Skip to content

LG Köln: Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ist ein abmahnfähiger Wettbewerbsverstoß

LG Köln
Beschluss vom 29.10.2020
31 O 194/20


Das LG Köln hat entschieden, dass das Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ein abmahnfähiger Wettbewerbsverstoß ist.

Aus den Entscheidungsgründen:

Die Kammer hat von § 938 Abs. 1 ZPO Gebrauch gemacht und den Tenor abweichend von dem gestellten Antrag formuliert. Die durch den Antragsteller in seinem Antrag gewählte Formulierung war nicht sachdienlich, weil die beanstandete Nutzung von Cookies ohne Einwilligung keine Werbung darstellt. Die gewählte Formulierung hält sich im Rahmen des gestellten Antrags, weil dieser ausweislich der Antragsbegründung und der in dem Antrag eingeblendeten Passage aus der Webseite des Antragstellers darauf gerichtet ist, dem Antragsteller das Setzen von Cookies zu untersagen, wenn keine aktive Einwilligung der Nutzer eingeholt wird, sondern deren Inaktivität als Einwilligung gewertet wird.

2. Der Verfügungsgrund wird vermutet, § 12 Abs. 2 UWG. Umstände, aufgrund derer die Vermutung erschüttert wäre, hat der Antragsgegner nicht vorgetragen.

3. Der Verfügungsanspruch des nach § 8 Abs. 3 Nr. 2 UWG prozessführungsbefugten Antragstellers folgt aus §§ 8 Abs. 1, 3, 3a UWG i.V.m. 12 Abs. 1, 15 Abs. 3 TMG in richtlinienkonformer Auslegung der zuletzt genannten Vorschriften unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG. Entgegen dem Vorbringen des Antragsgegners sind diese Vorschriften, nicht hingegen die Datenschutzgrundverordnung anwendbar. Die Datenschutzgrundverordnung beansprucht gemäß ihres Artikels 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12, 15 TMG, bei denen es sich um Marktverhaltensregelungen handelt (Köhler/Bornkamm/Feddersen/Köhler, 38. Aufl. 2020 Rn. 1.74d, UWG § 3a Rn. 1.74d, m.w.N.).

Durch Vorlage der im Tenor dieses Beschlusses eingeblendeten Screenshots hat der Antragsteller glaubhaft gemacht, dass der Antragsgegner Cookies setzt, ohne eine aktive Einwilligung der betroffenen Nutzer einzuholen. Dies stellt im konkreten Fall einen Verstoß gegen §§ 12 Abs. 1, 15 Abs. 3 TMG dar, die insoweit richtlinienkonform unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG auszulegen sind (vgl. (Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 59, m.w.N.; vgl. auch BGH NJW 2020, 2540, Rn. 49 ff. d.A.).

Zwar ist § 15 Abs. 1, 3 TMG unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG dahingehend auszulegen, dass eine Einwilligung unter den dort in Satz 2 genannten Voraussetzungen nicht erforderlich ist (rein technische Speicherung bzw. Zugang, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht in ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit die Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann). Dass diese Voraussetzungen nicht gegeben sind, ergibt sich jedoch aus dem im Tenor eingeblendeten Screenshot. Der Verweis auf die Nutzung von Cookies erfolgt dort nicht im Zusammenhang mit der Übertragung einer Nachricht; ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklich angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre (vgl. Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 61).
[...]
Streitwert: 10.000 Euro (§51 Abs. 4 GKG)


Den Volltext der Entscheidung finden Sie hier:



DSK: Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.

Die Pressemitteilung des DSK:

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“


Siehe auch zum Thema: Brexit-Deal zwischen EU und Großbritannien liegt als Entwurf vor


LG Rostock: Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl entspricht nicht den Vorgaben der DSGVO

LG Rostock
Urteil vom 15.09.2020
3 O 762/19


Das LG Rostock hat wenig überraschend entschieden, dass die Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl nicht den Vorgaben der DSGVO entspricht.

Auch wir weisen bei der Beratung von Website-Betreibern schon immer darauf hin, dass nahezu alle der in der Praxis üblichen Cookie-Banner nicht rechtskonform sind.

Aus den Entscheidungsgründen:

(2) Die Beklagte verwendet auf ihrer Internetseite Technologien, die Drittanbieter-Cookies auf Endgeräten der Nutzer ablegen. Die Verwendung der in den Anlagen K11 - K13 bezeichneten Cookies ist unstreitig.

Der Kläger hat unter namentlicher Nennung verschiedener Tracking-Cookies weiter vorgetragen, es erfolge eine websiteübergreifende Übertragung personengebundener Daten, wie z.B. der IP-Adresse. Die Beklagte hat zwar in Bezug auf das implementierte Tool .Google Analytics“ be stritten, dass dieses die IP-Adresse an den Drittanbieter weiterleitet. Im Übrigen hat sie jedoch le diglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.

Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt (vgl BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art 5, Rn. 39 m.w.N.). Nachdem die vom Kläger konkret benannten Tracking-Technologien (vgl. Schriftsatz vom 04.OG.2020, S. 7) nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.

Zudem hat die Beklagte in ihrer Datenschutzerklärung (Anlagen K11 - K13) in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.

(3) Die für eine Verwendung dieser Cookies notwendige Einwilligung konnte zum Zeitpunkt der Abmahnung mit dem durch die Beklagte verwendeten Cookie-Banner (Anlage K6) nicht wirksam erteilt werden.

aa) Die Verwendung der hier im Streit stehenden Cookies ist einwilligungsbedürftig. Die Notwendigkeit der Einwilligung ergibt sich aus § 15 Abs. 3 TMG, der angesichts der Regelung in Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG (E-Privacy-Richtlinie) dahin richtlinienkonform aus zulegen ist, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II).

bb) Eine wirksame Einwilligung in die hier konkret beanstandete Datenverarbeitung konnten die Nutzer mit dem durch die Beklagte zur Verfügung gestellten Cookie-Banner (Anlage K6) aufgrund der gewählten Vorbelegung - alle Cookies ausgewählt (sog. Opt-Out) - nicht erteilen. Mit der Entscheidung des BGH vom 28.05.2020 zur Notwendigkeit und zur Ausgestaltung der wirksamen Einwilligung bei der Verwendung von Cookies (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II) steht fest dass die durch die Beklagte gewählte Opt-Out-Variante dazu nicht geeignet ist.

b) Die aufgrund des festzustellenden Rechtsverstoßes bestehende Vermutung für das Vorliegen einer Wiederholungsgefahr ist nicht durch die vorgetragene Änderung des Banners widerlegt Die Kammer hat ihren insoweit zunächst mit der Ladungsverfügung vom 14.04.2020 erteilten Hinweis in der mündlichen Verhandlung entsprechend korrigiert. Denn die Beklagte hat nach Ansicht der Kammer den Vertsoß nicht beseitigt. Auch das nunmehr von der Beklagten verwendete Cookie-Banner erfüllt die Voraussetzungen für eine wirksamen Einwilligung der Nutzer nicht.

(1) "Einwilligung“ der betroffenen Person ist gemäß Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden per-
sonenbezogenen Daten einverstanden ist.

Der BGH hat in der vorgenannten Entscheidung dazu ausführt:

Nach Art. 4 Nr. 11 der Verordnung (EU) 2016/679 ist Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Erwägungsgrund 32 der Verordnung (EU) 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Für den bestimmten Fall ist eine Einwilligung abgegeben, wenn Inhalt, Zweck und Tragweite der Erklärung hinreichend konkretisiert sind (vgl. DeckOK.DatonschutzR/Schild, 31. Edition (Stand 1. Februar 2020], Art. 4 DS-GVO Rn. 125; Buchner/Kühling in Kühling/Buchner, DS-GVO BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8).

(2) Eine wirksame Einwilligung Ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten "Cookie Zulassen“-Buttons aktiviert. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.

Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden' seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden "Cookie zulassen"-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert" werden.


Den Volltext der Entscheidung finden Sie hier:



EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission


EuGH: Keine wirksame datenschutzrechtliche Einwilligung durch bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf Vertragsformular

EuGH
Urteil vom 11.11.2020
C-61/19
Orange România SA / Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)


Der EuGH hat entschieden, dass keine wirksame datenschutzrechtliche Einwilligung durch ein bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf dem Vertragsformular vorliegt.

Die Pressemitteilung des EuGH:

Mit einem Vertrag über Telekommunikationsdienste, der die Klausel enthält, dass der Kunde in die Sammlung und Aufbewahrung einer Kopie seines Ausweisdokuments eingewilligt hat, kann nicht nachgewiesen werden, dass dieser seine Einwilligung gültig erteilt hat, wenn das betreffende Kästchen von dem für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt wurde

Gleiches gilt, wenn der Verbraucher über die Möglichkeit, den Vertrag auch bei Verweigerung dieser Datenverarbeitung abzuschließen, irregeführt wird oder wenn die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, beeinträchtigt wird, indem ein zusätzliches Formular verlangt wird, in dem diese Weigerung zum Ausdruck kommt Die Orange România SA bietet Mobiltelekommunikationsdienste auf dem rumänischen Markt an.

Am 28. März 2018 verhängte die Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Nationale Behörde zur Überwachung der Verarbeitung personenbezogener Daten) gegen Orange România eine Geldbuße, weil sie Kopien der Ausweisdokumente ihrer Kunden ohne deren ausdrückliche Einwilligung aufbewahrt hatte.

Nach den Angaben dieser Behörde hatte Orange România im Zeitraum vom 1. März 2018 bis zum 26. März 2018 Verträge über Mobiltelekommunikationsdienste geschlossen, die die Klausel enthielten, dass die Kunden informiert wurden und in die Sammlung und Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion einwilligten. Das diese Klausel betreffende Kästchen wurde vom für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt.

Vor diesem Hintergrund hat das Tribunalul București (Landgericht Bukarest, Rumänien) den Gerichtshof ersucht, klarzustellen, unter welchen Voraussetzungen die Einwilligung von Kunden in die Verarbeitung personenbezogener Daten als gültig angesehen werden kann.

Mit seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass das Unionsrecht eine abschließende Aufzählung der Fälle vorsieht, in denen die Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Konkret muss die Einwilligung der betreffenden Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen.
Die Einwilligung wird bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit nicht gültig erteilt.

Zudem muss, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, diese Erklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Zur Sicherstellung einer echten Wahlfreiheit für die betroffene Person dürfen die
Vertragsbestimmungen diese nicht über die Möglichkeit irreführen, den Vertrag abschließen zu können, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen.

Der Gerichtshof erläutert, da Orange România die für die Verarbeitung personenbezogener Daten Verantwortliche ist, muss sie in der Lage sein, die Rechtmäßigkeit der Verarbeitung dieser Daten nachzuweisen, im vorliegenden Fall also das Vorliegen einer gültigen Einwilligung ihrer Kunden. Da die betroffenen Kunden das Kästchen in Bezug auf die Sammlung und die Aufbewahrung von Kopien ihres Ausweisdokuments anscheinend nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden nachzuweisen. Es ist Sache des nationalen Gerichts, die dafür erforderlichen Feststellungen zu treffen.

Es ist ebenfalls Sache des nationalen Gerichts, zu prüfen, ob die in Rede stehenden Vertragsbestimmungen die betroffenen Kunden mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten. Zudem führt der Gerichtshof aus, dass Orange
România für den Fall, dass ein Kunde die Einwilligung in die Verarbeitung seiner Daten verweigert hat, verlangt hat, dass dieser schriftlich erklärt, weder in die Sammlung noch in die Aufbewahrung der Kopie seines Ausweisdokuments einzuwilligen. Nach Ansicht des Gerichtshofs ist eine solche zusätzliche Anforderung geeignet, die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, ungebührlich zu beeinträchtigen. Da es jedenfalls Orange România obliegt, nachzuweisen, dass ihre Kunden ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet haben, kann sie nicht von ihnen verlangen, dass sie ihre Weigerung aktiv bekunden.

Der Gerichtshof kommt daher zu dem Ergebnis, dass ein Vertrag über die Erbringung von Telekommunikationsdiensten, der die Klausel enthält, dass die betroffene Person über die Sammlung und die Aufbewahrung einer Kopie ihres Ausweisdokuments mit
Identifikationsfunktion informiert worden ist und darin eingewilligt hat, nicht als Nachweis dafür geeignet ist, dass diese Person ihre Einwilligung in die Sammlung und Aufbewahrung dieser Dokumente gültig erteilt hat, wenn a) das Kästchen, das sich auf diese Klausel bezieht, von dem für die Verarbeitung der Daten Verantwortlichen vor Unterzeichnung dieses Vertrags angekreuzt worden ist oder wenn b) die Vertragsbestimmungen dieses Vertrags die betroffene Person über die Möglichkeit, den Vertrag abzuschließen, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen, irreführen können oder wenn c) die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, von diesem Verantwortlichen ungebührlich beeinträchtigt wird, indem verlangt wird, dass die betroffene Person zur Verweigerung ihrer Einwilligung ein zusätzliches Formular unterzeichnet, in dem diese Weigerung zum Ausdruck kommt.


Den Volltext der Entscheidung finden Sie hier:



LG Frankfurt: Datenschutzrechtlicher Unterlassungsanspruch bei rechtswidriger Verarbeitung - Keine Sperrwirkung durch Art. 79 DSGVO

LG Frankfurt
Beschluss vom 15.10.2020
2-03 O 356/20


Das LG Frankfurt hat entschieden, dass der Betroffene bei rechtswidriger Verarbeitung seiner personenbezogenen Daten einen datenschutzrechtlichen Unterlassungsanspruch hat und diesen auch im Wege einer einstweiligen Verfügung durchsetzen kann. Art. 79 DSGVO entfaltet insoweit keine Sperrwirkung.

Aus den Entscheidungsgründen:

Die Kammer geht insoweit davon aus, dass der Betroffene auch datenschutzrechtliche Ansprüche im Wege des Unterlassungsanspruchs geltend machen kann und solche Ansprüche nicht durch Art. 79 DSGVO gesperrt sind (vgl. auch LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 587; LG Darmstadt, Urt. v. 26.05.2020 – 13 O 244/19; Ehmann/Selmayr-Kamann/Braun, Art. 21 Rn. 5; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 79 Rn. 1, 15a; Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 17; Paal/Pauly/Martini, 2. Aufl. 2018 Rn. 12, DS-GVO Art. 79 Rn. 12; MAH-ArbR-Dendorfer-Ditges, 4. Aufl. 2017, § 35 Rn. 259). Der Antragsgegner kann sich für die Verwendung der Daten auch nicht auf einen der Gründe in Art. 6 Abs. 1 DSGVO berufen. Der Aushang der Daten des Mietvertrags ist nicht vom Vertragszweck nach Art. 6 Abs. 1 lit. b) DSGVO gedeckt. Dass der Antragsgegner sich auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO berufen könnte, ist weder vorgetragen noch sonst ersichtlich.

Soweit der Antragsgegner in seiner Stellungnahme im Rahmen der schriftlichen Anhörung anführt, dass Abmahnung und Antragsschrift nicht deckungsgleich seien, was nach Auffassung der Kammer zutrifft, führt dies im hiesigen Fall nicht zur Zurückweisung des Antrags, sondern nur zu einer – von der Kammer erfüllten – Anhörungsobliegenheit des Gerichts.


Den Volltext der Entscheidung finden Sie hier:



LAG Hannover: Auskunftsanspruch nach Art. 15 DSGVO umfasst nicht den vom Anspruchsteller selbst geführten E-Mail-Verkehr

LAG Hannover
Urteil vom 09.06.2020
9 Sa 608/19


Das LAG Hannover hat entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht den vom Anspruchsteller selbst geführten E-Mail-Verkehr umfasst. Sinn- und Zweck des Auskunftsanspruchs ist es - so das Gericht -, dass der betroffenen Person eine Überprüfung der Datenverarbeitung ermöglicht wird. Hingegen bezweckt Art. 15 DSGVO nicht, dass die betroffene Person eine vollständige Kopie aller Unterlagen erhält.

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann: Wenn der Datenschützer klingelt - Tipps und Hinweise zum Umgang mit Aufsichtsverfahren durch Landesdatenschutzbehörden

In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.


Hamburger Datenschutzbeauftragter: DSGVO - 35,3 Millionen Euro Bußgeld gegen H&M wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M verhängt.

35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

VG Regensburg: DSGVO regelt Betroffenenrechte bei Verarbeitung personenbezogener Daten abschließend - keine Ansprüche aufgrund anderer Anspruchsgrundlagen

VG Regensburg
Gerichtsbescheid vom 06.08.2020
RN 9 K 19.1061


Das VG Regensburg hat entschieden, dass die DSGVO die Betroffenenrechte bei der Verarbeitung personenbezogener Daten abschließend regelt und Betroffene keine Ansprüche aufgrund anderer Anspruchsgrundlagen außerhalb der DSGVO geltend machen können.

Leitsätze des Gerichts:

1. Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, sodass eine allgemeine Leistungsklage in der Form der Unterlassungsklage nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Anwendungsbereich der Datenschutz-Grundverordnung nicht statthaft ist.

2. Es ist zwischen einer (bloß) verordnungswidrigen Datenverarbeitung und einer möglichen Rechtsverletzung einer Person hinsichtlich der ausschließlich sie betreffenden personenbezogenen Daten zu unterscheiden.

3. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO zu. Art. 79 Abs. 1 DSGVO vermittelt einen individualrechtlichen Unterlassungsanspruch bezüglich der Verletzung von Betroffenenrechten (Art. 13 bis 20 DSGVO).

Aus den Entscheidungsgründen:

"Zunächst ist festzustellen, dass der sachliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist. Insbesondere sind die in Art. 2 Abs. 2 DSGVO genannten Ausnahmen für die Verarbeitung personenbezogener Daten vom Anwendungsbereich der Datenschutz-Grundverordnung nicht einschlägig. Entgegen der Auffassung des Klägers findet Art. 2 Abs. 2 Buchst. d DSGVO im vorliegenden Fall keine Anwendung. Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit fällt in den Anwendungsbereich des zweiten Rechtsakts im Datenschutzreformpaket, der sogenannten „Polizei-RL“ (Art. 1 Abs. 1 RL 2016/680/EU des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. 2016 L 119, 89). Beide Rechtsakte (Datenschutz-Grundverordnung und „Polizei-RL“) sind eng aufeinander abgestimmt und ergänzen sich daher. Die Ausnahme des Art. 2 Abs. 2 Buchst. d DSGVO umfasst sowohl die Datenverarbeitung zu präventiven als auch zu repressiven Zwecken. Eine Straftat im Sinne der Ausnahme in Art. 2 Abs. 2 Buchst. d DSGVO und hinsichtlich der Anwendung der „Polizei-RL“ ist als ein eigenständiger Begriff des Unionsrechts zu verstehen, der nicht einseitig durch die Mitgliedstaaten festgelegt werden kann. Die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von reinen Ordnungswidrigkeiten fällt nicht darunter. Erfasst werden sollen die polizeilichen Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht, sowie die Ausübung hoheitlicher Gewalt durch Ergreifung von Zwangsmitteln, wie polizeiliche Tätigkeiten bei Demonstrationen, großen Sportveranstaltungen und Ausschreitungen. Sie umfassen auch die Aufrechterhaltung der öffentlichen Ordnung als Aufgabe, die der Polizei oder anderen Strafverfolgungsbehörden - nicht jedoch reinen Ordnungsbehörden - übertragen wurde, soweit dies zum Zweck des Schutzes vor und der Abwehr von Bedrohungen der öffentlichen Sicherheit und Bedrohungen für durch Rechtsvorschriften geschützte grundlegende Interessen der Gesellschaft, die zu einer Straftat führen können, erforderlich ist (vgl. Erwägungsgrund 12 der RL 2016/680/EU und Erwägungsgrund 19 der Datenschutz-Grundverordnung; Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 2 Rn. 12; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 2 DSGVO Rn. 44 ff.). Personenbezogene Daten, die von Behörden nach der Datenschutz-Grundverordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, der Richtlinie (EU) 2016/680 unterliegen (Erwägungsgrund 19 a.a.O.). Im vorliegenden Fall handelt die Beklagte vorrangig als Ordnungsbehörde bzw. Sicherheitsbehörde nach Art. 6 LStVG mit der Aufgabe, die öffentliche Sicherheit und Ordnung durch Abwehr von Gefahren und durch Unterbindung und Beseitigung von Störungen aufrechtzuerhalten, und damit auf der Grundlage der Datenschutz-Grundverordnung. Hinzu kommt die Ausübung des Hausrechts für die öffentliche Einrichtung K.-garten durch die Beklagte als Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c und e DSGVO).

Das Rechtsschutzsystem bezüglich der Verarbeitung personenbezogener Daten hat deshalb ebenfalls seinen Ausgangspunkt in der Datenschutz-Grundverordnung.

Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, so dass Unterlassungsklagen nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Bereich des Datenschutzes grundsätzlich nicht mehr möglich sind. Nach dem Wortlaut des Art. 79 Abs. 1 DSGVO bleiben nur andere verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe „unbeschadet“, nicht aber gerichtliche Rechtsbehelfe (vgl. Bernhard/Kreße/Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 79 Rn. 30; BeckOK, Datenschutzrecht, Wolff/Brink, 29. Edition, Art. 79 Rn. 11). Die Rechte betroffener Personen sind in Kapitel III der Datenschutz-Grundverordnung niedergelegt (Art. 12 bis 22 DSGVO). Es handelt sich zum einen um Auskunfts-, Berichtigungs- und Löschungsrechte sowie um das Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Erfasst ist auch das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Den in Art. 13 ff., 19 DSGVO genannten Pflichten korrespondieren individuelle subjektive Rechte der betroffenen Personen, die gemäß Art. 79 DSGVO unter dessen weiteren Voraussetzungen gerichtlich durchgesetzt werden können. Entsprechendes gilt für die in Art. 12 DSGVO formulierten Pflichten des für die Verarbeitung personenbezogener Daten Verantwortlichen.

Jenseits der oben genannten Normen gewährt die Datenschutz-Grundverordnung keine Rechte, zu deren Durchsetzung ein wirksamer Rechtsbehelf nach Art. 79 DSGVO zur Verfügung gestellt werden muss. In Betracht käme insbesondere ein Anspruch auf Unterlassung einer verordnungswidrigen Verarbeitung personenbezogener Daten, da gemäß Art. 8 Abs. 1 EU-GRCh, Art. 16 Abs. 1 AEUV jede natürliche Person Recht auf Schutz der sie betreffenden personenbezogenen Daten hat, wobei Inhalt des Schutzes auch das Erfordernis der Rechtmäßigkeit der Verarbeitung ist. Es müsste in einem solchen Fall daher die Möglichkeit bestehen, eine solche Verarbeitung für die Zukunft zu unterbinden, andernfalls der Grundrechtsschutz und der europarechtliche Effektivitätsgrundsatz nach Art. 4 Abs. 3 EUV beeinträchtigt wären. Allerdings ist das Recht auf Unterlassung rechtswidriger Datenverarbeitung nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Dies spricht gegen die Annahme eines auf der Datenschutz-Grundverordnung basierenden Unterlassungsanspruchs bezüglich einer verordnungswidrigen Verarbeitung personenbezogener Daten. Das Löschungsrecht nach Art. 17 Abs. 1 Buchst. d DSGVO hilft nur eingeschränkt weiter, weil sich Art. 6 DSGVO, auf den verwiesen wird, nur mit dem Erfordernis eines zulässigen Grundes für die Datenverarbeitung befasst.

Gegen die Annahme eines generellen Anspruchs auf Unterlassung der verordnungswidrigen Verarbeitung personenbezogener Daten auf Grundlage der Datenschutz-Grundverordnung sprechen ferner deren Entstehungsgeschichte und die Systematik. Art. 76 Abs. 5 des Kommissionsvorschlag zur Datenschutz-Grundverordnung lautete: „Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass dem Betroffenen weiterer Schaden entsteht.“ Diese präventiv formulierte Bestimmung wurde in der allgemeinen Ausrichtung des Rates der Europäischen Union vom 15. Juni 2015 ersatzlos gestrichen. Nicht in bedeutungserheblicher Hinsicht geändert hat sich hingegen die Formulierung, die jetzt in Art. 77 Abs. 1 DSGVO enthalten ist, die das Beschwerderecht daran knüpft, dass die Verarbeitung der personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Auch der Unterschied in den Formulierungen der Art. 77 Abs. 1 und Art. 79 Abs. 1 DSGVO zeigt, dass die bloße verordnungswidrige Datenverarbeitung gerade noch keine Rechtsverletzung darstellt, sondern zwischen rechtswidriger Datenverarbeitung und Rechtsverletzung unterschieden werden muss. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO zu und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO, womit die primärrechtlichen Bedenken ausgeräumt sind. Es ist zu beachten, dass diese Verordnungswidrigkeit der Datenverarbeitung neben der Rechtsverletzung in Art. 79 Abs. 1 DSGVO als eigenständiges Merkmal gesehen wird: Die Rechtsverletzung soll nach Ansicht der betroffenen Person erst infolge der verordnungswidrigen Verarbeitung eingetreten, also mit ihr gerade nicht identisch sein. Die Rechte der betroffenen Person sind verletzt, wenn die Person oder Einrichtung, gegenüber denen sie bestehen, den ihnen korrespondierenden Pflichten nicht nachkommt. Um dies festzustellen, sind die konkretisierenden Vorschriften des Art. 12 Abs. 2, 3 und 5 bis 7 DSGVO zusätzlich zu beachten. So liegt beispielsweise in den in Art. 12 Abs. 3 DSGVO genannten Fällen eine Rechtsverletzung vor Ablauf der in dieser Vorschrift bezeichneten Fristen nicht vor. Auch in den Fällen des Art. 12 Abs. 5 Satz 1 Buchst. b und Abs. 6 DSGVO liegt keine Rechtsverletzung vor.

Diese vorstehend beschriebene Rechtslage erfährt auch keine Modifikation durch das Bayerische Datenschutzgesetz. Nach Art. 1 BayDSG gilt das Bayerische Datenschutzgesetz zunächst für Datenverarbeitungen durch alle bayerischen Behörden, also auch durch Justiz- und Polizeibehörden, soweit nicht im jeweiligen Fachrecht (etwa dem Melderecht oder dem Polizeiaufgabengesetz) Spezialvorschriften existieren (Art. 1 Abs. 5 BayDSG). Wegen dieses sehr umfassenden Anwendungsbereichs gilt folglich auch Art. 2 BayDSG für alle bayerischen Behörden. Damit hat der bayerische Gesetzgeber entschieden, dass die Datenschutz-Grundverordnung auch in den Bereichen gelten soll, die eigentlich - mangels Kompetenz der EU - von der Datenschutz-Grundverordnung nicht erfasst werden (dürfen) und wo (eigentlich) Raum für ein eigenständiges nationales Datenschutzrecht wäre. Allerdings hatte der bayerische Gesetzgeber erkannt, dass es nicht möglich ist, alle Umsetzungsaufgaben, welche die Richtlinie 2016/680/EU formuliert, durch einen pauschalen Verweis auf die Datenschutz-Grundverordnung sachgerecht zu lösen. Deshalb wurde Art. 28 Abs. 2 und 3 BayDSG geschaffen, die für die in Art. 28 Abs. 1 BayDSG genannten „Richtlinien-Behörden“ vereinzelt Spezialvorschriften schaffen. Durch eine abschließende Aufzählung ordnet Art. 28 Abs. 2 BayDSG an, dass nur bestimmte Vorschriften der Datenschutz-Grundverordnung auf Datenverarbeitungen, die der Richtlinie 2016/680/EU unterfallen, Anwendung finden. Andere Vorschriften der Datenschutz-Grundverordnung finden zwar grundsätzlich Anwendung, sie werden aber durch die Art. 29 ff. BayDSG modifiziert. Darüber hinaus sollen nicht sämtliche Vorschriften des Bayerischen Datenschutzgesetzes für Datenverarbeitung nach der Richtlinie 2016/680/EU Anwendung finden. Deshalb legt Art. 28 Abs. 3 BayDSG fest, dass bestimmte Vorschriften des Bayerischen Datenschutzgesetzes keine Anwendung für solche Datenverarbeitungen finden, die der Richtlinie unterfallen. Neben der spezifischen Zweckbestimmung (Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) ist zusätzlich (stets) eine grundsätzliche Aufgaben- und Befugniszuweisung der verarbeitenden Behörde für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafverfolgung sowie der polizeilichen Gefahrenabwehr erforderlich. Art. 28 Abs. 1 Satz 1 BayDSG enthält eine nicht abschließende Aufzählung („soweit nichts anderes bestimmt ist“) derjenigen Behörden, denen eine solche Aufgaben- und Befugniszuweisung im Sinne der Richtlinie zukommen kann. Diese zuständigen Behörden unterliegen den Regelungen des achten Kapitels nur insoweit, als die konkrete Datenverarbeitung den in Art. 28 Abs. 1 Satz 1 BayDSG genannten Zwecken dient. Danach wird der Bereich der Gefahrenabwehr in Ansehung der praxisrelevanten Konstellationen dem Anwendungsbereich der Richtlinie 2016/680/EU und somit des achten Kapitels des Bayerischen Datenschutzgesetzes zuzurechnen sein. Selbst wenn bei polizeilichem Handeln zur Gefahrenabwehr nicht bereits von vornherein klar die Verhütung von Straftaten als Zweck oder Ergebnis feststeht, besteht nahezu immer zumindest die Möglichkeit, dass die Gefahrenlage zu einer Straftat führen kann bzw. dass dies nicht ausgeschlossen ist. In Abgrenzung hierzu sind allerdings nach dem Selbstverständnis der Richtlinie 2016/680/EU Datenverarbeitungen zur Gefahrenabwehr durch nichtpolizeiliche Sicherheitsbehörden (z.B. Landratsämter als Sicherheitsbehörden nach Art. 6 LStVG) grundsätzlich nach den Bestimmungen der Datenschutz-Grundverordnung zu beurteilen. Für sie ist das achte Kapitel des Bayerischen Datenschutzgesetzes nur dann anwendbar, soweit diese nichtpolizeilichen Sicherheitsbehörden „Straftaten oder Ordnungswidrigkeiten verfolgen oder ahnden“. Die Bestimmungen des achten Kapitels finden daher Anwendung, sobald Daten im Rahmen eines konkreten, dokumentiert eingeleiteten Ordnungswidrigkeitenverfahrens verarbeitet werden (vgl. Wilde/Ehmann/Niese/Knoblauch, Datenschutz im Bayern, 29. AL Juni 2018, Art. 28 BayDSG Rn. 20).

Zum Rechtsschutz sieht Art. 20 BayDSG ausschließlich die Anrufung der Aufsichtsbehörden durch Betroffene vor. Hierin ist eine Konkretisierung des unmittelbar in der Datenschutz-Grundverordnung gewährleisteten Beschwerderechts gemäß Art. 77 DSGVO zu sehen. Die Vorschrift enthält damit eine mitgliedstaatliche Verfahrensregelung auf Grundlage von Art. 58 Abs. 4 DSGVO. Aufsichtsbehörden im Sinn des Art. 20 BayDSG sind u.a. der Bayerische Landesbeauftragte für den Datenschutz (Art. 15 BayDSG) und das Bayerische Landesamt für Datenschutzaufsicht (Art. 18 BayDSG). Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG bestimmt das Recht der betroffenen Person, sich an die Datenschutzaufsichtsbehörden mit dem Vorbringen zu wenden, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Anrufung der Aufsichtsbehörde stellt einen formlosen Rechtsbehelf dar, der dem allgemeinen Petitionsrecht (Art. 115 BV, Art. 17 GG) verwandt ist. Es gibt dem Betroffenen - unabhängig von sonstigen Rechtsbehelfen - das eigenständige Recht, sich an eine Aufsichtsbehörde mit dem Vorbringen zu wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Das durch die Grundrechte-Charta der EU verbürgte Beschwerderecht (Art. 8 Abs. 1 i.V.m. Abs. 3 GRCh) wird durch Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG konkretisiert, wobei Art. 20 Abs. 1 Satz 1 BayDSG - anders als das Beschwerderecht in Art. 77 Abs. 1 DSGVO - nicht bloß die Geltendmachung eines Verstoßes gegen die Datenschutz-Grundverordnung voraussetzt, sondern ein Vorbringen, das eine eigene Rechtsverletzung des Beschwerdeführers zum Gegenstand hat (Datenschutz in Bayern, 29. AL Juni 2018, Art. 20 BayDSG Rn. 4 und 5). Dadurch ergibt sich ein Rechtsanspruch der betroffenen Person, dass die Aufsichtsbehörde die Eingabe entgegennimmt, sachlich in tatsächlicher und rechtlicher Hinsicht prüft und den Eingabeführer schriftlich darüber unterrichtet, wie die Eingabe erledigt wurde. Hierzu bestimmt Art. 57 Abs. 1 Buchst. f DSGVO, dass der „Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen“ ist. Hat sich eine Aufsichtsbehörde nicht mit einer Beschwerde befasst oder hat sie die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt, kann die betroffene Person nach Art. 78 Abs. 2 und 3 DSGVO allgemeine Leistungsklage vor den Verwaltungsgerichten auf Unterrichtung über den Stand oder das Ergebnis der Beschwerde erheben. Die Frist von drei Monaten ergibt sich aus Art. 78 Abs. 2 DSGVO. Die einzelnen Befugnisse der Aufsichtsbehörden ergeben sich aus Art. 58 DSGVO, so auch Abhilfebefugnisse, die es ihr u.a. gestatten, auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen (Abs. 2 Buchst. f) oder die Berichtigung oder Löschung von personenbezogenen Daten oder die Beschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 DGSVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Art. 17 Abs. 2 DSGVO und Art. 19 DSGVO offen gelegt wurden, anzuordnen. Dieses Anrufungs- bzw. Beschwerderecht nach Art. 20 BayDSG setzt keinen vorherigen Antrag bei der verantwortlichen Behörde voraus. Will ein Betroffener jedoch direkt gegen zunächst einen Verantwortlichen vorgehen bzw. gegenüber diesem die Betroffenenrechte der Datenschutz-Grundverordnung geltend machen (Art. 16 ff. DSGVO), so setzen diese Rechte auf Berichtigung, Löschung und Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung wie auch das vorgängige Auskunftsrecht nach Art. 15 DSGVO ein „Verlangen“ der betroffenen Person gegenüber dem Verantwortlichen voraus. Im Falle der Ablehnung stehen der betroffenen Person sämtliche durch die Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe zu (Art. 77, 78 DSGVO). Daneben hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese einen Einschränkungsantrag ab, ist die Ablehnung ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen Widerspruch und regelmäßig Verpflichtungsklage gemäß §§ 42, 68 ff. VwGO angegriffen werden kann (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 30). Damit bleibt es auch im Anwendungsbereich des Bayerischen Datenschutzgesetzes bei der ausschließlichen Klagemöglichkeit eines Betroffenen gegen den Verantwortlichen nach § 79 DSGVO.

Die genannten Betroffenenrechte der Datenschutz-Grundverordnung (mit Art. 20 BayDSG) ersetzen seit dem 25. Mai 2018 - wie bereits oben ausgeführt - etwaige Betroffenenrechte nach nationalem Recht (a.a.O., Art. 18 Rn. 38; OVG Lüneburg, U.v. 20.6.2019 - 11 LC 121/17 - juris Rn. 43; VG Stade, B.v. 9.10.2018 - 1 B 1918/18 - juris Rn. 30). Diesen Betroffenenrechten ist gemein, dass sich ein Betroffener damit nur gegen die ihn betreffenden personenbezogenen Daten wenden kann (Becker in Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 79 Rn. 2). Art. 79 DSGVO vermittelt nur einen individualrechtlichen Unterlassungsanspruch. Zudem können über den in Art. 79 Abs. 1 DSGVO vorgesehenen Weg auch die Auskunfts-, Berichtigungs- und Löschungsrechte (Art. 15 bis 17 DSGVO) gegenüber dem Verantwortlichen und dem Auftragsverarbeiter verfolgt werden. Materiellrechtlich richten sich der Anspruch und seine Durchsetzung nach den allgemeinen Bestimmungen, wobei unterschiedliche Rechtswege gegenüber öffentlichen und nicht-öffentlichen Stellen zum Tragen kommen. Gegenüber einer fehlerhaften Datenverarbeitung durch öffentliche Stellen im Rahmen ihres hoheitlichen Handelns wird der Betroffene im Regelfall vor den Verwaltungsgerichten Rechtsschutz suchen müssen (§ 44 Abs. 2 BDSG). Da die entsprechenden prozessualen Rechtsinstrumente im deutschen Recht vorhanden waren, hätte es nicht unbedingt bestimmter Umsetzungsmaßnahmen durch den deutschen Gesetzgeber bedurft. Dennoch hat der Gesetzgeber in § 44 BDSG Regelungen zur Zuständigkeit aufgenommen, allerdings ergibt sich daraus keine Änderung zur bestehenden Rechtslage im Bundesgebiet (Becker in Plath, a.a.O.). Daneben kommt ergänzend bei der Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO in Betracht. Systematisch ist dieses Widerspruchsrecht in Abschnitt 4 des Kapitels III („Rechte der betroffenen Personen“) geregelt. Dies zeigt, dass es selbstständig neben den übrigen Betroffenenrechten (Art. 13 bis 20 DSGVO) steht, wobei sich diese Rechte nicht ausschließen, sondern ergänzen. Die Systematik des Art. 21 DSGVO zeigt, dass das Widerspruchsrecht gleichzeitig verfahrensrechtlichen als auch materiell-rechtlichen Charakter hat. Neben dem Verfahrensrecht auf Erhebung eines Widerspruchs gewährt Art. 21 Abs. 1 Satz 2 DSGVO einen materiellen Unterlassungsanspruch, d.h. einen Anspruch, dass der Verantwortliche die Daten in Zukunft nicht mehr verarbeitet. Die Vorschrift ermöglicht der betroffenen Person damit, die Datenverarbeitung mit Ex-nunc-Wirkung zu unterbinden. Dieser Unterlassungsanspruch wird gemäß Art. 17 Abs. 1 Buchst. c Alt. 1 DSGVO ergänzt durch einen Folgenbeseitigungsanspruch in Form eines Rechts auf Löschung sowie gemäß Art. 18 Abs. 1 Buchst. d DSGVO durch einen vorläufigen Sicherungsanspruch in Form des Rechts auf Einschränkung, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den besonderen Gründen der betroffenen Person überwiegen, sowie gemäß Art. 19 DSGVO durch eine mit der Löschung verbundene Folgemitteilungs- und -unterrichtungspflicht. Diese Rechte werden teilweise unmittelbar durch Unionsrecht eingeschränkt (z.B. Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 21 Abs. 1 DSGVO). Außerdem können die Rechte und Pflichten gemäß den Art. 12 bis 22, Art. 34 und gegebenenfalls Art. 5 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten unter den in Art. 23 DSGVO geregelten Voraussetzungen beschränkt werden. Eine generelle Einschränkung der Betroffenenrechte für Gerichtsverfahren wurde jedoch weder in das Unionsrecht noch in das Gerichtsverfassungsgesetz, in die Prozessordnungen und auch nicht in das Bundesdatenschutzgesetz und das Zehnte Buch Sozialgesetzbuch (SGB X) aufgenommen, da die zahlreichen bereits aus der Datenschutz-Grundverordnung resultierenden Ausnahmen dies nicht erforderlich machten. Im Übrigen kommen für Gerichte die jeweils einschlägigen Verfahrensordnungen als Beschränkung der Betroffenenrechte im Sinne von Art. 23 DSGVO und dem Bundesdatenschutzgesetz vorhergehendes spezielles Bundesrecht (§ 1 Abs. 2 Satz 1 BDSG) in Betracht (Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 ff). Die Datenschutz-Grundverordnung begründet einige neue Klagerechte, die nach nationaler Ausgestaltung vor den Gerichten der Verwaltungsgerichtsbarkeit (§ 20 BDSG), den Sozialgerichten (§§ 81a, 81b SGB X) bzw. den Finanzgerichten (§ 32i AO) anhängig zu machen sind. § 78 Abs. 1 DSGVO begründet unbeschadet anderer Rechtsbehelfe das Recht jeder natürlichen oder juristischen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen rechtsverbindliche Beschlüsse der datenschutzrechtlichen Aufsichtsbehörde. Davon werden alle der Bestandskraft fähigen Entscheidungen und damit auch Verwaltungsakte erfasst, die auf Grundlage von Art. 58 DSGVO ergehen. Klageberechtigt ist jede natürliche oder juristische Person, sofern diese in eigenen geschützten Rechten betroffen ist. Es ist nicht zwingend erforderlich, dass die Entscheidung auch ihr gegenüber rechtsverbindlich ist, es genügt, dass ihr Interessenkreis faktisch unmittelbar berührt ist. Art. 78 Abs. 2 DSGVO gewährt betroffenen Personen und unbeschadet sonstiger Rechtsbehelfe eine Untätigkeitsklage gegen die datenschutzrechtlichen Aufsichtsbehörden. Voraussetzung für diesen Rechtsbehelf ist, dass zuvor eine Beschwerde gemäß Art. 77 DSGVO erhoben wurde. Art. 79 Abs. 1 DSGVO gewährt betroffenen Personen einen zusätzlichen gerichtlichen Rechtsbehelf gegen einen nach ihrer Ansicht gegen die Datenschutz-Grundverordnung verstoßenden Umgang mit ihren personenbezogenen Daten. Prüfungsmaßstab ist die Datenschutz-Grundverordnung. Die verletzten Normen dürfen nicht nur objektiv-rechtlichen Charakter haben - wie zum Beispiel die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO) oder Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) -, sondern müssen konkrete Auswirkungen auf subjektive Rechte des Klägers haben. Klagegegner sind Verantwortliche und Auftragsverarbeiter. Parallel geführte Verfahren auf Unterlassungs- oder Schadensersatzansprüche gegen den Verantwortlichen stehen der Zulässigkeit nicht entgegen, ebenso wenig die parallele Beschwerde bei der Aufsichtsbehörde (Art. 77 und 78 DSGVO).

Vorliegend wird bei der Videoüberwachung von einer Datenverarbeitung nach Art. 6 Abs. 1 Buchst. e DSGVO auszugehen sein, so dass für den Kläger neben den Betroffenenrechten nach Art. 16 ff. DSGVO auch die Widerspruchsmöglichkeit nach Art. 21 Abs. 1 DSGVO in Betracht gekommen wäre. Die Unterlassungs- und Folgenbeseitigungspflichten erfassen - wie bereits oben ausgeführt - ausschließlich die die betroffene Person betreffenden Daten. Erfasst eine (automatisierte) Verarbeitung daneben auch Daten Dritter, muss diese nicht insgesamt unterbleiben (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 40, 41). Im Falle der Ablehnung eines Widerspruchs stehen dem Betroffenen zusätzlich sämtliche durch die Verordnung vorgesehenen Rechtsbehelfe zu. Gemeint ist damit der Primärrechtsschutz aufgrund des bereits oben genannten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) und eines Rechtsbehelfs gegen einen (nicht Abhilfe leistenden) Beschluss der Aufsichtsbehörde, auch in der Form der Untätigkeitsklage (Art. 78 DSGVO). Daneben hat der Betroffene das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese ein Verlangen oder einen Widerspruch des Betroffenen ab, ist die Ablehnung - wie bereits oben festgestellt - ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen angegriffen werden kann (a.a.O. Rn. 69). Das Recht nach Art. 79 Abs. 1 DSGVO auf einen wirksamen Rechtsbehelf gegen Rechtsverletzungen durch eine verordnungswidrige Datenverarbeitung besteht nach dem Wortlaut der Vorschrift „unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“. Selbst wenn entgegen naheliegender rechtssystematischer Erwägungen der gerichtliche Rechtsbehelf nach Art. 79 Abs. 1 DSGVO nicht zu den oben genannten Rechtsbehelfen in einem Stufenverhältnis, sondern neben diesen Rechtsbehelfen steht, so ist der gerichtliche Rechtsbehelf aber mit der gleichen Einschränkung behaftet wie die anderen oben genannten Rechte des Betroffenen, dass nämlich Verfahrensgegenstand ausschließlich die die betroffene Person betreffenden persönlichen Daten sein können. Auch diese rechtliche Einschränkung spricht gegen den vom Kläger mit der vorliegenden Klage verfolgten allgemeinen Unterlassungsanspruch. Ergänzend wird nach allgemeinen Grundsätzen des Prozessrechts unter dem Gesichtspunkt des Rechtsschutzbedürfnisses ein vorheriger Antrag bzw. Widerspruch im vorstehenden Sinne bei dem Verantwortlichen zu verlangen sein (a.a.O. Art. 79 Rn. 2, 5; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 79 Rn. 18).

Danach ist für eine allgemeine Unterlassungsklage in der vorliegenden Form - wie bereits eingangs festgestellt - von einer fehlenden Statthaftigkeit in Anbetracht der spezifischen Betroffenenrechte nach der Datenschutz-Grundverordnung seit deren Inkrafttreten am 25. Mai 2018 auszugehen. Es ist zwischen den Verfahrensbeteiligten unstreitig, dass der Kläger im Vorfeld der Klageerhebung mit keinem „Verlangen“ nach Art. 13 ff. DSGVO oder einem Widerspruch nach Art. 21 Abs. 1 DSGVO direkt an die Beklagte oder nach Art. 77 DSGVO i.V.m. Art. 20 BayDSG an eine Aufsichtsbehörde herangetreten ist. Selbst wenn man eine unmittelbare gerichtliche Geltendmachung von Betroffenenrechten unter Umgehung vorstehend genannter Verfahrensrechte bzw. ohne jegliche Befassung der verantwortlichen Behörde für zulässig erachten würde, kann diese gerichtliche Geltendmachung nach Art und Umfang materiell-rechtlich nicht weiter gehen als vorstehend genannte Verfahrensrechte, sodass für das Klagebegehren in der vorliegenden Form auch kein Rechtsschutzbedürfnis besteht.
24
Im Übrigen stützt der Kläger seine behauptete Rechtsverletzung im Ergebnis nur darauf, dass er als Nutzungsberechtigter der öffentlichen Einrichtung K.-garten von der Videoüberwachungsanlage betroffen ist, zum einen dadurch, dass seine Person bei Betreten des überwachten Platzes möglicherweise tatsächlich bildlich erfasst wird, zum anderen, dass die Videoüberwachungsanlage auch ohne Überwachungstätigkeit nur vorhanden ist und diese Überwachungsanlage entgegen den Vorschriften der Datenschutz-Grundverordnung eingerichtet und betrieben wird. Ein solcher Vortrag kann nicht genügen, eine eigene selbstständige Rechtsverletzung zu belegen. Die „Ansicht“ einer Rechtsverletzung im Sinne des Art. 79 Abs. 1 DSGVO im vorstehenden Sinne würde im Ergebnis bedeuten, dass diese mit dem Vortrag einer nicht verordnungskonformen Datenverarbeitung durch die Videoüberwachung zusammenfällt. Die Datenschutz-Grundverordnung trifft aber gerade - wie oben bereits ausgeführt - eine Unterscheidung zwischen der bloßen Rechtswidrigkeit der Datenverarbeitung, worauf sich ein Widerspruchsrecht nach Art. 21 DSGVO und ein Beschwerderecht nach Art. 77 DSGVO stützen lässt, und der zusätzlichen, nach Ansicht der betroffenen Person gegebenen Rechtsverletzung. Vor diesem Hintergrund kann vorliegend auch nicht von der Geltendmachung einer Rechtsverletzung durch den Kläger ausgegangen werden, sodass eine Beschreitung des Klagewegs nach Art. 79 DSGVO vorliegend ebenfalls ausscheiden würde."


Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg: Behörde muss bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung Sicherungsvorkehrungen treffen

OVG Lüneburg
Beschluss vom 22.07.2020
11 LA 104/19


Das OVG Lüneburg hat entschieden, dass eine Behörde bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen muss.

Leitsätze des Gerichts:

1. Ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war, kann im Wege einer Feststellungsklage bei Vorliegen eines Feststellungsinteresses zur Überprüfung gestellt werden.

2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

Aus den Entscheidungsgründen:

"Hier liegt ein Sachverhalt vor, der einer Norm zugeordnet werden kann. Streitgegenständlich ist die von der Beklagten vorgenommene Übermittlung des Bescheides vom 3. Februar 2017 per Fax an ihren Prozessbevollmächtigten am 7. Februar 2017. Entgegen der Ansicht der Beklagten geht es dem Kläger nicht nur um die rechtliche Qualifikation des Handelns der Beklagten als rechtswidrig oder rechtmäßig - ein derartiges Begehren unterfiele als nicht feststellungsfähige Rechtsfrage nicht der Feststellungsklage im Sinne von § 43 VwGO (Bayerischer VGH, Urt. v. 9.4.2003 - 24 B 02.646 -, juris, Rn. 22, Sodan, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 43, Rn. 35) -, sondern um seine Rechtsposition, die durch die Weitergabe seiner personenbezogenen Daten möglicherweise berührt ist.

Der Kläger hat auch ein Feststellungsinteresse wegen Wiederholungsgefahr. Eine Wiederholungsgefahr begründet ein berechtigtes Interesse im Sinne des § 43 Abs. 1 VwGO, wenn hinreichend konkrete Anhaltspunkte dafür vorliegen, dass die beanstandete hoheitliche Maßnahme erneut vorgenommen wird (Bayerischer VGH, Urt. v. 15.2.2012 - 1 B 09.2157 -, juris, Rn. 31). Die Beklagte macht geltend, sie habe die angeordneten Übermittlungssperren zwischenzeitlich sofort vollziehbar aufgehoben. Die Übermittlungssperren könnten deshalb nicht zur Begründung eines besonders hohen Schutzniveaus herangezogen werden. Der Kläger sei auch nicht besonderen Gefahren ausgesetzt. Mit diesem Vortrag dringt die Beklagte nicht durch.

Das Verwaltungsgericht hat die Wiederholungsgefahr damit begründet, dass die Beklagte wiederholt Faxe ohne Verschlüsselung versandt habe. Hierzu verweist das Verwaltungsgericht neben der streitgegenständlichen Faxübersendung auf zwei Schreiben vom 22. Juni 2016 und 19. August 2016 in gerichtlichen Verfahren, die beide unverschlüsselt mit personenbezogenen Daten des Klägers an das Verwaltungsgericht bzw. an das Oberverwaltungsgericht übermittelt worden sind. Daraus schließt das erstinstanzliche Gericht zu Recht, dass auch zukünftig die beschriebene Gefahr droht.

Ob der Kläger besonderen oder erheblichen Gefahren ausgesetzt ist und deshalb bei der Übermittlung seiner personenbezogenen Daten ein bestimmtes Schutzniveau gewährleistet sein muss, ist eine Frage der Begründetheit der Klage. Zudem ist zu berücksichtigen, dass der 12. Senat des Niedersächsischen Oberverwaltungsgerichts mit Urteil vom 19. Mai - H. - ein Urteil des Verwaltungsgerichts bestätigt hat, mit dem die Beklagte verpflichtet wurde, dem Kläger für ein von ihm gehaltenes Fahrzeug eine Übermittlungssperre nach § 41 Abs. 2 StVG ohne generelle Ausnahme von Anfragen von Polizei und Bußgeldstellen und ohne Befristung auf fünf Jahre zu erteilen. Der Senat hat ausgeführt, dass § 41 Abs. 2 StVG eine glaubhaft gemachte Beeinträchtigung der schutzwürdigen Interessen des Betroffenen durch die Übermittlung der Halterdaten voraussetze. Der Kläger habe glaubhaft gemacht, dass er berufsbedingt allgemein einem deutlich höheren Angriffsrisiko ausgesetzt sei, und zwar zur Ermöglichung eines illegalen Zugriffes auf „seine“ Sprengstoffe. Der Umgang des Klägers mit riskanten und gerade für militante Straftäter nützlichen, daher von ihnen begehrten Produkten, wie Sprengstoffen, führe zu einer gegenüber einem durchschnittlichen Fahrzeughalter deutlich erhöhten Wahrscheinlichkeit der Beeinträchtigung seiner Rechte. Dies gelte insbesondere für das Risiko, Opfer einer Straftat zu werden.

Soweit das Verwaltungsgericht das Feststellungsinteresse des Klägers auch wegen der Möglichkeit bejaht hat, durch die unverschlüsselte Faxübermittlung, ein Ereignis, das auf eine Zeitspanne beschränkt ist, in der Rechtsschutz kaum erlangt werden kann, tiefgreifend in einem Grundrecht verletzt worden zu sein, wird diese Annahme von der Beklagten mit der Zulassungsbegründung nicht in Frage gestellt.

Die Beklagte hat in ihren Ausführungen zur Begründetheit der Klage nicht dargelegt, dass die Auffassung des Verwaltungsgerichts, die Faxübermittlung am 7. Februar 2017 sei rechtswidrig und verletze den Kläger in seinen Rechten, ernstlichen Zweifeln unterliegt.

Der Kläger kann sich darauf berufen, dass die Beklagte zur Gewährleistung seines Grundrechts auf informationelle Selbstbestimmung bei der Übermittlung von personenbezogenen Daten Schutzvorkehrungen trifft, damit seine personenbezogenen Daten nicht unbefugt an Dritte gelangen. Das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG wurzelnde Grundrecht auf informationelle Selbstbestimmung verpflichtet den Gesetzgeber, für notwendige Sicherungsvorkehrungen Sorge zu tragen (BVerfG, Urt. v. 15.12.1983 - 1 BvR 209/83 u.a. -, BVerfGE 65, 1, juris, Rn. 191, „Volkszählungsurteil“). Insbesondere sind die betroffenen Daten vor unbefugtem Zugriff Dritter und vor missbräuchlicher Nutzung zu schützen (Senatsurt. v. 14.1.2020 - 11 LC 191/17 -, juris, Rn. 49). Der niedersächsische Gesetzgeber hat hierzu in § 7 Abs. 1 des Niedersächsischen Datenschutzgesetzes vom 29. Januar 2002 (Nds. GVBl. 2002, 22, i.d. Änderungsfassung v. 12.12.2012, Nds. GVBl. 2012, 589 - NDSG a.F. -) geregelt, dass öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen (Satz 1). Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). Daran gemessen hat die Beklagte mit der nicht verschlüsselten Übermittlung des nicht anonymisierten Bescheides vom 3. Februar 2017 über ein Faxgerät an ihren Prozessbevollmächtigten nicht den gebotenen Schutz gewährleistet und dadurch den Kläger in seinem Grundrecht verletzt.

Der Kläger ist besonders schutzbedürftig. Der Kläger ist erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht. Wie bereits zur Zulässigkeit der Feststellungsklage ausgeführt, ist der Kläger dadurch einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen.

Die in dem übermittelten Bescheid enthaltenen personenbezogenen Daten (Name und Adresse des Klägers, Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeugs) sind besonders sensibel. Der Senat teilt die Auffassung des 12. Senats in seinem Urteil vom 19. Mai 2020 - H. -, dass die Kenntnis dieser personenbezogenen Daten das Risiko des Klägers, Opfer einer Straftat zu werden, deutlich erhöht.

Daraus folgt, dass die Beklagte bei der Übermittlung der personenbezogenen Daten des Klägers ein angemessenes Schutzniveau gewährleisten muss. Soweit die Beklagte geltend macht, der Kläger habe in an sie gerichteten Telefaxschreiben personenbezogene Daten preisgegeben und dieser Kommunikationsform zugestimmt, überzeugt dieser Einwand nicht. Die Beklagte bezieht sich dabei auf Faxdokumente aus den Jahren 2011 und 2012 (Schreiben v. 10.2.2011 und 9.9.2012). Der Kläger hat bereits mit Schreiben vom 9. Dezember 2015 an die Beklagte der unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Der Vortrag des Klägers, jedenfalls für den Zeitraum nach dem 9. Dezember 2015 habe er einer Übersendung per Fax nicht zugestimmt, ist unwidersprochen geblieben. Zudem hat die Beklagte dem Kläger mit Schreiben vom 25. Februar 2016 bestätigt, dass sich der Umgang mit personenbezogenen Daten in der zuständigen Abteilung nach den geltenden datenschutzrechtlichen Vorgaben richte und auf nichtverschlüsseltem elektronischem Weg personenbezogene Daten nicht übermittelt würden.

Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite (https://www.ldi.nrw.de/[...] ). Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Beklagten kommt in seiner Auskunft an den Kläger vom 11. April 2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Beklagten ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte.

Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können. Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen.

Unerheblich ist auch, dass der Bescheid per Fax nicht an einen beliebigen Dritten, sondern an den Prozessbevollmächtigten der Beklagten übersandt wurde, der wie seine Mitarbeiter der Verschwiegenheitspflicht unterliegt. Es besteht die Gefahr des Missbrauchs durch unbefugte Dritte, die sich jederzeit realisieren kann. Zudem bestehen auch Risiken außerhalb des unmittelbaren Übertragungsvorgangs, zum Beispiel durch Adressierungsfehler oder Fehlleitungen aufgrund von veralteten Anschlussnummern oder aktivierten Anrufumleitungen bzw. -weiterleitungen (vgl. hierzu die Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf der bezeichneten Internetseite)."


Den Volltext der Entscheidung finden Sie hier:

EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


Volltext BGH liegt vor: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 4 Nr. 11; UKlaG § 1; BGB § 307; TMG § 15 Abs. 3


Wir hatten bereits in dem Beitrag BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss über die Entscheidung berichtet.

Leitsätze des BGH:

a) Eine wirksame Einwilligung in telefonische Werbung im Sinne von § 7 Abs. 2 Nr. 2 Fall 1 UWG liegt nicht vor, wenn der Verbraucher bei der Erklärung der Einwilligung mit einem aufwendigen Verfahren der Abwahl von in einer Liste aufgeführten Partnerunternehmen konfrontiert wird, das ihn dazu veranlassen kann, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen dem Unternehmer die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.

b) § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.

BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:



Bundeskartellamt: Sektoruntersuchung zu Smart-TV - Bessere Verbraucher-Informationen über die Datenverarbeitung erforderlich

Das Bundeskartellamt hat den Abschlussbericht seiner Sektoruntersuchung zu Smart-TV vorgelegt.

Die Pressemitteilung des Bundeskartellamtes:

Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs

Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).

Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“

Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.

Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.

Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.

Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.

Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.

Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“

In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:

Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).

Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.

Den Bericht finden Sie hier:



LfDI Baden-Württemberg: Bußgeld in Höhe von 1.240.000,00 EURO gegen AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO

Das LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 1.240.000,00 EURO gegen die AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt.

Die Pressemitteilung des LfDI:

LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.