Skip to content

VG Regensburg: DSGVO regelt Betroffenenrechte bei Verarbeitung personenbezogener Daten abschließend - keine Ansprüche aufgrund anderer Anspruchsgrundlagen

VG Regensburg
Gerichtsbescheid vom 06.08.2020
RN 9 K 19.1061


Das VG Regensburg hat entschieden, dass die DSGVO die Betroffenenrechte bei der Verarbeitung personenbezogener Daten abschließend regelt und Betroffene keine Ansprüche aufgrund anderer Anspruchsgrundlagen außerhalb der DSGVO geltend machen können.

Leitsätze des Gerichts:

1. Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, sodass eine allgemeine Leistungsklage in der Form der Unterlassungsklage nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Anwendungsbereich der Datenschutz-Grundverordnung nicht statthaft ist.

2. Es ist zwischen einer (bloß) verordnungswidrigen Datenverarbeitung und einer möglichen Rechtsverletzung einer Person hinsichtlich der ausschließlich sie betreffenden personenbezogenen Daten zu unterscheiden.

3. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO zu. Art. 79 Abs. 1 DSGVO vermittelt einen individualrechtlichen Unterlassungsanspruch bezüglich der Verletzung von Betroffenenrechten (Art. 13 bis 20 DSGVO).

Aus den Entscheidungsgründen:

"Zunächst ist festzustellen, dass der sachliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist. Insbesondere sind die in Art. 2 Abs. 2 DSGVO genannten Ausnahmen für die Verarbeitung personenbezogener Daten vom Anwendungsbereich der Datenschutz-Grundverordnung nicht einschlägig. Entgegen der Auffassung des Klägers findet Art. 2 Abs. 2 Buchst. d DSGVO im vorliegenden Fall keine Anwendung. Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit fällt in den Anwendungsbereich des zweiten Rechtsakts im Datenschutzreformpaket, der sogenannten „Polizei-RL“ (Art. 1 Abs. 1 RL 2016/680/EU des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. 2016 L 119, 89). Beide Rechtsakte (Datenschutz-Grundverordnung und „Polizei-RL“) sind eng aufeinander abgestimmt und ergänzen sich daher. Die Ausnahme des Art. 2 Abs. 2 Buchst. d DSGVO umfasst sowohl die Datenverarbeitung zu präventiven als auch zu repressiven Zwecken. Eine Straftat im Sinne der Ausnahme in Art. 2 Abs. 2 Buchst. d DSGVO und hinsichtlich der Anwendung der „Polizei-RL“ ist als ein eigenständiger Begriff des Unionsrechts zu verstehen, der nicht einseitig durch die Mitgliedstaaten festgelegt werden kann. Die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von reinen Ordnungswidrigkeiten fällt nicht darunter. Erfasst werden sollen die polizeilichen Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht, sowie die Ausübung hoheitlicher Gewalt durch Ergreifung von Zwangsmitteln, wie polizeiliche Tätigkeiten bei Demonstrationen, großen Sportveranstaltungen und Ausschreitungen. Sie umfassen auch die Aufrechterhaltung der öffentlichen Ordnung als Aufgabe, die der Polizei oder anderen Strafverfolgungsbehörden - nicht jedoch reinen Ordnungsbehörden - übertragen wurde, soweit dies zum Zweck des Schutzes vor und der Abwehr von Bedrohungen der öffentlichen Sicherheit und Bedrohungen für durch Rechtsvorschriften geschützte grundlegende Interessen der Gesellschaft, die zu einer Straftat führen können, erforderlich ist (vgl. Erwägungsgrund 12 der RL 2016/680/EU und Erwägungsgrund 19 der Datenschutz-Grundverordnung; Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 2 Rn. 12; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 2 DSGVO Rn. 44 ff.). Personenbezogene Daten, die von Behörden nach der Datenschutz-Grundverordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, der Richtlinie (EU) 2016/680 unterliegen (Erwägungsgrund 19 a.a.O.). Im vorliegenden Fall handelt die Beklagte vorrangig als Ordnungsbehörde bzw. Sicherheitsbehörde nach Art. 6 LStVG mit der Aufgabe, die öffentliche Sicherheit und Ordnung durch Abwehr von Gefahren und durch Unterbindung und Beseitigung von Störungen aufrechtzuerhalten, und damit auf der Grundlage der Datenschutz-Grundverordnung. Hinzu kommt die Ausübung des Hausrechts für die öffentliche Einrichtung K.-garten durch die Beklagte als Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c und e DSGVO).

Das Rechtsschutzsystem bezüglich der Verarbeitung personenbezogener Daten hat deshalb ebenfalls seinen Ausgangspunkt in der Datenschutz-Grundverordnung.

Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, so dass Unterlassungsklagen nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Bereich des Datenschutzes grundsätzlich nicht mehr möglich sind. Nach dem Wortlaut des Art. 79 Abs. 1 DSGVO bleiben nur andere verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe „unbeschadet“, nicht aber gerichtliche Rechtsbehelfe (vgl. Bernhard/Kreße/Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 79 Rn. 30; BeckOK, Datenschutzrecht, Wolff/Brink, 29. Edition, Art. 79 Rn. 11). Die Rechte betroffener Personen sind in Kapitel III der Datenschutz-Grundverordnung niedergelegt (Art. 12 bis 22 DSGVO). Es handelt sich zum einen um Auskunfts-, Berichtigungs- und Löschungsrechte sowie um das Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Erfasst ist auch das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Den in Art. 13 ff., 19 DSGVO genannten Pflichten korrespondieren individuelle subjektive Rechte der betroffenen Personen, die gemäß Art. 79 DSGVO unter dessen weiteren Voraussetzungen gerichtlich durchgesetzt werden können. Entsprechendes gilt für die in Art. 12 DSGVO formulierten Pflichten des für die Verarbeitung personenbezogener Daten Verantwortlichen.

Jenseits der oben genannten Normen gewährt die Datenschutz-Grundverordnung keine Rechte, zu deren Durchsetzung ein wirksamer Rechtsbehelf nach Art. 79 DSGVO zur Verfügung gestellt werden muss. In Betracht käme insbesondere ein Anspruch auf Unterlassung einer verordnungswidrigen Verarbeitung personenbezogener Daten, da gemäß Art. 8 Abs. 1 EU-GRCh, Art. 16 Abs. 1 AEUV jede natürliche Person Recht auf Schutz der sie betreffenden personenbezogenen Daten hat, wobei Inhalt des Schutzes auch das Erfordernis der Rechtmäßigkeit der Verarbeitung ist. Es müsste in einem solchen Fall daher die Möglichkeit bestehen, eine solche Verarbeitung für die Zukunft zu unterbinden, andernfalls der Grundrechtsschutz und der europarechtliche Effektivitätsgrundsatz nach Art. 4 Abs. 3 EUV beeinträchtigt wären. Allerdings ist das Recht auf Unterlassung rechtswidriger Datenverarbeitung nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Dies spricht gegen die Annahme eines auf der Datenschutz-Grundverordnung basierenden Unterlassungsanspruchs bezüglich einer verordnungswidrigen Verarbeitung personenbezogener Daten. Das Löschungsrecht nach Art. 17 Abs. 1 Buchst. d DSGVO hilft nur eingeschränkt weiter, weil sich Art. 6 DSGVO, auf den verwiesen wird, nur mit dem Erfordernis eines zulässigen Grundes für die Datenverarbeitung befasst.

Gegen die Annahme eines generellen Anspruchs auf Unterlassung der verordnungswidrigen Verarbeitung personenbezogener Daten auf Grundlage der Datenschutz-Grundverordnung sprechen ferner deren Entstehungsgeschichte und die Systematik. Art. 76 Abs. 5 des Kommissionsvorschlag zur Datenschutz-Grundverordnung lautete: „Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass dem Betroffenen weiterer Schaden entsteht.“ Diese präventiv formulierte Bestimmung wurde in der allgemeinen Ausrichtung des Rates der Europäischen Union vom 15. Juni 2015 ersatzlos gestrichen. Nicht in bedeutungserheblicher Hinsicht geändert hat sich hingegen die Formulierung, die jetzt in Art. 77 Abs. 1 DSGVO enthalten ist, die das Beschwerderecht daran knüpft, dass die Verarbeitung der personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Auch der Unterschied in den Formulierungen der Art. 77 Abs. 1 und Art. 79 Abs. 1 DSGVO zeigt, dass die bloße verordnungswidrige Datenverarbeitung gerade noch keine Rechtsverletzung darstellt, sondern zwischen rechtswidriger Datenverarbeitung und Rechtsverletzung unterschieden werden muss. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO zu und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO, womit die primärrechtlichen Bedenken ausgeräumt sind. Es ist zu beachten, dass diese Verordnungswidrigkeit der Datenverarbeitung neben der Rechtsverletzung in Art. 79 Abs. 1 DSGVO als eigenständiges Merkmal gesehen wird: Die Rechtsverletzung soll nach Ansicht der betroffenen Person erst infolge der verordnungswidrigen Verarbeitung eingetreten, also mit ihr gerade nicht identisch sein. Die Rechte der betroffenen Person sind verletzt, wenn die Person oder Einrichtung, gegenüber denen sie bestehen, den ihnen korrespondierenden Pflichten nicht nachkommt. Um dies festzustellen, sind die konkretisierenden Vorschriften des Art. 12 Abs. 2, 3 und 5 bis 7 DSGVO zusätzlich zu beachten. So liegt beispielsweise in den in Art. 12 Abs. 3 DSGVO genannten Fällen eine Rechtsverletzung vor Ablauf der in dieser Vorschrift bezeichneten Fristen nicht vor. Auch in den Fällen des Art. 12 Abs. 5 Satz 1 Buchst. b und Abs. 6 DSGVO liegt keine Rechtsverletzung vor.

Diese vorstehend beschriebene Rechtslage erfährt auch keine Modifikation durch das Bayerische Datenschutzgesetz. Nach Art. 1 BayDSG gilt das Bayerische Datenschutzgesetz zunächst für Datenverarbeitungen durch alle bayerischen Behörden, also auch durch Justiz- und Polizeibehörden, soweit nicht im jeweiligen Fachrecht (etwa dem Melderecht oder dem Polizeiaufgabengesetz) Spezialvorschriften existieren (Art. 1 Abs. 5 BayDSG). Wegen dieses sehr umfassenden Anwendungsbereichs gilt folglich auch Art. 2 BayDSG für alle bayerischen Behörden. Damit hat der bayerische Gesetzgeber entschieden, dass die Datenschutz-Grundverordnung auch in den Bereichen gelten soll, die eigentlich - mangels Kompetenz der EU - von der Datenschutz-Grundverordnung nicht erfasst werden (dürfen) und wo (eigentlich) Raum für ein eigenständiges nationales Datenschutzrecht wäre. Allerdings hatte der bayerische Gesetzgeber erkannt, dass es nicht möglich ist, alle Umsetzungsaufgaben, welche die Richtlinie 2016/680/EU formuliert, durch einen pauschalen Verweis auf die Datenschutz-Grundverordnung sachgerecht zu lösen. Deshalb wurde Art. 28 Abs. 2 und 3 BayDSG geschaffen, die für die in Art. 28 Abs. 1 BayDSG genannten „Richtlinien-Behörden“ vereinzelt Spezialvorschriften schaffen. Durch eine abschließende Aufzählung ordnet Art. 28 Abs. 2 BayDSG an, dass nur bestimmte Vorschriften der Datenschutz-Grundverordnung auf Datenverarbeitungen, die der Richtlinie 2016/680/EU unterfallen, Anwendung finden. Andere Vorschriften der Datenschutz-Grundverordnung finden zwar grundsätzlich Anwendung, sie werden aber durch die Art. 29 ff. BayDSG modifiziert. Darüber hinaus sollen nicht sämtliche Vorschriften des Bayerischen Datenschutzgesetzes für Datenverarbeitung nach der Richtlinie 2016/680/EU Anwendung finden. Deshalb legt Art. 28 Abs. 3 BayDSG fest, dass bestimmte Vorschriften des Bayerischen Datenschutzgesetzes keine Anwendung für solche Datenverarbeitungen finden, die der Richtlinie unterfallen. Neben der spezifischen Zweckbestimmung (Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) ist zusätzlich (stets) eine grundsätzliche Aufgaben- und Befugniszuweisung der verarbeitenden Behörde für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafverfolgung sowie der polizeilichen Gefahrenabwehr erforderlich. Art. 28 Abs. 1 Satz 1 BayDSG enthält eine nicht abschließende Aufzählung („soweit nichts anderes bestimmt ist“) derjenigen Behörden, denen eine solche Aufgaben- und Befugniszuweisung im Sinne der Richtlinie zukommen kann. Diese zuständigen Behörden unterliegen den Regelungen des achten Kapitels nur insoweit, als die konkrete Datenverarbeitung den in Art. 28 Abs. 1 Satz 1 BayDSG genannten Zwecken dient. Danach wird der Bereich der Gefahrenabwehr in Ansehung der praxisrelevanten Konstellationen dem Anwendungsbereich der Richtlinie 2016/680/EU und somit des achten Kapitels des Bayerischen Datenschutzgesetzes zuzurechnen sein. Selbst wenn bei polizeilichem Handeln zur Gefahrenabwehr nicht bereits von vornherein klar die Verhütung von Straftaten als Zweck oder Ergebnis feststeht, besteht nahezu immer zumindest die Möglichkeit, dass die Gefahrenlage zu einer Straftat führen kann bzw. dass dies nicht ausgeschlossen ist. In Abgrenzung hierzu sind allerdings nach dem Selbstverständnis der Richtlinie 2016/680/EU Datenverarbeitungen zur Gefahrenabwehr durch nichtpolizeiliche Sicherheitsbehörden (z.B. Landratsämter als Sicherheitsbehörden nach Art. 6 LStVG) grundsätzlich nach den Bestimmungen der Datenschutz-Grundverordnung zu beurteilen. Für sie ist das achte Kapitel des Bayerischen Datenschutzgesetzes nur dann anwendbar, soweit diese nichtpolizeilichen Sicherheitsbehörden „Straftaten oder Ordnungswidrigkeiten verfolgen oder ahnden“. Die Bestimmungen des achten Kapitels finden daher Anwendung, sobald Daten im Rahmen eines konkreten, dokumentiert eingeleiteten Ordnungswidrigkeitenverfahrens verarbeitet werden (vgl. Wilde/Ehmann/Niese/Knoblauch, Datenschutz im Bayern, 29. AL Juni 2018, Art. 28 BayDSG Rn. 20).

Zum Rechtsschutz sieht Art. 20 BayDSG ausschließlich die Anrufung der Aufsichtsbehörden durch Betroffene vor. Hierin ist eine Konkretisierung des unmittelbar in der Datenschutz-Grundverordnung gewährleisteten Beschwerderechts gemäß Art. 77 DSGVO zu sehen. Die Vorschrift enthält damit eine mitgliedstaatliche Verfahrensregelung auf Grundlage von Art. 58 Abs. 4 DSGVO. Aufsichtsbehörden im Sinn des Art. 20 BayDSG sind u.a. der Bayerische Landesbeauftragte für den Datenschutz (Art. 15 BayDSG) und das Bayerische Landesamt für Datenschutzaufsicht (Art. 18 BayDSG). Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG bestimmt das Recht der betroffenen Person, sich an die Datenschutzaufsichtsbehörden mit dem Vorbringen zu wenden, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Anrufung der Aufsichtsbehörde stellt einen formlosen Rechtsbehelf dar, der dem allgemeinen Petitionsrecht (Art. 115 BV, Art. 17 GG) verwandt ist. Es gibt dem Betroffenen - unabhängig von sonstigen Rechtsbehelfen - das eigenständige Recht, sich an eine Aufsichtsbehörde mit dem Vorbringen zu wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Das durch die Grundrechte-Charta der EU verbürgte Beschwerderecht (Art. 8 Abs. 1 i.V.m. Abs. 3 GRCh) wird durch Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG konkretisiert, wobei Art. 20 Abs. 1 Satz 1 BayDSG - anders als das Beschwerderecht in Art. 77 Abs. 1 DSGVO - nicht bloß die Geltendmachung eines Verstoßes gegen die Datenschutz-Grundverordnung voraussetzt, sondern ein Vorbringen, das eine eigene Rechtsverletzung des Beschwerdeführers zum Gegenstand hat (Datenschutz in Bayern, 29. AL Juni 2018, Art. 20 BayDSG Rn. 4 und 5). Dadurch ergibt sich ein Rechtsanspruch der betroffenen Person, dass die Aufsichtsbehörde die Eingabe entgegennimmt, sachlich in tatsächlicher und rechtlicher Hinsicht prüft und den Eingabeführer schriftlich darüber unterrichtet, wie die Eingabe erledigt wurde. Hierzu bestimmt Art. 57 Abs. 1 Buchst. f DSGVO, dass der „Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen“ ist. Hat sich eine Aufsichtsbehörde nicht mit einer Beschwerde befasst oder hat sie die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt, kann die betroffene Person nach Art. 78 Abs. 2 und 3 DSGVO allgemeine Leistungsklage vor den Verwaltungsgerichten auf Unterrichtung über den Stand oder das Ergebnis der Beschwerde erheben. Die Frist von drei Monaten ergibt sich aus Art. 78 Abs. 2 DSGVO. Die einzelnen Befugnisse der Aufsichtsbehörden ergeben sich aus Art. 58 DSGVO, so auch Abhilfebefugnisse, die es ihr u.a. gestatten, auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen (Abs. 2 Buchst. f) oder die Berichtigung oder Löschung von personenbezogenen Daten oder die Beschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 DGSVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Art. 17 Abs. 2 DSGVO und Art. 19 DSGVO offen gelegt wurden, anzuordnen. Dieses Anrufungs- bzw. Beschwerderecht nach Art. 20 BayDSG setzt keinen vorherigen Antrag bei der verantwortlichen Behörde voraus. Will ein Betroffener jedoch direkt gegen zunächst einen Verantwortlichen vorgehen bzw. gegenüber diesem die Betroffenenrechte der Datenschutz-Grundverordnung geltend machen (Art. 16 ff. DSGVO), so setzen diese Rechte auf Berichtigung, Löschung und Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung wie auch das vorgängige Auskunftsrecht nach Art. 15 DSGVO ein „Verlangen“ der betroffenen Person gegenüber dem Verantwortlichen voraus. Im Falle der Ablehnung stehen der betroffenen Person sämtliche durch die Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe zu (Art. 77, 78 DSGVO). Daneben hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese einen Einschränkungsantrag ab, ist die Ablehnung ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen Widerspruch und regelmäßig Verpflichtungsklage gemäß §§ 42, 68 ff. VwGO angegriffen werden kann (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 30). Damit bleibt es auch im Anwendungsbereich des Bayerischen Datenschutzgesetzes bei der ausschließlichen Klagemöglichkeit eines Betroffenen gegen den Verantwortlichen nach § 79 DSGVO.

Die genannten Betroffenenrechte der Datenschutz-Grundverordnung (mit Art. 20 BayDSG) ersetzen seit dem 25. Mai 2018 - wie bereits oben ausgeführt - etwaige Betroffenenrechte nach nationalem Recht (a.a.O., Art. 18 Rn. 38; OVG Lüneburg, U.v. 20.6.2019 - 11 LC 121/17 - juris Rn. 43; VG Stade, B.v. 9.10.2018 - 1 B 1918/18 - juris Rn. 30). Diesen Betroffenenrechten ist gemein, dass sich ein Betroffener damit nur gegen die ihn betreffenden personenbezogenen Daten wenden kann (Becker in Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 79 Rn. 2). Art. 79 DSGVO vermittelt nur einen individualrechtlichen Unterlassungsanspruch. Zudem können über den in Art. 79 Abs. 1 DSGVO vorgesehenen Weg auch die Auskunfts-, Berichtigungs- und Löschungsrechte (Art. 15 bis 17 DSGVO) gegenüber dem Verantwortlichen und dem Auftragsverarbeiter verfolgt werden. Materiellrechtlich richten sich der Anspruch und seine Durchsetzung nach den allgemeinen Bestimmungen, wobei unterschiedliche Rechtswege gegenüber öffentlichen und nicht-öffentlichen Stellen zum Tragen kommen. Gegenüber einer fehlerhaften Datenverarbeitung durch öffentliche Stellen im Rahmen ihres hoheitlichen Handelns wird der Betroffene im Regelfall vor den Verwaltungsgerichten Rechtsschutz suchen müssen (§ 44 Abs. 2 BDSG). Da die entsprechenden prozessualen Rechtsinstrumente im deutschen Recht vorhanden waren, hätte es nicht unbedingt bestimmter Umsetzungsmaßnahmen durch den deutschen Gesetzgeber bedurft. Dennoch hat der Gesetzgeber in § 44 BDSG Regelungen zur Zuständigkeit aufgenommen, allerdings ergibt sich daraus keine Änderung zur bestehenden Rechtslage im Bundesgebiet (Becker in Plath, a.a.O.). Daneben kommt ergänzend bei der Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO in Betracht. Systematisch ist dieses Widerspruchsrecht in Abschnitt 4 des Kapitels III („Rechte der betroffenen Personen“) geregelt. Dies zeigt, dass es selbstständig neben den übrigen Betroffenenrechten (Art. 13 bis 20 DSGVO) steht, wobei sich diese Rechte nicht ausschließen, sondern ergänzen. Die Systematik des Art. 21 DSGVO zeigt, dass das Widerspruchsrecht gleichzeitig verfahrensrechtlichen als auch materiell-rechtlichen Charakter hat. Neben dem Verfahrensrecht auf Erhebung eines Widerspruchs gewährt Art. 21 Abs. 1 Satz 2 DSGVO einen materiellen Unterlassungsanspruch, d.h. einen Anspruch, dass der Verantwortliche die Daten in Zukunft nicht mehr verarbeitet. Die Vorschrift ermöglicht der betroffenen Person damit, die Datenverarbeitung mit Ex-nunc-Wirkung zu unterbinden. Dieser Unterlassungsanspruch wird gemäß Art. 17 Abs. 1 Buchst. c Alt. 1 DSGVO ergänzt durch einen Folgenbeseitigungsanspruch in Form eines Rechts auf Löschung sowie gemäß Art. 18 Abs. 1 Buchst. d DSGVO durch einen vorläufigen Sicherungsanspruch in Form des Rechts auf Einschränkung, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den besonderen Gründen der betroffenen Person überwiegen, sowie gemäß Art. 19 DSGVO durch eine mit der Löschung verbundene Folgemitteilungs- und -unterrichtungspflicht. Diese Rechte werden teilweise unmittelbar durch Unionsrecht eingeschränkt (z.B. Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 21 Abs. 1 DSGVO). Außerdem können die Rechte und Pflichten gemäß den Art. 12 bis 22, Art. 34 und gegebenenfalls Art. 5 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten unter den in Art. 23 DSGVO geregelten Voraussetzungen beschränkt werden. Eine generelle Einschränkung der Betroffenenrechte für Gerichtsverfahren wurde jedoch weder in das Unionsrecht noch in das Gerichtsverfassungsgesetz, in die Prozessordnungen und auch nicht in das Bundesdatenschutzgesetz und das Zehnte Buch Sozialgesetzbuch (SGB X) aufgenommen, da die zahlreichen bereits aus der Datenschutz-Grundverordnung resultierenden Ausnahmen dies nicht erforderlich machten. Im Übrigen kommen für Gerichte die jeweils einschlägigen Verfahrensordnungen als Beschränkung der Betroffenenrechte im Sinne von Art. 23 DSGVO und dem Bundesdatenschutzgesetz vorhergehendes spezielles Bundesrecht (§ 1 Abs. 2 Satz 1 BDSG) in Betracht (Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 ff). Die Datenschutz-Grundverordnung begründet einige neue Klagerechte, die nach nationaler Ausgestaltung vor den Gerichten der Verwaltungsgerichtsbarkeit (§ 20 BDSG), den Sozialgerichten (§§ 81a, 81b SGB X) bzw. den Finanzgerichten (§ 32i AO) anhängig zu machen sind. § 78 Abs. 1 DSGVO begründet unbeschadet anderer Rechtsbehelfe das Recht jeder natürlichen oder juristischen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen rechtsverbindliche Beschlüsse der datenschutzrechtlichen Aufsichtsbehörde. Davon werden alle der Bestandskraft fähigen Entscheidungen und damit auch Verwaltungsakte erfasst, die auf Grundlage von Art. 58 DSGVO ergehen. Klageberechtigt ist jede natürliche oder juristische Person, sofern diese in eigenen geschützten Rechten betroffen ist. Es ist nicht zwingend erforderlich, dass die Entscheidung auch ihr gegenüber rechtsverbindlich ist, es genügt, dass ihr Interessenkreis faktisch unmittelbar berührt ist. Art. 78 Abs. 2 DSGVO gewährt betroffenen Personen und unbeschadet sonstiger Rechtsbehelfe eine Untätigkeitsklage gegen die datenschutzrechtlichen Aufsichtsbehörden. Voraussetzung für diesen Rechtsbehelf ist, dass zuvor eine Beschwerde gemäß Art. 77 DSGVO erhoben wurde. Art. 79 Abs. 1 DSGVO gewährt betroffenen Personen einen zusätzlichen gerichtlichen Rechtsbehelf gegen einen nach ihrer Ansicht gegen die Datenschutz-Grundverordnung verstoßenden Umgang mit ihren personenbezogenen Daten. Prüfungsmaßstab ist die Datenschutz-Grundverordnung. Die verletzten Normen dürfen nicht nur objektiv-rechtlichen Charakter haben - wie zum Beispiel die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO) oder Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) -, sondern müssen konkrete Auswirkungen auf subjektive Rechte des Klägers haben. Klagegegner sind Verantwortliche und Auftragsverarbeiter. Parallel geführte Verfahren auf Unterlassungs- oder Schadensersatzansprüche gegen den Verantwortlichen stehen der Zulässigkeit nicht entgegen, ebenso wenig die parallele Beschwerde bei der Aufsichtsbehörde (Art. 77 und 78 DSGVO).

Vorliegend wird bei der Videoüberwachung von einer Datenverarbeitung nach Art. 6 Abs. 1 Buchst. e DSGVO auszugehen sein, so dass für den Kläger neben den Betroffenenrechten nach Art. 16 ff. DSGVO auch die Widerspruchsmöglichkeit nach Art. 21 Abs. 1 DSGVO in Betracht gekommen wäre. Die Unterlassungs- und Folgenbeseitigungspflichten erfassen - wie bereits oben ausgeführt - ausschließlich die die betroffene Person betreffenden Daten. Erfasst eine (automatisierte) Verarbeitung daneben auch Daten Dritter, muss diese nicht insgesamt unterbleiben (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 40, 41). Im Falle der Ablehnung eines Widerspruchs stehen dem Betroffenen zusätzlich sämtliche durch die Verordnung vorgesehenen Rechtsbehelfe zu. Gemeint ist damit der Primärrechtsschutz aufgrund des bereits oben genannten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) und eines Rechtsbehelfs gegen einen (nicht Abhilfe leistenden) Beschluss der Aufsichtsbehörde, auch in der Form der Untätigkeitsklage (Art. 78 DSGVO). Daneben hat der Betroffene das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese ein Verlangen oder einen Widerspruch des Betroffenen ab, ist die Ablehnung - wie bereits oben festgestellt - ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen angegriffen werden kann (a.a.O. Rn. 69). Das Recht nach Art. 79 Abs. 1 DSGVO auf einen wirksamen Rechtsbehelf gegen Rechtsverletzungen durch eine verordnungswidrige Datenverarbeitung besteht nach dem Wortlaut der Vorschrift „unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“. Selbst wenn entgegen naheliegender rechtssystematischer Erwägungen der gerichtliche Rechtsbehelf nach Art. 79 Abs. 1 DSGVO nicht zu den oben genannten Rechtsbehelfen in einem Stufenverhältnis, sondern neben diesen Rechtsbehelfen steht, so ist der gerichtliche Rechtsbehelf aber mit der gleichen Einschränkung behaftet wie die anderen oben genannten Rechte des Betroffenen, dass nämlich Verfahrensgegenstand ausschließlich die die betroffene Person betreffenden persönlichen Daten sein können. Auch diese rechtliche Einschränkung spricht gegen den vom Kläger mit der vorliegenden Klage verfolgten allgemeinen Unterlassungsanspruch. Ergänzend wird nach allgemeinen Grundsätzen des Prozessrechts unter dem Gesichtspunkt des Rechtsschutzbedürfnisses ein vorheriger Antrag bzw. Widerspruch im vorstehenden Sinne bei dem Verantwortlichen zu verlangen sein (a.a.O. Art. 79 Rn. 2, 5; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 79 Rn. 18).

Danach ist für eine allgemeine Unterlassungsklage in der vorliegenden Form - wie bereits eingangs festgestellt - von einer fehlenden Statthaftigkeit in Anbetracht der spezifischen Betroffenenrechte nach der Datenschutz-Grundverordnung seit deren Inkrafttreten am 25. Mai 2018 auszugehen. Es ist zwischen den Verfahrensbeteiligten unstreitig, dass der Kläger im Vorfeld der Klageerhebung mit keinem „Verlangen“ nach Art. 13 ff. DSGVO oder einem Widerspruch nach Art. 21 Abs. 1 DSGVO direkt an die Beklagte oder nach Art. 77 DSGVO i.V.m. Art. 20 BayDSG an eine Aufsichtsbehörde herangetreten ist. Selbst wenn man eine unmittelbare gerichtliche Geltendmachung von Betroffenenrechten unter Umgehung vorstehend genannter Verfahrensrechte bzw. ohne jegliche Befassung der verantwortlichen Behörde für zulässig erachten würde, kann diese gerichtliche Geltendmachung nach Art und Umfang materiell-rechtlich nicht weiter gehen als vorstehend genannte Verfahrensrechte, sodass für das Klagebegehren in der vorliegenden Form auch kein Rechtsschutzbedürfnis besteht.
24
Im Übrigen stützt der Kläger seine behauptete Rechtsverletzung im Ergebnis nur darauf, dass er als Nutzungsberechtigter der öffentlichen Einrichtung K.-garten von der Videoüberwachungsanlage betroffen ist, zum einen dadurch, dass seine Person bei Betreten des überwachten Platzes möglicherweise tatsächlich bildlich erfasst wird, zum anderen, dass die Videoüberwachungsanlage auch ohne Überwachungstätigkeit nur vorhanden ist und diese Überwachungsanlage entgegen den Vorschriften der Datenschutz-Grundverordnung eingerichtet und betrieben wird. Ein solcher Vortrag kann nicht genügen, eine eigene selbstständige Rechtsverletzung zu belegen. Die „Ansicht“ einer Rechtsverletzung im Sinne des Art. 79 Abs. 1 DSGVO im vorstehenden Sinne würde im Ergebnis bedeuten, dass diese mit dem Vortrag einer nicht verordnungskonformen Datenverarbeitung durch die Videoüberwachung zusammenfällt. Die Datenschutz-Grundverordnung trifft aber gerade - wie oben bereits ausgeführt - eine Unterscheidung zwischen der bloßen Rechtswidrigkeit der Datenverarbeitung, worauf sich ein Widerspruchsrecht nach Art. 21 DSGVO und ein Beschwerderecht nach Art. 77 DSGVO stützen lässt, und der zusätzlichen, nach Ansicht der betroffenen Person gegebenen Rechtsverletzung. Vor diesem Hintergrund kann vorliegend auch nicht von der Geltendmachung einer Rechtsverletzung durch den Kläger ausgegangen werden, sodass eine Beschreitung des Klagewegs nach Art. 79 DSGVO vorliegend ebenfalls ausscheiden würde."


Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg: Behörde muss bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung Sicherungsvorkehrungen treffen

OVG Lüneburg
Beschluss vom 22.07.2020
11 LA 104/19


Das OVG Lüneburg hat entschieden, dass eine Behörde bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen muss.

Leitsätze des Gerichts:

1. Ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war, kann im Wege einer Feststellungsklage bei Vorliegen eines Feststellungsinteresses zur Überprüfung gestellt werden.

2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

Aus den Entscheidungsgründen:

"Hier liegt ein Sachverhalt vor, der einer Norm zugeordnet werden kann. Streitgegenständlich ist die von der Beklagten vorgenommene Übermittlung des Bescheides vom 3. Februar 2017 per Fax an ihren Prozessbevollmächtigten am 7. Februar 2017. Entgegen der Ansicht der Beklagten geht es dem Kläger nicht nur um die rechtliche Qualifikation des Handelns der Beklagten als rechtswidrig oder rechtmäßig - ein derartiges Begehren unterfiele als nicht feststellungsfähige Rechtsfrage nicht der Feststellungsklage im Sinne von § 43 VwGO (Bayerischer VGH, Urt. v. 9.4.2003 - 24 B 02.646 -, juris, Rn. 22, Sodan, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 43, Rn. 35) -, sondern um seine Rechtsposition, die durch die Weitergabe seiner personenbezogenen Daten möglicherweise berührt ist.

Der Kläger hat auch ein Feststellungsinteresse wegen Wiederholungsgefahr. Eine Wiederholungsgefahr begründet ein berechtigtes Interesse im Sinne des § 43 Abs. 1 VwGO, wenn hinreichend konkrete Anhaltspunkte dafür vorliegen, dass die beanstandete hoheitliche Maßnahme erneut vorgenommen wird (Bayerischer VGH, Urt. v. 15.2.2012 - 1 B 09.2157 -, juris, Rn. 31). Die Beklagte macht geltend, sie habe die angeordneten Übermittlungssperren zwischenzeitlich sofort vollziehbar aufgehoben. Die Übermittlungssperren könnten deshalb nicht zur Begründung eines besonders hohen Schutzniveaus herangezogen werden. Der Kläger sei auch nicht besonderen Gefahren ausgesetzt. Mit diesem Vortrag dringt die Beklagte nicht durch.

Das Verwaltungsgericht hat die Wiederholungsgefahr damit begründet, dass die Beklagte wiederholt Faxe ohne Verschlüsselung versandt habe. Hierzu verweist das Verwaltungsgericht neben der streitgegenständlichen Faxübersendung auf zwei Schreiben vom 22. Juni 2016 und 19. August 2016 in gerichtlichen Verfahren, die beide unverschlüsselt mit personenbezogenen Daten des Klägers an das Verwaltungsgericht bzw. an das Oberverwaltungsgericht übermittelt worden sind. Daraus schließt das erstinstanzliche Gericht zu Recht, dass auch zukünftig die beschriebene Gefahr droht.

Ob der Kläger besonderen oder erheblichen Gefahren ausgesetzt ist und deshalb bei der Übermittlung seiner personenbezogenen Daten ein bestimmtes Schutzniveau gewährleistet sein muss, ist eine Frage der Begründetheit der Klage. Zudem ist zu berücksichtigen, dass der 12. Senat des Niedersächsischen Oberverwaltungsgerichts mit Urteil vom 19. Mai - H. - ein Urteil des Verwaltungsgerichts bestätigt hat, mit dem die Beklagte verpflichtet wurde, dem Kläger für ein von ihm gehaltenes Fahrzeug eine Übermittlungssperre nach § 41 Abs. 2 StVG ohne generelle Ausnahme von Anfragen von Polizei und Bußgeldstellen und ohne Befristung auf fünf Jahre zu erteilen. Der Senat hat ausgeführt, dass § 41 Abs. 2 StVG eine glaubhaft gemachte Beeinträchtigung der schutzwürdigen Interessen des Betroffenen durch die Übermittlung der Halterdaten voraussetze. Der Kläger habe glaubhaft gemacht, dass er berufsbedingt allgemein einem deutlich höheren Angriffsrisiko ausgesetzt sei, und zwar zur Ermöglichung eines illegalen Zugriffes auf „seine“ Sprengstoffe. Der Umgang des Klägers mit riskanten und gerade für militante Straftäter nützlichen, daher von ihnen begehrten Produkten, wie Sprengstoffen, führe zu einer gegenüber einem durchschnittlichen Fahrzeughalter deutlich erhöhten Wahrscheinlichkeit der Beeinträchtigung seiner Rechte. Dies gelte insbesondere für das Risiko, Opfer einer Straftat zu werden.

Soweit das Verwaltungsgericht das Feststellungsinteresse des Klägers auch wegen der Möglichkeit bejaht hat, durch die unverschlüsselte Faxübermittlung, ein Ereignis, das auf eine Zeitspanne beschränkt ist, in der Rechtsschutz kaum erlangt werden kann, tiefgreifend in einem Grundrecht verletzt worden zu sein, wird diese Annahme von der Beklagten mit der Zulassungsbegründung nicht in Frage gestellt.

Die Beklagte hat in ihren Ausführungen zur Begründetheit der Klage nicht dargelegt, dass die Auffassung des Verwaltungsgerichts, die Faxübermittlung am 7. Februar 2017 sei rechtswidrig und verletze den Kläger in seinen Rechten, ernstlichen Zweifeln unterliegt.

Der Kläger kann sich darauf berufen, dass die Beklagte zur Gewährleistung seines Grundrechts auf informationelle Selbstbestimmung bei der Übermittlung von personenbezogenen Daten Schutzvorkehrungen trifft, damit seine personenbezogenen Daten nicht unbefugt an Dritte gelangen. Das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG wurzelnde Grundrecht auf informationelle Selbstbestimmung verpflichtet den Gesetzgeber, für notwendige Sicherungsvorkehrungen Sorge zu tragen (BVerfG, Urt. v. 15.12.1983 - 1 BvR 209/83 u.a. -, BVerfGE 65, 1, juris, Rn. 191, „Volkszählungsurteil“). Insbesondere sind die betroffenen Daten vor unbefugtem Zugriff Dritter und vor missbräuchlicher Nutzung zu schützen (Senatsurt. v. 14.1.2020 - 11 LC 191/17 -, juris, Rn. 49). Der niedersächsische Gesetzgeber hat hierzu in § 7 Abs. 1 des Niedersächsischen Datenschutzgesetzes vom 29. Januar 2002 (Nds. GVBl. 2002, 22, i.d. Änderungsfassung v. 12.12.2012, Nds. GVBl. 2012, 589 - NDSG a.F. -) geregelt, dass öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen (Satz 1). Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). Daran gemessen hat die Beklagte mit der nicht verschlüsselten Übermittlung des nicht anonymisierten Bescheides vom 3. Februar 2017 über ein Faxgerät an ihren Prozessbevollmächtigten nicht den gebotenen Schutz gewährleistet und dadurch den Kläger in seinem Grundrecht verletzt.

Der Kläger ist besonders schutzbedürftig. Der Kläger ist erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht. Wie bereits zur Zulässigkeit der Feststellungsklage ausgeführt, ist der Kläger dadurch einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen.

Die in dem übermittelten Bescheid enthaltenen personenbezogenen Daten (Name und Adresse des Klägers, Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeugs) sind besonders sensibel. Der Senat teilt die Auffassung des 12. Senats in seinem Urteil vom 19. Mai 2020 - H. -, dass die Kenntnis dieser personenbezogenen Daten das Risiko des Klägers, Opfer einer Straftat zu werden, deutlich erhöht.

Daraus folgt, dass die Beklagte bei der Übermittlung der personenbezogenen Daten des Klägers ein angemessenes Schutzniveau gewährleisten muss. Soweit die Beklagte geltend macht, der Kläger habe in an sie gerichteten Telefaxschreiben personenbezogene Daten preisgegeben und dieser Kommunikationsform zugestimmt, überzeugt dieser Einwand nicht. Die Beklagte bezieht sich dabei auf Faxdokumente aus den Jahren 2011 und 2012 (Schreiben v. 10.2.2011 und 9.9.2012). Der Kläger hat bereits mit Schreiben vom 9. Dezember 2015 an die Beklagte der unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Der Vortrag des Klägers, jedenfalls für den Zeitraum nach dem 9. Dezember 2015 habe er einer Übersendung per Fax nicht zugestimmt, ist unwidersprochen geblieben. Zudem hat die Beklagte dem Kläger mit Schreiben vom 25. Februar 2016 bestätigt, dass sich der Umgang mit personenbezogenen Daten in der zuständigen Abteilung nach den geltenden datenschutzrechtlichen Vorgaben richte und auf nichtverschlüsseltem elektronischem Weg personenbezogene Daten nicht übermittelt würden.

Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite (https://www.ldi.nrw.de/[...] ). Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Beklagten kommt in seiner Auskunft an den Kläger vom 11. April 2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Beklagten ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte.

Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können. Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen.

Unerheblich ist auch, dass der Bescheid per Fax nicht an einen beliebigen Dritten, sondern an den Prozessbevollmächtigten der Beklagten übersandt wurde, der wie seine Mitarbeiter der Verschwiegenheitspflicht unterliegt. Es besteht die Gefahr des Missbrauchs durch unbefugte Dritte, die sich jederzeit realisieren kann. Zudem bestehen auch Risiken außerhalb des unmittelbaren Übertragungsvorgangs, zum Beispiel durch Adressierungsfehler oder Fehlleitungen aufgrund von veralteten Anschlussnummern oder aktivierten Anrufumleitungen bzw. -weiterleitungen (vgl. hierzu die Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf der bezeichneten Internetseite)."


Den Volltext der Entscheidung finden Sie hier:

EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzshild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


Volltext BGH liegt vor: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 4 Nr. 11; UKlaG § 1; BGB § 307; TMG § 15 Abs. 3


Wir hatten bereits in dem Beitrag BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss über die Entscheidung berichtet.

Leitsätze des BGH:

a) Eine wirksame Einwilligung in telefonische Werbung im Sinne von § 7 Abs. 2 Nr. 2 Fall 1 UWG liegt nicht vor, wenn der Verbraucher bei der Erklärung der Einwilligung mit einem aufwendigen Verfahren der Abwahl von in einer Liste aufgeführten Partnerunternehmen konfrontiert wird, das ihn dazu veranlassen kann, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen dem Unternehmer die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.

b) § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.

BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:



Bundeskartellamt: Sektoruntersuchung zu Smart-TV - Bessere Verbraucher-Informationen über die Datenverarbeitung erforderlich

Das Bundeskartellamt hat den Abschlussbericht seiner Sektoruntersuchung zu Smart-TV vorgelegt.

Die Pressemitteilung des Bundeskartellamtes:

Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs

Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).

Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“

Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.

Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.

Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.

Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.

Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.

Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“

In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:

Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).

Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.

Den Bericht finden Sie hier:



LfDI Baden-Württemberg: Bußgeld in Höhe von 1.240.000,00 EURO gegen AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO

Das LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 1.240.000,00 EURO gegen die AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt.

Die Pressemitteilung des LfDI:

LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.


EU-Kommission: Bericht zur DSGVO - Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind

EU-Kommission hat seinen Bericht zur DSGVO vorgelegt. Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind. Dieses posititive Bild können wir leider nicht bestätigen. Die DSGVO weist erhebliche konzeptionelle Mängel auf. Auch die zahlreichen juristischen Streitfragen zur Auslegung der DSGVO zeigen, dass der Verordnungsgeber schlecht gearbeitet hat.

Die Pressemitteilung der EU-Kommission:

"Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß

Nach etwas mehr als zwei Jahren seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Kommission heute einen Bewertungsbericht veröffentlicht. Dem Bericht zufolge hat die DSGVO die meisten ihrer Ziele erreicht, insbesondere aufgrund der leistungsstarken, durchsetzbaren Vorschriften für die Bürgerinnen und Bürger und eines durch die DSGVO neu geschaffenen europäischen Governance- und Durchsetzungssystems. Auch bei der Unterstützung digitaler Lösungen in unvorhersehbaren Situationen wie der COVID-19-Krise hat sich die DSGVO als flexibel erwiesen. Der Bericht kommt auch zu dem Schluss, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung besteht, das ständig überwacht werden muss. Ferner wird festgestellt, dass Unternehmen eine Compliance-Kultur entwickeln und einen starken Datenschutz immer häufiger als Wettbewerbsvorteil nutzen. Im Bericht sind Maßnahmen aufgelistet, die allen Interessenträgern, insbesondere kleinen und mittleren Unternehmen, die Anwendung der DSGVO weiter erleichtern und somit eine wirklich europäische Datenschutzkultur mit konsequenter Durchsetzung fördern und weiterentwickeln sollen.

Věra Jourová, Vizepräsidentin für Werte und Transparenz: „Inzwischen ist das europäische Datenschutzrecht für uns ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist. Es ist eine wichtige Grundlage, auf der wir weitere Strategien, wie z. B. die Datenstrategie oder unser KI-Konzept, aufbauen.Die Datenschutz-Grundverordnung ist das perfekte Beispiel dafür, wie die Europäische Union das Leitmotiv Grundrechte nutzt, um die Rechte der Bürgerinnen und Bürger der EU zu stärken und die Unternehmen dabei zu unterstützen, die digitale Revolution zu meistern. Dennoch ist weiterhin unser aller Engagement gefragt, damit das Potenzial der DSGVO voll ausgeschöpft werden kann.“

„Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“

Die wichtigsten Ergebnisse der Überprüfung der Datenschutz-Grundverordnung:

Die Bürgerinnen und Bürger sind in ihren Rechten gestärkt und besser sensibilisiert: Die Datenschutz-Grundverordnung stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 % der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 % der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. Dies geht aus einer Umfrage der Agentur der Europäischen Union für Grundrechte hervor, die letzte Woche veröffentlicht wurde. Allerdings könnten die Bürgerinnen und Bürger bei der Wahrnehmung ihrer Rechte, insbesondere ihres Rechts auf Datenübertragbarkeit, noch besser unterstützt werden.

Die Datenschutzvorschriften sind zeitgemäß: In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse: Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 % beim Personalbestand und von 49 % bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) kann noch besser werden: Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen, das eine kohärente und wirksame Anwendung der Datenschutz-Grundverordnung durch die sogenannte einzige Anlaufstelle gewährleisten soll, damit ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur eine Datenschutzbehörde als Ansprechpartnerin hat, nämlich die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet. Zwischen dem 25. Mai 2018 und dem 31. Dezember 2019 gingen bei der zentralen Anlaufstelle 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
Datenschutzbehörden – Beratung und Leitlinien: Der EDSA gibt derzeit Leitlinien zu zentralen Aspekten der Verordnung und zu neuen Themen heraus. Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die auf nationaler Ebene bereitgestellten Hilfsangebote müssen unbedingt vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen.
Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenverkehr. Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. Da der Europäische Gerichtshof in einem für den 16. Juli erwarteten Urteil Aspekte klarstellen könnte, die möglicherweise für den Angemessenheitsstandard relevant sind‚ wird die Kommission nach der Urteilsverkündung gesondert über die derzeitigen Angemessenheitsbeschlüsse Bericht erstatten.
Internationale Zusammenarbeit fördern: In den letzten zwei Jahren hat die Kommission den bilateralen, regionalen und multilateralen Dialog bereits intensiviert und sich für eine globale Kultur der Achtung der Privatsphäre und der Konvergenz zwischen den verschiedenen Datenschutzsystemen zum Nutzen der Bürgerinnen und Bürger und der Unternehmen eingesetzt. Die Kommission ist entschlossen, diese Arbeit in all ihrem auswärtigen Handeln fortzusetzen, beispielsweise im Rahmen der Partnerschaft Afrika-EU und bei ihrer Unterstützung für internationale Initiativen wie „Data Free Flow with Trust“. In einer Zeit, in der Verstöße gegen den Datenschutz viele Menschen gleichzeitig in mehreren Teilen der Welt betreffen können, ist es an der Zeit, die internationale Zusammenarbeit der zuständigen Durchsetzungsinstanzen zu intensivieren. Aus diesem Grund wird die Kommission den Rat ersuchen, sie zu ermächtigen, mit bestimmten Drittländern Verhandlungen aufzunehmen, die den Abschluss von Abkommen über gegenseitige Amtshilfe und Zusammenarbeit bei der Durchsetzung ermöglichen werden.
Angleichung des EU-Rechts an die Richtlinie zum Datenschutz bei der Strafverfolgung:

Darüber hinaus hat die Kommission heute eine Mitteilung veröffentlicht, in der zehn Rechtsakte zur behördlichen Verarbeitung personenbezogener Daten zwecks Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten genannt werden, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten. Die Angleichung wird Rechtssicherheit schaffen und Fragen in Bezug auf den Zweck der Verarbeitung personenbezogener Daten durch die zuständigen Behörden sowie die Datenarten, die einer solchen Verarbeitung unterliegen können, klären.

Hintergrund

Die Datenschutz-Grundverordnung sieht vor, dass die Kommission erstmals nach zwei Jahren und anschließend alle vier Jahre einen Bericht über die Bewertung und Überprüfung der Verordnung vorlegt.

Die Datenschutz-Grundverordnung ist ein für alle Mitgliedstaaten geltendes Regelwerk des EU-Rechts zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie stärkt den Datenschutz insgesamt, gewährt dem Einzelnen zusätzliche und stärkere Rechte, erhöht die Transparenz und fordert mehr Rechenschaftspflicht und Verantwortung von denen, die personenbezogene Daten verarbeiten. Sie hat die nationalen Datenschutzbehörden mit umfassenderen und harmonisierten Durchsetzungsbefugnissen ausgestattet und ein neues Governance-System für die Datenschutzbehörden eingerichtet. Außerdem schafft sie gleiche Wettbewerbsbedingungen für alle Unternehmen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie niedergelassen sind, gewährleistet den freien Datenverkehr innerhalb der EU, erleichtert eine sichere Datenübermittlung zwischen der EU und Drittstaaten bzw. internationalen Organisationen und dient weltweit als Referenz.

Wie in Artikel 97 Absatz 2 der DSGVO festgelegt, bezieht sich der heute veröffentlichte Bericht insbesondere auf die Datenübermittlung an Drittstaaten bzw. internationale Organisationen und die Kooperations- und Kohärenzverfahren. Um darüber hinaus die in den letzten zwei Jahren von verschiedenen Akteuren aufgeworfenen Fragen zu behandeln, hat die Kommission ihre Überprüfung jedoch auf eine breitere Grundlage gestellt. Der Bericht greift deshalb Beiträge von Rat, Europäischem Parlament, Europäischem Datenschutzausschuss, nationalen Datenschutzbehörden und Interessenträgern auf."

Den Bericht und weitere Informationen der EU-Kommission finden Sie hier:





BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II

Der BGH hat entschieden, dass keine wirksame Einwilligung in telefonische Werbung und das Setzen technisch nicht notwendiger Cookies durch ein voreingestelltes Ankreuzkästchen erteilt wird, dass vom Nutzer abgewählt werden muss, wenn er die Zustimmung nicht erteilen will.

Mit dieser Entscheidung setzt der BGH nach seinem Vorlagebeschluss an den EuGH die Entscheidung des EuGH um (siehe dazu EuGH - Urteil vom 01.10.2019 - C-673/17 ).

Die Pressemitteilung des BGH:

Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung

Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

Sachverhalt:

Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.

Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:

"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."

In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.

Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Der Kläger hat außerdem Ersatz der Abmahnkosten verlangt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 1. Oktober 2019 beantwortet.

Entscheidung des Bundesgerichtshofs:

Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der "Einwilligung" richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der Verordnung (EU) 2016/679 vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.

Eine Einwilligung wird "in Kenntnis der Sachlage" im Sinne des Art. 2 Buchst. h der Richtlinie 95/46/EG erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift "für den konkreten Fall", wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung "für den bestimmten Fall" im Sinne des Art. 4 Nr. 11 der Verordnung (EU) 2016/679, die insoweit keine Rechtsänderung herbeigeführt hat.

Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage - also vor Geltung der Verordnung (EU) 2016/679 - im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.

Vorinstanzen:

LG Frankfurt am Main - Urteil vom 10. Dezember 2014 - 2/6 O 30/14

OLG Frankfurt am Main - Urteil vom 17. Dezember 2015 - 6 U 30/15

BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16, Cookie-Einwilligung I

EuGH, Urteil vom 1. Oktober 2019, C-673/17, PLANET49

Die maßgeblichen Vorschriften lauten:

§ 1 UKlaG:

Wer in Allgemeinen Geschäftsbedingungen Bestimmungen, die nach den §§ 307 bis 309 des Bürgerlichen Gesetzbuchs unwirksam sind, verwendet oder für den rechtsgeschäftlichen Verkehr empfiehlt, kann auf Unterlassung und im Fall des Empfehlens auch auf Widerruf in Anspruch genommen werden.

§ 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB:

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben benachteiligen. …

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist

§ 7 Abs. 1 Satz 1 und Abs. 2 Nr. 2 UWG:

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. …

(2) Eine unzumutbare Belästigung ist stets anzunehmen

2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.

§ 15 Abs. 3 Satz 1 TMG:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.

Art. 2 Satz 2 Buchst. f der Richtlinie 2002/58/EG:

Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck "Einwilligung" eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;

Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Art. 2 Buchst. h der Richtlinie 95/46/EG:

Im Sinne dieser Richtlinie bezeichnet der Ausdruck "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Art. 4 Nr. 11 der Verordnung (EU) 2016/679:

Im Sinne dieser Verordnung bezeichnet der Ausdruck "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Art. 94 Abs. 1 und 2 Satz 1 der Verordnung (EU) 2016/679:

(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …

Art. 95 der Verordnung (EU) 2016/679:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.




LG Mosbach: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO umfasst gemäß Art. 15 Abs. 1 g DSGVO auch Pflicht zur Auskunft über Herkunft der Daten

LG Mosbach
Beschluss vom 27.01.2020
5 T 4/20


Das LG Mosbach hat in Einklang mit dem Worlaut von Art. 15 Abs. 1 g DSGVO entschieden, dass der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO auch die Pflicht zur Auskunft über die Herkunft der Daten umfasst, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Aus den Entscheidungsgründen:

"Soweit sich die Beklagte darauf beruft, auch der unter g titulierte Anspruch auf Auskunftserteilung, woher die Beklagte die persönlichen Daten des Klägers erhalten hat, ist dies jedoch unzutreffend. Jener Auskunftsanspruch ist noch nicht erfüllt, und wegen seiner war auch dem klägerischen Antrag vom 10.07.2019 stattzugeben.

Die Beklagte hat mit ihrem Schreiben vom 16.07.2019 diesen Auskunftsanspruch nicht erfüllt. Sie hat nicht in genügender Tiefe mitgeteilt, woher sie diese Daten erhalten hat, obwohl sie hierzu nach dem Urteil, welches den Auskunftsanspruch nach § 15 Abs. 1 g DSGVO tituliert, verpflichtet war.

a. Anders als §§ 19, 34 BDSG aF verlangt Art. 15 Absatz 1 lit. g stets die Auskunft über "alle verfügbaren Informationen über die Herkunft" der Daten. Einzige Voraussetzung für die Pflicht zur Auskunft über die Herkunft der Daten ist, dass diese Daten nicht beim Betroffenen erhoben wurden (BeckOK DatenschutzR/Schmidt-Wudy DS-GVO Art. 15 Rn. 74, 75). Angaben zur Quelle haben auch die Mittel zu benennen, mit denen die personenbezogenen Daten erhoben wurden (Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 15 Rn. 10, beck-online).

Die Beklagte erklärt lediglich - und dies auch nicht in ihrem ursprünglichen Auskunftsschreiben, sondern erst mit Schriftsatz im Beschwerdeverfahren - dass die bei ihr gespeicherten Daten alleine im Rahmen eines Bezahlvorgangs bei der ... GmbH erhoben worden seien und nicht bei weiteren Bezahlvorgängen. Weitere Auskünfte zur Herkunft der Daten verweigert sie mit der Begründung, es handele sich nicht um die Daten des Klägers. Dem ist zwar zuzugeben, dass die Daten - unstreitig - nicht vom Kläger gegenüber der ... GmbH verwendet wurden, weil er dort nichts bestellt hat. Dass es deswegen nicht "seine" Daten seien, weil sie möglicherweise von einer anderen Person missbräuchlich verwendet worden seien, ist jedoch unzutreffend. Soweit die Beklagte zum Tätigwerden von mit ihr verbundenen Unternehmen vorträgt, ergibt sich hieraus dennoch nicht, wann, in welcher Form und von wem die Beklagte die persönlichen Daten des Klägers erlangt hat.

b.

Soweit die Beklagte sich darauf beruft, der Kläger könne nicht nach § 888 ZPO vollstrecken, sondern müsse, sofern er mit der Auskunft nicht einverstanden sei, weil sie aus seiner Sicht unvollständig oder unzutreffend sei, einen Anspruch nach Art. 16 DSGVO geltend machen, folgt das Gericht dem ebenfalls nicht. Anders als im Rahmen von § 2314 BGB kann bei unvollständiger oder fehlerhafter Angabe nicht lediglich die nächste Stufe des Auskunftsanspruchs geltend gemacht werden (eidesstattliche Versicherung). Art. 16 DSGVO ist nicht die nächste Stufe im Rahmen der Geltendmachung von Art. 15 DSGVO, sondern tritt als separater Anspruch mit anderem Inhalt neben diesen. Vielmehr ist es dem Kläger unbenommen, seinen titulierten Auskunftsanspruch im Wege der Zwangsvollstreckung nach § 888 ZPO durchzusetzen."


Den Volltext der Entscheidung finden Sie hier:

BayObLG: Staatsanwaltschaft muss gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen solange Verjährungsfrist noch läuft

BayObLG
Beschluss v. 27.01.2020
203 VAs 1846/19

Das BayobLG hat entschieden, dass die Staatsanwaltschaft gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen, solange die Verjährungsfrist noch läuft.

Aus den Entscheidungsgründen:

"Der Antrag auf gerichtliche Entscheidung ist nach § 23 Abs. 1 und 2 EGGVG statthaft und auch im Übrigen zulässig, ein Vorschaltverfahren (§ 21 StVollstrO) ist entbehrlich. In der Sache hat der Antrag keinen Erfolg.

Der Antragsteller hat weder Anspruch auf Berichtigung, noch auf Löschung der durch die Staatsanwaltschaft Coburg gespeicherten Daten (§ 500 Abs. 1, Abs. 2 Nr. 1 StPO i.V.m. §§ 75 Abs. 1, Abs. 2 BDSG, 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO).

1. Das Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 ist am 26.11.2019 in Kraft getreten (BGBl. I 2019, S. 1774 ff.). § 500 Abs. 1 StPO erklärt hinsichtlich der Verarbeitung personenbezogener Daten Teil 3 des Bundesdatenschutzgesetzes für entsprechend anwendbar. Insoweit handelt es sich um eine eigenständige Normierung ohne Verweis auf die Datenschutzgrundverordnung (DSGVO); auch das Bayerische Datenschutzgesetz (BayDSG) ist damit grundsätzlich nicht anwendbar.

Der Antragsteller hat danach gemäß § 500 Abs. 1 StPO i.V.m. § 75 Abs. 1 BDSG einen Berichtigungsanspruch, wenn gespeicherte personenbezogene Daten unrichtig oder unvollständig sind. Er hat nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 2 BDSG, § 500 Abs. 2 Nr. 1 StPO i.V.m. § 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO (als ergänzende Sonderregelungen) einen Löschungsanspruch hinsichtlich gespeicherter personenbezogener Daten, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Einstellung, die die Wiederaufnahme (wie bei § 170 Abs. 2 StPO) nicht hindert, mit Eintritt der Verjährung.

2. Es besteht kein Berichtigungsanspruch, da die gespeicherten Daten nicht unrichtig und nicht unvollständig sind:

a) Der Tatvorwurf ist zu Recht gespeichert. Der Gegenstand eines Ermittlungsverfahrens muss zweifelsfrei erfasst sein, insbesondere auch um den Eintritt der Verjährung konkret bestimmen zu können, der - wie vorgehend dargestellt - maßgeblich ist für den Zeitpunkt der Löschung. Der Senat erachtet es deshalb nicht für zielführend, gespeicherte Datensätze mit Phantasieparagraphen (§ 999 StGB) zu verfälschen. Das Interesse der Strafverfolgungsbehörden an der Speicherung der Daten geht dem Interesse des Beschuldigten an der Vermeidung einer Stigmatisierung vor.

Der Senat folgt nicht dem Beschluss des Oberlandesgerichts Frankfurt vom 20.07.2010 (Az.: 3 VAs 19/10). Von einer Speicherung des urpsrünglichen Deliktsvorwurfes wurde dort nur wegen der „Besonderheiten“ des Falles abgesehen; welche „Besonderheiten“ dies sein sollen, ist jedoch nicht ersichtlich. Vorliegender Fall weist dagegen von vorneherein keine Besonderheiten auf. Das Ermittlungsverfahren wurde eingestellt, weil - wie in vielen Ermittlungsverfahren - kein konkreter Tatnachweis geführt werden konnte, und nicht etwa wegen erwiesener Unschuld, was eine andere Beurteilung rechtfertigen könnte.

b) Gespeichert ist, dass das Verfahren am 26.11.2018 eingestellt wurde, da Tatbestand, Rechtswidrigkeit oder Schuld nicht nachweisbar sind. Es ist nicht erforderlich, dass die Vorschrift des § 170 Abs. 2 StPO auch noch ausdrücklich genannt wird, da die gewählte Formulierung eindeutig ergibt, dass eine Sachbehandlung nach § 170 Abs. 2 StPO erfolgt ist.

2. Es besteht auch kein Löschungsanspruch:

Wie oben ausgeführt, ist eine Löschung erst dann vorzunehmen, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Verfahrenseinstellung nach § 170 Abs. 2 StPO mit Eintritt der Verjährung. Totschlag verjährt nach § 78 Abs. 3 Nr. 1 StGB in dreißig Jahren. Während des Laufs der Verjährungsfrist ist die Datenspeicherung zur Aufgabenerfüllung der Staatsanwaltschaft erforderlich, weil während dieses Zeitraums neue Beweismittel auftauchen könnten, die Anlass zur Wiederaufnahme der Ermittlungen geben. Eine Einstellung nach § 170 Abs, 2 StPO steht einer solchen Wiederaufnahme der Ermittlungen nicht entgegen."


Den Volltext der Entscheidung finden Sie hier:



KG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend - voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung

KG Berlin
Urteil vom 20.12.2019
5 U 9/18


Das KG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und die voreingestellte Auswahl keine wirksame datenschutzrechtliche Einwilligung darstellt.

Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das KG Berlin - zulässig und keine Irreführung.

Die Pressemitteilung des vzbv:

Facebook verstößt gegen Datenschutzrecht - Kammergericht Berlin gibt Klage des vzbv in vielen Punkten statt

Voreinstellungen zur Verwendung persönlicher Daten stellen keine informierte Einwilligung dar.

Gericht bestätigt Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen.

Werbung mit „Facebook ist und bleibt kostenlos“ ist erlaubt.

Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen gegen Verbraucher- und Datenschutzrecht. Dazu gehören eine Klausel zur Nutzung des Profilbilds für kommerzielle Zwecke sowie die voreingestellte Aktivierung eines Ortungsdienstes, der Chat-Partnern den Aufenthaltsort verrät. Das hat das Kammergericht in Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Der vzbv darf demnach bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gerichtlich vorgehen. Der Werbeslogan „Facebook ist und bleibt kostenlos“ ist hingegen laut Kammergericht nicht irreführend. Damit bestätigten die Richter ein Urteil des Landgerichts Berlin vom Januar 2018.

„Nicht zum ersten Mal wird Facebook wegen des sorglosen Umgangs mit den Daten seiner Nutzerinnen und Nutzer verurteilt“, sagt Heiko Dünkel vom Team Rechtsdurchsetzung beim vzbv. „Das Kammergericht hat dabei klargestellt, dass Verbraucherzentralen gegen Verstöße gegen die DSGVO vorgehen können.“

Privatsphäre-Einstellungen schon angekreuzt
Mit seiner Klage hatte der vzbv insgesamt 26 Einzelverstöße beanstandet. Das Kammergericht folgte der Rechtsauffassung des Verbandes in vielen Punkten. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen vorbelegt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das eigene Facebook-Profil für jeden schnell und leicht auffindbar. Die dafür jeweils nötige Einwilligung in Datennutzungen kann nach Auffassung des Gerichts nicht über ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer erst abwählen muss, wenn er damit nicht einverstanden ist.

Auch eine Reihe von Geschäftsbedingungen untersagte das Gericht. So erklärten sich Nutzer damit einverstanden, dass Facebook ihren Namen und ihr Profilbild „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagte, dass sie sich schon vorab mit allen künftigen Änderungen der Facebook-Datenrichtlinie einverstanden erklären. Solche vorformulierten Erklärungen erfüllen nach Auffassung des Senats nicht die Voraussetzungen an eine wirksame Einwilligung in die Datennutzung.
Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt.

Kein Zweifel an Klagebefugnis des vzbv
Das Kammergericht stellte eindeutig klar, dass der vzbv auch nach Inkrafttreten der DSGVO berechtigt ist, Datenschutzverstöße durch Unternehmen gerichtlich zu verfolgen. Entsprechende Klagerechte im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb seien anwendbar. Dafür brauche es auch nicht den Auftrag eines betroffenen Verbrauchers.

Werbung „Facebook ist und bleibt kostenlos“ bleibt zulässig
Der Slogan „Facebook ist und bleibt kostenlos“ ist nach dem Kammergerichtsurteil hingegen zulässig. Der vzbv hatte die Werbung als irreführend kritisiert, da Verbraucher die Facebook-Nutzung indirekt mit ihren Daten zahlen müssten, mit denen Facebook seinen Gewinn erzielt. Nach Auffassung des Kammergerichts bezieht sich die Werbung jedoch nur darauf, dass die Dienste ohne Geldzahlungen oder andere Vermögenseinbußen genutzt werden können. Der Senat wies außerdem die Klage gegen einzelne Klauseln aus der Datenrichtlinie des Unternehmens ab. Bei diesen handele es sich nicht um Allgemeine Geschäftsbedingungen.

Die Revision gegen das Urteil ist nicht zugelassen. Beide Parteien haben aber noch die Möglichkeit, Nichtzulassungsbeschwerde beim Bundesgerichtshof einzulegen.

Urteil des Kammergerichts vom 20.12.2019, Az. 5 U 9/18 – nicht rechtkräftig


Den Volltext der Entscheidung finden Sie hier:

EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“