstigen Durchführenden des Rettungsdienstes ist aber speziell zur Abrechnung der Leistungen des Notarztes nicht erforderlich und nicht von Art. 47 Abs. 1 BayRDG bzw. §§ 285 Abs. 2, 295 Abs. 1 SGB V gedeckt. Letztendlich führt die „Zwischenschaltung“ der ZAST, die gesetzlich zwar in Art. 34 Abs. 8 BayRDG vorgesehen ist, dazu, dass ein „Mehr“ an Daten u.U. erforderlich ist. Diese „Zwischenschaltung“ rechtfertigt aber nicht das Erfordernis der Erhebung dieser Daten. Im Gegenteil! Je mehr Stellen die Daten zugänglich gemacht werden bzw. zugänglich zu machen sind, umso mehr besteht die Gefahr des Datenmissbrauchs. Deshalb sind bei dieser Konstellation an die Erforderlichkeit der Datenerhebung äußerst strenge Maßstäbe zu stellen. Im Übrigen erscheint die Aussage der Beklagten, die Angaben dienten der „Verifizierung“ des Einsatzes, sehr pauschal, zumal auch Art. 47 Abs. 1 Ziff. 2 BayRDG nicht von einer „Verifizierung“, sondern von der „Abwicklung“ des Einsatzes spricht. Davon abgesehen kann es nicht Aufgabe des Notarztes sein, im Nachhinein ihm zunächst nicht bekannte Daten (Kreisverbandsnummer, Nummer der Rettungswache) zu erfragen.

Ebensowenig besteht eine Erforderlichkeit der Angaben über Alarmzeit und Zeit des Einsatzendes, Postleitzahl und Einsatzort zu Abrechnungszwecken. Diese Angaben mögen bestimmte Vergütungszuschläge auslösen, sind aber nicht abrechnungsrelevant. Wenn hierzu keine Angaben gemacht werden, entfällt ein etwaiger Zuschlag. Gegen eine freiwillige Angabe - wenn also der Notarzt auch Zuschläge abrechnen will - bestehen aber keine rechtlichen Bedenken.


Den Volltext der Entscheidung finden Sie hier:



Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DFK) hat sich mit einer Entschließung vom 06.06.2018 zur EuGH-Entscheidung vom 05.06.2017 - C-210/16 (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) geäußert. Nach Ansicht der DSK ist ein rechtskonformer Betrieb einer Facebook-Fanpage bzw. Facebook-Seite derzeit nicht möglich, da die Nutzer ohne Mitwirkung von Facebook keine datenschutzkonforme Seite vorhalten können.

Die Mitteilung der DSK:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.



EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

EuGH
Urteil vom 05.06.2018
C-210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ./, Wirtschaftsakademie Schleswig-Holstein GmbH


Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.

Entscheidend ist für den EuGH, dass der Betreiber einer Facebook-Seite "durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. " Ob dies generell bei Einrichtung einer Facebook-Seite der Fall ist oder die Nutzung weiterer Facebook-Funktionen erfordert, lässt der EuGH leider nicht genau erkennen. Sollten der EuGH generell die Einrichtung der Seite genügen lassen, könnten Facebook-Seiten / Facebook-Fanpages praktisch nicht mehr rechtskonform betrieben werden. Die Datenschutzbehörden sind - so der EuGH - jedenfalls befugt, in diesem Zusammenhang tätig zu werden.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.


Die Pressemitteilung des EuGH:

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen

Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46. In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese
Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats
gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen
Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.



LG Bonn: Alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain verstößt gegen DSGVO

LG Bonn
Beschluss vom 29.05.2018
10 O 171/18


Das LG Bonn hat im Rahmen eines von der ICANN eingeleiteten einstweiligen Verfügungsverfahrens entschieden, dass die alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain gegen die Vorgaben der DSGVO verstößt und mithin unzulässig ist. Die Erhebung und Speicherung des Domaininhabers ist - so das Gericht - ausreichend.

Aus den Entscheidungsgründen:

Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vorschriften zu halten hat. Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mitgeltendem Recht stehen, § 242 BGB.

Gemessen an der Regelung des Art 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit c), ist ein hinreichendes Bedürfnis Im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.

Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all Jene Funktionen auf sich vereinigen kann.

Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des . Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können. Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener
Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die • Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht. Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.

Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.









LG Nürnberg: Freundschaftsportal StayFriends - Unzulässige Datenschutzbestimmungen - Voreingestellte Einwilligung in Veröffentlichung auf Suchmaschinen und Drittseiten unwirksam

LG Nürnberg
Urteil vom 18.04.2018
7 O 6829/17


Das LG Nürnberg hat entschieden, dass die Datenschutzbestimmunen des Freundschaftsportals StayFriends in Teilen unzulässig und zugleich Widersprüchlich sind. Zudem sah der Anmeldevorgang vor, dass die Option für die Einwilligung dafür, dass die Daten des Nutzers in Suchmaschinen und auf Drittseiten veröffentlicht werden, voreingestellt war, so dass der Nutzer diese Option hätte abwählen müssen. Die Einwilligung muss aber durch ein aktives Handeln des Nutzers erfolgen.

Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend und damit Verstoß gegen deutsches Datenschutzrecht - Werbung mit „Facebook ist und bleibt kostenlos" zulässig

LG Berlin
Urteil vom 16.01.2018
16 O 341/15


Das LG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und somit eine Verstoß gegen deutsches Datenschutzrecht vorliegt. Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das Gericht - hingegen zulässig und keine Irreführung.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des vzbv:

"Facebook verstößt gegen deutsches Datenschutzrecht

Voreinstellungen im Privatsphäre-Bereich bedürfen einer informierten Einwilligung der Verbraucher.
Klausel zur Klarnamenpflicht und weitere AGB sind unzulässig. Werbung „Facebook ist und bleibt kostenlos“ ist nicht irreführend.

Facebook verstößt mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Die Einwilligungen zur Datennutzung, die sich das Unternehmen einholt, sind nach dem Urteil teilweise unwirksam.

„Facebook versteckt datenschutzunfreundliche Voreinstellungen in seinem Privatsphäre-Center, ohne bei der Registrierung ausreichend darüber zu informieren“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Das reicht für eine informierte Einwilligung nicht aus.“

Kritische Voreinstellungen schon aktiviert
Nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten nur mit Zustimmung der Betroffenen erhoben und verwendet werden. Damit diese bewusst entscheiden können, müssen Anbieter klar und verständlich über Art, Umfang und Zweck der Datennutzung informieren.

Diese Anforderungen erfüllte Facebook nicht. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das persönliche Facebook-Profil für jeden schnell und leicht auffindbar. Die Richter entschieden, dass alle fünf vom vzbv monierten Voreinstellungen auf Facebook unwirksam sind. Es sei nicht gewährleistet, dass diese vom Nutzer überhaupt zur Kenntnis genommen werden.

Zu weit reichende Einwilligung zum Nutzen von Daten
Das Landgericht Berlin erklärte außerdem acht Klauseln in den Nutzungsbedingungen für unwirksam. Diese enthielten unter anderem vorformulierte Einwilligungserklärungen, wonach Facebook Namen und Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen und deren Daten in die USA weiterleiten durfte. Die Richter stellten klar, dass mit solchen vorformulierten Erklärungen keine wirksame Zustimmung zur Datennutzung erteilt werden könne.

Unzulässig ist auch eine Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, so Dünkel. „Das schreibt das Telemediengesetz vor.“ Nach Auffassung des Landgerichts war Klarnamenpflicht schon deshalb unzulässig, weil Nutzer damit versteckt der Verwendung dieser Daten zustimmten.

Werbung „Facebook ist kostenlos" ist zulässig
Nicht durchsetzen konnte sich der vzbv gegen die Werbung, Facebook sei kostenlos. Der Werbespruch ist nach Ansicht des Verbands irreführend. „Verbraucher bezahlen die Facebook-Nutzung zwar nicht in Euro, aber mit ihren Daten. Und diese bringen dem Unternehmen viel Geld ein“, so Dünkel. Das Landgericht Berlin hält die Werbung dagegen für zulässig, immaterielle Gegenleistungen seien nicht als Kosten anzusehen. Die Richter lehnten außerdem mehrere Anträge des vzbv gegen Bestimmungen in der Facebook-Datenrichtlinie ab. Die Richtlinie enthalte fast nur Hinweise und Informationen zur Verfahrensweise des Unternehmens und keine vertraglichen Regelungen.

Soweit das Gericht die Klage abgewiesen hat, wird der vzbv Berufung zum Kammergericht einlegen.

Urteil des Landgerichts Berlin vom 16.01.2018, Az. 16 O 341/15 – nicht rechtskräftig"



EuGH: Keine Sammelklage gegen Facebook mit abgetretenen Ansprüche durch Maximilian Schrems - Klage in Österreich gegen Facebook Irland für eigen Ansprüche möglich

EuGH
Urteil vom 25.01.2018
C-498/16
Maximilian Schrems / Facebook Ireland Limited


Der EuGH hat entschieden, dass Herr Maximilian Schrems keine Sammelklage gegen Facebook mit abgetretenen Ansprüche einlegen kann. Er kann jedoch in Österreich gegen Facebook Irland eigen Ansprüche im Klagewege durchsetzen und sich dabei auf den Verbrauchergerichtsstand berufen.

Die Pressemitteilung des EuGH:

Herr Schrems kann wegen eigener Ansprüche in Österreich Klage gegen Facebook Ireland erheben

Hingegen kann er nicht als Zessionar von Ansprüchen anderer Verbraucher den Verbrauchergerichtsstand in Anspruch nehmen, um die abgetretenen Ansprüche geltend zu machen

Herr Maximilian Schrems, der in Österreich wohnt, hat vor den österreichischen Gerichten Klage gegen Facebook Ireland (im Folgenden: Facebook) erhoben. Er wirft Facebook zahlreiche Verstöße gegen datenschutzrechtliche Regelungen im Zusammenhang mit seinem privaten Facebook-Konto und den Konten von sieben weiteren Nutzern vor, die ihm ihre Ansprüche
zwecks Klageerhebung abgetreten haben. Bei den anderen Nutzern soll es sich ebenfalls um Verbraucher handeln, die in Österreich, Deutschland und Indien wohnen. Herr Schrems begehrt von den österreichischen Gerichten insbesondere die Feststellung der Unwirksamkeit bestimmter Vertragsklauseln sowie die Verurteilung von Facebook zur Unterlassung der Verwendung der streitgegenständlichen Daten zu eigenen Zwecken bzw. zu Zwecken Dritter sowie zur Leistung von
Schadenersatz.

Facebook bestreitet die internationale Zuständigkeit der österreichischen Gerichte. Ihrer Ansicht nach kann Herr Schrems nicht die unionsrechtliche Regel in Anspruch nehmen, die es Verbrauchern erlaubt, einen ausländischen Vertragspartner vor den Gerichten ihres Wohnsitzes zu verklagen (im Folgenden: Verbrauchergerichtsstand). Da Herr Schrems nämlich Faceboook auch
beruflich nutze (insbesondere mittels einer der Information über sein Vorgehen gegen Facebook gewidmeten Facebook-Seite4
), könne er nicht als Verbraucher angesehen werden. Auf die abgetretenen Ansprüche sei der Verbrauchergerichtsstand nicht anwendbar, da er nicht übertragbar sei.

Vor diesem Hintergrund ersucht der Oberste Gerichtshof (Österreich) den Gerichtshof um Klarstellung der Voraussetzungen für die Geltendmachung des Verbrauchergerichtsstands. Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Nutzer eines privaten Facebook-Kontos die Verbrauchereigenschaft nicht verliert, wenn er Bücher publiziert, Vorträge hält, Websites betreibt, Spenden sammelt und sich die Ansprüche zahlreicher Verbraucher abtreten lässt, um sie gerichtlich geltend zu machen.

Seit 2010 widmet Herr Schrems ein Facebook-Konto nur seinen privaten Aktivitäten. Darüber hinaus hat er 2011 eine Facebook-Seite eröffnet, um i) die Internetnutzer über sein Vorgehen gegen Facebook, seine Vorträge, seine Teilnahmen an Podiumsdiskussionen und seine Medienauftritte zu informieren, ii) zu Spenden aufzurufen und iii) für seine Bücher zu werben.
Darüber hinaus hat sich Herr Schrems die Ansprüche von über 25 000 Personen aus der ganzen Welt abtreten lassen,
um sie gerichtlich geltend zu machen.

Dagegen kann der Verbrauchergerichtsstand nicht für die Klage eines Verbrauchers in Anspruch genommen werden, mit der er am Klägergerichtsstand nicht nur seine eigenen Ansprüche geltend macht, sondern auch Ansprüche, die von anderen Verbrauchern mit Wohnsitz im gleichen Mitgliedstaat, in anderen Mitgliedstaaten oder in Drittstaaten abgetreten
wurden.

Zur Einstufung als Verbraucher führt der Gerichtshof aus, dass der Verbrauchergerichtsstand grundsätzlich nur dann Anwendung findet, wenn der Zweck des zwischen den Parteien geschlossenen Vertrags nicht in der beruflichen oder gewerblichen Verwendung des Gegenstands oder der Dienstleistung besteht, auf die sich der Vertrag bezieht. Bei Diensten eines sozialen Online-Netzwerks, die auf eine langfristige Nutzung ausgelegt sind, ist die weitere Entwicklung der
Nutzung der betreffenden Dienste zu berücksichtigen.

Somit könnte sich ein Kläger, der solche Dienste nutzt, nur dann auf die Verbrauchereigenschaft berufen, wenn die im Wesentlichen nicht berufliche Nutzung dieser Dienste, für die er ursprünglich einen Vertrag abgeschlossen hat, später keinen im Wesentlichen beruflichen Charakter erlangt hat.

Da der Verbraucherbegriff aber in Abgrenzung zum Unternehmerbegriff definiert wird und von den Kenntnissen und Informationen, über die die betreffende Person tatsächlich verfügt, unabhängig ist, nehmen ihr weder die Expertise, die diese Person im Bereich der betreffenden Dienste erwerben kann, noch ihr Engagement bei der Vertretung der Rechte und Interessen der Nutzer solcher Dienste die Verbrauchereigenschaft. Eine Auslegung des Verbraucherbegriffs, die solche Tätigkeiten ausschließt, würde nämlich darauf hinauslaufen, eine effektive Verteidigung der Rechte, die den Verbrauchern gegenüber ihren gewerblichen Vertragspartnern zustehen, einschließlich der Rechte auf Schutz ihrer personenbezogenen Daten zu verhindern.

Den Volltext der Entscheidung finden Sie hier:



Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten rechtskräftig

Eine Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung von Nutzerdaten ist nunmehr rechtskräftig.


Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Verfahren zu den Privatsphärebestimmungen von Google abgeschlossen – Anordnung des HmbBfDI hat Bestand

Das Klageverfahren der Google LLC vor dem Verwaltungsgericht Hamburg gegen die bereits 2014 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) erlassene Anordnung auf Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten wurde nunmehr durch Gerichtsbeschluss eingestellt. Dadurch konnte ein europaweit koordiniertes Verfahren zu einem für die Betroffenen guten Ausgang gebracht werden.

Aus Anlass der Neuformulierung der Datenschutzerklärung durch Google im Jahr 2012 beauftragte die europäische Art.-29-Datenschutzgruppe eine Task-Force unter Leitung der Französischen Datenschutzaufsichtsbehörde CNIL. Diese hatte die Aufgabe, die Rechtmäßigkeit der Datenverarbeitung durch das Unternehmen zu untersuchen und die datenschutzrechtlichen Anforderungen nach Maßgabe der jeweiligen nationalen Gesetze durchzusetzen. An dieser Task-Force war neben den Aufsichtsbehörden Großbritanniens, Italiens, der Niederlande und Spaniens auch der HmbBfDI beteiligt, da Google seinen deutschen Sitz in Hamburg hat. Der HmbBfDI sah in der Bildung von umfassenden Nutzerprofilen durch das Unternehmen mittels der aus den verschiedenen Diensten gesammelten Informationen einen massiven und tiefgreifenden Eingriff in die Interessen und schutzwürdigen Rechte der Betroffenen. Auch die Art.-29-Datenschutzgruppe kam zu dem Ergebnis, dass neben unzureichender Transparenz über Art und Umfang der Datenverarbeitung Google keine hinreichende Rechtsgrundlage für die Zusammenführung der Daten nachweisen konnte. Daraufhin erließ der HmbBfDI eine entsprechende Anordnung mit der Verpflichtung des Unternehmens, die notwendigen Maßnahmen zur Stärkung des Datenschutzes zu ergreifen. Hierzu zählte insbesondere die Forderung nach einer Einwilligung der Nutzer für die diensteübergreifende Datenverarbeitung durch Google.

Obwohl Google gegen diese Anordnung Rechtsmittel einlegte, hat sich der Konzern zeitgleich in eine Abstimmung mit den beteiligten Aufsichtsbehörden begeben und umfassende Maßnahmen ergriffen, um die erforderliche Rechtsgrundlage zu schaffen und die Transparenz und Kontrolle für die Nutzer zu verbessern. Es ist daher nun konsequent, dass das Klageverfahren gegen die Anordnung für alle Beteiligten nunmehr ressourcenschonend beendet werden konnte. Die Anordnung HmbBfDI ist damit rechtskräftig und muss durch Google beachtet werden. Das Verfahren gegen den HmbBfDI war das letzte, das im nationalen Recht der Task Force Mitglieder noch rechtshängig war. Alle anderen Verfahren hatten bereits zuvor ihren Abschluss gefunden.

Dazu Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit: „Mit dem aus unserer Sicht erfreulichen Abschluss dieses europaweit koordinierten und bis dahin wohl einmaligen Verfahrens haben wir gemeinsam mit den anderen Aufsichtsbehörden ein deutliches Zeichen an Google und vergleichbare Unternehmen gesendet. Es wurden dabei Standards für eine Stärkung der Transparenz und zum Schutz des informationellen Selbstbestimmungsrechts der Nutzer gesetzt, hinter die die Anbieter künftig nicht mehr zurückfallen dürfen. Wer in Europa mit der Verarbeitung personenbezogener Daten Geld verdienen möchte, muss sich an die hier herrschenden Spielregeln halten. Diese Aussage wird insbesondere ab Mai 2018 unter den Regeln der einheitlichen Datenschutzgrundverordnung mit Nachdruck fortgelten. Die europäische Koordination bei der Kontrolle der Einhaltung des Datenschutzes wird künftig nicht mehr die Ausnahme, sondern der Regelfall sein. Gerade mit Blick auf die Einwilligung gilt dann EU-weit ein strikteres Koppelungsverbot, das die Marktmacht globaler Anbieter noch stärker begrenzt.“


LG Frankfurt: Recht auf Vergessenwerden - Google muss 6 Jahre alten Pressebericht über Geschäftsführertätigkeit nicht entfernen wenn Informationsinteresse überwiegt

LG Frankfurt
Urteil vom 26.10.2017
2-03 O 190/16


Das LG Frankfurt hat entschieden, dass der Suchmaschinenbetreiber Google einen 6 Jahre alten Pressebericht über die Geschäftsführertätigkeit des Betroffenen nicht entfernen muss, da das Gericht im vorliegenden Fall eine überwiegendes Informationsinteresse der Öffentlichkeit angenommen hat. Insofern besteht - so das Gericht - weder ein Anspruch aus dem vom EuGH entwickelten Recht auf Vergessenwerden noch aus sonstigen datenschutzrechtlichen Anspruchsgrundlagen.

Die Entscheidung:

Tenor:
Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits hat der Kläger zu tragen.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand
Die Parteien streiten um Ansprüche auf Entfernung von Suchergebnissen wegen angeblich rechtsverletzender Inhalte.

Der Kläger war bis April 2012 Geschäftsführer des A, der über 500 Beschäftigte und mehr als 35.000 Mitglieder hat und bundesweit der zweitgrößte Regionalverband des A ist. Der A organisiert und finanziert Bauprojekte, Einrichtungen und Pflegedienste.

Die Beklagte zu 2) betreibt die Suchmaschine Google, die Beklagte zu 1) ist eine deutsche Zweigniederlassung der Beklagten zu 2). Als Admin-C der Domain www.google.de ist Frau C eingetragen, für die als "Organisation" die Beklagte zu 1) angegeben ist. Frau C ist laut LinkedIn Mitarbeiterin der Beklagten zu 2).

Im Jahr 2011 wies der A ein finanzielles Defizit von knapp einer Million Euro auf. Der Kläger meldete sich kurz zuvor aufgrund gesundheitlicher Probleme krank.

Über die finanzielle Schieflage berichtete die Presse wiederholt, teils unter Nennung des Klägers, auf das Anlagenkonvolut K1, Bl. 10 ff. d.A., wird wegen des Inhalts der Berichterstattung Bezug genommen. In der Berichterstattung der F vom 10.03.2012 heißt es beispielsweise (Bl. 11 d.A.):

...

Der Kläger verwendete am 17.05.2015 ein Formular der Suchmaschine und verlangte die Entfernung von Links (Anlage K3, Bl. 24 d.A.). Er habe ein Recht auf Anonymität. Mit E-Mail vom 01.09.2015 verlangte der vorgerichtlich Bevollmächtigte des Klägers erneut Löschung. Die Beklagte zu 2) kam dem Ansinnen teilweise nach, nicht aber in Bezug auf die hier streitgegenständlichen Links.

Der Kläger trägt vor, dass bei Eingabe seines Vor- und Zunamens in die Suchmaschine Google die im Klageantrag genannten URLs aufgezeigt werden.

Der Kläger behauptet, die Beklagte zu 1) sei ebenfalls Betreiberin der Suchmaschine Google.

Der Kläger ist der Auffassung, dass er die Entfernung der streitgegenständlichen Suchergebnisse auf Grundlage des vom EuGH postulierten "Rechts auf Vergessenwerden" verlangen könne. Die Anzeige der Links beeinträchtige ihn in seinem Persönlichkeitsrecht. Die zugrundeliegenden Vorfälle seien mittlerweile sechs Jahre her, der letzte Artikel immerhin vier Jahre. Die streitgegenständlichen Artikel enthielten Angaben zur Gesundheit des Klägers. Er könne seinen Anspruch auch auf §§ 35 i.V.m. 28, 29 BDSG stützen.

Die Beklagte zu 1) sei jedenfalls Störerin. Die Beklagten seien personell miteinander verflochten, so dass auch die Beklagte zu 1) in Anspruch genommen werden könne.

Der Kläger beantragt nach teilweiser Umstellung seines Antrages,

die Beklagten zu verurteilen, es bei Meldung von Ordnungsgeld bis zu EUR 250.000,-, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten für jeden Fall der Zuwiderhandlung zu unterlassen, folgende URLs bei den Suchergebnissen Ihrer Suchmaschine in Deutschland bei einer Suche nach dem Vor- und Zunamen des Klägers, sowohl isoliert als auch in Verbindung mit den geographischen Angaben Frankfurt und/oder Wetterau und/oder Offenbach und/oder Karben und/oder Marburg, anzuzeigen:

...

wenn dies geschieht wie in den Suchanfragen in Anlage K1.

Die Beklagten beantragen,

die Klage abzuweisen.

Die Beklagten behaupten, die Beklagte zu 1) sei nicht in der Lage, die Anzeige der streitgegenständlichen Suchergebnisse zu unterlassen. Die Entscheidung über die Sperre von Links liege allein bei der Beklagten zu 2).

Die Beklagten sind der Auffassung, die Klage sei unzulässig, da der Klageantrag unverständlich und unvollständig sei.

Der Kläger habe nicht dargelegt, dass eine "isolierte" Suche nach seinem Namen zu den streitgegenständlichen Suchergebnissen führe. Es werde bestritten, dass der Kläger die streitgegenständlichen Links bei einer isolierten Suche nach seinem Namen aufgefunden habe. Die Beklagte zu 1) sei nicht passivlegitimiert, da sie keine Suchmaschine betreibe.

Der Kläger könne nicht verlangen, dass Suchergebnisse bei Suche nach seinem Namen in Verbindung mit geographischen Angaben entfernt würden, sondern ausschließlich bei Suche nach seinem Namen.

Der Anspruch auf Löschung nach § 35 BDSG sei abschließend. Die Entscheidung des EuGH "Google Spain" könne auf Presseartikel nicht übertragen werden. Der Kläger habe nicht hinreichend konkret auf eine Rechtsverletzung hingewiesen. Es fehle an einer offensichtlichen Rechtsverletzung.

Eine Abwägung falle hier zu Gunsten der Beklagten aus. Die vom Kläger monierten Äußerungen gäben wahre Tatsachen wieder. Sie beträfen den Kläger lediglich in seiner Sozialsphäre. Über den konkreten gesundheitlichen Zustand des Klägers werde nichts offenbart, sensible Gesundheitsdaten im Sinne von § 35 Abs. 2 Nr. 2 BDSG lägen nicht vor. Es bestehe ein erhebliches öffentliches Interesse an der Berichterstattung. Die Vorfälle lägen noch nicht lange zurück. Der Kläger müsse zunächst die Betreiber der angegriffenen Webseiten in Anspruch nehmen. Die Beklagte sei nach §§ 8 oder 9 TMG von der Haftung freigestellt.

Wegen der weiteren Einzelheiten wird ergänzend auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie den sonstigen Akteninhalt Bezug genommen.

Entscheidungsgründe
Die Klage ist zulässig.

Entgegen der Auffassung der Beklagten ist die Klage nicht aus dem Grunde wegen eines Verstoßes gegen § 253 Abs. 2 Nr. 2 ZPO unzulässig, dass der Klageantrag unvollständig und unverständlich sei, u.a., weil nicht klar sei, was mit den "und/oder"-Verknüpfungen gemeint sei. Der Antrag ist jedenfalls in der in der mit Schriftsatz vom 20.10.2016 gestellten Fassung hinreichend bestimmt und verständlich. Insoweit ist zur Auslegung auch die Klagebegründung zu beachten. Hieraus ergibt sich hinreichend deutlich, dass das Begehren des Klägers darin besteht, dass einerseits bei einer Suche nach seinem Vor- und Zunamen und andererseits bei einer Suche nach einer Kombination seines Vor- und Zunamens jeweils mit einem der im Antrag genannten Orten die streitgegenständlichen Links im Suchergebnis nicht angezeigt werden sollen.

Soweit die Beklagten rügen, dass der Kläger nicht dargelegt habe, welche Äußerungen er im Einzelnen für rechtswidrig halte und der Klageantrag deshalb über das Ziel hinausschieße, betrifft dies eine Frage der Begründetheit, nicht der Zulässigkeit.

Wenn die Beklagten ferner rügen, dass der Kläger gar nicht dargelegt habe, dass bei einer "isolierten" Suche nach seinem Vor- und Zunamen die streitgegenständlichen Links angezeigt werden, betrifft auch dies allein die Begründetheit. Im Übrigen hat der Kläger dies vorgetragen und die Beklagten haben dies nicht bestritten, sondern lediglich fehlenden Vortrag gerügt.

Die Klage ist aber unbegründet. Der Kläger hat aus keinem rechtlichen Grund einen Anspruch gegen die Beklagten auf Unterlassung der Anzeige der streitgegenständlichen Links.

1. Die Beklagte zu 1) ist insoweit bereits nicht passivlegitimiert. Der Kläger hat zunächst vorgetragen, dass die Beklagte zu 1) die Suchmaschine Google betreibe (S. 4 der Klageschrift, Bl. 4 d.A.), sich sodann aber darauf bezogen, dass die Beklagte zu 1) eine Zweigniederlassung der Beklagten zu 2) sei, die die Suchmaschine betreibe. Deshalb sei die Beklagte zu 1) Störerin (S. 8 der Klageschrift, Bl. 8 d.A.). Die Beklagte zu 1) hat vorgetragen, dass sie die Suchmaschine Google nicht betreibe und die Entscheidung, welche Suchergebnisse angezeigt werden, allein der Beklagten zu 2) obliege.

Der Kläger hat sich sodann darauf berufen, dass zwischen den Beklagten eine personelle Verflechtung bestehe und insbesondere, dass als Admin-C Frau C eingetragen sei, für die bei der DeNIC als "Organisation" die Beklagte zu 1) genannt sei. Allerdings hat der Kläger auch vorgetragen, dass Frau C nach seinen Erkenntnissen bei der Beklagten zu 2) tätig ist. Jedenfalls hafte die Beklagte zu 1) aufgrund ihrer Eigenschaft als Admin-C als Störerin.

Mit seinem Vortrag hat der Kläger, der insoweit darlegungs- und beweisbelastet ist, während der Beklagten zu 1) diesbezüglich eine sekundäre Darlegungslast obliegen kann, die hier erfüllt wäre, nicht hinreichend dargelegt, dass die Beklagte zu 1), die der Kläger selbst als Zweigniederlassung bezeichnet, Entscheidungsgewalt über die in der Suchmaschine angezeigten Ergebnisse hat. Der Kläger hat keine konkreten Anhaltspunkte dafür vorgetragen, dass die Beklagte zu 1), die - wie der Kammer u.a. aus der "Google Spain"-Entscheidung des EuGH (EuGH GRUR 2014, 895 - Google Spain) bekannt ist - nur eines von mehreren Tochterunternehmen der Beklagten zu 2) bzw. der Alphabet-Gruppe ist, Einfluss auf Suchergebnisse nehmen kann. Dementsprechend kann die Beklagte zu 1) auch nicht als Störerin für die vorgetragenen Rechtsverletzungen der Beklagten zu 2) haften (vgl. insoweit auch OLG Köln, Urt. v. 16.10.2016 - 15 U 173/15, Rn. 134 ff. - juris; LG Wiesbaden, Urt. v. 09.08.2016 - 4 O 7/15, Anlagenkonvolut B3, Bl. 63 d.A.; LG Berlin CR 2015, 124 [LG Berlin 21.08.2014 - 27 O 293/14]; LG Hamburg, Urt. v. 29.01.2016 - 324 O 456/14 Rn. 38 f. - juris).

Die Beklagte zu 1) haftet auch nicht aus dem Grunde als Störerin, dass sie als Admin-C für die Domain www.google.de eingetragen ist. Zum einen ist schon nach dem Vortrag des Klägers als Admin-C nicht die Beklagte zu 1) eingetragen, sondern Frau C, die für die Beklagte zu 2) tätig sein soll. Zum anderen ist allein die Stellung als Admin-C nicht ausreichend für eine Haftung als Störer.

2. Der Kläger kann auch von der Beklagten zu 2) nicht aus den §§ 823 Abs. 1, 1004 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG die begehrte Unterlassung der weiteren Anzeige der streitgegenständlichen Links verlangen. Denn die Rechte des Klägers auf Anonymität und informationelle Selbstbestimmung als Ausprägungen seines allgemeinen Persönlichkeitsrechts werden durch die Beklagte zu 2) bei Abwägung der vorliegenden widerstreitenden Interessen nicht rechtswidrig verletzt.

a. Das allgemeine Persönlichkeitsrecht der Klägerin ist vorliegend durch die von der Beklagten zu 2) erstellte Ergebnisliste mit den streitgegenständlichen Treffern beeinträchtigt. Denn das allgemeine Persönlichkeitsrecht beinhaltet das Recht des Einzelnen, in gewählter Anonymität zu bleiben und die eigene Person nicht in der Öffentlichkeit dargestellt zu sehen. Das Recht auf informationelle Selbstbestimmung flankiert und erweitert den grundrechtlichen Schutz von Verhaltensfreiheit und Privatheit. Es umfasst die aus dem Gedanken der Selbstbestimmung folgende Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden (BGH GRUR 2014, 200 [BGH 05.11.2013 - VI ZR 304/12] Rn. 11 - Mascha S.).

Nach der Rechtsprechung des EuGH kann der Betreiber einer Suchmaschine aus dem Grund auf Entfernung von Suchergebnissen haften, dass er eine zusätzliche Beeinträchtigung des Betroffenen durch die Anzeige der Daten verursacht, weil der Suchmaschinenbetreiber in der Masse der im Internet vorhandenen Informationen dem Nutzer überhaupt erst die strukturierte Auffindbarkeit personenbezogener Daten ermöglicht (EuGH GRUR 2014, 895 Rn. 35 - Google Spain). Dabei kann die Organisation und Aggregation der im Internet veröffentlichten Informationen bei einer anhand des Namens einer natürlichen Person durchgeführten Suche dazu führen, dass die Nutzer der Suchmaschinen mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen erhalten, anhand dessen sie ein mehr oder weniger detailliertes Profil der Person erstellen können (EuGH GRUR 2014, 895 Rn. 37 - Google Spain). Die Anzeige solcher Informationen in einem Suchergebnis kann daher auf der Grundlage des "Rechts auf Vergessenwerden" eine zu unterlassende Persönlichkeitsrechtsverletzung darstellen.

b. Der Anspruch des Klägers gegen die Beklagte zu 2) ist auch nicht bereits aus dem Grunde ausgeschlossen, dass sich die Beklagte zu 2) vorliegend auf die Privilegierung der §§ 8, 9 TMG berufen könnte und ihre Haftung bereits aus diesem Grunde ausscheidet (im Ergebnis offen gelassen OLG Köln, Urt. v. 13.10.2016 - 15 U 189/15, BeckRS 2016, 18916 Rn. 91 ff.).

Zunächst ist festzustellen, dass nach ständiger Rechtsprechung die §§ 8 ff. TMG nicht auf Unterlassungsansprüche Anwendung finden (BGH GRUR 2007, 724 - Meinungsforum; BGH GRUR 2009, 1093 - Focus Online; BGH GRUR 2012, 311 - Blog-Eintrag). Der EuGH hat diese Auffassung im Hinblick auf die auch §§ 8-10 TMG zu Grunde liegenden Art. 12-15 der E-Commerce-Richtlinie 2000/31/EG grundsätzlich bestätigt (EuGH EuZW 2016, 821 - McFadden; näher dazu LG Frankfurt a.M., Urt. v. 09.02.2017 - 2-03 S 16/16, ZD 2017, 391).

Insoweit kann sich die Beklagte zu 2) auch nicht darauf berufen, dass der Gesetzgeber im Rahmen des 3. TMG-ÄndG die Haftungsprivilegierung des § 8 Abs. 1 TMG auf Unterlassungsansprüche ausweiten wollte (BT-Drs. 18/12202; BT-Drs. 18/12496). Dieses Gesetz war zwar beschlossen, aber bis zum Zeitpunkt des Schlusses der mündlichen Verhandlung noch nicht im Bundesgesetzblatt veröffentlicht und damit nicht in Kraft getreten. Das Gesetz gilt erst ab dem 13.10.2017. Dieser Umstand ist im Termin zur mündlichen Verhandlung erörtert worden.

Unabhängig davon, ob § 8 Abs. 1 TMG in der Fassung des 3. TMG-ÄndG in Kraft ist, kann sich die Beklagte zu 2) im Rahmen des hiesigen Klagebegehrens nicht auf die Haftungsprivilegierung des § 8 Abs. 1 TMG berufen. Access Provider nach § 8 TMG ist, wer fremde Informationen in einem Kommunikationsnetz übermittelt oder zu diesen den Zugang vermittelt und die Übermittlung nicht veranlasst, den Adressaten der übermittelten Informationen nicht ausgewählt und die übermittelten Informationen nicht ausgewählt oder verändert hat. Grundlage für die Privilegierung ist, dass der Access Provider sich im Hinblick auf die betroffenen Informationen in einer neutralen Rolle befindet (vgl. OLG Köln, Urt. v. 13.10.2016 - 15 U 189/15, BeckRS 2016, 18916 Rn. 109; LG Frankfurt a.M., Urt. v. 09.02.2017 - 2-03 S 16/16, ZD 2017, 391; zum Kriterium der Neutralität von Intermediären im Rahmen der Art. 12-15 E-Commerce-Richtlinie Ohly, ZUM 2015, 308).

Es fehlt hier bereits am Merkmal der "Übermittlung fremder Informationen in einem Kommunikationsnetz". Im Streit steht vorliegend nämlich nicht der Vorgang der Übermittlung fremder Informationen, worunter man möglicherweise noch den Vorgang der reinen Verlinkung ansehen könnte, wenn der Nutzer auf einen konkreten Link klickt, sondern die Anzeige bestimmter Links in einer Ergebnisliste. Diese Ergebnisliste besteht - wie aus der Akte ersichtlich und der Kammer bekannt ist - aus Links und kurzen "Snippets" aus dem Inhalt der hinter den Links liegenden Seiten. Diese Inhalte übermittelt die Beklagte zu 2) - wie der Kammer bekannt ist - nicht vom Server des Dritten, der die verlinkte Webseite ins Internet gestellt hat, sondern von ihren eigenen Servern, da sie die entsprechenden Informationen auf ihren eigenen Servern gespeichert und indexiert hat (vgl. auch Sieber/Liesching, Die Verantwortlichkeit der Suchmaschinenbetreiber nach dem Telemediengesetz, MMR-Beil. 2007, 1, 14). Wenn überhaupt, könnte sich die Beklagte daher allenfalls auf die Privilegierung des § 9 TMG berufen, der die Zwischenspeicherung von Daten Dritter umfasst (ebenso Sieber/Liesching, Die Verantwortlichkeit der Suchmaschinenbetreiber nach dem Telemediengesetz, MMR-Beil. 2007, 1, 15 ff., 29), aber Unterlassungsansprüche nicht erfasst (s.o.).

Es fehlt darüber hinaus - in Auslegung von § 8 Abs. 1 TMG nach Wortlaut, Systematik und Sinn und Zweck - in Bezug auf die Anzeige der Ergebnisliste daran, dass die Beklagte zu 2) Informationen "nicht auswählt". Anders als derjenige, der den Zugang zum Internet anbietet, vermittelt die Beklagte zu 2) nicht nur in rein neutraler Funktion den Zugang und wäre deshalb als "neutral" anzusehen, weil ein Zugriff auf die Masse an Informationen im Internet ohne Suchmaschinen kaum möglich ist. Die Beklagte zu 2) speichert und wählt die Informationen in der Ergebnisliste vielmehr - in gewissem Rahmen - selbst aus. Nach ihren eigenen Bekundungen, die der Kammer bekannt sind, zeigt die Beklagte zu 2) ihren Nutzern auf deren Interessen abgestimmte Informationen an, so dass sich das Suchergebnis je nach Person des Suchenden unterscheiden kann. Nicht jeder Nutzer bekommt bei der Suche nach einem Suchbegriff eine identische Ergebnisliste. Vielmehr werden bestimmte - möglicherweise für andere Personen relevantere - Informationen weggelassen oder erst später in den Ergebnislisten aufgeführt und andere dafür angezeigt. Auch ist der Kammer bekannt, dass die Beklagte zu 2) ihren Suchalgorithmus z.B. anpasst, um trotz der Anstrengungen von Anbietern, die für Kunden Webseiten derart gestalten, dass sie möglichst weit oben in den Ergebnislisten stehen ("Search Engine Optimization", SEO), den Suchenden möglichst "relevante" Ergebnisse zu präsentieren. Auch die EU-Kommission wirft der Beklagten zu 2) vor, dass sie in 13 Ländern des Europäischen Wirtschaftsraums ihre marktbeherrschende Stellung als Suchmaschine missbraucht habe, indem sie den eigenen Preisvergleichsdienst in den Suchergebnissen bevorzugt habe (EU-Kommission, MEMO/17/1785, http://europa.eu/rapid/press-release_MEMO-17-1785_de.htm) und hat hierfür eine Geldbuße verhängt, was ebenfalls dafür spricht, dass die Beklagte zu 2) Einfluss auf die Suchergebnisse hat.

Der Kläger hat im Schriftsatz vom 13.09.2017 auch vorgetragen, dass die Beklagte zu 2) Einfluss auf die Suchergebnisse nimmt. Die Beklagte zu 2) hat hierauf nicht mehr erwidert. In Anbetracht der oben dargestellten Umstände ist daher festzustellen, dass die Beklagte zu 2) den Informationen, die sie in ihren Suchergebnissen darstellt, nicht rein neutral gegenübersteht, sondern selbst Einfluss auf die Auswahl der übermittelten Daten nimmt (vgl. auch näher LG Frankfurt a.M., Urt. v. 09.02.2017 - 2-03 S 16/16, ZD 2017, 391; zur - hier fehlenden - Neutralität von Suchmaschinen vgl. auch Trentmann, CR 2017, 26, 28 m.w.N.).

Im Übrigen wird dieses Ergebnis auch durch eine historische Auslegung gestützt. Die Frage, ob der Suchmaschinenbetreiber sich auf § 8 Abs. 1 TMG berufen kann, ist bereits seit längerer Zeit umstritten (vgl. nur Sieber/Liesching, Die Verantwortlichkeit der Suchmaschinenbetreiber nach dem Telemediengesetz, MMR-Beil. 2007, 1 m.w.N.). Der Gesetzgeber hat sich im Jahr 2016 entschieden, in § 8 Abs. 3 TMG klarzustellen, dass Betreiber von öffentlichen Funknetzwerken (WLAN) in den Anwendungsbereich von § 8 Abs. 1 TMG fallen sollen (BT-Drs. 18/6745). Hätte der Gesetzgeber das Anzeigen von Suchergebnissen durch Suchmaschinen in den (streitigen) Anwendungsbereich des § 8 Abs. 1 TMG einschließen wollen, hätte er dies zu diesem Zeitpunkt tun können. Ferner hat der Gesetzgeber erst kürzlich entschieden, den Anwendungsbereich von § 8 Abs. 1 TMG auf Unterlassungsansprüche zu erweitern. In diesem Zusammenhang war ausschließlich von der Haftung des Betreibers von WLANs nach § 8 Abs. 3 TMG sowie von "klassischen" Access Providern die Rede, nicht aber von Suchmaschinen (vgl. BT-Drs. 18/12202; BT-Drs. 18/12496). Die Ausweitung der Privilegierung auch für Ergebnislisten der Suchmaschinenbetreiber war offensichtlich nicht beabsichtigt.

Im Rahmen des hier geltend gemachten Anspruchs ist die Beklagte zu 2) daher nicht entsprechend § 8 Abs. 1 TMG privilegiert (vgl. ebenso OLG Celle CR 2017, 551 [OLG Celle 01.06.2017 - 13 U 178/16]; OLG Köln, Urt. v. 13.10.2016 - 15 U 189/15, BeckRS 2016, 18916 Rn. 91 ff.; LG Frankfurt a.M., Urt. v. 09.02.2017 - 2-03 S 16/16, ZD 2017, 391; Spindler/Schuster-Mann/Smid, Recht der elektronischen Medien, 3. Aufl. 2015, Kap. PresseR Rn. 79 m.w.N.; Spindler/Schuster-Hoffmann, a.a.O., § 8 TMG Rn. 24; Sieber/Liesching, Die Verantwortlichkeit der Suchmaschinenbetreiber nach dem Telemediengesetz, MMR-Beil. 2007, 1, 29; die von der Beklagten zu 2) in Bezug genommene Entscheidung des OLG Köln, Urt. v. 10.08.2017 - 15 U 188/16, Anlage B10, Bl. 265 d.A., hat eine Nähe zum Access Provider zwar in der Abwägung berücksichtigt, die Frage aber letztlich ebenfalls offen gelassen).

Es ist im Übrigen auch vor dem Hintergrund, dass der EuGH den auf das "Recht auf Vergessenwerden" gestützten Anspruch aus der Datenschutzrichtlinie 95/46/EG abgeleitet hat, fraglich, ob sich die Beklagte zu 2) für diesen Anspruch auf die erweiterte Privilegierung des § 8 Abs. 1 TMG berufen könnte. Nach Art. 1 Abs. 5 lit. b) der E-Commerce-Richtlinie 2000/31/EG findet die E-Commerce-Richtlinie nämlich keine Anwendung auf Fragen betreffend die Dienste der Informationsgesellschaft, die von den Richtlinien 95/46/EG und 97/66/EG erfasst werden. Gemäß dem dies erläuternden ErwGr 40 der E-Commerce-Richtlinie 2000/31/EG ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ausschließlich Gegenstand der Datenschutzrichtlinie 95/46/EG. Wenn man also davon ausgeht, dass es sich beim Anspruch aus dem "Recht auf Vergessenwerden", auch wenn er vorliegend über §§ 823, 1004 BGB i.V.m. dem allgemeinen Persönlichkeitsrecht verankert wird, um einen originär datenschutzrechtlichen Anspruch handelt, wofür auch die Neuregelung in Art. 17 Abs. 1 DS-GVO spricht (dazu Trentmann, CR 2017, 26; Sydow/Peuker, DS-GVO, Art. 17 Rn. 11 ff.) könnte es für die Beklagte zu 2) ausgeschlossen sein, sich auf Art. 12 der E-Commerce-Richtlinie 2000/31/EG, der § 8 Abs. 1 TMG zu Grunde liegt, zu berufen (vgl. auch Sartor, IDPL 2013, Vol. 3, No. 1, 3, der für einen vermittelnden Ansatz plädiert). Hierfür könnte auch sprechen, dass der EuGH weder in der Sache "Google Spain" (EuGH GRUR 2014, 895 - Google Spain) noch in der Sache "Manni" (EuGH CR 2017, 395 - Manni) die Privilegierungen in Art. 12-15 der E-Commerce-Richtlinie 2000/31/EG erwähnt hat, obwohl dort jeweils die Beklagte zu 2) als Intermediärin Partei war.

c. Der Kläger kann von der Beklagten dennoch nicht die begehrte Unterlassung verlangen, da die Beklagte zu 2) nicht als Störerin anzusehen ist. Mittelbarer Störer ist, wer, ohne unmittelbarer Störer zu sein in irgendeiner Weise willentlich und adäquat kausal zur Beeinträchtigung des Rechtsguts beiträgt. Dabei kann als Beitrag auch die Unterstützung oder Ausnutzung der Handlung eines eigenverantwortlich handelnden Dritten genügen, sofern der in Anspruch Genommene die rechtliche und tatsächliche Möglichkeit zur Verhinderung dieser Handlung hatte (BGH GRUR 2016, 104 [BGH 28.07.2015 - VI ZR 340/14]). Die Haftung als mittelbarer Störer darf aber nicht über Gebühr auf Dritte erstreckt werden, die die rechtswidrige Beeinträchtigung nicht selbst vorgenommen haben. Sie setzt deshalb die Verletzung von Verhaltenspflichten, insbesondere von Prüfpflichten, voraus. Deren Umfang bestimmt sich danach, ob und inwieweit dem als mittelbaren Störer in Anspruch Genommenen nach den Umständen des Einzelfalls eine Verhinderung der Verletzung zuzumuten ist (BGH GRUR 2016, 855 - Ärztebewertungsportal III m.w.N.). Dies gilt auch für den Betreiber einer Suchmaschine (vgl. BGH GRUR 2010, 628 - Vorschaubilder I; OLG Köln NJOZ 2016, 1814 Rn. 51).

aa. Eine Haftung des Suchmaschinenbetreibers greift deshalb erst, wenn der Betreiber einer Suchmaschine konkret auf die Rechtsverletzung hingewiesen worden ist und für den Betreiber hierdurch die behauptete Rechtsverletzung im Rahmen seiner Prüfung offensichtlich erkennbar ist (LG Frankfurt a.M., Urt. v. 09.02.2017 - 2-03 S 16/16, ZD 2017, 391). Das Inkenntnissetzungsschreiben des Betroffenen muss daher so detailliert über den Sachverhalt informieren, dass sich die behauptete Rechtsverletzung sowohl in tatsächlicher Hinsicht eindeutig darstellt als auch in rechtlicher Hinsicht die nicht hinzunehmende Beeinträchtigung des Betroffenen auf der Hand liegt. Auf Grund dieser Anforderungen darf sich der Betroffene folglich nicht darauf beschränken, die beanstandeten Links zu nennen und zu behaupten, er werde durch die Inhalte auf den durch die Links nachgewiesenen Seiten in seinen Persönlichkeitsrechten verletzt (OLG Köln NJOZ 2016, 1814 Rn. 70). Ausreichend kann insoweit im Klageverfahren auch die Inkenntnissetzung durch die Klagebegründung sein (OLG Köln, Urt. v. 10.08.2017 - 15 U 188/16, S. 16, Anlage B10, Bl. 265 d.A.). Diese Anforderungen sind hier erfüllt, nachdem der Kläger die streitgegenständlichen Links und die dahinter liegenden Inhalte moniert und sich insoweit auf eine Verletzung seines allgemeinen Persönlichkeitsrechts und einen Anspruch auf Grundlage des "Rechts auf Vergessenwerden" berufen hat.

bb. Der Kläger stützt seinen Anspruch auf eine Verletzung seines Persönlichkeitsrechts. Wegen der Eigenart des Persönlichkeitsrechts als Rahmenrecht liegt seine Reichweite nicht absolut fest, sondern muss erst durch eine Abwägung der widerstreitenden grundrechtlich geschützten Belange bestimmt werden, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention (EMRK) interpretationsleitend zu berücksichtigen sind. Der Eingriff in das Persönlichkeitsrecht ist daher grundsätzlich nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt (BGH GRUR 2016, 855 - Ärztebewertungsportal III m.w.N.).

Auf Seiten des Betreibers einer Suchmaschine ist das eigene wirtschaftliche Interesse am Betrieb der Suchmaschine zu berücksichtigen, das für sich allein die grundrechtlich geschützte Position des Klägers nicht überwiegen kann. Darüber hinaus kann sich die Beklagte zu 2) zwar nicht selbst auf das Grundrecht aus Art. 5 Abs. 1 GG berufen. Denn anders als beim Betrieb eines Bewertungsportals, welches aus Sicht des Nutzers den Anspruch erhebt, ein vollständiges Bild über die abgegebenen und den vorgegebenen Richtlinien entsprechenden Nutzerbewertungen zu zeichnen, besteht die Arbeit einer Suchmaschine in einer rein technischen Verbreitung, deren Schutz durch Art. 5 Abs. 1 GG jedenfalls fraglich sein dürfte (OLG Köln, Urt. v. 31.05.2016 - 15 U 197/15, Rn. 62 m.w.N.). Allerdings sind auf Seiten der Beklagten zu 2) die durch den Betreiber einer Suchmaschine gewährleisteten Rechte der Autoren und Seiteninhaber zu berücksichtigen, deren Recht aus Art. 5 Abs. 1 GG auch den Anspruch beinhaltet, mit ihrer Meinung gehört bzw. gefunden zu werden, bei Medienorganen ferner das Recht auf Pressefreiheit nach Art. 5 Abs. 1 GG. Weiter sind die Ansprüche der Nutzer zu berücksichtigen, die sich im Rahmen ihrer Suche über im Netz vorgehaltene Inhalte informieren wollen (LG Frankfurt a.M., Urt. v. 09.02.2017 - 2-03 S 16/16, ZD 2017, 391).

cc. Die hiernach gebotene Abwägung fällt vorliegend zu Lasten des Klägers aus.

Der Kläger wendet sich im Wesentlichen dagegen, dass bei Suche nach seinem Namen durch die Beklagte zu 2) offenbart wird, dass er im Jahr 2011, als der A in finanzielle Schwierigkeiten geriet, deren Geschäftsführer war, ferner, dass er aufgrund einer Erkrankung nicht erreichbar war, wobei die Erkrankung länger dauerte und eine Rehabilitationsmaßnahme erforderlich machte. Diese über ihn getätigten Angaben sind sämtlich wahr.

Durch die betroffenen Angaben und die Anzeige der streitgegenständlichen Links in den Suchergebnissen ist der Kläger in seinem allgemeinen Persönlichkeitsrecht betroffen. Die Beeinträchtigung ist aber in der Abwägung der konkreten Umstände des Einzelfalls nicht als rechtswidrig anzusehen.

Insoweit ist zu berücksichtigen, dass der Umstand, dass der Kläger Geschäftsführer des A war, der Sozialsphäre des Klägers entstammt (zum Anspruch der ehemaligen Geschäftsführerin einer Gesellschaft, über die kritisch berichtet wurde OLG Celle NJW-RR 2017, 362 [OLG Celle 29.12.2016 - 13 U 85/16] Rn. 16; ähnlich bei OLG Köln, Urt. v. 31.05.2016 - 15 U 197/15, Rn. 59 - juris; LG Berlin NJOZ 2016, 534; vgl. zum Recht auf Vergessenwerden bei Daten aus der Sozialsphäre auch OLG Köln, Urt. v. 10.08.2017 - 15 U 188/16; OLG Köln NJOZ 2016, 1814; OLG Celle, Urt. v. 01.06.2017 - 13 U 178/16 Rn. 21 - juris).

Weiter ist einzustellen, dass - wie auch die umfassende Berichterstattung gezeigt hat - ein erhebliches öffentliches Interesse daran besteht, wenn und vor welchem Hintergrund über eine finanzielle Schieflage des A berichtet wird. Denn der A als Ganzes ist in der Öffentlichkeit überaus bekannt und für vielfältige soziale Tätigkeiten von Bedeutung. Dass also ein großer Regionalverband des A finanzielle Schwierigkeiten hat, kann eine Vielzahl von Personen unmittelbar betreffen, die von diesen Dienstleistungen abhängig sind.

Zu Gunsten des Klägers war aber zu berücksichtigen, dass es sich bei der Angabe, dass der Kläger - längerfristig - erkrankt war, um besondere Daten im Sinne von § 3 Abs. 9 BDSG, nämlich Gesundheitsdaten, handelt. Die Veröffentlichung von besonderen Daten im Sinne von § 3 Abs. 9 BDSG ist nämlich geeignet, den Betroffenen in besonderem Maße zu beeinträchtigen (vgl. ErwGr 33 der Datenschutzrichtlinie 95/46/EG). Dies ist auch im Rahmen des "Rechts auf Vergessenwerden" einzubeziehen (Art. 29-Gruppe, WP 225, S. 5 f., 17).

Zu den Gesundheitsdaten gehören nicht nur einzelne Krankheiten sowie Ablauf und Inhalt einer medizinischen Behandlung, sondern auch die Angabe, ob eine bestimmte Person (inzwischen) genesen oder überhaupt völlig gesund ist (Simitis, BDSG, 8. Aufl. 2014, § 3 Rn. 260 m.w.N.). "Sensitiv" sind in diesem Zusammenhang alle Angaben, die direkt oder indirekt Informationen zur Gesundheit vermitteln (Simitis, a.a.O., § 3 Rn. 263 m.w.N.). Die Betroffenheit von Gesundheitsdaten an sich führt jedoch nicht dazu, dass die Verwendung der Daten per se unzulässig ist (ebenso Hof Den Haag, Urt. v. 23.05.2017, ECLI:NL:GHDHA:2017:1360; wohl auch Art. 29-Gruppe, WP 225, S. 5 f., 17; zur Problematik eingehend Kulk/Borgesius, Privacy, Freedom of Expression, and the Right to Be Forgotten in Europe, in: Polonetsky/Tene/Selinger, Cambridge Handbook of Consumer Privacy, abrufbar unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2923722 m.w.N.). Vielmehr ist auch insoweit eine Abwägung im Einzelfall geboten (vgl. BGH GRUR 2017, 304 Rn. 9 ff., 15 ff., 26 ff. - Michael Schumacher). So hat der BGH beispielsweise darauf abgestellt, ob durch eine Berichterstattung über den gesundheitlichen Zustand eines ehemaligen Rennfahrers dem Leser konkrete Informationen über die (vermeintlichen) Auswirkungen eines erlittenen Schädel-Hirn-Traumas auf den Gesundheitszustand und über das genaue Ausmaß der gesundheitlichen Beeinträchtigungen vermittelt wird (BGH GRUR 2017, 304 Rn. 11 - Michael Schumacher). Solch konkrete Angaben hätten in der Öffentlichkeit nichts zu suchen (BGH GRUR 2017, 304 Rn. 16 - Michael Schumacher). Zu berücksichtigen kann insoweit auch sein, ob der Betroffene selbst Angaben zu seinem Gesundheitszustand veröffentlicht und diese damit selbst der Öffentlichkeit preisgegeben hat (BGH GRUR 2017, 304 Rn. 13 - Michael Schumacher). Eine solche Selbstöffnung soll in Bezug auf die dem Leser konkret vermittelten Informationen aber nicht bereits dann vorliegen, wenn der Betroffene nur allgemeine Angaben zu seinem Gesundheitszustand gemacht hat (BGH a.a.O.). Weiter kann in die Abwägung das öffentliche Interesse an den Angaben auch zum Gesundheitszustand einzustellen sein (BGH GRUR 2017, 304 [BGH 29.11.2016 - VI ZR 382/15] Rn. 27 - Michael Schumacher).

Die Angaben zur Erkrankung des Klägers sind vorliegend wenig konkret. Offenbart wird lediglich, dass der Kläger länger erkrankt ist und "Reha-Maßnahmen" durchführt. Zwar handelt es sich um Gesundheitsdaten, jedoch gerade nicht um Angaben, die das genaue Ausmaß der gesundheitlichen Beeinträchtigungen des Klägers offenbaren. Das hohe öffentliche Interesse an der Berichterstattung über die finanzielle Schieflage des A umfasst hier - auch aufgrund der Art und Weise der Berichterstattung - auch die gesundheitsbezogenen Angaben. In der Berichterstattung wird insbesondere darauf Bezug genommen, dass der Kläger in der aktuellen Schieflage nicht zur Verfügung stehe. Der Landesgeschäftsführer des A wird mit den Aussagen wiedergegeben, dass aufgrund der Erkrankung lediglich schriftlicher Kontakt bestehe, ein persönliches Gespräch aber vorteilhaft gewesen wäre. Es fehle jemand, der Auskunft geben kann. An diesen Angaben und dem zu Grunde liegenden Sachverhalt, nämlich der Erkrankung des Klägers, besteht ebenfalls ein hohes öffentliches Interesse, da das Fehlen des Geschäftsführers des A in einer Krisensituation und seine Verfügbarkeit als Auskunftsperson über die Hintergründe der finanziellen Schieflage auch die Frage betreffen, ob und wie schnell der A die finanzielle Schieflage überwinden und seinen Aufgaben weiter nachgehen kann.

Nach alledem muss der Kläger vorliegend die Anzeige der streitgegenständlichen Suchergebnisse durch die Beklagte zu 2) hinnehmen.

dd. Auch unter Berücksichtigung des "Rechts auf Vergessenwerden" und der Rechtsprechung des EuGH fällt die Abwägung nicht zu Gunsten des Klägers aus. Denn auch insoweit überwiegt das öffentliche Interesse an der Auffindbarkeit der betroffenen Artikel das Interesse des Klägers an deren Nichtauffindbarkeit. In diesem Zusammenhang ist zusätzlich einzustellen, dass der Vorfall hier sechs Jahre zurück liegt, die letzte Berichterstattung sogar lediglich ca. vier Jahre. Der Fall "Google Spain" des EuGH betraf hingegen Angaben zum dortigen Kläger, die immerhin 16 Jahre zurück lagen und deren Informationszweck bereits erfüllt war. In der Rechtsprechung sind bisher Löschungsbegehren erörtert worden, bei denen der betroffene Vorfall - bei jeweils bestehendem öffentlichen Interesse - jeweils lediglich vier (LG Wiesbaden, Urt. v. 09.08.2016 - 4 O 7/15, Anlagenkonvolut B3, Bl. 63 d.A.), sechs (OLG Köln, Urt. v. 31.05.2016 - 15 U 197/15), sieben (OLG Celle NJW-RR 2017, 362 [OLG Celle 29.12.2016 - 13 U 85/16]) oder acht Jahre (OLG Köln, Urt. v. 10.08.2017 - 15 U 188/16, Anlage B10, Bl. 265 d.A.) zurück lag. Diese wurden jeweils aufgrund des fehlenden hinreichenden Zeitablaufs nicht nach dem "Recht auf Vergessenwerden" als begründet angesehen. So war dies aus den oben genannten Gründen auch hier zu berurteilen.

3. Der Kläger kann von der Beklagten zu 2) auch nicht aus den §§ 1004, 823 Abs. 2 BGB i.V.m. § 29 BDSG die Unterlassung der Anzeige der beanstandeten Suchergebnisse verlangen.

Zwar hat die Beklagte zu 2) personenbezogene Daten des Klägers erhoben, verarbeitet und übermittelt. Die geschäftsmäßige Erhebung der Daten zum Zwecke der Übermittlung ist jedoch nach § 29 Abs. 1 Nr. 2 BDSG zulässig, deren Übermittlung durch die Beklagte an die Nutzer in Form einer Ergebnisliste nach § 29 Abs. 2 BDSG.

a. Vorliegend ist auf die Nutzung der Daten durch die Beklagte zu 2) § 29 BDSG und nicht § 28 BDSG anwendbar (vgl. insoweit OLG Köln, Urt. v. 31.05.2016 -15 U 197/15 Rn. 88 ff. m.w.N.).

b. Nach § 29 Abs. 1 Nr. 2 BDSG ist das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt. Dies war hier der Fall, nachdem die Angaben über den Kläger in im Internet abrufbaren Veröffentlichungen zugänglich gemacht wurden. Das Interesse des Klägers als Betroffenem überwiegt insoweit nicht. Auf die obigen Ausführungen wird verwiesen.

c. Auch die Datenübermittlung durch die Beklagte zu 2) an die Nutzer war zulässig. Nach § 29 Abs. 2 BDSG ist die Übermittlung im Rahmen der Zwecke nach § 29 Abs. 1 BDSG zulässig, wenn der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.

Insoweit ist nach der Rechtsprechung in verfassungskonformer Auslegung von § 29 Abs. 2 BDSG in Abweichung vom Wortlaut der Regelung nicht erforderlich, dass die Nutzer einer Suchmaschine an den übermittelten Informationen ein berechtigtes Interesse glaubhaft darlegen können, da § 29 Abs.1 S. 2 BDSG bei Suchmaschinen - ebenso wie bei Bewertungsportalen - dahingehend auszulegen ist, dass es auf eine Abwägung des Persönlichkeitsrechts des Betroffenen mit dem Informationsinteresse der Suchmaschinennutzer und dem Interesse des Suchmaschinenbetreibers an einer Übermittlung der Daten führt (OLG Köln, Urt. v. 31.05.2016 - 15 U 197/15 Rn. 95 ff. unter Bezug auf BGH NJW 2009, 2888 - spickmich.de).

Der Übermittlung der Daten durch die Beklagte zu 2) an die anfragenden Nutzer stehen schutzwürdige Interessen des Klägers nicht entgegen. Schutzwürdige Interessen des Betroffenen, die bei der im Rahmen von § 29 Abs. 2 Nr. 2 BDSG vorzunehmenden Abwägung zu berücksichtigen sind, können in der Wahrung seines Persönlichkeitsrechts, aber auch in der Abwehr von wirtschaftlichen Nachteilen liegen, die bei der Veröffentlichung der Daten zu besorgen sind. Bietet die am Verhältnismäßigkeitsgrundsatz ausgerichtete Abwägung keinen Grund zu der Annahme, dass die Übermittlung der in Frage stehenden Daten zu dem damit verfolgten Zweck schutzwürdige Belange des Betroffenen beeinträchtigt, ist die Übermittlung zulässig.

Es ist daher auch hier eine Abwägung des allgemeinen Persönlichkeitsrechts des Klägers, des wirtschaftlichen Interesses der Beklagten zu 2) sowie der von ihrer Tätigkeit ermöglichten bzw. unterstützten Rechte auf Presse-, Informations- und Kommunikationsfreiheit der Nutzer nach Art. 5 Abs. 1 GG vorzunehmen. Diese Abwägung fällt ebenfalls zu Lasten des Klägers aus, auf die obigen Ausführungen wird Bezug genommen. Dies gilt auch mit Blick auf die EuGH-Entscheidung "Google Spain".

4. Der Kläger kann von der Beklagten auch nicht gestützt auf § 35 Abs. 1 BDSG die Unterlassung der Anzeige der streitgegenständlichen Links verlangen.

Der in § 35 Abs. 1 BDSG normierte Anspruch auf Löschung personenbezogener Daten, entspricht nicht dem Rechtsschutzziel des Klägers. Er macht keine Verpflichtung der Beklagten geltend, eine eventuell vorhandene statische Ergebnisliste in ihrem Speicher zu löschen, sondern will unter Berufung auf das "Recht auf Vergessenwerden" erreichen, dass die Beklagte zu 2) bei Eingabe der beanstandeten Suchbegriffe im Rahmen einer Internetsuche den Nutzern bestimmte Ergebnisse nicht mehr anzeigt. Insofern kann ein Löschungsanspruch der Klägerin, der sich lediglich auf die auf den Servern der Beklagten vorgehaltenen Informationen beziehen kann, dieses Ziel nicht erreichen. Denn da die Tätigkeit der von der Beklagten betriebenen Suchmaschine einen dynamischen Prozess darstellt, bei dem das Internet wiederholt durchsucht und indexiert und hiervon ausgehend jeweils eine (neue) Ergebnisliste erstellt wird, würde die Beklagte zu 2) nach Löschung der beanstandeten Treffer von ihren Servern nach dem nächsten Indexierungsvorgang und bei einer erneuten Suche diesen Treffer wieder an die Nutzer übermitteln können. Ein solches Verhalten kann lediglich mit einem Unterlassungsanspruch verhindert werden, da die Beklagte zu 2) dann verpflichtet wäre, dafür zu sorgen, dass der entsprechende Treffer bei einer erneuten Suche künftig nicht mehr auf der Ergebnisliste erscheint (vgl. OLG Köln, Urt. v. 31.05.2016 - 15 U 197/15, Rn. 105).

Schon vor diesem Hintergrund war auch dem Argument der Beklagten zu 2), dass § 35 BDSG abschließend sei und andere Ansprüche ohnehin schon ausschieden, nicht zu folgen.

5. Es kam im Ergebnis auch nicht mehr darauf an, ob der Anspruch gegen die Beklagte zu 2) lediglich subsidiär geltend gemacht werden kann (in diesem Sinne OLG Köln, Urt. v. 10.08.2017 - 15 U 188/16, das von einer Ähnlichkeit von Suchmaschinen zu Access Providern ausgeht, dazu BGH GRUR 2016, 268 - Störerhaftung des Access Providers; gegen eine Subsidiarität OLG Celle CR 2017, 551 [OLG Celle 01.06.2017 - 13 U 178/16] Rn. 15). Allerdings hat der EuGH in seiner Entscheidung "Google Spain" deutlich gemacht, dass durch die Anzeige der Suchergebnisse in Suchmaschinen ein eigener, sogar intensiverer Eingriff besteht als bei der Ursprungsveröffentlichung (EuGH GRUR 2014, 895 Rn. 37 f. - Google Spain). Dies begründet er insbesondere durch die Möglichkeit, dass der Nutzer durch die aggregierte und konzentrierte Information bei Suchmaschinen zu einer Person die Gefahr einer Profilbildung bestehe (EuGH GRUR 2014, 895 Rn. 37 f. - Google Spain). Wenn jedoch dem Suchmaschinenbetreiber eine eigene, sogar intensivere Beeinträchtigung des Persönlichkeitsrecht des Betroffenen vorzuwerfen ist, kann der

Cookie-Einwilligung - BGH legt EuGH Fragen zu Voraussetzungen und Anforderungen hinsichtlich der Belehrung über Verwendung von Cookies vor

BGH
Beschluss vom 05.10.2017
I ZR 7/16
Cookie-Einwilligung
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 6 Abs. 1 Buchst. a; UKlaG
§ 1; BGB § 307; TMG § 12 Abs. 1, § 13 Abs. 1, § 15 Abs. 3


Wann und in welcher Form bzw. in welchem Umfang Website-Betreiber ihre Webseitenbesucher über die Nutzung von Cookies aufklären müssen, wird nicht einheitlich beantwortet. Der BGH hat dem EuGH nun einige Fragen zu Voraussetzungen und Anforderungen hinsichtlich Belehrung über die Verwendung von Cookies vorgelegt.

Leitsatz des BGH:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Ratesvom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. Nr. L 201 vom 31. Juli 2002, S. 37) in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnezen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (ABl. Nr. L 337 vom 18. Dezember 2009, S. 11) geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23. November 1995, S. 31) sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. Nr. L 119/1 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten

BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:




KG Berlin: Deutsches Datenschutzrecht für Facebook - unzureichende Einwilligungserklärung zur Weitergabe von Daten an App- und Spiele-Anbieter

KG Berlin
Urteil vom 22.09.2017
5 U 155/14


Das KG Berlin hat entschieden, dass sich Facebook an deutsches Datenschutzrecht zu halten hat und dass die streitgegenständlichen Einwilligungserklärungen zur Weitergabe von Daten an App- und Spiele-Anbieter unzureichend und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

Aus den Entscheidungsgründen:

"Diese Tätigkeit der Facebook Germany GmbH stellt einen hinreichenden Rahmen für die hier streitgegenständlichen Datenverarbeitungsvorgänge dar.

Insoweit müssen die Datenverarbeitungsvorgänge inhaltlich mit dieser Tätigkeit der Niederlassung verbunden sein (vergleiche EuGH Google Spain TZ 55 ff). Der vorliegend streitgegenständliche Internetauftritt der Beklagten ist - wie erörtert - auf Nutzer in Deutschland ausgerichtet und damit in einem besonderen Maß für deutsche Werbekunden sowie an einer Werbung gegenüber deutschen Verbrauchern interessierten Kunden von Bedeutung. Gerade diese Werbekunden soll die Facebook Germany GmbH einwerben und betreuen. Auch die Beklagte unterscheidet nicht Werbekunden (insbesondere auf den Nutzerseiten) und Anbieter von Apps/Anwendungen. Die Beklagte hat nicht gezielt in Abrede gestellt, dass die Facebook Germany GmbH für die Werbung und Betreuung von Anbietern von Anwendungen in Deutschland zuständig ist. Bei kostenpflichtigen Anwendungen kann davon ausgegangen werden, dass die Beklagte an dem Erlös - anteilig oder pauschal - beteiligt ist. Im Ausgangspunkt von Dritten kostenlos angebotene Anwendungen (so wie vorliegend die Spiele) dienen den Spieleranbietern in aller Regel entweder als eigene Werbeplattform für Werbungen anderer Unternehmen oder der kostenlose Teil der Anwendungen ist Werbung für entgeltliche Zusatzleistungen der Anwendungsanbieter. Der Kläger hat beispielhaft für die streitgegenständlichen Anwendungen darauf hingewiesen, dass die in Rede stehenden App-Angebote nur im Ausgangspunkt kostenlos sind und sie auch zusätzliche kostenpflichtige Leistungen beinhalten. Dies hat die Beklagte bei den Erörterungen in der mündlichen Verhandlung vor dem Senat nicht in Abrede gestellt, sondern nur etwa angebotene kostenpflichtige Bücher als
unerheblich angesehen.
[...]
Unerheblich ist vorliegend der Umstand, dass die Beklagte hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung einen engeren Bezug zu den Nutzern in Deutschland hat als die Facebook Germany GmbH. Darauf kommt es nicht entscheidend an.

(1) Grundlage eines Abstellens auf einen solchen engeren Bezug ist die Annahme, die Datenschutzrichtlinie wolle eine Konkurrenz mehrerer nationaler Datenschutzrechte innerhalb der EU vermeiden, so dass allein auf die für die Datenverarbeitung verantwortliche Stelle abzustellen sei (was vorliegend für die Beklagte und damit für irisches Datenschutzrecht sprechen könnte).

(2)
Schon der rechtliche Ausgangspunkt ist nicht überzeugend. Gerade für das Datenschutzrecht fehlt es an einer vollständigen Harmonisierung innerhalb der EU, so dass sogar die Richtlinie über den elektronischen Geschäftsverkehr — wie erörtert - vom Herkunftslandprinzip für den Bereich des Datenschutzes eine Ausnahme bestimmt.

Für ein Gebot, bei mehreren Niederlassungen in der EU nur ein nationales Datenschutzrecht anzuwenden und dabei etwa auf die Niederlassung mit der engsten Verbindung zur streitigen Datenverarbeitung abzustellen, findet sich in der Datenschutzrichtlinie weder nach ihrem Wortlaut noch nach ihrer Ratio und den hierzu getroffenen Erwägungen ein hinreichender Anhalt. Eine Konzentration auf ein nationales Datenschutzrecht kommt nur dann in Betracht, wenn das datenverarbeitende Unternehmen innerhalb der EU seinen Sitz hat und keine (im oben genannten Sinne qualifizierte) Niederlassung in anderen EU-Ländern unterhält. Besteht aber eine solche Niederlassung in einem anderen EU-Land, findet allein Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie Anwendung, der schon nach seinem Wortlaut keinen Anhalt für eine Konzentration auf das Datenschutzrecht eines einzigen EU-Landes enthält. Im Gegenteil: Art. 4 Abs. 1 lit. a Satz 2 der
Datenschutzrichtlinie regelt den Fall einer Mehrzahl von Niederlassungen in verschiedenen Mitgliedstaaten dahin, dass der für die Datenverarbeitung Verantwortliche für "jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält", also das einschlägige nationale Datenschutzrecht für jedes EU-Land (mithin auch mehrere nationale Datenschutzregelungen) anwendet, in dem er eine Niederlassung unterhält. Danach soll der allein in einem einzigen EU-Land ansässige Unternehmer datenschutzrechtlich privilegiert werden, diese Privilegierung aber dann verlieren, wenn er weitergehend mit einer Niederlassung auch in einem anderen EU-Land tätig wird. Mit der Eröffnung einer solchen Niederlassung sind somit auch umfangreichere Verantwortlichkeiten verbunden.

Auch den genannten Entscheidungen des EuGH (Google Spain, Amazon und Weltimmo) ist kein Anhalt für eine Konzentration auf eine Niederlassung zu entnehmen. Dabei ging es sowohl in der Entscheidungen Weltimmo (TZ 17 und TZ 38) als auch in der Entscheidung Amazon (TZ 29 und TZ 80) um eine Mehrzahl von Niederlassungen in der EU. Insoweit verweist der EuGH zu Recht darauf, dass - wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist - er vor allem zur Vermeidung von Umgehungen höherer Datenschutzniveaus sicherstellen muss, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, dass auf ihre jeweiligen Tätigkeiten anwendbar ist (EuGH, aaO, Google Spain, TZ 48; aaO, Weltimmo, TZ 28)."

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Betreiber einer Facebook-Fanpage ist neben Facebook datenschutzrechtlich für Erhebung und Verarbeitung personenbezogener Daten verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 24.10.2017
C-434/15
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH,
Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass der Betreiber einer Facebook-Fanpage neben Facebook datenschutzrechtlich für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist. Sollte sich der EuGH dieser Ansicht anschließen, würde dies de facto das Aus für Fanpages bedeuten.

Das Ergebnis des EuGH-Generalanwalts:

Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesverwaltungsgerichts wie folgt zu beantworten:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist dahin auszulegen, dass der Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook ein für die Verarbeitung Verantwortlicher im Sinne dieser Bestimmung hinsichtlich der Phase der Verarbeitung von personenbezogenen Daten ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk im Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken besteht.

2. Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn ein ein soziales Netzwerk betreibendes Unternehmen in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen dieses Unternehmens und diesen Verkauf selbst eine Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der das auf die betreffende Verarbeitung personenbezogener Daten anwendbare nationale Recht dasjenige des Mitgliedstaats einer Kontrollstelle ist, ist Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung dahin auszulegen, dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

4. Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse gegenüber diesem Verantwortlichen selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem dieser Verantwortliche seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.


Die vollständigen Schlussanträge finden Sie hier:




OVG Münster: Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig soweit private Daten für Öffentlichkeit einsehbar

OVG Münster
Urteil vom 19.10.2017
16 A 770/17


Das OVG Münster hat entschieden, dass das Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig ist, soweit private Daten für Öffentlichkeit einsehbar sind. Insofern geht das Recht auf informationelle Selbstbestimmung der betroffenen Personen vor.

Die Pressemitteilung des OVG Münster:

Fahrerbewertungsportal muss geändert werden

Das Internetportal "www.fahrerbewertung.de" ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht ent­schieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.

Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteil­nehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Regist­rierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abge­gebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.

Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen ge­genüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhal­ten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichti­gen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbe­sondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Gel­tung der Anordnungen erreicht werden.

Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Da­gegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesver­waltungsgericht entscheidet.

Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)

AG München: Bußgeld wegen Verstoß gegen Bundesdatenschutzgesetz durch Dashcam im PKW

AG München
Urteil vom 09.08.2017
1112 OWi 300 Js 121012/17


Das AG München hat einen Bußgeldbescheid wegen des Verstoßes gegen das Bundesdatenschutzgesetz durch die Verwendung einer Dashcam im PKW bestätigt.

Die Pressemitteilung des AG München:

Das Auto im Fokus - Verstoß gegen das Bundesdatenschutzgesetz

Am 09.08.2017 wurde eine 52-jährige Geschäftsführerin aus München wegen vorsätzlicher unbefugter Erhebung und Verarbeitung und Bereithaltung von personenbezogenen Daten, die nicht allgemein zugänglich sind, vom Amtsgericht München zu einer Geldbuße von 150 Euro verurteilt.

Die Betroffene parkte am 11.08.2016 von circa 13.00 Uhr bis 16.00 Uhr ihren PKW BMW X1 in der Mendelssohnstraße in München. Das Fahrzeug war vorne und hinten mit einer Videokamera ausgestattet. Die Kameras fertigten laufend Videoaufzeichnungen des vor und hinter dem Fahrzeug befindlichen öffentlichen Verkehrsraums. Diese Aufzeichnungen wurden gespeichert. Auf diese Weise wurden mindestens drei andere Fahrzeuge, die sich vor oder hinter dem Straßenraum des geparkten Fahrzeugs befanden, aufgezeichnet. Die Videoaufzeichnungen wurden durch die Betroffene der Polizei übergeben, da ein anderes Fahrzeug ihr geparktes Fahrzeug gestreift und beschädigt hat und sie die Videoaufzeichnungen als Beweismittel vorlegen wollte.

Gegen die Betroffene wurde ein Bußgeldverfahren eingeleitet und ein Bußgeldbescheid erlassen wegen Verstoßes gegen das Bundesdatenschutzgesetz.

Sie legte dagegen Einspruch ein. Sie ist der Meinung, dass durch die Aufnahme von Autokennzeichen keine schützenswerten Daten erhoben und gespeichert worden seien. Es sei ihr nur darauf angekommen, potentielle Täter einer Sachbeschädigung am PKW ermitteln zu können. Die einzelnen Fahrer der entsprechenden vor oder hinter dem PKW parkenden Autos seien nicht erkennbar gewesen.

Der zuständige Richter am Amtsgericht München beurteilte ihr Verhalten als vorsätzliche Ordnungswidrigkeit. „Nach Auffassung des Gerichtes überwiegt hier im vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung. Das Interesse der Betroffenen an der Aufdeckung von einer potentiellen Straftat muss hierbei zurückstehen. Das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichen Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar. Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten. Eine permanente Überwachung jeglichen öffentlich Raumes durch Privatbürger ist nicht zulässig, da es in das Recht unbeteiligter Personen in schwerwiegender Weise eingreift, selbst bestimmen zu können, wo und wann man sich aufhält, ohne dass unbeteiligte Personen dies dokumentieren und bei Behörden verwenden würden“, so das Urteil.

Das Gesetz sieht eine Geldbuße bis zu 300.000 Euro vor. Bei der Höhe hat das Gericht berücksichtigt, dass die Betroffene nur 1500 Euro netto verdient. „Zu ihren Gunsten konnte gewertet werden, dass offenbar in der Vergangenheit das Fahrzeug schon einmal beschädigt worden ist und die Betroffene subjektiv einen Anlass hatte, die Kameras einzusetzen“.

Urteil des Amtsgerichts München vom 09.08.2017, Aktenzeichen 1112 OWi 300 Js 121012/17

Das Urteil ist nicht rechtskräftig.