Skip to content

VG Berlin: DSGVO gewährt kein Recht auf "Bereinigung" einer Schülerakte bei einem Schulwechsel - Kein Zweckwegfall da Daten für Aufgabenerfüllung der Schule erforderlich sind

VG Berlin
Beschluss vom 28.02.2020
VG 3 L 1028.19


Das VG Berlin hat entschieden, dass die DSGVO kein Recht auf "Bereinigung" einer Schülerakte bei einem Schulwechsel gewährt. Insbesondere liegt kein Zweckwegfall vor, da die Daten für die Aufgabenerfüllung der Schule erforderlich sind.

Die Pressemitteilung des Gerichts:

Kein Recht auf „Bereinigung“ einer Schülerakte bei Schulwechsel

Ein Schüler, dessen Schülerakte zahlreiche Eintragungen aufweist, kann bei einem Schulwechsel nicht deren „Bereinigung“ unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verlangen. Das hat das Verwaltungsgericht Berlin in einem Eilverfahren entschieden.

Die Antragsteller sind ein dreizehnjähriger Schüler und seine Eltern. Der Schüler besuchte ab dem Schuljahr 2018/2019 ein Gymnasium in Berlin, welches er nach einem Gewaltvorfall verließ; das Probejahr bestand er nicht. Sodann besuchte er die achte Jahrgangsstufe einer anderen Berliner Schule, wobei es zu zahlreichen, in seiner Schülerakte dokumentierten Vorfällen kam. Diese Schülerakte halten die Antragsteller aus verschiedenen Gründen für fehlerhaft und diskriminierend. Deren Übersendung in dieser Form an die Privatschule, die der Schüler nunmehr besuchen wolle, gefährde seine Aufnahme. Die Antragsteller begehren deshalb im Wege des vorläufigen Rechtsschutzes im Wesentlichen die Entfernung bestimmter Seiten der Schülerakte.

Die 3. Kammer hat den Antrag zurückgewiesen. Der geltend gemachte Anspruch auf Bereinigung bestehe nicht. Zwar gebe es nach der DSGVO unter bestimmten Voraussetzungen einen Anspruch auf Löschung von Daten, insbesondere, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dies sei hier aber nicht der Fall. Die Daten seien weiter notwendig. Die Schuldatenverordnung des Landes Berlin sehe ausdrücklich vor, dass ein Schulwechsel gerade keinen Zweckwegfall begründe. Denn nur so könne die Schülerakte ihren Zweck erfüllen, die Entwicklung der Persönlichkeit und des Verhaltens des Schülers über seine Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten über einen längeren Zeitraum nachvollziehbar zu machen. Die personenbezogenen Daten seien aber auch nicht unrechtmäßig verarbeitet worden. Nach dem Berliner Schulgesetz dürften Schulen nämlich personenbezogene Daten von Schülerinnen und Schülern und ihren Erziehungsberechtigten verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen, schulbezogenen Aufgaben erforderlich ist. Soweit es etwa um die Speicherung von personenbezogenen Daten von Schülern über Pflichtverletzungen und deren pädagogische und rechtliche Folgen gehe, sei die Speicherung für die Aufgabenerfüllung der Schule erforderlich, da die Auswahl einer zukünftigen pädagogischen Maßnahme stets auch von der Beurteilung des Verhaltens des Schülers in vergleichbaren zurückliegenden Situationen abhängig sei.

Gegen die Entscheidung kann Beschwerde beim Oberverwaltungsgericht Berlin-Brandenburg eingelegt werden.

Beschluss der 3. Kammer vom 28. Februar 2020 (VG 3 L 1028.19)


AG Wertheim: Auskunftsanspruch nach Art. 15 DSGVO - Zwangsgeld in Höhe von 15.000 EURO gegen Unternehmen bei unvollständiger Auskunftserteilung nach Urteil

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19


Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Hannover: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO unzulässig

VG Hannover
Urteil vom 27.11.2019
10 A 820/19


Das VG Hannover hat entschieden, dass die Veröffentlichung von Fotos einer Person auf der Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach den Vorhaben des KUG und der DSGVO unzulässig ist.

Aus den Entscheidungsgründen:

"Die Verwarnung ist formell rechtmäßig.

Zuständige Aufsichtsbehörde ist hier die Beklagte. Dies ergibt sich aus § 40 Abs. 1 BDSG und § 22 Satz 1 Nr. 1 NDSG. Nach § 40 Abs. 1 BDSG bestimmt das Landesrecht die Aufsichtsbehörden nach Artikel 51 DS-GVO, die im Anwendungsbereich der DS-GVO dafür zuständig sind, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Nach § 22 Satz 1 Nr. 1 NDSG ist die Beklagte in diesem Sinne die in Niedersachsen zuständige Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen. Der Kläger ist als privatrechtlich organisierter Ortsverein einer politischen Partei eine solche nichtöffentliche Stelle (§ 2 Abs. 4 BDSG).

Im Übrigen richten sich die Anforderungen an das Verfahren gemäß Artikel 58 Abs. 4 DS-GVO nach dem Recht des betreffenden Mitgliedstaats – hier: § 1 Abs. 1 des Niedersächsischen Verwaltungsverfahrensgesetzes (NVwVfG) i. V. m. den Vorschriften des Verwaltungsverfahrensgesetzes (VwVfG) –, das im Einklang mit der Charta der Grundrechte der Europäischen Union und unter Berücksichtigung des Erwägungsgrundes 129 der DS-GVO anzuwenden und auszulegen ist.

Die Verwarnung leidet danach nicht an Form- oder Verfahrensfehlern.

Insbesondere ist der Bescheid der Beklagten vom 9. Januar 2019 hinsichtlich der Verwarnung hinreichend bestimmt (§ 1 Abs. 1 NVwVfG i. V. m. § 37 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „klar und eindeutig“). Denn in dem Bescheid werden das beanstandete Verhalten des Klägers, die Vorschrift, gegen die dieses Verhalten nach Auffassung der Aufsichtsbehörde verstoßen hat (Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO), und die wegen dieses Verstoßes gegen ihn erlassene Maßnahme (Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO) unzweifelhaft angegeben. Weitergehende Anforderungen sind insoweit nicht zu stellen, zumal durch eine Verwarnung nur ein Verstoß gegen eine Vorschrift über den Datenschutz festgestellt wird, ohne dass dem Adressaten ein ggf. näher zu bestimmendes Tun, Dulden oder Unterlassen aufgegeben wird.

Der Bescheid ist insoweit auch in formeller Hinsicht hinreichend begründet (§ 1 Abs. 1 NVwVfG i. V. m. § 39 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „Begründung“). Denn die wesentlichen tatsächlichen und rechtlichen Gründe, die die Beklagte zu ihrer Entscheidung bewogen haben, einschließlich Erwägungen zur Verhältnismäßigkeit der Maßnahme, werden angegeben. Ob die angegebenen Gründe die Entscheidung in rechtlicher Hinsicht tragen, ist eine Frage der materiellen Rechtsmäßigkeit des Verwaltungsakts.

Ferner ist der Kläger ausreichend angehört worden (§ 1 Abs. 1 NVwVfG i. V. m. § 28 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „das Recht einer jeden Person, gehört zu werden …“). Sein Vorbringen in dem Schreiben seiner Rechtsanwältin vom 16. Dezember 2018 ist von der Beklagten in ihrem Bescheid vom 9. Januar 2019 offensichtlich auch berücksichtigt worden, indem sie sich mit der Argumentation des Klägers zu § 23 KUG und zu seinem berechtigten Interesse im Hinblick auf seinen verfassungsrechtlichen Auftrag nach Artikel 21 Abs. 1 Satz 1 GG auseinandergesetzt hat.

Die Verwarnung ist auch materiell rechtmäßig.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DS-GVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DS-GVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DS-GVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DS-GVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DS-GVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offen bleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DS-GVO richtet. Denn sowohl nach den §§ 22, 23 KUG (hierzu unter a) als auch unter Berücksichtigung von Artikel 6 Abs. 1 UAbs. 1 Buchst. e und f DS-GVO (hierzu unter b) war die Veröffentlichung rechtswidrig.

a. Der Kläger beruft sich auf eine Erlaubnis zur Veröffentlichung des Fotos nach § 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO. Dies setzt voraus, dass die §§ 22 und 23 KUG auf Grundlage des Artikels 85 DS-GVO als gegenüber Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO vorrangige Rechtsvorschriften des nationalen Rechts anzusehen sind und damit auch nach Inkrafttreten der DS-GVO noch anwendbar sind.

Die Anwendbarkeit der Vorschriften des KUG seit Inkrafttreten der DS-GVO ist umstritten. Grundsätzlich genießt die DS-GVO Anwendungsvorrang vor nationalen Regelungen, da europäisches Sekundärrecht gegenüber nationalen Regelungen Anwendungsvorrang genießt (vgl. BVerfG, Beschluss vom 15.12.2015 – 2 BvR 2735/14 –, juris Rn. 37 ff. m. w. N.; EuGH, Urteil vom 15.7.1964 – Rs. 6.64 – Costa/E.N.E.L, juris). Die §§ 22, 23 KUG können deshalb nur dann angewendet werden, wenn und soweit sie sich auf Artikel 85 DS-GVO als Öffnungsklausel stützen lassen.

Nach Artikel 85 Abs. 2 DS-GVO dürfen die Mitgliedstaaten der EU Abweichungen und Ausnahmen von Kapitel 2 der DS-GVO (und damit auch von Artikel 6) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen (vgl. Grages in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Artikel 85 DSGVO Rn. 3). Dies gilt jedoch nur insoweit, als es um eine Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken geht. In diesen Fällen kann sich § 23 KUG als eine Spezifizierung von Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO qualifizieren lassen und neben der DS-GVO anwendbar sein. Ein solcher Fall ist hier aber nicht gegeben.

Der Kläger kann sich insbesondere nicht darauf berufen, dass die Verarbeitung des Fotos journalistischen Zwecken diente. Zwar ist der Begriff des Journalismus weit auszulegen (vgl. Erwägungsgrund 153 der DS-GVO). Journalismus bezeichnet die publizistische Arbeit von Journalisten bei der Presse, in Online-Medien oder im Rundfunk mit dem Ziel, Öffentlichkeit herzustellen. Der Kläger hat mit seiner Fanpage in erster Linie zum Ziel, für seine Interessen und seine Arbeit zu werben, den Erfolg der eigenen Arbeit zu veranschaulichen und sich dadurch selbst darzustellen. Bildveröffentlichungen, die der Selbstdarstellung dienen, lassen sich aber nicht mehr als eine Verarbeitung zu journalistischen Zwecken qualifizieren (vgl. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4; Lauber-Rönsberg/Hartlaub, „Personenbildnisse im Spannungsfeld zwischen Äußerungs- und Datenschutzrecht“ in NJW 2017, S. 1057, 1061).

Ob die §§ 22, 23 KUG als Normen im Sinne von Artikel 85 Abs. 1 DS-GVO für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Artikel 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Artikel 85 Abs. 1 DSGVO einen zwingend durch die Mitgliedstaaten zu erfüllenden Regelungsauftrag enthält – so die überwiegende Auffassung – oder die §§ 22, 23 KUG insoweit fortgelten können, s. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4 m. w. N.), kann offen bleiben. Denn die Voraussetzungen der §§ 22, 23 KUG liegen nicht vor.

Nach § 22 KUG dürfen Bildnisse einer Person grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet werden. Eine ausdrückliche Einwilligung liegt nicht vor. Da das KUG für das Recht am eigenen Bild keine Formerfordernisse normiert, ist zwar auch eine konkludente Einwilligung möglich (vgl. BGH, Urteil vom 11.11.2014 – VI ZR 9/14 –, juris Rn. 6). Auch eine solche liegt jedoch nicht vor. Hier hat der Kläger über die örtliche Presse zu der Veranstaltung im Sommer 2014 eingeladen. Aufgrund der Art der Veranstaltung als öffentliche Veranstaltung des Klägers, über die in der örtlichen Presse eingeladen worden ist, muss zwar damit gerechnet werden, dass Fotos erstellt werden, die in der Presse veröffentlicht werden, und man mit der Teilnahme an einer solchen Veranstaltung konkludent darin einwilligt. Keinesfalls willigt man aber mit der Teilnahme an der Veranstaltung zugleich in die Veröffentlichung von Fotos auf einer Fanpage bei Facebook ein. Eine Veröffentlichung von Bildern auf einer Fanpage einer Partei bei Facebook hat eine ganz andere Qualität als die Veröffentlichung in der Presse, zumal wenn, wie hier anzunehmen ist, keine Vereinbarung nach Artikel 26 DS-GVO zwischen Facebook und dem Betreiber der Fanpage - hier: dem Kläger - abgeschlossen wurde. Denn die Beklagte hat zutreffend darauf hingewiesen, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann. Gemäß den Nutzungsbedingungen mit Facebook werden mit dem Teilen von Inhalten, wie es der Kläger mit der Veröffentlichung des Fotos unternommen hat, weitreichende, weltweite Lizenzen an Facebook erteilt, die geteilten Inhalte zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren und öffentlich vorzuführen. In den USA, in denen die Facebook Inc. ihren Firmensitz hat, sind die Datenschutzstandards außerdem gegenüber dem europäischen Datenschutzstandard erheblich geringer.

Ohne die nach § 22 KUG erforderliche Einwilligung dürfen nach § 23 Abs. 1 KUG verbreitet werden Bildnisse aus dem Bereiche der Zeitgeschichte (Nr. 1), Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen (Nr. 2), Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (Nr. 3), und Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient (Nr. 4).

Hier liegen zwar die Voraussetzungen der Nr. 3 vor. Unter den Erlaubnistatbestand der Nr. 3 fallen Bildberichterstattungen über Menschenansammlungen verschiedenster Art wie Demonstrationen, Sportveranstaltungen, Konzerte, Karnevalsumzüge, Tagungen, Parteitage, Hochzeiten und Trauerfeiern. Voraussetzung ist, dass nicht einzelne Personen gezeigt werden, sondern ein Vorgang. Es muss sich um eine größere Anzahl von Personen handeln, so dass sich der Einzelne nicht mehr aus ihr hervorhebt (vgl. von Strobl-Albeg in Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 8 Rn. 77). Bei der öffentlichen Veranstaltung im Sommer 2014, bei der über den Bau einer Ampelanlage gesprochen wurde, handelt es sich um eine Versammlung bzw. einen ähnlichen Vorgang in diesem Sinne. Die auf dem bei Facebook veröffentlichten Foto abgebildeten Personen waren bewusst auf der Veranstaltung des Klägers und haben somit an ihr teilgenommen. Gegenüber der abgebildeten Menge treten die einzelnen der insgesamt etwa 30 Personen auch in den Hintergrund.

Die Befugnis nach § 23 Abs. 1 KUG erstreckt sich nach § 23 Abs. 2 KUG jedoch nicht auf eine Verbreitung, durch die ein berechtigtes Interesse der abgebildeten Person verletzt wird. Der Grundsatz des § 23 KUG ist ein wichtiges Korrektiv zur Wahrung des Persönlichkeitsrechts des Abgebildeten, der auch in den gesetzlichen Ausnahmefällen des § 23 Abs. 1 Nr. 1 bis 4 KUG eine Interessenabwägung vorschreibt (vgl. hierzu Götting in Urheberrecht, Kommentar, 5. Aufl. 2017, § 23 KUG Rn. 106 ff.). Die abgebildeten Personen haben – wie oben dargelegt – ein erhebliches Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Nicht nur, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann, vielmehr wird durch das Foto auf einer Fanpage auch eine – möglicherweise nicht bestehende – Zustimmung der abgebildeten Personen zu der politischen Tätigkeit des Klägers suggeriert.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit gemäß § 23 Abs. 2 KUG unzulässig.

b. Die Veröffentlichung des Fotos war auch nicht nach Artikel 6 Abs. 1 DS-GVO gerechtfertigt. Danach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort im Folgenden geregelten Bedingungen erfüllt ist. Da die abgebildeten Personen – wie oben dargelegt – nicht in die Veröffentlichung des Fotos eingewilligt haben (Artikel 6 Abs. 1 Abs. 1 Buchst. a i. V. m. Artikel 4 Nr. 11 und Artikel 7 DS-GVO), kommt hier nur der Tatbestand nach Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO in Betracht. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein „berechtigtes Interesse“ an der Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage liegt vor. Der Begriff der „berechtigten Interessen“ ist in der DS-GVO nicht definiert. Der sehr weite Begriff der „berechtigten Interessen“ erfasst jedes von der Rechtsordnung anerkannte Interesse (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 53, 54). Der Kläger hat als politische Partei ein berechtigtes Interesse daran, auch durch die öffentliche Verwendung von Fotos für seine politische Tätigkeit zu werben und damit gemäß Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken.

Die Verwendung eines Fotos, auf dem bestimmte Personen erkennbar abgebildet sind, ist aber nicht „erforderlich“. Auch der Begriff der „Erforderlichkeit“ ist in der DS-GVO nicht weiter definiert (vgl. aber Artikel 5 Abs. 1 Buchst. c DS-GVO – Grundsatz der Datenminimierung –). Unter Berücksichtigung von Erwägungsgrund 39 ist die Verarbeitung „erforderlich“, wenn kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 17, 56). Gemessen hieran war die Veröffentlichung des Fotos ohne Unkenntlichmachung der abgebildeten Personen nicht „erforderlich“, da es hier nicht darauf ankommt, dass gerade die abgebildeten Personen als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt werden, sondern es dem Kläger nur darum geht, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt hat, eine größere Anzahl von Personen interessiert. In diesem Fall reicht es aus, das Foto unter Unkenntlichmachung der abgebildeten Personen, z. B. durch Verpixelung der Gesichter, zu verwenden. Die Verwendung des Fotos mit einer Abbildung individuell erkennbarer Personen hingegen ist zur Erreichung des vom Kläger angestrebten Zwecks nicht erforderlich. Mit seinem Einwand, eine Unkenntlichmachung sei ihm aufgrund fehlender finanzieller oder organisatorischer Mittel nicht möglich, hat der Kläger schon deshalb keinen Erfolg, weil eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Zeit- und Kostenaufwand umgesetzt werden kann.

Ungeachtet dessen überwiegt aber auch das Interesse der abgebildeten Personen das Interesse des Klägers an der Verwendung der Fotos zur Werbung für seine politischen Tätigkeiten.

Bei einer Abwägung der widerstreitenden Interessen sind die „vernünftigen Erwartungen der betroffenen Person“ und die „Absehbarkeit“ einer möglichen Datenverarbeitung der betroffenen Person zu berücksichtigen (vgl. Erwägungsgrund 47). Die abgebildeten Personen haben ein Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Zwar mussten die Teilnehmer der Veranstaltung erwarten, dass unmittelbar nach der Veranstaltung im Sommer 2014, auf der erkennbar fotografiert worden ist, eine Veröffentlichung zu journalistischen Zwecken etwa in den örtlichen Tageszeitungen erfolgt. Wie oben dargelegt, fällt aber eine Veröffentlichung auf einer Fanpage, die in erster Linie der Darstellung der Partei dient, nicht darunter. Im Übrigen führt der Umstand, dass ein Presseunternehmen oder Privatpersonen Fotos anfertigen, nicht zugleich zu der Erwartung, dass andere, insbesondere der Kläger, die Fotos für eigene Zwecke veröffentlichen. Schließlich war mit einer Veröffentlichung nach vier Jahren nicht mehr zu rechnen.

Die Veröffentlichung des Fotos war entgegen der Ansicht des Klägers auch nicht nach Artikel 6 Abs. 1 UAbs. 1 Buchst. e DS-GVO gerechtfertigt.

Der Kläger kann sich nicht unmittelbar auf Artikel 6 Abs. 1 Abs. 1 Buchst. e DS-GVO berufen. Dies folgt schon daraus, dass diese Regelung selbst keine Rechtsgrundlage für eine Datenverarbeitung bildet, sondern, wie sich aus Artikel 6 Abs. 3 Satz 1 DS-GVO ergibt, auf die Umsetzung durch eine gesonderte Rechtsgrundlage im Unionsrecht oder im Recht eines Mitgliedstaates angewiesen ist. Als eine solche Rechtsgrundlage könnte hier nur § 3 BDSG oder § 3 Satz 1 NDSG in Betracht kommen. Im ersten Fall müsste der Kläger eine öffentliche Stelle des Bundes im Sinne des § 2 Abs. 1, ggf. i. V. m. Abs. 4 Satz 2 BDSG, im zweiten Fall eine öffentliche Stelle des Landes im Sinne von § 2 Abs. 2, ggf. i. V. m. Abs. 4 Satz 2 BDSG (zur Zuordnung vgl. Eßer in Auernhammer, DSGVO/BDSG, Kommentar, 6. Aufl. 2018, § 2 BDSG Rn. 24) bzw. eine öffentliche Stelle im Sinne des § 1 Abs. 1 NDSG sein. Auch dies ist nicht der Fall. Eine öffentliche Stelle im Sinne des § 2 Abs. 1 und 2 BDSG, § 1 Abs. 1 Satz 1 Nr. 1 NDSG ist der Kläger schon deshalb nicht, weil er als Ortsverein einer politischen Partei keine „öffentlich-rechtlich organisierte Einrichtung“ im Sinne dieser Vorschriften ist. Politische Parteien nehmen zwar eine öffentliche Aufgabe wahr (§ 1 Abs. 1 Satz 2 des Parteiengesetzes), sind jedoch weder funktional noch organisatorisch Teil des Staates (BVerfG, Beschluss vom 6.12.2013 – 2 BvQ 55/13 –, juris Rn. 6 m. w. N.), sondern dem gesellschaftlichen Bereich angehörende Vereinigungen von Bürgern (§ 2 des Parteiengesetzes). Der Kläger ist auch nicht als Beliehener eine öffentliche Stelle nach § 2 Abs. 4 Satz 2 BDSG oder § 1 Abs. 1 Satz 1 Nr. 2 und Satz 2 NDSG. Denn dafür müsste ihm eine „Aufgabe der öffentlichen Verwaltung“ übertragen worden sein. Um eine solche Aufgabe handelt es sich bei der öffentlichen Aufgabe einer politischen Partei nach § 1 Abs. 1 Satz 2 des Parteiengesetzes aber nicht (dazu, dass politische Parteien keine öffentliche Gewalt ausüben, vgl. auch BVerfG, a. a. O., Rn. 5 m. w. N.). Schließlich liegen auch die Voraussetzungen des § 1 Abs. 1 Satz 3 NDSG nicht vor, weil der Kläger eben keine Aufgaben der öffentlichen Verwaltung wahrnimmt und an ihm auch keine juristischen Personen des öffentlichen Rechts beteiligt sind, wie es die Vorschrift voraussetzt. Politische Parteien sind mithin nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 Satz 1 BDSG (so auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - Datenschutzkonferenz - vom 5.9.2018, dort unter 5.) und können sich daher für ihre Datenverarbeitung nicht auf die für öffentliche Stellen geltenden Rechtsgrundlagen nach Artikel 6 Abs. 3 Satz 1 DS-GVO berufen.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit weder gemäß § 23 Abs. 2 KUG noch nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e und f DS-GVO gerechtfertigt, so dass die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 DS-GVO vorliegen.

Das ihr nach Art. 58 Abs. 2 DS-GVO zustehende Ermessen (vgl. hierzu Martini/Wenzel: „Gelbe Karte von der Aufsichtsbehörde: die Verwarnung als datenschutzrechtliches Sanktionenhybrid“ in PinG 2017, S. 92, 96) hat die Beklagte rechtsfehlerfrei ausgeübt. Insbesondere ist die Verwarnung geeignet und erforderlich, um gegenüber dem Kläger das datenschutzrechtswidrige Verhalten verbindlich festzustellen. In dem nach Eingriffsintensität abgestuften Instrumentarium des Artikels 58 DS-GVO sind Warnungen und Verwarnungen die mildesten Mittel, da sie sich auf die Feststellung des Datenschutzverstoßes beschränken."


Den Volltext der Entscheidung finden Sie hier:

LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


LG Frankfurt: Versand eines Bildnisses per E-Mail ist ein Verbreiten gemäß §§ 22, 23 KUG - Normen des KUG gelten im Rahmen von Art. 85 Abs. 2 DSGVO weiterhin

LG Frankfurt
Urteil vom 26.09.2019
2-03 O 402/18


Das LG Frankfurt hat entschieden, dass der Versand eines Bildnisses per E-Mail ein Verbreiten gemäß §§ 22, 23 KUG ist. Die Normen des KUG gelten im Rahmen von Art. 85 Abs. 2 DSGVO auch nach Inkrafttreten der DSGVO weiterhin.

Aus den Entscheidungsgründen:

"1. Der Kläger hat gegen den Beklagten keinen Anspruch auf Unterlassung der Äußerung gemäß dem Klageantrag zu II. Ein solcher ergibt sich auch nicht aus den §§ 823, 1004 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG.

a. Wegen der Eigenart des allgemeinen Persönlichkeitsrechts als Rahmenrecht liegt seine Reichweite nicht absolut fest, sondern muss erst durch eine Abwägung der widerstreitenden grundrechtlich geschützten Belange bestimmt werden, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention interpretationsleitend zu berücksichtigen sind. Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt (BGH NJW 2016, 789 Rn. 20; BGH NJW 2016, 56 Rn. 29; BGH NJW 2014, 2029 Rn. 22; jew. m.w.N.).

Hier ist das Schutzinteresse aus Art. 2 Abs. 1, 1 Abs. 1 GG mit dem Recht auf Meinungsfreiheit gemäß Art. 5 Abs. 1 S. 1 GG, Art. 10 Abs. 1 EMRK abzuwägen.

Stehen sich als widerstreitende Interessen – wie vorliegend – die Meinungs- bzw. Pressefreiheit und das Allgemeine Persönlichkeitsrecht gegenüber, kommt es für die Zulässigkeit einer Äußerung maßgeblich darauf an, ob es sich um Tatsachenbehauptungen oder Meinungsäußerungen handelt (LG Köln, Urt. v. 10.06.2015 – 28 O 564/14 Rn. 33).

Bei Tatsachenbehauptungen hängt die Abwägung zwischen den widerstreitenden Interessen maßgeblich vom Wahrheitsgehalt ab. Wahre Tatsachenbehauptungen müssen in der Regel hingenommen werden, auch wenn sie für den Betroffenen nachteilig sind – jedenfalls, wenn sie nicht die Intim-, Privat- oder Vertraulichkeitssphäre, sondern die Sozialsphäre betreffen (BVerfG NJW 1999, 1322, 1324) –, unwahre dagegen nicht (BVerfG NJW 2012, 1643 Rn. 33). Außerhalb des Schutzbereichs des Art. 5 Abs. 1 GG stehen – abgesehen von solchen Tatsachenbehauptungen, die von vornherein Dritten nicht zur Meinungsbildung dienen können (BGH GRUR-RR 2008, 257 Rn. 12 m.w.N.) – aber nur bewusst unwahre Tatsachenbehauptungen und solche, deren Unwahrheit bereits im Zeitpunkt der Äußerung feststeht, denn an der Aufrechterhaltung und Weiterverbreitung herabsetzender Tatsachenbehauptungen, die als unwahr anzusehen sind, besteht unter dem Gesichtspunkt der Meinungsfreiheit regelmäßig kein schützenswertes Interesse (BGH GRUR 2014, 693 Rn. 23 – Sächsische Korruptionsaffäre). Alle übrigen Tatsachenbehauptungen mit Meinungsbezug genießen den Grundrechtsschutz, auch wenn sie sich später als unwahr herausstellen (BGH GRUR 2013, 312 – IM Christoph; BGH GRUR 2014, 693 Rn. 23 – Sächsische Korruptionsaffäre).

b. Bei der angegriffenen Äußerung

„Es ist theoretisch auch denkbar, dass die Abmahnung nicht von Hr. mandatiert, sondern ohne sein Wissen von Dritten mittels Urkundenfälschung fingiert wurde.“

handelt es sich um eine .

Bei der Frage, ob eine Äußerung ihrem Schwerpunkt nach als Tatsachenbehauptung oder als Meinungsäußerung anzusehen ist, kommt es entscheidend auf den Gesamtkontext der fraglichen Äußerung an (vgl. BVerfG AfP 2013, 389, juris-Rn. 18). Von einer Tatsachenbehauptung ist auszugehen, wenn der Gehalt der Äußerung entsprechend dem Verständnis des Durchschnittsempfängers der objektiven Klärung zugänglich ist und als etwas Geschehenes grundsätzlich dem Beweis offen steht. Soweit eine Tatsachenbehauptung mit einem Werturteil verbunden ist bzw. beides ineinander übergeht, ist darauf abzustellen, was im Vordergrund steht und damit überwiegt. Wird eine Äußerung in entscheidender Weise durch die Elemente der Stellungnahme, des Dafürhaltens oder Meinens geprägt oder ist der tatsächliche Gehalt der Äußerung so substanzarm, dass er gegenüber dem Wertungscharakter in den Hintergrund tritt, liegt eine Meinungsäußerung vor. Vom Überwiegen des tatsächlichen Charakters ist auszugehen, wenn die Wertung sich als zusammenfassender Ausdruck von Tatsachenbehauptungen darstellt (vgl. Wenzel/Burkhardt, Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 4 Rn. 50 ff.).

Hierbei sind Äußerungen entsprechend dem Verständnis des unbefangenen Durchschnittsempfängers zu interpretieren (Wenzel/Burkhardt, a.a.O., Kap. 4 Rn. 4; Soehring/Hoene, Presserecht, 6. Aufl. 2019, § 14 Rn. 6; jew. m.w.N.).

c. In Anwendung dieser Grundsätze überwiegt in der angegriffenen Äußerung der wertende und meinende Anteil und gibt dieser sein Gepräge. Im Gesamtkontext der Äußerung stellt der Beklagte dar, dass er – möglicherweise – eine problematische Situation mit dem Kläger als Mitarbeiter des E hat. Hierbei erläutert der Beklagte, dass er über das Verhalten des Klägers überrascht sei und die Behauptungen des Klägers haltlos seien (vgl. Anlage K6, Bl. 25 d.A.). Der Beklagte sei irritiert, dass der Kläger eine parallele Beschäftigung bei einem Mitbewerber behaupte. Sodann erläutert der Beklagte, dass es sich insgesamt um eine Art Missverständnis handeln könnte, dass nämlich der Kläger in die dem Beklagten gegenüber ausgesprochenen Abmahnung nicht involviert sei.

Aus Sicht des Durchschnittslesers stellt sich dies lediglich als eine Möglichkeit dar, die der Beklagte aufwirft, nicht aber als faktischen oder bewiesenen Sachverhalt. Dem Empfänger der E-Mail wird daher entgegen der Auffassung des Klägers nicht als unabweisliche Schlussfolgerung oder rein rhetorische Frage unterbreitet, dass der Kläger ohne sein Wissen für eine Abmahnung „missbraucht“ worden sei (vgl. insoweit BGH NJW 2017, 482 Rn. 14 f.).

Diesem Verständnis steht auch nicht der in der mündlichen Verhandlung erhobene Vortrag des Klägers entgegen, dass sein Prozessbevollmächtigter dem Beklagten vor dem Versand der streitgegenständlichen E-Mail erläutert habe, dass er persönlich vom Kläger mandatiert worden sei, ihm sei eine unterschriebene Vollmachtserklärung zugesandt worden.

Denn dieser Umstand ändert an dem Verständnis der streitgegenständlichen Äußerung aus Sicht des Durchschnittsempfängers, dem diese Umstände unbekannt sind und der selbst bei Kenntnis hiervon die Äußerung des Beklagten als eine Vermutung, eine Theorie und nicht als eine Tatsache auffasst, nichts.

Die Meinungsäußerung des Beklagten überschreitet auch nicht die Grenze zur Schmähkritik, da sie nicht außerhalb jeglichen Sachkontextes steht (vgl. BVerfG NJW 2016, 2870 Rn. 17 m.w.N.; BVerfG NJW 2017, 1460 – „Obergauleiter der SA-Horden“).

2. Der Kläger hat weiter Anspruch auf Ersatz seiner Rechtsverfolgungskosten nach den §§ 683, 677, 670 BGB (Antrag zu III.), jedoch nicht im geltend gemachten Umfang.

Der Kläger hat mit seiner Abmahnung gemäß Anlage K3 gestützt auf KUG und UrhG gerügt, dass der Beklagte das Bildnis per E-Mail versandt und dadurch vervielfältigt hat. Darüber hinaus hat er sich wegen der Verbreitung des Bildnisses auf §§ 823, 1004 BGB, 22, 23 KUG „(ggfl. i.V.m. der DSGVO“) gestützt (Anlage K3, Bl. 15/18 d.A.). Im Termin zur mündlichen Verhandlung hat der Kläger erklärt, dass er den Anspruch auf Ersatz von Abmahnkosten nicht mehr auf das UrhG stützen will, nachdem die Kammer zu erkennen gegeben hat, dass hinsichtlich der urheberrechtlichen Ansprüche ggf. eine Beweisaufnahme erforderlich werden könnte.

a. Die Abmahnung war im Hinblick auf den vom Kläger geltend gemachten Anspruch aus den §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO berechtigt.

aa. Der Beklagte hat das Bildnis des Klägers verbreitet, indem er es in einer E-Mail verwendet hat. Hierbei ist vom Vorgang der Verbreitung auch die unkörperliche Übermittlung erfasst (OLG Frankfurt a.M. MMR 2004, 683; LG Frankfurt a.M., Beschl. v. 28.05.2015 - 2-03 O 452/14, MMR 2016, 482; Dreier/Schulze-Specht, UrhG, 6. Aufl. 2018, § 22 KUG Rn. 9; Wenzel/v.Strobl-Albeg, a.a.O., Kap. 7 Rn. 139; a.A. BeckOK-InfoMedienR/Herrmann, 24. Ed. 1.5.2019, § 22 KUG Rn. 11).

bb. Der Kläger hat in die Verwendung auch nicht im Sinne von § 22 KUG eingewilligt. Eine solche Einwilligung ist insbesondere auch nicht im Einstellen des Bildnisses als Profil bei „Xing“ zu ersehen (vgl. ebenso OLG München MMR 2016, 414).

cc. Der Beklagte kann sich auch nicht auf ein berechtigtes Interesse gemäß § 23 KUG berufen. Eine Ausnahme vom Einwilligungserfordernis nach § 23 Abs. 1 KUG liegt nicht vor. Denn weder handelt es sich um ein Bildnis aus dem Bereich der Zeitgeschichte, noch um ein solches, auf dem der Kläger nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheint, noch um ein Bildnis von Versammlungen, Aufzügen und ähnlichen Vorgängen oder um ein Bildnis, dessen Verbreitung einem höheren Interesse der Kunst dient.

dd. Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060).

b. Soweit der Kläger hingegen Kosten für die Abmahnung, gestützt auf die Äußerung gemäß Klageantrag zu II., verlangt hat, war die Abmahnung unberechtigt, so dass der Kläger Kosten hierfür nicht verlangen konnte (siehe oben).

c. Der vom Kläger geltend gemachte Gegenstandswert von insgesamt 20.000,- EUR für die Abmahnungen ist jedoch übersetzt. Der Kläger wendet sich einerseits gegen die Vervielfältigung und Verbreitung eines Bildnisses, wobei das Bildnis lediglich an wenige Empfänger verbreitet wurde und andererseits gegen eine – ebenfalls nur in einer E-Mail getätigte Äußerung. Die Kammer erachtet hierfür einen Gegenstandswert von 10.000,- EUR unter Berücksichtigung des nach der Praxis der Kammer üblichen Streitwerts für Veröffentlichungen im Internet in Höhe von 15.000,- EUR jeweils für übersetzt, da der Versand per E-Mail mit wenigen Empfängern hiermit kaum vergleichbar ist.

Die Kammer geht insoweit davon aus, dass ein Gegenstandswert von jeweils 6.000,- EUR, insgesamt also 12.000,- EUR angemessen ist.

Im Hinblick auf die Ansprüche wegen der Verwendung des Bildnisses hat der Kläger deutlich gemacht, dass sein Hauptinteresse an der Verhinderung der weiteren Verbreitung des Bildnisses in Form des Versandes der E-Mail liegt. Zwar hat er auch die Vervielfältigung und Bearbeitung auf dem Computer des Beklagten angegriffen, dieser Teil des Anspruch ist jedoch in der Intensität und dem erklärten Interesse des Klägers deutlich niedriger zu bewerten, die Kammer geht insoweit davon aus, dass auf den Anspruch nach KUG ein Gegenstandswert von 5.000,- EUR und auf den Anspruch nach UrhG ein Gegenstandswert von 1.000,- EUR entfällt.

d. Ausgehend hiervon konnte der Kläger Ersatz von Abmahnkosten aus einem Gegenstandswert von 5.000,- EUR verlangen, nämlich inklusive Auslagenpauschale und Umsatzsteuer insgesamt 492,54 EUR.

Denn richtet sich die Höhe der Abmahnkosten nach dem Gegenstandswert der Abmahnung, sind die Kosten einer nur teilweise berechtigten Abmahnung nur zu ersetzen, soweit die Abmahnung berechtigt war. Dabei ist die Höhe des Ersatzanspruchs durch Ermittlung des nach dem berechtigten Teil der Abmahnung zu ermittelnden Gegenstandswert zu bestimmen (BGH (VI. Zivilsenat) NJW 2017, 1550 Rn. 28 – Michael Schumacher; anders im Bereich des Wettbewerbsrechts BGH (I. Zivilsenat) GRUR 2010, 744 Rn. 52 – Sondernewsletter: Quotelung).

Hiervon war eine 0,65-Gebühr in Abzug zu bringen, also 196,95 EUR, so dass 295,59 EUR verbleiben.

Der Zinsanspruch des Klägers ergibt sich aus den §§ 288, 286 BGB.

3. Die Kostenentscheidung beruht auf den §§ 91a, 92 Abs. 1 ZPO.

Im Hinblick auf den ursprünglichen Klageantrag zu I. war gemäß § 91a ZPO über die Kosten des Rechtsstreits unter Berücksichtigung des bisherigen Sach- und Streitstandes nach billigem Ermessen zu entscheiden. Denn die Parteien haben den Rechtsstreit insoweit in der Hauptsache übereinstimmend für erledigt erklärt.

a. Soweit der Kläger seine Ansprüche gemäß dem Klageantrag zu I. auf die §§ 823, 1004 BGB i.V.m. §§ 22, 23 KUG gestützt hat, wäre der Klage nach bisherigem Sach- und Streitstand stattzugeben gewesen (siehe oben).

b. Soweit der Kläger seine Ansprüche gemäß dem Klageantrag zu I. hingegen auf die §§ 72, 97 Abs. 1 UrhG in der Handlungsform des Vervielfältigens gestützt hat, waren die Kosten beiden Parteien zu gleichen Teilen aufzuerlegen. Denn über die zwischen den Parteien streitige Frage, ob der Kläger urheberrechtlich aktivlegitimiert war, hätte nach bisherigem Sach- und Streitstand der vom Kläger angebotene Zeuge B2 gehört werden müssen.

c. Dem steht auch nicht entgegen, dass der Kläger seinen Klageantrag zu I. auch auf eine Verletzung von datenschutzrechtlichen Vorschriften gestützt hat. Nachdem, wie oben dargelegt, die Tathandlung des „Verbreitens“ auf das KUG gestützt wurde und die Tathandlung des „Vervielfältigens“ auf urheberrechtliche Ansprüche, kam es auf die datenschutzrechtlichen Ansprüche nicht mehr an, da das „Verbreiten“ bereits nach KUG zu untersagen war. Die Kammer legt den Klageantrag zu I. unter Berücksichtigung der Begründung in der Klageschrift (S. 7, Bl. 9 d.A.) dahingehend aus, dass sich der Kläger mit seinem datenschutzrechtlichen Anspruch ebenfalls allein gegen die angegriffene Tathandlung des „Verbreitens“ durch Versand der E-Mail und nicht auch diejenige des „Vervielfältigens“ richtet, was sich auch mit den Ausführungen des Klägers in der Abmahnung deckt. Der Kläger moniert diesbezüglich allein, dass „in dem Versand eines Personenbildnisses zugleich auch die Verwendung eines personenbezogenen Datums“ liege. Der Unterlassungsanspruch ergebe sich daher aus § 1004 BGB i.V.m. Art. 6 DSGVO. Erst anschließend begründet der Kläger seinen Klageantrag auf Unterlassung der Vervielfältigung (allein) unter Verweis auf § 16 UrhG."

Den Volltext der Entscheidung finden Sie hier:

OVG Saarloius: Datenschutzverstoß durch Speicherung allgemein zugänglicher Daten wenn diese für unerlaubte Telefonwerbung genutzt werden sollen

OVG Saarlouis
Beschluß vom 10.09.2019
2 A 174/18


Das OVG Saarloius hat entschieden, dass ein Datenschutzverstoß vorliegt, wenn allgemein zugängliche Daten gespeichert werden und die Daten für unerlaubte Telefonwerbung genutzt werden sollen. Die Normen der DSGVO wandte das Gericht nicht an, da die streitgegenständliche behördlichen Verfügung vor Inkrafttreten der DSGVO erging.

Aus den Entscheidungsgründen:

Zu Recht hat das Verwaltungsgericht angenommen, dass die auf § 38 Abs. 5 Satz 2 BDSG i.V.m. § 35 Abs. 2 Nr. 1 BDSG in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 25.2.2015 (BGBl. I S. 162), gestützte Anordnung des Beklagten vom 10.1.2017 rechtmäßig ist, weil die Geschäftspraxis der Klägerin, zwecks telefonischer Werbeansprachen die aus allgemein zugänglichen Verzeichnissen erhobenen Praxisdaten zu speichern und zu nutzen, im Falle inhabergeführter Einzelzahnarztpraxen gegen das Bundesdatenschutzgesetz verstößt.

Die Klägerin kann sich zur Begründung der von ihr behaupteten ernstlichen Zweifeln an der Richtigkeit der erstinstanzlichen Entscheidung nicht mit Erfolg darauf berufen, dass die Entscheidung des Verwaltungsgerichts auf der Basis des Bundesdatenschutzgesetzes (a.F.) der Rechtslage mit Blick auf die am 25.5.2018 – wenige Wochen nach der mündlichen Verhandlung – in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) nicht gerecht werde und das Gericht daher eine „nutzlose Entscheidung“ getroffen habe. Die Klägerin beruft sich – im Wesentlichen unter Wiederholung des erstinstanzlichen Vorbringens – darauf, dass sich die Erfahrungswerte der bisherigen Praxis nur begrenzt auf die Regelungen in der DS-GVO übertragen ließen. Durch die DS-GVO sei es zu einer spürbaren Akzentverschiebung im Vergleich zur alten Rechtslage nach dem BDSG gekommen. Die Interessenabwägung in Artikel 6 Abs. 1f DS-GVO erfolge nach einem anderen Maßstab, da nun auf andere Leitlinien zurückgegriffen werden werde. Das Interesse des Verantwortlichen an der Durchführung von Direktwerbung werde durch den Normgeber als „berechtigtes Interesse“ anerkannt, anders als es bei Anwendbarkeit des BDSG gewesen sei. Im Erwägungsgrund 47 zu Artikel 6 DS-GVO sei explizit das Interesse des Verantwortlichen an der Durchführung einer „Direktwerbung“ genannt. Damit sei klar, dass die werbliche Datennutzung als besonders wichtiger Anwendungsfall eines berechtigten Interesses anzusehen sei.

Diese allgemeinen Ausführungen der Klägerin beinhalten keine ausreichenden Gründe, die eine Berufungszulassung nach § 124 Abs. 2 Nr. 1 VwGO rechtfertigen. Das Verwaltungsgericht hat bei der rechtlichen Beurteilung der Anordnung des Beklagten vom 10.1.2017 in seinem Urteil vom 9.3.2018 zutreffend das bis zum 24.5.2018 geltende Bundesdatenschutzrecht für maßgeblich gehalten. Die von der Klägerin reklamierte Beurteilung der angefochtenen Verfügung des Beklagten vom 10.1.2017 am Maßstab der Rechtslage aufgrund der ab 25.5.2018 maßgeblichen Datenschutz-Grundverordnung kam nicht in Betracht. Maßgeblicher Zeitpunkt für die gerichtliche Beurteilung der auf § 38 Abs. 5 Satz 2 BDSG a.F. beruhenden Anordnung des Beklagten ist, da gegen diese Entscheidungen kein Widerspruchsverfahren stattfindet (vgl. § 28a SDSG i. d. Fassung der Bekanntmachung vom 28.1.2008; Amtsbl. S. 293), der Zeitpunkt des Erlasses der streitgegenständlichen Verfügung des Beklagten. Das Bundesverwaltungsgericht(Urteil vom 27.3.2019 - 6 C 2/18 - (Videoüberwachungen zu privaten Zwecken); NVwZ 2019, 1126 - 1132; zitiert nach juris) hat entschieden, dass die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. nach der Rechtslage zu beurteilen ist, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt und nachträgliche Rechtsänderungen nicht zu berücksichtigen sind. Das Bundesverwaltungsgericht hat weiter ausgeführt, diese Bestimmung eröffne der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen. Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung beziehe sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergebe. Für eine Ermessensentscheidung sei kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten Handlungsalternativen wählen könne. Die Verwaltungsgerichte prüften diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere seien sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließe es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen habe einbeziehen können, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorgelegen hätten(BVerwG, Urteile vom 20.5.1980 - 1 C 82.76 - BVerwGE 60, 133 <136> und vom 6.4.1989 - 1 C 70.86 - BVerwGE 81, 356 <358>; BFH, Urteil vom 26.3.1991 - VII R 66/90 - BFHE 164, 7 <9>)). Vielmehr habe sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ungeachtet des Umstands, dass sich die im konkreten vom Bundesverwaltungsgericht entschiedenen Fall der dortigen Klägerin aufgegebenen Handlungsgebote ständig aktualisierten, weil damit die Verpflichtung einhergehe, den neu geschaffenen Zustand auf Dauer beizubehalten, seien derartige Maßnahmen gemäß § 38 Abs. 5 Satz 1 BDSG a.F. nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung gegolten habe. Es hätte deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt habe, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen hätten, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen seien. Derartige Hinweise enthielten weder der Text der Datenschutz-Grundverordnung noch die Erwägungsgründe. Vielmehr bestimme Art. 96 DS-GVO die Fortgeltung der vor dem 24.5.2016 geschlossenen Übereinkünfte der Mitgliedstaaten mit Drittstaaten und internationalen Organisationen über die Übermittlung personenbezogener Daten.

Diese vom Bundesverwaltungsgericht dargelegten Grundsätze beanspruchen auch im vorliegenden Fall Geltung, denn sowohl Anordnungen nach § 38 Abs. 5 Satz 1 BDSG als auch Anordnungen nach § 38 Abs. 5 Satz 2 BDSG, wonach bei schwerwiegenden Verstößen oder Mängeln die Erhebung, Verarbeitung oder Nutzung oder der Einsatz einzelner Verfahren untersagt werden kann, wenn die Verstöße oder Mängel nicht in angemessener Zeit beseitigt werden, stehen gleichermaßen im Ermessen der zuständigen Aufsichtsbehörde. Dass in Bezug auf die von dem Beklagten herangezogenen Ermächtigungsgrundlage des § 38 Abs. 5 Satz 2 BDSG ausnahmsweise ein anderer rechtlicher Beurteilungszeitpunkt als bei der Vorschrift des § 38 Abs. 5 Satz 1 BDSG zugrunde zu legen wäre, erschließt sich dem Senat nicht. Die Rechtmäßigkeit der Anordnung des Beklagten ist demzufolge vom Verwaltungsgericht zutreffend nach Maßgabe des damals geltenden Bundesdatenschutzrechtes beurteilt worden. Der Einwand der Klägerin, die Entscheidung des erstinstanzlichen Gerichts könne wegen inzwischen geänderter Rechtslage keinen Bestand haben, verfängt daher nicht. Das Zulassungsvorbringen der Klägerin beschränkt sich im Weiteren auf die Subsumtion des Sachverhaltes unter Artikel 6 Abs. 1f DS-GVO und der danach zu treffenden Abwägungsentscheidung. Diese auf die Rechtslage bei Anwendung der DS-GVO bezogenen Ausführungen sind indessen nicht geeignet, die Entscheidung des Verwaltungsgerichts in Frage zu stellen, weil – was sich bereits aus dem Vorhergesagten ergibt – die Datenschutz-Grundverordnung nicht für die Beurteilung der Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße gilt, die die Behörden vor deren Geltungsbeginn auf der Grundlage des nationalen Rechts getroffen haben, und sie daher auf die Anordnung des Beklagten keine Anwendung findet. Ob die Werbeanrufe der Klägerin mit der Datenschutz-Grundverordnung im Einklang stehen, war daher vom Verwaltungsgericht im Rahmen der Anfechtungsklage nicht zu klären. Die Beantwortung dieser Frage setzt vielmehr zunächst eine eigenständige Prüfung seitens des Beklagten nach Maßgabe der §§ 49 ff. SVwVfG voraus, ob er die Anordnung für die Zukunft aufrechterhält(vgl. BVerwG, Urteil vom 27.3. 2019 - 6 C 2.18 - und Beschluss vom 9.7.2019 - 6 B 2/18 -; juris). Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung bestehen nach Maßgabe des Zulassungsvorbringens demzufolge insoweit nicht.



Den Volltext der Entscheidung finden Sie hier:

Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“


LG Köln: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen sondern Beurteilung von Umfang und Inhalt der gespeicherten personenbezogenen Daten

LG Köln
Teilurteil vom 18.03.2019
26 O 25/18


Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.

Aus den Entscheidungsgründen:

2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.

Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..


Den Volltext der Entscheidung finden Sie hier:


BVerfG: Verpflichtung des E-Mail-Providers zur Übermittlung von IP-Adressen an Ermittlungsbehörden ist verfassungskonform

BVerfG
Beschluss vom 20.12.2018
2 BvR 2377/16

Das Bundesverfassungsgericht hat entschieden, dass die Verpflichtung des E-Mail-Providers zur Übermittlung von IP-Adressen an Ermittlungsbehörden einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verfassungskonform ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des Bundesverfassunsgerichts:

Erfolglose Verfassungsbeschwerde gegen die Verpflichtung zur Übermittlung von IP-Adressen

Es verstößt nicht gegen das Grundgesetz, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert. Dies hat die 3. Kammer des Zweiten Senats mit heute veröffentlichtem Beschluss entschieden und die Verfassungsbeschwerde eines solchen Diensteanbieters nicht zur Entscheidung angenommen. Zur Begründung hat sie angeführt, dass das auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich schützenswerte Anliegen, ein datenschutzoptimiertes Geschäftsmodell anzubieten, nicht von der Einhaltung der gesetzlichen Vorgaben, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen, entbinden kann.

Sachverhalt:

Der Beschwerdeführer betreibt einen E-Mail-Dienst, der mit einem besonders effektiven Schutz der Kundendaten wirbt und sich den Grundsätzen der Datensicherheit und der Datensparsamkeit verpflichtet sieht. Er erhebt und speichert Daten nur dann, wenn dies aus technischen Gründen erforderlich oder - aus seiner Sicht - gesetzlich vorgesehen ist. Die Staatsanwaltschaft Stuttgart führte ein Ermittlungsverfahren wegen des Verdachts von Verstößen gegen das Betäubungsmittelgesetz und das Kriegswaffenkontrollgesetz. Mit Beschluss vom 25. Juli 2016 ordnete das Amtsgericht auf Antrag der Staatsanwaltschaft gemäß §§ 100a, 100b StPO in der damals geltenden Fassung die Sicherung, Spiegelung und Herausgabe aller Daten, die auf den Servern des Dienstes bezüglich des betreffenden E-Mail-Accounts elektronisch gespeichert sind, „sowie sämtlicher bezüglich dieses Accounts künftig anfallender Daten“ an. Das Landeskriminalamt gab dem Beschwerdeführer die angeordnete Überwachungsmaßnahme sowie den zu überwachenden Account bekannt. Daraufhin richtete der Beschwerdeführer die Telekommunikationsüberwachung ein, wies jedoch darauf hin, dass Verkehrsdaten der Nutzer nicht „geloggt“ würden und solche Daten inklusive der IP-Adressen deshalb nicht zur Verfügung gestellt werden könnten, sie seien nicht vorhanden. Der Annahme der Staatsanwaltschaft, die IP-Adressen seien beim Anbieter vorhanden, widersprach der Beschwerdeführer unter Darstellung seiner Systemstruktur. Er trenne sein internes Netz über ein sogenanntes NAT-Verfahren (Network Address Translation), bei dem die Adressinformationen in Datenpaketen automatisiert durch andere ersetzt würden, aus Sicherheitsgründen strikt vom Internet ab. Die IP-Adressen der Kunden würden daher bereits an den Außengrenzen des Systems verworfen und seien dem Zugriff des Beschwerdeführers entzogen. Mit Beschluss vom 9. August 2016 setzte das Amtsgericht ein Ordnungsgeld in Höhe von 500 Euro, ersatzweise sieben Tage Ordnungshaft, gegen den Beschwerdeführer fest. Aufgrund des Beschlusses vom 25. Juli 2016 sei der Beschwerdeführer verpflichtet, zukünftig die Verkehrsdaten und insbesondere die IP-Adressen zu erheben. Das Landgericht verwarf die hiergegen gerichtete Beschwerde mit Beschluss vom 1. September 2016 als unbegründet. Im November 2016 teilte das Landeskriminalamt dem Beschwerdeführer mit, dass die Überwachung des Anschlusses abgeschaltet werden könne. Das Ordnungsgeld wurde schließlich bezahlt.

Wesentliche Erwägungen der Kammer:

Soweit sich die Verfassungsbeschwerde gegen die Beschwerdeentscheidung richtet, ist sie jedenfalls unbegründet. Zwar greift die Festsetzung des Ordnungsgeldes in die durch Art. 12 Abs. 1 Satz 2 GG geschützte Freiheit der Berufsausübung des Beschwerdeführers ein. Die Annahme des Landgerichts, der Eingriff in den Schutzbereich des Art. 12 Abs. 1 Satz 2 GG sei nach Maßgabe der einschlägigen gesetzlichen Vorschriften gerechtfertigt, begegnet jedoch keinen verfassungsrechtlichen Bedenken.

Art. 12 Abs. 1 Satz 2 GG erlaubt Eingriffe in die Berufsfreiheit nur auf Grundlage einer gesetzlichen Regelung, die Umfang und Grenzen des Eingriffs erkennen lässt. Dabei muss der Gesetzgeber selbst alle wesentlichen Entscheidungen treffen, soweit sie gesetzlicher Regelung zugänglich sind. Je stärker in grundrechtlich geschützte Bereiche eingegriffen wird, desto deutlicher muss das gesetzgeberische Wollen zum Ausdruck kommen. Danach ist ein Grundrechtsverstoß nicht ersichtlich. Die Fachgerichte haben die Vorschriften über die Mitwirkungs- und Vorhaltungspflichten von Telekommunikationsdiensteanbietern in verfassungsrechtlich vertretbarer Weise ausgelegt. Sie durften ohne Verfassungsverstoß davon ausgehen, dass der Beschwerdeführer verpflichtet war seinen Betrieb so zu gestalten, dass er den Ermittlungsbehörden die am überwachten Account vom Zeitpunkt der Anordnung an anfallenden externen IP-Adressen zur Verfügung stellen kann. Denn die Überwachung der Telekommunikation im Sinne von § 100a StPO erfasst nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation einschließlich der fraglichen IP-Adressen.

1. Die - verfassungskonforme - Vorschrift des § 100a StPO ermächtigt zur Überwachung und Aufzeichnung der Telekommunikation. Vor dem Hintergrund des „weiten“ Telekommunikationsbegriffs unterfällt der Zugriff auf E-Mail-Kommunikation, jedenfalls soweit es sich um die Übertragung der Nachricht vom Gerät des Absenders über dessen Mailserver auf den Mailserver des E-Mail-Providers und um den späteren Abruf der Nachricht durch den Empfänger handelt, unstrittig dem Anwendungsbereich des § 100a StPO.

Vom Schutz des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG sind aber nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation erfasst. Vor diesem Hintergrund betrifft die Überwachung der Telekommunikation gemäß § 100a StPO auch die Verkehrsdaten im Sinne des § 3 Nr. 30 TKG, soweit diese im Rahmen der zu überwachenden Telekommunikation anfallen. Zu den Verkehrsdaten in diesem Sinne gehören auch und gerade die anfallenden IP-Adressen. Diese werden dementsprechend in § 96 Abs. 1 Satz 1 TKG als Nummern der beteiligten Anschlüsse oder Einrichtungen aufgeführt. Dynamische oder statische IP-Adressen, mit denen die Kunden eines Anbieters von E-Mail-Diensten mit ihren internetfähigen Endgeräten auf ihren E-Mail-Account zugreifen wollen, unterfallen daher grundsätzlich dem Anwendungsbereich des § 100a StPO.

Der Umstand, dass die Überwachung des E-Mail-Verkehrs im Rahmen einer Anordnung nach § 100a StPO auch die bezeichneten IP-Adressen umfasst, bedeutet allerdings nicht schon zwangsläufig, dass der Beschwerdeführer als Betreiber einer Telekommunikationsanlage verpflichtet ist, Vorkehrungen zu treffen, um den Ermittlungsbehörden auch und gerade diese IP-Adressen zur Verfügung zu stellen. § 100b Abs. 3 Satz 2 StPO a. F. verweist insoweit auf die Vorschriften des TKG und der TKÜV.

Nach § 110 Abs. 1 Satz 1 Nr. 1 TKG besteht für Betreiber von öffentlich zugänglichen Telekommunikationsdiensten die Verpflichtung, ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung der Telekommunikationsüberwachung vorzuhalten und die entsprechenden organisatorischen Vorkehrungen für deren unverzügliche Umsetzung zu treffen. Die grundlegenden technischen Anforderungen und organisatorischen Eckpunkte für die Umsetzung der Überwachungsmaßnahmen regelt dabei die auf Grundlage der Ermächtigung in § 110 Abs. 2 TKG erlassene TKÜV. Danach unterliegt auch der Beschwerdeführer der Vorhaltungsverpflichtung; dass die in § 3 Abs. 2 TKÜV vorgesehenen Ausnahmen für bestimmte Arten von Telekommunikationsanlagen eingreifen, ist weder vorgetragen noch ersichtlich.

Der Umfang der bereitzustellenden Daten bestimmt sich nach § 5 Abs. 1 und 2 in Verbindung mit § 7 Abs. 1 TKÜV. Gemäß § 5 Abs. 1 TKÜV besteht die zu überwachende Telekommunikation - dem weiten Telekommunikationsbegriff des § 100a StPO entsprechend - aus dem Inhalt und den Daten über die näheren Umstände der Telekommunikation. Nach Absatz 2 der Vorschrift hat der Verpflichtete eine vollständige Kopie der Telekommunikation bereitzustellen, die über seine Telekommunikationsanlage abgewickelt wird. Als Teil dieser Überwachungskopie hat der Verpflichtete gemäß § 7 Abs. 1 Satz 1 Nr. 2, 3 und 4 TKÜV schließlich auch die bei ihm vorhandenen Daten über eine gewählte Rufnummer oder eine andere Adressierungsangabe bereitzustellen. Nach dem Sprachgebrauch des TKG unterfallen die bei einer Telekommunikation anfallenden IP-Adressen dabei ohne weiteres dem Begriff „andere Adressierungsangabe“, denn sie dienen gerade der Adressierung, also dem Erreichen oder Auffinden eines bestimmten Ziels im Internet. So unterfallen IP-Adressen unstrittig der Legaldefinition des § 3 Nr. 13 TKG, wonach Nummern im Sinne des TKG Zeichenfolgen sind, die in Telekommunikationsnetzen Zwecken der Adressierung dienen.

Es ist auch jedenfalls verfassungsrechtlich vertretbar anzunehmen, die Daten seien beim Beschwerdeführer vorhanden im Sinne des § 7 Abs. 1 Satz 1 TKÜV und von diesem als Teil der vollständigen Kopie der überwachten, über seine Telekommunikationsanlage abgewickelten Telekommunikation bereitzustellen. Schon aus der von ihm beschriebenen Systemstruktur ergibt sich, dass der Beschwerdeführer die öffentlichen IP-Adressen seiner Kunden wenigstens für die Dauer der Kommunikation speichern muss, da er ansonsten die abgerufenen Datenpakete seinen Kunden gar nicht übersenden könnte. Jedenfalls fallen die Daten beim Zugriff auf den überwachten E-Mail-Account an, sind der Telekommunikationsanlage des Beschwerdeführers wenigstens zeitweise bekannt und werden von dieser auch zur Herstellung einer erfolgreichen Kommunikation mit dem anfragenden Kunden benutzt.

Die Überwachung der ‑ künftigen - Telekommunikation gemäß § 100a StPO ist - anders als die Erhebung von Verkehrsdaten nach § 100g StPO - auch nicht auf die Verkehrsdaten beschränkt, die nach § 96 Abs. 1 TKG vom Diensteanbieter zulässigerweise erhoben werden dürfen.

Dass der Beschwerdeführer auf die externen IP-Adressen - derzeit - nicht zugreifen kann, steht dem nicht entgegen. Denn dies liegt nicht daran, dass die Daten an sich nicht vorhanden wären, sondern allein daran, dass sich der Beschwerdeführer aus Datenschutzgründen dazu entschlossen hat, diese vor seinen internen Systemen zu verbergen und sie nicht zu protokollieren. Das ist indes allein dem vom Beschwerdeführer bewusst gewählten Geschäfts- und Systemmodell geschuldet. Zwar erscheint das Anliegen des Beschwerdeführers, ein datenschutzoptimiertes und daher für viele Nutzer attraktives Geschäftsmodell anzubieten, auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich durchaus schützenswert. Dies kann ihn jedoch nicht von den im Rahmen einer vertretbaren Auslegung gewonnen Vorgaben des TKG und der TKÜV, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen, entbinden.

Diesem Ergebnis steht schließlich auch nicht entgegen, dass sich die bereitzustellenden Daten nach der im Rahmen der Neubekanntmachung der TKÜV vom 11. Juli 2017 neu eingefügten Regelung in § 7 Abs. 1 Satz 1 Nr. 9 TKÜV nunmehr ausdrücklich auch auf die der Telekommunikationsanlage des Verpflichteten bekannten öffentlichen IP-Adressen der beteiligten Nutzer erstrecken. Denn diese Neuregelung lässt jedenfalls keinen verfassungsrechtlich zwingenden Schluss darauf zu, dass die fraglichen IP-Adressen bislang aus dem Kreis der bereitzustellenden Daten ausgenommen gewesen wären. Vielmehr kommt dem neu eingefügten § 7 Abs. 1 Satz 1 Nr. 9 TKÜV ersichtlich eine klarstellende Funktion zu.

2. Entgegen der Auffassung des Beschwerdeführers verdrängt § 100g Abs. 1 StPO, soweit die (Echtzeit-)Überwachung künftiger Telekommunikation betroffen ist, die Vorschrift des § 100a StPO nicht.

3. Gegen die Festsetzung des Ordnungsgeldes in Höhe von 500 Euro ist im konkreten Fall von Verfassungs wegen ebenfalls nichts zu erinnern.



LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

VGH Kassel: Speicherung personenbezogener Daten von Anlageberatern durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig

VGH Kassel
Urteil vom 25.07.2018
6 A 673/15


Der VGH Kassel hat entschieden, dass die Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig ist.

Die Pressemitteilung des VGH Kassel:

Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) grundsätzlich zulässig

Der Hessische Verwaltungsgerichtshof hat mit heute verkündetem Urteil die Berufung von Anlageberatern bzw. Betriebsbeauftragten, die bei unterschiedlichen Sparkassen beschäftigt waren, gegen ein Urteil des Verwaltungsgerichts Frankfurt am Main zurückgewiesen.

Die Kläger wenden sich gegen die Speicherung personenbezogener Daten in einer bei der BaFin eingerichteten Datenbank.

Die als Anlageberater bzw. Betriebsbeauftragte bei unterschiedlichen Sparkassen beschäftigten Kläger baten bei der Beklagten um Auskunft über die zu ihrer Person gespeicherten Daten und beantragten deren Löschung. Die BaFin erteilte Auskunft über die gespeicherten Daten, die den Namen - einschließlich Vornamen -, das Geburtsdatum, den Geburtsort, den Beginn der Tätigkeit und die jeweilige Funktion im Sparkassenwesen sowie die Namen der zuständigen Anlageberater oder Vertriebsbeauftragten in der Datenbank der BaFin umfasste. Die beantragte Löschung der Daten lehnte die BaFin jedoch ab.

Die hiergegen erhobene Klage wurde durch das Verwaltungsgericht Frankfurt am Main mit Urteil vom 2. Juli 2014 abgewiesen.

Die Berufung der Kläger gegen diese erstinstanzliche Entscheidung hat der 6. Senat des Hessischen Verwaltungsgerichtshofs zurückgewiesen. Zur Begründung hat er ausgeführt, die Voraussetzungen eines Löschungsanspruches nach Maßgabe der datenschutzrechtlichen Bestimmungen seien nicht erfüllt. Auch aus einer etwaigen Verfassungswidrigkeit der Rechtsgrundlagen ergebe sich kein Löschungsanspruch.

Aus den gesetzlichen Regelungen ergebe sich hinreichend, welche Daten von der BaFin im Mitarbeiter- und Beschwerderegister zu speichern seien. Es sei erkennbar, dass der Gesetzgeber insoweit die Daten erfasst sehen wollte, die eine Identifikation der betreffenden Mitarbeiter ermögliche. Hierfür sei die Angabe von Vorname, Familien- und Geburtsname, Tag und Ort der Geburt erforderlich. Dies seien die Daten, die zu einer Identifikation der Person notwendig seien. Dass sich die Dauer der Speicherung nicht bereits aus dem Gesetz ergibt, ist verfassungsrechtlich unbedenklich.

Die Revision gegen das Urteil wurde nicht zugelassen. Gegen die Nichtzulassung der Revision haben die Kläger die Möglichkeit der Beschwerde, über die das Bundesverwaltungsgericht in Leipzig zu entscheiden hätte.

Aktenzeichen: 6 A 673/15


OLG Köln: DSGVO schließt Anwendung des KUG jedenfalls im journalistischen Bereich nicht aus - KUG erlaubt Abwägung der betroffenen Grundrechte

OLG Köln
Beschluss vom 18.06.2018
15 W 27/18


Das OLG Köln hat zutreffend entschieden, dass die Normen der DSGVO die Anwendung des KUG jedenfalls im journalistischen Bereich nicht ausschließt. Insbesondere erlaubt das KUG eine umfassende Abwägung der betroffenen Grundrechte.

Die Entscheidungsgründe:

Die gemäß §§ 127, 569 ZPO zulässige sofortige Beschwerde des Antragstellers ist nicht begründet. Die beabsichtigte Rechtsverfolgung hat keine Aussicht auf Erfolg (§ 114 ZPO).

Maßgeblich für die Entscheidung ist bereits, dass der Antragsteller – worauf auch das Landgericht hingewiesen hat – den streitgegenständlichen Fernsehbeitrag nicht in seiner Gesamtheit zu den Akten gereicht hat. Die von ihm eingereichten, höchst lückenhaften Fragmente aus der Sendung belegen zum einen nur Teile der von ihm gerügten konkreten Verletzungsformen. Darüber hinaus ist der Senat mangels Glaubhaftmachung nicht in der Lage, die angeblichen Verletzungshandlungen im Gesamtkontext verlässlich zu prüfen, insbesondere die Frage zu bewerten, ob es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt, zumal – wie das Landgericht zutreffend ausgeführt hat – die Vorgänge um die Räumung, Sperrung und Bewachung des Gebäudes „I“ von erheblichem öffentlichem Interesse sind.

Der Senat geht allerdings nach eigener Überprüfung aufgrund der – lückenhaften - Aktenlage derzeit davon aus, dass das Landgericht die Vorschriften des KUG zutreffend angewandt hat und dass dem Antragsteller gegen den Antragsgegner kein Unterlassungsanspruch gemäß §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG zusteht, da Bildnisse der Zeitgeschichte im Sinne von § 23 Abs.1 Nr. 1 KUG in Rede stehen. Das Landgericht hat hierzu unter zutreffender Anwendung der maßgeblichen höchstrichterlichen Grundsätze richtig ausgeführt. Hierauf wird zwecks Vermeidung unnötiger Wiederholung mit folgender Ergänzung verwiesen: Soweit mit dem Antrag des Antragstellers formuliert ist, es zu unterlassen, das Bildnis des Antragstellers „weiterhin kenntlich zur Schau zu stellen“, so umfasst dies – als Minus - auch eine etwaige Verpixelung, auf die gegebenenfalls in Hinblick auf § 938 Abs. 1 ZPO erkannt werden könnte. Ob allerdings eine solche Verpixelung bei Würdigung der Gesamtumstände zur Wahrung der Interessen des Antragstellers im Sinne des § 23 Abs. 2 KUG erforderlich ist, ist von Antragstellerseite ebenfalls nicht glaubhaft gemacht. Denn hierfür wäre - da auch in diesem Zusammenhang auf den Gesamtkontext abzuheben ist - eine Darstellung des gesamten Beitrages nötig gewesen.

Soweit der Antragsteller sich mit der Beschwerdebegründung auf die Datenschutzgrundverordnung (DS-GVO) beruft, geht dies fehl

Artikel 85 DS-GVO erlaubt wie die Vorgängerregelung in Art 9 der Richtlinie RL 95/46/EG nationale Gesetze mit Abweichungen von der DS-GVO zugunsten der Verarbeitung zu journalistischen Zwecken. Er enthält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sie sich einfügen – erfassen kann. Dies zeigt sich auch daran, dass für den Bereich des Art. 85 DS-GVO nur die Frage der nachträglichen Notifizierungspflicht strittig ist (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 66).

Insgesamt verkennt der Antragsteller, dass die Tätigkeit des Antragsgegners durch den gerade mit Blick auf Art. 85 DS-GVO durch das 16. RundfunkänderungsG vom 8.5.2018 (GV. NRW. S. 214) neu gefassten § 48 WDR-Gesetz (vgl. auch § 46 LMG und § 12 LPresseG) geregelt worden ist, wonach sich die Verarbeitung personenbezogener Daten zu journalistischen Zwecken durch den Antragsgegner nach Maßgabe der §§ 9c und 57 des Rundfunkstaatsvertrages in der jeweils geltenden Fassung bestimmt. Diese normieren – ebenfalls mit Blick auf Art 85 DS-GVO gerade neu gefasst – in §§ 9c, 57 RStV dann das früher in § 41 BDSG a.F. enthaltene sog. „Medienprivileg“. Nach den Regelungen gelten außer den Kapiteln I, VIII, X und XI der DS-GVO nur Artikel 5 Abs. 1 Buchst. f in Verbindung mit Abs. 2, Artikel 24 und Artikel 32 DS-GVO und damit nicht die Regelungen, auf die der Antragsteller sich hier beruft.

Aus Sicht des Senates bestehen hiergegen keine europarechtlichen Bedenken. Art 85 Abs. 2 DS-GVO macht im Kern keine materiell-rechtlichen Vorgaben (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 3, 34, 67, 72 ff.), sondern stellt nur auf die Erforderlichkeit zur Herbeiführung der praktischen Konkordanz zwischen Datenschutz einerseits und Äußerungs- und Kommunikationsfreiheit andererseits ab. Da Datenschutzregelungen als Vorfeldschutz letztlich immer die journalistische Arbeit beeinträchtigen, sind daher hier keine strengen Maßstäbe anzulegen (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 61). Dies ist auch vor dem Hintergrund zu sehen, dass Art 85 DS-GVO gerade den Normzweck hat, einen sonst zu befürchtenden Verstoß der DS-GVO gegen die Meinungs- und Medienfreiheit zu vermeiden (vgl. etwa Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 1). Der Erwägungsgrund 4 S. 3 der DS-GVO will solche Komplikationen gerade ausschließen.

Mit Blick darauf sind dann Ausführungen des Landgerichts im Nichtabhilfebeschluss zum „Fortgelten“ des KUG im journalistischen Bereich und das Berufen auf den zitierten Aufsatz Lauber-Rönsberg/Hartlaub, NJW 2017, 1057 ff. überzeugend. Für das Äußerungsrecht (§ 823 Abs. 1 BGB i.V.m. APR) ist auch bereits thematisiert worden, dass dieses die Abwägungs- und Ausgleichsfunktion zur Herbeiführung praktischer Konkordanz der widerstreitenden Grundrechtspositionen im hiesigen Bereich übernehmen kann (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 8); für das KUG kann im Bereich der Bildberichterstattung nichts anderes gelten. Die umfangreichen Abwägungsmöglichkeiten im Rahmen des KUG erlauben dann auch – was künftig geboten sein dürfte – eine Berücksichtigung auch der unionsrechtlichen Grundrechtspositionen. Dass sich daraus hier etwas anderes ergeben sollte, ist weder vorgetragen noch ersichtlich. Insbesondere ist dem Senat keine Abweichung zu den – ohnehin in der Abwägung bewusst offen gehaltenen (Überblick bei Ehmann/Selmayr/Schiedermair, DS-GVO 2017, Art 85 Rn. 8 – 15 m.w.N.) – Rspr. des EuGH bzw. des EGMR ersichtlich; auch Erwägungsgrund 153 der DS-GVO wünscht in diesem Bereich nur eine - national im Zuge des § 823 Abs. 1 BGB als Rahmenrecht bzw. bei §§ 22, 23 KUG ohnehin erfolgende - umfassende Abwägung der widerstreitenden Grundrechtspositionen.

Aus den zur Glaubhaftmachung eingangs gemachten Ausführungen kommt es darauf aber letztlich auch nicht entscheidend an, so dass auch nicht mit Blick auf diese Rechtsfragen ausnahmsweise Prozesskostenhilfe zu gewähren wäre.

Eine Kostenentscheidung ist nicht veranlasst, § 127 Abs. 4 ZPO.

Den Volltext der Entscheidung finden Sie hier:



BVerwG: BND muss Speicherung und Nutzung der Metadaten von durch Art. 10 GG geschützten Telefonverkehren in der Datei VERAS einstellen

BVerwG
Urteile vom 13.12.2017
6 A 6.16 und 6 A 7.16


Das Bundesverwaltungsgericht hat entschieden, dass der Bundesnachrichtendienst die Speicherung und Nutzung der Metadaten von durch Art. 10 GG geschützten Telefonverkehren in der Datei VERAS einstellen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Bundesnachrichtendienst muss Speicherung und Nutzung der Metadaten von durch Art. 10 GG geschützten Telefonverkehren in der Datei VERAS unterlassen

Das Bundesverwaltungsgericht in Leipzig hat den Klagen eines Rechtsanwalts und eines Vereins auf Unterlassung der Speicherung und Nutzung von Metadaten (Verbindungsdaten) aus ihren Telekommunikationsverkehren in der vom Bundesnachrichtendienst (BND) betriebenen Datei VERAS (für: Verkehrsdatenanalysesystem) teilweise stattgegeben.

In der Datei VERAS speichert der BND Telefonie-Metadaten aus leitungsvermittelten Verkehren mit dem Ausland und nutzt sie für nachrichtendienstliche Analysen. Soweit die Daten - wie u.a. Telefonnummern - für sich genommen individualisierbar sind, anonymisiert sie der BND vor der Speicherung. Die Daten erlangt der BND aus Anlass der strategischen Fernmeldeüberwachung, der Ausland-Ausland-Fernmeldeaufklärung und des Austausches mit anderen Nachrichtendiensten.

Da in VERAS keine Metadaten aus Internet- und E-Mail-Verkehren gespeichert werden, sind die Klagen nur hinsichtlich der Telefonie-Metadaten zulässig. Insoweit sind die Klagen auch begründet. Die Kläger können die Speicherung und Nutzung ihrer Telefonie-Metadaten auf Grund des öffentlich-rechtlichen Unterlassungsanspruchs abwehren.

Die Erhebung, Speicherung und Nutzung von Telefonie-Metadaten greifen ungeachtet der vor der Speicherung durch den BND vorgenommenen Anonymisierung in das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG ein. Daher sind diese Eingriffe nur zulässig, wenn die Erhebung der Daten und ihre weitere Verwendung auf eine gesetzliche Grundlage gestützt werden kann. An einer solchen gesetzlichen Regelung fehlt es gegenwärtig.

Insbesondere kommen die Regelungen zur strategischen Fernmeldeüberwachung nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10) nicht zur Anwendung. Zwar erhebt der BND diese Daten aus Anlass einer solchen Überwachung. In § 5 G 10 findet sich eine gesetzliche Grundlage für diese Eingriffe aber nur insoweit, als der BND Metadaten ebenso wie Inhaltsdaten erheben darf, um sie anhand von förmlich festgelegten inhaltlichen und formalen Suchbegriffen auszuwerten und so Erkenntnisse über den Inhalt von Telekommunikationsverkehren zu erhalten. Diese Erkenntnisse können als Informationen im Hinblick auf abschließend umschriebene Gefahrenbereiche genutzt werden. Die darüber hinausgehende Praxis der Speicherung und Nutzung von Telefonie-Metadaten ist von diesem Zweck der Datenerhebung nicht gedeckt. An der Rechtswidrigkeit dieser Praxis des BND ändert die vor der Speicherung erfolgte Anonymisierung der Daten der von Art. 10 GG geschützten Personen nichts. Diese steht der verfassungsrechtlich gebotenen Löschung nicht gleich.

Auch die gesetzlichen Regelungen der Ausland-Ausland-Fernmeldeaufklärung und der Zusammenarbeit mit ausländischen Nachrichtendiensten enthalten hierfür keine Rechtsgrundlage.





VG Köln: Eilantrag der Deutschen Telekom AG gegen Vorratsdatenspeicherung abgelehnt - Erklärung der BNetzA zur vorläufigen Nichtumsetzung genügt

VG Köln
Entscheidung vom 30.06.2017
9 L 2085/17


Das VG Köln hat einen Antrag auf Erlass einer einstweiligen Anordnung der Deutschen Telekom AG gegen die Pflicht zur Vorratsdatenspeicherung nach § 113b TKG abgelehnt. Die Erklärung der BNetzA zur vorläufigen Nichtumsetzung genügt nach Ansicht des VG Köln, so dass es an einem Rechtsschutzbedürfnis für eine einstweilige Anordnung fehlt.

Siehe dazu Bundesnetzagentur setzt Pflicht zur Vorratdatenspeicherung bzw Verkehrsdatenspeicherung nach § 113b TKG vorläufig aus

Die Pressemitteilung des VG Köln:

Antrag betreffend Vorratsdatenspeicherung unzulässig

Am 30. Juni 2017 hat das Verwaltungsgericht Köln einen Antrag der Deutschen Telekom AG abgelehnt, mit dem diese die Feststellung begehrt hat, nicht zur anlasslosen Speicherung von Telekommunikationsverkehrsdaten (Vorratsdatenspeicherung) verpflichtet zu sein.

Die Deutsche Telekom AG hatte zunächst beantragt, festzustellen, dass sich die Speicherpflicht nach § 113b Abs. 3 TKG nicht auf Internetverbindungen erstreckt, die unter Einsatz des sog. NAPT-Verfahren insbesondere bei öffentlichen Hotspots und im Mobilfunkbereich hergestellt werden. Nachdem das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Beschluss vom 22. Juni 2017 im Verfahren 13 B 238/17 vorläufig festgestellt hatte, dass die dortige Antragstellerin insgesamt nicht verpflichtet sei, Verkehrsdaten ihrer Kunden, denen sie den Internetzugang vermittelt, zu speichern und dies mit der Europarechtswidrigkeit der Norm begründet hatte, veröffentlichte die Bundesnetzagentur auf ihrer Internetseite eine Erklärung, wonach sie bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens gegenüber allen Telekommunikationsunternehmen davon absehen werde, Maßnahmen wegen des Verstoßes gegen die Speicherpflicht nach § 113b TKG zu ergreifen. Daraufhin stellte die Deutsche Telekom AG ihren Antrag um und beantragte nunmehr die vorläufige Feststellung, insgesamt und nicht lediglich mit Blick auf das sog. NAPT-Verfahren nicht zur anlasslosen Speicherung von Verkehrsdaten TKG verpflichtet zu sein. Diesen Antrag lehnte das Gericht nun mangels Rechtsschutzinteresses ab.

Zur Begründung hat die Kammer ausgeführt: Die Erklärung der Bundesnetzagentur im Rahmen des auf einstweiligen Rechtsschutz gerichteten Verfahrens sei ausreichend. Der von der Antragstellerin darüber hinaus erstrebte Schutz vor Einleitung strafrechtlicher Ermittlungen wegen des Unterlassens der Speicherung sei im vorliegenden Verfahren nicht zu erreichen. Eine Entscheidung wirke nur im Verhältnis zwischen den Beteiligten und nicht auch gegenüber den Strafverfolgungsbehörden.