BECKMANN UND NORDA - Rechtsanwälte Bielefeld

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) hat ein Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen Verstößen gegen die datenschutzrechtlichen Transparenzpflichten aus Art. 12 und Art. 13 DSGVO verhängt.

Die Pressemitteilung des HmbBfDI:

Bußgeld gegen Vattenfall Europe Sales GmbH verhängt

Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Artt. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit bezieht sich nicht auf den Datenabgleich an sich, sondern ist auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Der Bescheid ist rechtskräftig.

Das verhängte Bußgeld berührt nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies ist in der DSGVO nicht ausdrücklich geregelt, es existieren insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI hat mit Vattenfall ein Verfahren abgestimmt, das nach seiner Auffassung sowohl die Datenschutzrechte von Kundinnen und Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtigt. Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskundinnen und -kunden werden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.

Dazu Ulrich Kühn, der amtierende HmbBfDI: „Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Artt. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden. Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt. Vattenfall hat in dem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“

EuGH
Urteil vom 17.06.2021
C-597/19
Mircom International Content Management & Consulting (M.I.C.M.) Limited gegen Telenet BVBA,
Beteiligte: Proximus NV, Scarlet Belgium NV

Der EuGH hat entschieden, dass die systematische Speicherung und Weiterleitung von IP-Daten, Namen und Anschriften von Filesharing-Nutzern an Rechteinhaber zur Verfolgung von Urheberrechtsverletzungen zulässig ist.

Die Pressemitteilung des EuGH:

Die systematische Speicherung von IP-Adressen von Nutzern und die Übermittlung ihrer Namen und Anschriften an den Inhaber geistiger Rechte oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, ist unter bestimmten Voraussetzungen zulässig

Der Auskunftsantrag eines Inhabers von Rechten des geistigen Eigentums darf nicht missbräuchlich sein und er muss gerechtfertigt und verhältnismäßig sein Das Unternehmen Mircom International Content Management & Consulting (M.I.C.M.) Limited (im Folgenden: Mircom) stellte bei der Ondernemingsrechtbank Antwerpen (Unternehmensgericht Antwerpen, Belgien) einen Auskunftsantrag gegen die Telenet BVBA, einen Internetzugangsanbieter. Dieser Antrag ist auf eine Entscheidung gerichtet, mit der Telenet verpflichtet wird, die Daten zur Identifizierung ihrer Kunden auf der Grundlage der von einem spezialisierten Unternehmen im Auftrag von Mircom erhobenen IP-Adressen vorzulegen. Die Internetanschlüsse von Kunden von Telenet wurden dazu genutzt, in einem Peer-to-Peer-Netz über das BitTorrent-Protokoll Filme aus dem Repertoire von Mircom zu teilen. Telenet tritt dem Antrag von Mircom entgegen.

Vor diesem Hintergrund hat das vorlegende Gericht den Gerichtshof als Erstes gefragt, ob das Teilen von Segmenten einer Mediendatei, die ein geschütztes Werk enthält, in einem Peer-toPeer-Netz eine öffentliche Wiedergabe nach dem Unionsrecht darstellt. Als Zweites wollte es wissen, ob einem Inhaber von Rechten des geistigen Eigentums wie Mircom, der sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangt, die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe offenstehen, um die Durchsetzung dieser Rechte zu gewährleisten, z. B. durch die Einholung von Informationen. Als Drittes hat das vorlegende Gericht den Gerichtshof um Klärung ersucht, ob die Art und Weise, in der die IP-Adressen der Kunden durch Mircom gesammelt werden, und die Übermittlung der von Mircom bei Telenet angefragten Daten zulässig sind.

In seinem Urteil entscheidet der Gerichtshof erstens, dass ein Hochladen von Segmenten einer Mediendatei in einem Peer-to-Peer-Netz wie das in Rede stehende eine öffentliche Zugänglichmachung im Sinne des Unionsrechts darstellt. Zweitens kann ein Inhaber von Rechten des geistigen Eigentums wie Mircom das System zum Schutz dieser Rechte in Anspruch nehmen,
aber sein Auskunftsantrag muss insbesondere nicht missbräuchlich, gerechtfertigt und verhältnismäßig sein. Drittens sind die systematische Speicherung von IP-Adressen von Nutzern eines Peer-to-peer-Netzes und die Übermittlung ihrer Namen und Anschriften an den Rechtsinhaber oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, unter bestimmten Voraussetzungen zulässig.

Würdigung durch den Gerichtshof
Der Gerichtshof, der sich bereits zum Begriff „öffentliche Wiedergabe“ im Kontext des Urheberrechtsschutzes geäußert hat, stellt erstens klar, dass es sich um eine „öffentliche Zugänglichmachung eines Werks“ handelt, wenn die zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, unter Nutzung eines Peer-to-Peer-to-Peer-Netzes hochgeladen werden, auch wenn diese Segmente als solche nicht nutzbar sind und das Hochladen automatisch erfolgt, sofern der Nutzer sein Einverständnis mit der Filesharing-Software BitTorrent-Client erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

Jeder Nutzer des Peer-to-Peer-Netzes kann die Originaldatei aus den auf den Computern der anderen Nutzer verfügbaren Segmenten leicht wieder zusammensetzen. Durch das Herunterladen der Segmente einer Datei macht er sie zugleich für das Hochladen durch andere Nutzer zugänglich. Er muss auch keine Mindestmenge an Segmenten herunterladen. Jede Handlung, mit der er in voller Kenntnis der Folgen seines Verhaltens Zugang zu geschützten Werken verschafft, kann eine Zugänglichmachung darstellen. Im vorliegenden Fall handelt es sich um eine solche Handlung, weil sie auf eine unbestimmte Zahl potenzieller Adressaten abzielt, eine recht große Zahl von Personen betrifft und gegenüber einem neuen Publikum erfolgt. Mit dieser Auslegung soll der angemessene Ausgleich zwischen den Interessen und Grundrechten der Inhaber von Rechten
des geistigen Eigentums einerseits und den Interessen und Grundrechten der Nutzer von Schutzgegenständen andererseits gesichert werden.

Der Gerichtshof stellt zweitens fest, dass dem Inhaber von Rechten des geistigen Eigentums wie Mircom, der diese Rechte im Wege einer Forderungsabtretung erworben hat und sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangen möchte, grundsätzlich die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe zustehen können, es sei denn, sein Antrag ist missbräuchlich. Die etwaige Feststellung eines solchen Missbrauchs unterliegt der Würdigung durch das vorlegende Gericht, das zu diesem Zweck z. B. prüfen könnte, ob tatsächlich Klagen erhoben worden sind, wenn eine gütliche Lösung abgelehnt wurde. Insbesondere kann ein Auskunftsantrag wie der von Mircom nicht deshalb als unzulässig angesehen werden, weil er in einem vorgerichtlichen Verfahren gestellt wurde. Der Antrag ist jedoch abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat. Mit dieser Auslegung möchte der Gerichtshof ein hohes Schutzniveau für das geistige Eigentum im Binnenmarkt gewährleisten.

Der Gerichtshof entscheidet drittens, dass das Unionsrecht grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP-Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern (vorgelagerte Datenverarbeitung), noch dem entgegensteht, dass die Namen und Anschriften der Nutzer an den Rechtsinhaber oder an einen Dritten im Hinblick auf eine Schadensersatzklage übermittelt werden (nachgelagerte Datenverarbeitung). Die dahin gehenden Maßnahmen und Anträge müssen jedoch gerechtfertigt, verhältnismäßig, nicht missbräuchlich und in einer nationalen Rechtsvorschrift vorgesehen sein, die die Rechte und Pflichten aus dem Unionsrecht beschränkt. Der Gerichtshof stellt klar, dass das Unionsrecht keine Verpflichtung für eine Gesellschaft wie Telenet begründet, personenbezogene Daten an Privatpersonen zu übermitteln, damit diese vor den Zivilgerichten Urheberrechtsverstöße verfolgen können. Das Unionsrecht erlaubt es den Mitgliedstaaten jedoch, eine solche Verpflichtung vorzusehen.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:
1. Art. 3 Abs. 1 und 2 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass es sich um eine öffentliche Zugänglichmachung im Sinne dieser Bestimmung handelt, wenn die von einem Nutzer eines Peer-to-Peer-Netzes zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, von dem Endgerät dieses Nutzers aus auf die Endgeräte anderer Nutzer dieses Netzes hochgeladen werden, obwohl diese Segmente als solche erst nach dem Herunterladen eines bestimmten Prozentsatzes aller Segmente nutzbar sind. Unerheblich ist, dass dieses Hochladen aufgrund der Konfiguration der Filesharing-Software BitTorrent-Client durch die Software automatisch erfolgt, wenn der Nutzer, von dessen Endgerät aus das Hochladen erfolgt, sein Einverständnis mit dieser Software erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

2. Die Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums ist dahin auszulegen, dass eine Person, die vertragliche Inhaberin bestimmter Rechte des geistigen Eigentums ist, diese Rechte aber nicht selbst nutzt, sondern lediglich Schadensersatzansprüche gegen mutmaßliche Verletzer geltend macht, die in Kapitel II dieser Richtlinie vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe grundsätzlich in Anspruch nehmen kann, es sei denn, es wird aufgrund der allgemeinen Verpflichtung aus Art. 3 Abs. 2 der Richtlinie und auf der Grundlage einer umfassenden und eingehenden Prüfung festgestellt, dass ihr Antrag missbräuchlich ist. Ein auf Art. 8 der Richtlinie gestützter Auskunftsantrag ist insbesondere auch dann abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat.

3. Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass er grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP‑Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern, noch dem entgegensteht, dass die Namen und Anschriften dieser Nutzer an den Rechtsinhaber oder an einen Dritten übermittelt werden, um ihm die Möglichkeit zu geben, bei einem Zivilgericht eine Schadensersatzklage wegen eines Schadens zu erheben, der von diesen Nutzern verursacht worden sein soll, jedoch nur unter der Voraussetzung, dass die dahin gehenden Maßnahmen und Anträge des Rechtsinhabers oder des Dritten gerechtfertigt, verhältnismäßig und nicht missbräuchlich sind und ihre Rechtsgrundlage in einer Rechtsvorschrift im Sinne von Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung haben, die die Tragweite der Bestimmungen der Art. 5 und 6 dieser Richtlinie in geänderter Fassung beschränkt.

LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20

Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.

Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen

Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.

Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.

Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.

Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.

Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.

II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.

1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).

aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.

bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.

Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).

Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.

Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.

Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.

Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.

Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08 – EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).

Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.

Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).

Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).

Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.

b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.

Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.

Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.

2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.

Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg
Beschluss vom 19.01.2021
11 LA 16/20

Das OVG Lüneburg hat entschieden, dass

Leitsätze des Gerichts:

1. Die Veröffentlichung eines Fotos auf einer Fanpage bei Facebook, auf dem Personen identifizierbar sind, stellt eine Verarbeitung personenbezogener Daten dar, die einer Legitimation nach datenschutzrechtlichen Vorschriften bedarf.

2. Kann das Ziel einer Datenverarbeitung auch durch die Veröffentlichung anonymisierter Daten erreicht werden, ist eine unanonymisierte Veröffentlichung nicht erforderlich.

3. Bei einem auf einer Fanpage bei Facebook veröffentlichten Foto, auf dem Personen identifizierbar sind, die in die Veröffentlichung nicht eingewilligt haben, ist im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO zugunsten der betroffenen Personen u.a. zu berücksichtigen, dass eine solche Veröffentlichung aufgrund bestehender Missbrauchsmöglichkeiten sowie aufgrund der großen Reichweite derartiger Netzwerke mit erheblichen Risiken verbunden ist.

4. Art. 21 GG, § 1 ParteienG stellen keine spezifischen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten i.S.v. Art. 6 Abs. 1 lit. e, Abs. 2 und Abs. 3 DS-GVO dar.

5. Zur Frage, wann eine Datenverarbeitung zur journalistischen Zwecken i.S.d. Art. 85 Abs. 2 DS-GVO vorliegt.

Aus den Entscheidungsgründen:

"Rechtsgrundlage der Verwarnung der Beklagten vom 9. Januar 2019 ist Art. 58 Abs. 2 lit. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, Abl. Nr. L 119, S. 1, im Folgenden: DS-GVO). Nach dieser Vorschrift hat die Aufsichtsbehörde gemäß Art. 51 DS-GVO die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat. Vorliegend stellt die vom Kläger vorgenommene Veröffentlichung des streitgegenständlichen Fotos auf seiner Fanpage bei Facebook am 17. September 2018 eine Verarbeitung personenbezogener Daten dar, die nicht nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO gerechtfertigt war und damit gegen die Datenschutz-Grundverordnung verstoßen hat.

Bei der Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook handelt es sich um eine Verarbeitung personenbezogener Daten der abgebildeten Personen i.S.d. Art. 2 Abs. 1, Art. 4 Nrn. 1 und 2 DS-GVO. Als Betreiber der Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung gemeinsam mit Facebook Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO (vgl. EuGH, Urt. v. 5.6.2018 - C 210/16 -, juris, Leits. 1 bei juris und Rn. 30 ff.; BVerwG, Urt. v. 11.9.2019 - 6 C 15/18 -, juris, Rn. 21). Nach Art. 6 Abs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der insgesamt sechs im Einzelnen in lit. a bis lit. f dieser Vorschrift aufgeführten Voraussetzungen erfüllt ist. Das Verwaltungsgericht ist zutreffend davon ausgegangen, dass die Veröffentlichung des streitgegenständlichen Fotos auf der Fanpage des Klägers bei Facebook nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt war (dazu unter a)). Entgegen dem Zulassungsvorbringen des Klägers kann er sich auch nicht mit Erfolg darauf berufen, dass die streitgegenständliche Veröffentlichung nach Art. 6 Abs. 1 lit. e DS-GVO i.V.m. Art. 21 GG, § 1 ParteienG (dazu unter b)) oder nach §§ 22, 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturhebergesetz - KUG -, dazu unter c)) zulässig war.

a) Gemäß Art. 6 Abs. 1 lit. f DS-GVO ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Bei dieser Vorschrift handelt es sich um eine zentrale Abwägungsnorm in der Datenschutz-Grundverordnung (vgl. Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, Stand: 1.5.2020, Art. 6 DS-GVO, Rn. 45 f.; Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 6, Rn. 56; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 6 DS-GVO, Rn. 141).

aa) Unter dem Begriff der berechtigten Interessen i.S.d. Art. 6 Abs. 1 lit. f DS-GVO sind „die vernünftigen Erwartungen der betroffenen Person“ (siehe Erwägungsgrund 47 DS-GVO), also sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (vgl. Albers/Veit, in: Wolff/Brink, a.a.O., Art. 6 DS-GVO, Rn. 48 f.; Schulz, in: Gola, a.a.O., Art. 6, Rn. 57; Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 6 DS-GVO, Rn. 28). Vorliegend diente die Veröffentlichung des streitgegenständlichen Fotos auf der Fanpage bei Facebook dazu, über die parteipolitischen Aktivitäten des Klägers und ihre Erfolge zu informieren und damit - jedenfalls mittelbar - auch an der politischen Willensbildung des Volkes mitzuwirken. Dieses Anliegen stellt ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DS-GVO dar.

bb) Die Veröffentlichung des streitgegenständlichen Fotos war jedoch nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DS-GVO. Der in der Datenschutz-Grundverordnung nicht gesondert definierte Begriff der Erforderlichkeit ist unter Berücksichtigung von Erwägungsgrund 39 Satz 9 DS-GVO dahingehend auszulegen, dass die Erforderlichkeit zu bejahen ist, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Frenzel, in: Paal/Pauly, a.a.O., Art. 6 DS-GVO, Rn. 29; Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a). Im Gegensatz zu den weit auszulegenden „berechtigten Interessen“ ist der Begriff der Erforderlichkeit eng auszulegen (Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a; Schantz, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 6 Abs. 1 DS-GVO, Rn. 100, jeweils m.w.N.). Zur Bejahung der Erforderlichkeit reicht somit weder eine bloße Zweckdienlichkeit oder eine bestmögliche Effizienz der Datenverarbeitung, noch kann die Erforderlichkeit allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (vgl. Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a, m.w.N.). Kann das Ziel einer Datenverarbeitung auch durch die Verarbeitung anonymisierter Daten erreicht werden, ist eine unanonymisierte Verarbeitung nicht erforderlich (vgl. EuGH, Urt. v. 16.12.2008 - C-524/06 -, juris, Rn. 65; Schantz, in: Simitis/Hornung/Spiecker, a.a.O., Art. 6 Abs. 1 DS-GVO, Rn. 100). Die Datenverarbeitung ist somit auf das „absolut Notwendige“ zu begrenzen (vgl. EuGH, Urt. v. 4.5.2017 - C-13/16 -, juris, Rn. 30; Schantz, in: Simitis/Hornung/Spiecker, a.a.O., Art. 6 Abs. 1 DS-GVO, Rn. 100).

Ausgehend von diesen Maßstäben hat das Verwaltungsgericht zu Recht angenommen, dass die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger bei Facebook nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DS-GVO war. Zur Begründung hat das Verwaltungsgericht ausgeführt, dass es vorliegend zur Wahrung der berechtigten Interessen des Klägers nicht darauf ankomme, dass gerade die Eheleute F. als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt würden, sondern es dem Kläger nur darum gegangen sei, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt habe, eine größere Anzahl von Personen interessiere. In diesem Fall reiche es aus, das streitgegenständliche Foto unter Unkenntlichmachung der abgebildeten Personen, z.B. durch Verpixelung der Gesichter, zu verwenden.

Die vom Kläger diesbezüglich im Zulassungsverfahren vorgebrachten Einwände begründen keine ernstlichen Richtigkeitszweifel an der angefochtenen Entscheidung. Soweit er in diesem Zusammenhang anführt, dass das Verwaltungsgericht für das Kriterium der Erforderlichkeit zu Unrecht den deutschen Grundsatz der Verhältnismäßigkeit herangezogen habe, ist dieser Einwand als unzutreffend zurückzuweisen. Denn das Verwaltungsgericht hat gerade nicht den deutschen Grundsatz der Verhältnismäßigkeit herangezogen, sondern - wie vom Kläger im Zulassungsverfahren gefordert - unter expliziter Berücksichtigung von Erwägungsgrund 39 Satz 9 DS-GVO darauf abgestellt, dass kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung stehen darf, um den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen. Unabhängig davon hat der Kläger im Zulassungsverfahren auch nicht dargelegt, dass bzw. unter welchem Gesichtspunkt aufgrund der vermeintlich fehlerhaften Anwendung des deutschen Verhältnismäßigkeitsgrundsatzes anzunehmen ist, dass die Durchführung eines Berufungsverfahrens zu einer Änderung des Ergebnisses der angefochtenen Entscheidung führen wird.

Entgegen der Ansicht des Klägers ist ihm eine Unkenntlichmachung derjenigen Personen, die auf dem Foto identifizierbar sind und die in die Veröffentlichung nicht eingewilligt haben, auch zumutbar. Seine Einwände, die Veröffentlichung eines teilweise verpixelten Fotos sei nicht glaubwürdig, nicht authentisch und unseriös, zudem käme die Verpixelung von Personen bzw. ihrer Gesichter einer „unglaublichen Puzzelarbeit gleich“, rechtfertigen keine andere Beurteilung. Wie bereits das Verwaltungsgericht in der angefochtenen Entscheidung ausgeführt hat, kann eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Kosten- und Zeitaufwand umgesetzt werden. Dieser Annahme ist der Kläger im Zulassungsverfahren nicht substantiiert entgegengetreten. Seine - weder belegte noch näher begründete - Behauptung, dass Gericht habe nicht geprüft, ob entsprechende Software dies tatsächlich leicht ermögliche, vermag die im Zulassungsverfahren erforderliche konkrete Auseinandersetzung mit den Gründen der angefochtenen Entscheidung nicht zu ersetzen. Entgegen der Ansicht des Klägers würde eine Unkenntlichmachung der Gesichter der Eheleute F. (und ggf. weiterer auf dem Foto identifizierbarer Personen, die in die Veröffentlichung nicht eingewilligt haben) auch nicht dazu führen, dass der Kläger das von ihm mit der Veröffentlichung verfolgte Ziel nicht mehr erreichen kann. Insofern teilt der Senat die von der Beklagten im Zulassungsverfahren vorgetragenen Erwägungen, dass eine Unkenntlichmachung von Personen u.a. durch Verpixelung in veröffentlichten Fotos weit verbreitet und allgemein anerkannt ist, um die häufig widerstreitenden Interessen der Öffentlichkeit an Information einerseits und dem Persönlichkeits- und Datenschutzrecht der abgebildeten Personen andererseits in einen angemessenen Ausgleich zu bringen. Vor diesem Hintergrund ist weder davon auszugehen, dass eine Unkenntlichmachung der Gesichter der Eheleute F. auf dem streitgegenständlichen Foto zu einem Wegfall der Glaubwürdigkeit bzw. Seriosität des Facebook-Posts und des vom Kläger mit der Veröffentlichung verfolgten Ziels geführt hätte, noch, dass durch eine Unkenntlichmachung die Mitwirkung an der politischen Willensbildung maßgeblich beeinträchtigt worden wäre. Dem Kläger ging es mit der Veröffentlichung des Facebook-Posts am 17. September 2018 darum aufzuzeigen, dass er sich erfolgreich für die Interessen einer größeren Anzahl von Anwohnern eingesetzt hat und die von den Anwohnern gewünschte Ampelanlage nunmehr „endlich“ gebaut wird. Um diese für den Kläger maßgeblichen Gesichtspunkte zu vermitteln, war es jedoch nicht erforderlich, dass die Eheleute F. auf dem streitgegenständlichen Foto aufgrund ihrer (Gesichts)Merkmale identifizierbar sind. Insofern hätte der vom Kläger veröffentlichte Post seine maßgebliche Aussagekraft auch nicht verloren, wenn die Eheleute F. auf dem Foto nicht mehr identifizierbar gewesen wären.

Entgegen dem Zulassungsvorbringen des Klägers bedeutet die vom Verwaltungsgericht und dem Senat vertretene Auffassung auch nicht, dass die Gesichter aller Teilnehmer an der Veranstaltung hätten unkenntlich gemacht werden müssen. Sämtliche Personen, die in die Veröffentlichung eingewilligt haben, durften auch ohne Unkenntlichmachung abgebildet werden (vgl. allgemein zur Einwilligung i.S.d. DS-GVO die Begriffsbestimmung in Art. 4 Nr. 11 DS-GVO sowie speziell zu den an eine Einwilligungserklärung nach Art. 6 Abs. 1 lit. a DS-GVO zu stellenden Anforderungen: Albers/Veit, in: Wolff/Brink, a.a.O., Art. 6 DS-GVO, Rn. 19 f., m.w.N.). So durfte insbesondere der Vorsitzende des Klägers, dessen besondere Rolle auf dem Foto auch durch die halbkreisförmige Anordnung der um ihn versammelten Personengruppe erkennbar ist und dessen entsprechendes Auftreten überhaupt erst den unmittelbaren Zusammenhang zu den parteipolitischen Aktivitäten des Klägers begründet, aufgrund seiner (konkludenten) Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO auch ohne Unkenntlichmachung abgebildet werden.

"OVG Lüneburg: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO regelmäßig unzulässig" vollständig lesen

VG Berlin
Beschluss vom 28.02.2020
VG 3 L 1028.19

Das VG Berlin hat entschieden, dass die DSGVO kein Recht auf "Bereinigung" einer Schülerakte bei einem Schulwechsel gewährt. Insbesondere liegt kein Zweckwegfall vor, da die Daten für die Aufgabenerfüllung der Schule erforderlich sind.

Die Pressemitteilung des Gerichts:

Kein Recht auf „Bereinigung“ einer Schülerakte bei Schulwechsel

Ein Schüler, dessen Schülerakte zahlreiche Eintragungen aufweist, kann bei einem Schulwechsel nicht deren „Bereinigung“ unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verlangen. Das hat das Verwaltungsgericht Berlin in einem Eilverfahren entschieden.

Die Antragsteller sind ein dreizehnjähriger Schüler und seine Eltern. Der Schüler besuchte ab dem Schuljahr 2018/2019 ein Gymnasium in Berlin, welches er nach einem Gewaltvorfall verließ; das Probejahr bestand er nicht. Sodann besuchte er die achte Jahrgangsstufe einer anderen Berliner Schule, wobei es zu zahlreichen, in seiner Schülerakte dokumentierten Vorfällen kam. Diese Schülerakte halten die Antragsteller aus verschiedenen Gründen für fehlerhaft und diskriminierend. Deren Übersendung in dieser Form an die Privatschule, die der Schüler nunmehr besuchen wolle, gefährde seine Aufnahme. Die Antragsteller begehren deshalb im Wege des vorläufigen Rechtsschutzes im Wesentlichen die Entfernung bestimmter Seiten der Schülerakte.

Die 3. Kammer hat den Antrag zurückgewiesen. Der geltend gemachte Anspruch auf Bereinigung bestehe nicht. Zwar gebe es nach der DSGVO unter bestimmten Voraussetzungen einen Anspruch auf Löschung von Daten, insbesondere, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dies sei hier aber nicht der Fall. Die Daten seien weiter notwendig. Die Schuldatenverordnung des Landes Berlin sehe ausdrücklich vor, dass ein Schulwechsel gerade keinen Zweckwegfall begründe. Denn nur so könne die Schülerakte ihren Zweck erfüllen, die Entwicklung der Persönlichkeit und des Verhaltens des Schülers über seine Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten über einen längeren Zeitraum nachvollziehbar zu machen. Die personenbezogenen Daten seien aber auch nicht unrechtmäßig verarbeitet worden. Nach dem Berliner Schulgesetz dürften Schulen nämlich personenbezogene Daten von Schülerinnen und Schülern und ihren Erziehungsberechtigten verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen, schulbezogenen Aufgaben erforderlich ist. Soweit es etwa um die Speicherung von personenbezogenen Daten von Schülern über Pflichtverletzungen und deren pädagogische und rechtliche Folgen gehe, sei die Speicherung für die Aufgabenerfüllung der Schule erforderlich, da die Auswahl einer zukünftigen pädagogischen Maßnahme stets auch von der Beurteilung des Verhaltens des Schülers in vergleichbaren zurückliegenden Situationen abhängig sei.

Gegen die Entscheidung kann Beschwerde beim Oberverwaltungsgericht Berlin-Brandenburg eingelegt werden.

Beschluss der 3. Kammer vom 28. Februar 2020 (VG 3 L 1028.19)

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19

Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Hannover
Urteil vom 27.11.2019
10 A 820/19

Das VG Hannover hat entschieden, dass die Veröffentlichung von Fotos einer Person auf der Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach den Vorhaben des KUG und der DSGVO unzulässig ist.

Aus den Entscheidungsgründen:

"Die Verwarnung ist formell rechtmäßig.

Zuständige Aufsichtsbehörde ist hier die Beklagte. Dies ergibt sich aus § 40 Abs. 1 BDSG und § 22 Satz 1 Nr. 1 NDSG. Nach § 40 Abs. 1 BDSG bestimmt das Landesrecht die Aufsichtsbehörden nach Artikel 51 DS-GVO, die im Anwendungsbereich der DS-GVO dafür zuständig sind, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Nach § 22 Satz 1 Nr. 1 NDSG ist die Beklagte in diesem Sinne die in Niedersachsen zuständige Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen. Der Kläger ist als privatrechtlich organisierter Ortsverein einer politischen Partei eine solche nichtöffentliche Stelle (§ 2 Abs. 4 BDSG).

Im Übrigen richten sich die Anforderungen an das Verfahren gemäß Artikel 58 Abs. 4 DS-GVO nach dem Recht des betreffenden Mitgliedstaats – hier: § 1 Abs. 1 des Niedersächsischen Verwaltungsverfahrensgesetzes (NVwVfG) i. V. m. den Vorschriften des Verwaltungsverfahrensgesetzes (VwVfG) –, das im Einklang mit der Charta der Grundrechte der Europäischen Union und unter Berücksichtigung des Erwägungsgrundes 129 der DS-GVO anzuwenden und auszulegen ist.

Die Verwarnung leidet danach nicht an Form- oder Verfahrensfehlern.

Insbesondere ist der Bescheid der Beklagten vom 9. Januar 2019 hinsichtlich der Verwarnung hinreichend bestimmt (§ 1 Abs. 1 NVwVfG i. V. m. § 37 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „klar und eindeutig“). Denn in dem Bescheid werden das beanstandete Verhalten des Klägers, die Vorschrift, gegen die dieses Verhalten nach Auffassung der Aufsichtsbehörde verstoßen hat (Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO), und die wegen dieses Verstoßes gegen ihn erlassene Maßnahme (Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO) unzweifelhaft angegeben. Weitergehende Anforderungen sind insoweit nicht zu stellen, zumal durch eine Verwarnung nur ein Verstoß gegen eine Vorschrift über den Datenschutz festgestellt wird, ohne dass dem Adressaten ein ggf. näher zu bestimmendes Tun, Dulden oder Unterlassen aufgegeben wird.

Der Bescheid ist insoweit auch in formeller Hinsicht hinreichend begründet (§ 1 Abs. 1 NVwVfG i. V. m. § 39 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „Begründung“). Denn die wesentlichen tatsächlichen und rechtlichen Gründe, die die Beklagte zu ihrer Entscheidung bewogen haben, einschließlich Erwägungen zur Verhältnismäßigkeit der Maßnahme, werden angegeben. Ob die angegebenen Gründe die Entscheidung in rechtlicher Hinsicht tragen, ist eine Frage der materiellen Rechtsmäßigkeit des Verwaltungsakts.

Ferner ist der Kläger ausreichend angehört worden (§ 1 Abs. 1 NVwVfG i. V. m. § 28 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „das Recht einer jeden Person, gehört zu werden …“). Sein Vorbringen in dem Schreiben seiner Rechtsanwältin vom 16. Dezember 2018 ist von der Beklagten in ihrem Bescheid vom 9. Januar 2019 offensichtlich auch berücksichtigt worden, indem sie sich mit der Argumentation des Klägers zu § 23 KUG und zu seinem berechtigten Interesse im Hinblick auf seinen verfassungsrechtlichen Auftrag nach Artikel 21 Abs. 1 Satz 1 GG auseinandergesetzt hat.

Die Verwarnung ist auch materiell rechtmäßig.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DS-GVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DS-GVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DS-GVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DS-GVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DS-GVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offen bleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DS-GVO richtet. Denn sowohl nach den §§ 22, 23 KUG (hierzu unter a) als auch unter Berücksichtigung von Artikel 6 Abs. 1 UAbs. 1 Buchst. e und f DS-GVO (hierzu unter b) war die Veröffentlichung rechtswidrig.

a. Der Kläger beruft sich auf eine Erlaubnis zur Veröffentlichung des Fotos nach § 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO. Dies setzt voraus, dass die §§ 22 und 23 KUG auf Grundlage des Artikels 85 DS-GVO als gegenüber Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO vorrangige Rechtsvorschriften des nationalen Rechts anzusehen sind und damit auch nach Inkrafttreten der DS-GVO noch anwendbar sind.

Die Anwendbarkeit der Vorschriften des KUG seit Inkrafttreten der DS-GVO ist umstritten. Grundsätzlich genießt die DS-GVO Anwendungsvorrang vor nationalen Regelungen, da europäisches Sekundärrecht gegenüber nationalen Regelungen Anwendungsvorrang genießt (vgl. BVerfG, Beschluss vom 15.12.2015 – 2 BvR 2735/14 –, juris Rn. 37 ff. m. w. N.; EuGH, Urteil vom 15.7.1964 – Rs. 6.64 – Costa/E.N.E.L, juris). Die §§ 22, 23 KUG können deshalb nur dann angewendet werden, wenn und soweit sie sich auf Artikel 85 DS-GVO als Öffnungsklausel stützen lassen.

Nach Artikel 85 Abs. 2 DS-GVO dürfen die Mitgliedstaaten der EU Abweichungen und Ausnahmen von Kapitel 2 der DS-GVO (und damit auch von Artikel 6) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen (vgl. Grages in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Artikel 85 DSGVO Rn. 3). Dies gilt jedoch nur insoweit, als es um eine Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken geht. In diesen Fällen kann sich § 23 KUG als eine Spezifizierung von Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO qualifizieren lassen und neben der DS-GVO anwendbar sein. Ein solcher Fall ist hier aber nicht gegeben.

Der Kläger kann sich insbesondere nicht darauf berufen, dass die Verarbeitung des Fotos journalistischen Zwecken diente. Zwar ist der Begriff des Journalismus weit auszulegen (vgl. Erwägungsgrund 153 der DS-GVO). Journalismus bezeichnet die publizistische Arbeit von Journalisten bei der Presse, in Online-Medien oder im Rundfunk mit dem Ziel, Öffentlichkeit herzustellen. Der Kläger hat mit seiner Fanpage in erster Linie zum Ziel, für seine Interessen und seine Arbeit zu werben, den Erfolg der eigenen Arbeit zu veranschaulichen und sich dadurch selbst darzustellen. Bildveröffentlichungen, die der Selbstdarstellung dienen, lassen sich aber nicht mehr als eine Verarbeitung zu journalistischen Zwecken qualifizieren (vgl. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4; Lauber-Rönsberg/Hartlaub, „Personenbildnisse im Spannungsfeld zwischen Äußerungs- und Datenschutzrecht“ in NJW 2017, S. 1057, 1061).

Ob die §§ 22, 23 KUG als Normen im Sinne von Artikel 85 Abs. 1 DS-GVO für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Artikel 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Artikel 85 Abs. 1 DSGVO einen zwingend durch die Mitgliedstaaten zu erfüllenden Regelungsauftrag enthält – so die überwiegende Auffassung – oder die §§ 22, 23 KUG insoweit fortgelten können, s. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4 m. w. N.), kann offen bleiben. Denn die Voraussetzungen der §§ 22, 23 KUG liegen nicht vor.

Nach § 22 KUG dürfen Bildnisse einer Person grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet werden. Eine ausdrückliche Einwilligung liegt nicht vor. Da das KUG für das Recht am eigenen Bild keine Formerfordernisse normiert, ist zwar auch eine konkludente Einwilligung möglich (vgl. BGH, Urteil vom 11.11.2014 – VI ZR 9/14 –, juris Rn. 6). Auch eine solche liegt jedoch nicht vor. Hier hat der Kläger über die örtliche Presse zu der Veranstaltung im Sommer 2014 eingeladen. Aufgrund der Art der Veranstaltung als öffentliche Veranstaltung des Klägers, über die in der örtlichen Presse eingeladen worden ist, muss zwar damit gerechnet werden, dass Fotos erstellt werden, die in der Presse veröffentlicht werden, und man mit der Teilnahme an einer solchen Veranstaltung konkludent darin einwilligt. Keinesfalls willigt man aber mit der Teilnahme an der Veranstaltung zugleich in die Veröffentlichung von Fotos auf einer Fanpage bei Facebook ein. Eine Veröffentlichung von Bildern auf einer Fanpage einer Partei bei Facebook hat eine ganz andere Qualität als die Veröffentlichung in der Presse, zumal wenn, wie hier anzunehmen ist, keine Vereinbarung nach Artikel 26 DS-GVO zwischen Facebook und dem Betreiber der Fanpage - hier: dem Kläger - abgeschlossen wurde. Denn die Beklagte hat zutreffend darauf hingewiesen, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann. Gemäß den Nutzungsbedingungen mit Facebook werden mit dem Teilen von Inhalten, wie es der Kläger mit der Veröffentlichung des Fotos unternommen hat, weitreichende, weltweite Lizenzen an Facebook erteilt, die geteilten Inhalte zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren und öffentlich vorzuführen. In den USA, in denen die Facebook Inc. ihren Firmensitz hat, sind die Datenschutzstandards außerdem gegenüber dem europäischen Datenschutzstandard erheblich geringer.

Ohne die nach § 22 KUG erforderliche Einwilligung dürfen nach § 23 Abs. 1 KUG verbreitet werden Bildnisse aus dem Bereiche der Zeitgeschichte (Nr. 1), Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen (Nr. 2), Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (Nr. 3), und Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient (Nr. 4).

Hier liegen zwar die Voraussetzungen der Nr. 3 vor. Unter den Erlaubnistatbestand der Nr. 3 fallen Bildberichterstattungen über Menschenansammlungen verschiedenster Art wie Demonstrationen, Sportveranstaltungen, Konzerte, Karnevalsumzüge, Tagungen, Parteitage, Hochzeiten und Trauerfeiern. Voraussetzung ist, dass nicht einzelne Personen gezeigt werden, sondern ein Vorgang. Es muss sich um eine größere Anzahl von Personen handeln, so dass sich der Einzelne nicht mehr aus ihr hervorhebt (vgl. von Strobl-Albeg in Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 8 Rn. 77). Bei der öffentlichen Veranstaltung im Sommer 2014, bei der über den Bau einer Ampelanlage gesprochen wurde, handelt es sich um eine Versammlung bzw. einen ähnlichen Vorgang in diesem Sinne. Die auf dem bei Facebook veröffentlichten Foto abgebildeten Personen waren bewusst auf der Veranstaltung des Klägers und haben somit an ihr teilgenommen. Gegenüber der abgebildeten Menge treten die einzelnen der insgesamt etwa 30 Personen auch in den Hintergrund.

Die Befugnis nach § 23 Abs. 1 KUG erstreckt sich nach § 23 Abs. 2 KUG jedoch nicht auf eine Verbreitung, durch die ein berechtigtes Interesse der abgebildeten Person verletzt wird. Der Grundsatz des § 23 KUG ist ein wichtiges Korrektiv zur Wahrung des Persönlichkeitsrechts des Abgebildeten, der auch in den gesetzlichen Ausnahmefällen des § 23 Abs. 1 Nr. 1 bis 4 KUG eine Interessenabwägung vorschreibt (vgl. hierzu Götting in Urheberrecht, Kommentar, 5. Aufl. 2017, § 23 KUG Rn. 106 ff.). Die abgebildeten Personen haben – wie oben dargelegt – ein erhebliches Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Nicht nur, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann, vielmehr wird durch das Foto auf einer Fanpage auch eine – möglicherweise nicht bestehende – Zustimmung der abgebildeten Personen zu der politischen Tätigkeit des Klägers suggeriert.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit gemäß § 23 Abs. 2 KUG unzulässig.

b. Die Veröffentlichung des Fotos war auch nicht nach Artikel 6 Abs. 1 DS-GVO gerechtfertigt. Danach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort im Folgenden geregelten Bedingungen erfüllt ist. Da die abgebildeten Personen – wie oben dargelegt – nicht in die Veröffentlichung des Fotos eingewilligt haben (Artikel 6 Abs. 1 Abs. 1 Buchst. a i. V. m. Artikel 4 Nr. 11 und Artikel 7 DS-GVO), kommt hier nur der Tatbestand nach Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO in Betracht. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein „berechtigtes Interesse“ an der Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage liegt vor. Der Begriff der „berechtigten Interessen“ ist in der DS-GVO nicht definiert. Der sehr weite Begriff der „berechtigten Interessen“ erfasst jedes von der Rechtsordnung anerkannte Interesse (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 53, 54). Der Kläger hat als politische Partei ein berechtigtes Interesse daran, auch durch die öffentliche Verwendung von Fotos für seine politische Tätigkeit zu werben und damit gemäß Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken.

Die Verwendung eines Fotos, auf dem bestimmte Personen erkennbar abgebildet sind, ist aber nicht „erforderlich“. Auch der Begriff der „Erforderlichkeit“ ist in der DS-GVO nicht weiter definiert (vgl. aber Artikel 5 Abs. 1 Buchst. c DS-GVO – Grundsatz der Datenminimierung –). Unter Berücksichtigung von Erwägungsgrund 39 ist die Verarbeitung „erforderlich“, wenn kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 17, 56). Gemessen hieran war die Veröffentlichung des Fotos ohne Unkenntlichmachung der abgebildeten Personen nicht „erforderlich“, da es hier nicht darauf ankommt, dass gerade die abgebildeten Personen als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt werden, sondern es dem Kläger nur darum geht, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt hat, eine größere Anzahl von Personen interessiert. In diesem Fall reicht es aus, das Foto unter Unkenntlichmachung der abgebildeten Personen, z. B. durch Verpixelung der Gesichter, zu verwenden. Die Verwendung des Fotos mit einer Abbildung individuell erkennbarer Personen hingegen ist zur Erreichung des vom Kläger angestrebten Zwecks nicht erforderlich. Mit seinem Einwand, eine Unkenntlichmachung sei ihm aufgrund fehlender finanzieller oder organisatorischer Mittel nicht möglich, hat der Kläger schon deshalb keinen Erfolg, weil eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Zeit- und Kostenaufwand umgesetzt werden kann.

Ungeachtet dessen überwiegt aber auch das Interesse der abgebildeten Personen das Interesse des Klägers an der Verwendung der Fotos zur Werbung für seine politischen Tätigkeiten.

Bei einer Abwägung der widerstreitenden Interessen sind die „vernünftigen Erwartungen der betroffenen Person“ und die „Absehbarkeit“ einer möglichen Datenverarbeitung der betroffenen Person zu berücksichtigen (vgl. Erwägungsgrund 47). Die abgebildeten Personen haben ein Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Zwar mussten die Teilnehmer der Veranstaltung erwarten, dass unmittelbar nach der Veranstaltung im Sommer 2014, auf der erkennbar fotografiert worden ist, eine Veröffentlichung zu journalistischen Zwecken etwa in den örtlichen Tageszeitungen erfolgt. Wie oben dargelegt, fällt aber eine Veröffentlichung auf einer Fanpage, die in erster Linie der Darstellung der Partei dient, nicht darunter. Im Übrigen führt der Umstand, dass ein Presseunternehmen oder Privatpersonen Fotos anfertigen, nicht zugleich zu der Erwartung, dass andere, insbesondere der Kläger, die Fotos für eigene Zwecke veröffentlichen. Schließlich war mit einer Veröffentlichung nach vier Jahren nicht mehr zu rechnen.

Die Veröffentlichung des Fotos war entgegen der Ansicht des Klägers auch nicht nach Artikel 6 Abs. 1 UAbs. 1 Buchst. e DS-GVO gerechtfertigt.

Der Kläger kann sich nicht unmittelbar auf Artikel 6 Abs. 1 Abs. 1 Buchst. e DS-GVO berufen. Dies folgt schon daraus, dass diese Regelung selbst keine Rechtsgrundlage für eine Datenverarbeitung bildet, sondern, wie sich aus Artikel 6 Abs. 3 Satz 1 DS-GVO ergibt, auf die Umsetzung durch eine gesonderte Rechtsgrundlage im Unionsrecht oder im Recht eines Mitgliedstaates angewiesen ist. Als eine solche Rechtsgrundlage könnte hier nur § 3 BDSG oder § 3 Satz 1 NDSG in Betracht kommen. Im ersten Fall müsste der Kläger eine öffentliche Stelle des Bundes im Sinne des § 2 Abs. 1, ggf. i. V. m. Abs. 4 Satz 2 BDSG, im zweiten Fall eine öffentliche Stelle des Landes im Sinne von § 2 Abs. 2, ggf. i. V. m. Abs. 4 Satz 2 BDSG (zur Zuordnung vgl. Eßer in Auernhammer, DSGVO/BDSG, Kommentar, 6. Aufl. 2018, § 2 BDSG Rn. 24) bzw. eine öffentliche Stelle im Sinne des § 1 Abs. 1 NDSG sein. Auch dies ist nicht der Fall. Eine öffentliche Stelle im Sinne des § 2 Abs. 1 und 2 BDSG, § 1 Abs. 1 Satz 1 Nr. 1 NDSG ist der Kläger schon deshalb nicht, weil er als Ortsverein einer politischen Partei keine „öffentlich-rechtlich organisierte Einrichtung“ im Sinne dieser Vorschriften ist. Politische Parteien nehmen zwar eine öffentliche Aufgabe wahr (§ 1 Abs. 1 Satz 2 des Parteiengesetzes), sind jedoch weder funktional noch organisatorisch Teil des Staates (BVerfG, Beschluss vom 6.12.2013 – 2 BvQ 55/13 –, juris Rn. 6 m. w. N.), sondern dem gesellschaftlichen Bereich angehörende Vereinigungen von Bürgern (§ 2 des Parteiengesetzes). Der Kläger ist auch nicht als Beliehener eine öffentliche Stelle nach § 2 Abs. 4 Satz 2 BDSG oder § 1 Abs. 1 Satz 1 Nr. 2 und Satz 2 NDSG. Denn dafür müsste ihm eine „Aufgabe der öffentlichen Verwaltung“ übertragen worden sein. Um eine solche Aufgabe handelt es sich bei der öffentlichen Aufgabe einer politischen Partei nach § 1 Abs. 1 Satz 2 des Parteiengesetzes aber nicht (dazu, dass politische Parteien keine öffentliche Gewalt ausüben, vgl. auch BVerfG, a. a. O., Rn. 5 m. w. N.). Schließlich liegen auch die Voraussetzungen des § 1 Abs. 1 Satz 3 NDSG nicht vor, weil der Kläger eben keine Aufgaben der öffentlichen Verwaltung wahrnimmt und an ihm auch keine juristischen Personen des öffentlichen Rechts beteiligt sind, wie es die Vorschrift voraussetzt. Politische Parteien sind mithin nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 Satz 1 BDSG (so auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - Datenschutzkonferenz - vom 5.9.2018, dort unter 5.) und können sich daher für ihre Datenverarbeitung nicht auf die für öffentliche Stellen geltenden Rechtsgrundlagen nach Artikel 6 Abs. 3 Satz 1 DS-GVO berufen.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit weder gemäß § 23 Abs. 2 KUG noch nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e und f DS-GVO gerechtfertigt, so dass die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 DS-GVO vorliegen.

Das ihr nach Art. 58 Abs. 2 DS-GVO zustehende Ermessen (vgl. hierzu Martini/Wenzel: „Gelbe Karte von der Aufsichtsbehörde: die Verwarnung als datenschutzrechtliches Sanktionenhybrid“ in PinG 2017, S. 92, 96) hat die Beklagte rechtsfehlerfrei ausgeübt. Insbesondere ist die Verwarnung geeignet und erforderlich, um gegenüber dem Kläger das datenschutzrechtswidrige Verhalten verbindlich festzustellen. In dem nach Eingriffsintensität abgestuften Instrumentarium des Artikels 58 DS-GVO sind Warnungen und Verwarnungen die mildesten Mittel, da sie sich auf die Feststellung des Datenschutzverstoßes beschränken."

Den Volltext der Entscheidung finden Sie hier:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“

LG Frankfurt
Urteil vom 26.09.2019
2-03 O 402/18

Das LG Frankfurt hat entschieden, dass der Versand eines Bildnisses per E-Mail ein Verbreiten gemäß §§ 22, 23 KUG ist. Die Normen des KUG gelten im Rahmen von Art. 85 Abs. 2 DSGVO auch nach Inkrafttreten der DSGVO weiterhin.

Aus den Entscheidungsgründen:

"1. Der Kläger hat gegen den Beklagten keinen Anspruch auf Unterlassung der Äußerung gemäß dem Klageantrag zu II. Ein solcher ergibt sich auch nicht aus den §§ 823, 1004 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG.

a. Wegen der Eigenart des allgemeinen Persönlichkeitsrechts als Rahmenrecht liegt seine Reichweite nicht absolut fest, sondern muss erst durch eine Abwägung der widerstreitenden grundrechtlich geschützten Belange bestimmt werden, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention interpretationsleitend zu berücksichtigen sind. Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt (BGH NJW 2016, 789 Rn. 20; BGH NJW 2016, 56 Rn. 29; BGH NJW 2014, 2029 Rn. 22; jew. m.w.N.).

Hier ist das Schutzinteresse aus Art. 2 Abs. 1, 1 Abs. 1 GG mit dem Recht auf Meinungsfreiheit gemäß Art. 5 Abs. 1 S. 1 GG, Art. 10 Abs. 1 EMRK abzuwägen.

Stehen sich als widerstreitende Interessen – wie vorliegend – die Meinungs- bzw. Pressefreiheit und das Allgemeine Persönlichkeitsrecht gegenüber, kommt es für die Zulässigkeit einer Äußerung maßgeblich darauf an, ob es sich um Tatsachenbehauptungen oder Meinungsäußerungen handelt (LG Köln, Urt. v. 10.06.2015 – 28 O 564/14 Rn. 33).

Bei Tatsachenbehauptungen hängt die Abwägung zwischen den widerstreitenden Interessen maßgeblich vom Wahrheitsgehalt ab. Wahre Tatsachenbehauptungen müssen in der Regel hingenommen werden, auch wenn sie für den Betroffenen nachteilig sind – jedenfalls, wenn sie nicht die Intim-, Privat- oder Vertraulichkeitssphäre, sondern die Sozialsphäre betreffen (BVerfG NJW 1999, 1322, 1324) –, unwahre dagegen nicht (BVerfG NJW 2012, 1643 Rn. 33). Außerhalb des Schutzbereichs des Art. 5 Abs. 1 GG stehen – abgesehen von solchen Tatsachenbehauptungen, die von vornherein Dritten nicht zur Meinungsbildung dienen können (BGH GRUR-RR 2008, 257 Rn. 12 m.w.N.) – aber nur bewusst unwahre Tatsachenbehauptungen und solche, deren Unwahrheit bereits im Zeitpunkt der Äußerung feststeht, denn an der Aufrechterhaltung und Weiterverbreitung herabsetzender Tatsachenbehauptungen, die als unwahr anzusehen sind, besteht unter dem Gesichtspunkt der Meinungsfreiheit regelmäßig kein schützenswertes Interesse (BGH GRUR 2014, 693 Rn. 23 – Sächsische Korruptionsaffäre). Alle übrigen Tatsachenbehauptungen mit Meinungsbezug genießen den Grundrechtsschutz, auch wenn sie sich später als unwahr herausstellen (BGH GRUR 2013, 312 – IM Christoph; BGH GRUR 2014, 693 Rn. 23 – Sächsische Korruptionsaffäre).

b. Bei der angegriffenen Äußerung

„Es ist theoretisch auch denkbar, dass die Abmahnung nicht von Hr. mandatiert, sondern ohne sein Wissen von Dritten mittels Urkundenfälschung fingiert wurde.“

handelt es sich um eine .

Bei der Frage, ob eine Äußerung ihrem Schwerpunkt nach als Tatsachenbehauptung oder als Meinungsäußerung anzusehen ist, kommt es entscheidend auf den Gesamtkontext der fraglichen Äußerung an (vgl. BVerfG AfP 2013, 389, juris-Rn. 18). Von einer Tatsachenbehauptung ist auszugehen, wenn der Gehalt der Äußerung entsprechend dem Verständnis des Durchschnittsempfängers der objektiven Klärung zugänglich ist und als etwas Geschehenes grundsätzlich dem Beweis offen steht. Soweit eine Tatsachenbehauptung mit einem Werturteil verbunden ist bzw. beides ineinander übergeht, ist darauf abzustellen, was im Vordergrund steht und damit überwiegt. Wird eine Äußerung in entscheidender Weise durch die Elemente der Stellungnahme, des Dafürhaltens oder Meinens geprägt oder ist der tatsächliche Gehalt der Äußerung so substanzarm, dass er gegenüber dem Wertungscharakter in den Hintergrund tritt, liegt eine Meinungsäußerung vor. Vom Überwiegen des tatsächlichen Charakters ist auszugehen, wenn die Wertung sich als zusammenfassender Ausdruck von Tatsachenbehauptungen darstellt (vgl. Wenzel/Burkhardt, Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 4 Rn. 50 ff.).

Hierbei sind Äußerungen entsprechend dem Verständnis des unbefangenen Durchschnittsempfängers zu interpretieren (Wenzel/Burkhardt, a.a.O., Kap. 4 Rn. 4; Soehring/Hoene, Presserecht, 6. Aufl. 2019, § 14 Rn. 6; jew. m.w.N.).

c. In Anwendung dieser Grundsätze überwiegt in der angegriffenen Äußerung der wertende und meinende Anteil und gibt dieser sein Gepräge. Im Gesamtkontext der Äußerung stellt der Beklagte dar, dass er – möglicherweise – eine problematische Situation mit dem Kläger als Mitarbeiter des E hat. Hierbei erläutert der Beklagte, dass er über das Verhalten des Klägers überrascht sei und die Behauptungen des Klägers haltlos seien (vgl. Anlage K6, Bl. 25 d.A.). Der Beklagte sei irritiert, dass der Kläger eine parallele Beschäftigung bei einem Mitbewerber behaupte. Sodann erläutert der Beklagte, dass es sich insgesamt um eine Art Missverständnis handeln könnte, dass nämlich der Kläger in die dem Beklagten gegenüber ausgesprochenen Abmahnung nicht involviert sei.

Aus Sicht des Durchschnittslesers stellt sich dies lediglich als eine Möglichkeit dar, die der Beklagte aufwirft, nicht aber als faktischen oder bewiesenen Sachverhalt. Dem Empfänger der E-Mail wird daher entgegen der Auffassung des Klägers nicht als unabweisliche Schlussfolgerung oder rein rhetorische Frage unterbreitet, dass der Kläger ohne sein Wissen für eine Abmahnung „missbraucht“ worden sei (vgl. insoweit BGH NJW 2017, 482 Rn. 14 f.).

Diesem Verständnis steht auch nicht der in der mündlichen Verhandlung erhobene Vortrag des Klägers entgegen, dass sein Prozessbevollmächtigter dem Beklagten vor dem Versand der streitgegenständlichen E-Mail erläutert habe, dass er persönlich vom Kläger mandatiert worden sei, ihm sei eine unterschriebene Vollmachtserklärung zugesandt worden.

Denn dieser Umstand ändert an dem Verständnis der streitgegenständlichen Äußerung aus Sicht des Durchschnittsempfängers, dem diese Umstände unbekannt sind und der selbst bei Kenntnis hiervon die Äußerung des Beklagten als eine Vermutung, eine Theorie und nicht als eine Tatsache auffasst, nichts.

Die Meinungsäußerung des Beklagten überschreitet auch nicht die Grenze zur Schmähkritik, da sie nicht außerhalb jeglichen Sachkontextes steht (vgl. BVerfG NJW 2016, 2870 Rn. 17 m.w.N.; BVerfG NJW 2017, 1460 – „Obergauleiter der SA-Horden“).

2. Der Kläger hat weiter Anspruch auf Ersatz seiner Rechtsverfolgungskosten nach den §§ 683, 677, 670 BGB (Antrag zu III.), jedoch nicht im geltend gemachten Umfang.

Der Kläger hat mit seiner Abmahnung gemäß Anlage K3 gestützt auf KUG und UrhG gerügt, dass der Beklagte das Bildnis per E-Mail versandt und dadurch vervielfältigt hat. Darüber hinaus hat er sich wegen der Verbreitung des Bildnisses auf §§ 823, 1004 BGB, 22, 23 KUG „(ggfl. i.V.m. der DSGVO“) gestützt (Anlage K3, Bl. 15/18 d.A.). Im Termin zur mündlichen Verhandlung hat der Kläger erklärt, dass er den Anspruch auf Ersatz von Abmahnkosten nicht mehr auf das UrhG stützen will, nachdem die Kammer zu erkennen gegeben hat, dass hinsichtlich der urheberrechtlichen Ansprüche ggf. eine Beweisaufnahme erforderlich werden könnte.

a. Die Abmahnung war im Hinblick auf den vom Kläger geltend gemachten Anspruch aus den §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO berechtigt.

aa. Der Beklagte hat das Bildnis des Klägers verbreitet, indem er es in einer E-Mail verwendet hat. Hierbei ist vom Vorgang der Verbreitung auch die unkörperliche Übermittlung erfasst (OLG Frankfurt a.M. MMR 2004, 683; LG Frankfurt a.M., Beschl. v. 28.05.2015 - 2-03 O 452/14, MMR 2016, 482; Dreier/Schulze-Specht, UrhG, 6. Aufl. 2018, § 22 KUG Rn. 9; Wenzel/v.Strobl-Albeg, a.a.O., Kap. 7 Rn. 139; a.A. BeckOK-InfoMedienR/Herrmann, 24. Ed. 1.5.2019, § 22 KUG Rn. 11).

bb. Der Kläger hat in die Verwendung auch nicht im Sinne von § 22 KUG eingewilligt. Eine solche Einwilligung ist insbesondere auch nicht im Einstellen des Bildnisses als Profil bei „Xing“ zu ersehen (vgl. ebenso OLG München MMR 2016, 414).

cc. Der Beklagte kann sich auch nicht auf ein berechtigtes Interesse gemäß § 23 KUG berufen. Eine Ausnahme vom Einwilligungserfordernis nach § 23 Abs. 1 KUG liegt nicht vor. Denn weder handelt es sich um ein Bildnis aus dem Bereich der Zeitgeschichte, noch um ein solches, auf dem der Kläger nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheint, noch um ein Bildnis von Versammlungen, Aufzügen und ähnlichen Vorgängen oder um ein Bildnis, dessen Verbreitung einem höheren Interesse der Kunst dient.

dd. Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060).

b. Soweit der Kläger hingegen Kosten für die Abmahnung, gestützt auf die Äußerung gemäß Klageantrag zu II., verlangt hat, war die Abmahnung unberechtigt, so dass der Kläger Kosten hierfür nicht verlangen konnte (siehe oben).

c. Der vom Kläger geltend gemachte Gegenstandswert von insgesamt 20.000,- EUR für die Abmahnungen ist jedoch übersetzt. Der Kläger wendet sich einerseits gegen die Vervielfältigung und Verbreitung eines Bildnisses, wobei das Bildnis lediglich an wenige Empfänger verbreitet wurde und andererseits gegen eine – ebenfalls nur in einer E-Mail getätigte Äußerung. Die Kammer erachtet hierfür einen Gegenstandswert von 10.000,- EUR unter Berücksichtigung des nach der Praxis der Kammer üblichen Streitwerts für Veröffentlichungen im Internet in Höhe von 15.000,- EUR jeweils für übersetzt, da der Versand per E-Mail mit wenigen Empfängern hiermit kaum vergleichbar ist.

Die Kammer geht insoweit davon aus, dass ein Gegenstandswert von jeweils 6.000,- EUR, insgesamt also 12.000,- EUR angemessen ist.

Im Hinblick auf die Ansprüche wegen der Verwendung des Bildnisses hat der Kläger deutlich gemacht, dass sein Hauptinteresse an der Verhinderung der weiteren Verbreitung des Bildnisses in Form des Versandes der E-Mail liegt. Zwar hat er auch die Vervielfältigung und Bearbeitung auf dem Computer des Beklagten angegriffen, dieser Teil des Anspruch ist jedoch in der Intensität und dem erklärten Interesse des Klägers deutlich niedriger zu bewerten, die Kammer geht insoweit davon aus, dass auf den Anspruch nach KUG ein Gegenstandswert von 5.000,- EUR und auf den Anspruch nach UrhG ein Gegenstandswert von 1.000,- EUR entfällt.

d. Ausgehend hiervon konnte der Kläger Ersatz von Abmahnkosten aus einem Gegenstandswert von 5.000,- EUR verlangen, nämlich inklusive Auslagenpauschale und Umsatzsteuer insgesamt 492,54 EUR.

Denn richtet sich die Höhe der Abmahnkosten nach dem Gegenstandswert der Abmahnung, sind die Kosten einer nur teilweise berechtigten Abmahnung nur zu ersetzen, soweit die Abmahnung berechtigt war. Dabei ist die Höhe des Ersatzanspruchs durch Ermittlung des nach dem berechtigten Teil der Abmahnung zu ermittelnden Gegenstandswert zu bestimmen (BGH (VI. Zivilsenat) NJW 2017, 1550 Rn. 28 – Michael Schumacher; anders im Bereich des Wettbewerbsrechts BGH (I. Zivilsenat) GRUR 2010, 744 Rn. 52 – Sondernewsletter: Quotelung).

Hiervon war eine 0,65-Gebühr in Abzug zu bringen, also 196,95 EUR, so dass 295,59 EUR verbleiben.

Der Zinsanspruch des Klägers ergibt sich aus den §§ 288, 286 BGB.

3. Die Kostenentscheidung beruht auf den §§ 91a, 92 Abs. 1 ZPO.

Im Hinblick auf den ursprünglichen Klageantrag zu I. war gemäß § 91a ZPO über die Kosten des Rechtsstreits unter Berücksichtigung des bisherigen Sach- und Streitstandes nach billigem Ermessen zu entscheiden. Denn die Parteien haben den Rechtsstreit insoweit in der Hauptsache übereinstimmend für erledigt erklärt.

a. Soweit der Kläger seine Ansprüche gemäß dem Klageantrag zu I. auf die §§ 823, 1004 BGB i.V.m. §§ 22, 23 KUG gestützt hat, wäre der Klage nach bisherigem Sach- und Streitstand stattzugeben gewesen (siehe oben).

b. Soweit der Kläger seine Ansprüche gemäß dem Klageantrag zu I. hingegen auf die §§ 72, 97 Abs. 1 UrhG in der Handlungsform des Vervielfältigens gestützt hat, waren die Kosten beiden Parteien zu gleichen Teilen aufzuerlegen. Denn über die zwischen den Parteien streitige Frage, ob der Kläger urheberrechtlich aktivlegitimiert war, hätte nach bisherigem Sach- und Streitstand der vom Kläger angebotene Zeuge B2 gehört werden müssen.

c. Dem steht auch nicht entgegen, dass der Kläger seinen Klageantrag zu I. auch auf eine Verletzung von datenschutzrechtlichen Vorschriften gestützt hat. Nachdem, wie oben dargelegt, die Tathandlung des „Verbreitens“ auf das KUG gestützt wurde und die Tathandlung des „Vervielfältigens“ auf urheberrechtliche Ansprüche, kam es auf die datenschutzrechtlichen Ansprüche nicht mehr an, da das „Verbreiten“ bereits nach KUG zu untersagen war. Die Kammer legt den Klageantrag zu I. unter Berücksichtigung der Begründung in der Klageschrift (S. 7, Bl. 9 d.A.) dahingehend aus, dass sich der Kläger mit seinem datenschutzrechtlichen Anspruch ebenfalls allein gegen die angegriffene Tathandlung des „Verbreitens“ durch Versand der E-Mail und nicht auch diejenige des „Vervielfältigens“ richtet, was sich auch mit den Ausführungen des Klägers in der Abmahnung deckt. Der Kläger moniert diesbezüglich allein, dass „in dem Versand eines Personenbildnisses zugleich auch die Verwendung eines personenbezogenen Datums“ liege. Der Unterlassungsanspruch ergebe sich daher aus § 1004 BGB i.V.m. Art. 6 DSGVO. Erst anschließend begründet der Kläger seinen Klageantrag auf Unterlassung der Vervielfältigung (allein) unter Verweis auf § 16 UrhG."

Den Volltext der Entscheidung finden Sie hier:

OVG Saarlouis
Beschluß vom 10.09.2019
2 A 174/18

Das OVG Saarloius hat entschieden, dass ein Datenschutzverstoß vorliegt, wenn allgemein zugängliche Daten gespeichert werden und die Daten für unerlaubte Telefonwerbung genutzt werden sollen. Die Normen der DSGVO wandte das Gericht nicht an, da die streitgegenständliche behördlichen Verfügung vor Inkrafttreten der DSGVO erging.

Aus den Entscheidungsgründen:

Zu Recht hat das Verwaltungsgericht angenommen, dass die auf § 38 Abs. 5 Satz 2 BDSG i.V.m. § 35 Abs. 2 Nr. 1 BDSG in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 25.2.2015 (BGBl. I S. 162), gestützte Anordnung des Beklagten vom 10.1.2017 rechtmäßig ist, weil die Geschäftspraxis der Klägerin, zwecks telefonischer Werbeansprachen die aus allgemein zugänglichen Verzeichnissen erhobenen Praxisdaten zu speichern und zu nutzen, im Falle inhabergeführter Einzelzahnarztpraxen gegen das Bundesdatenschutzgesetz verstößt.

Die Klägerin kann sich zur Begründung der von ihr behaupteten ernstlichen Zweifeln an der Richtigkeit der erstinstanzlichen Entscheidung nicht mit Erfolg darauf berufen, dass die Entscheidung des Verwaltungsgerichts auf der Basis des Bundesdatenschutzgesetzes (a.F.) der Rechtslage mit Blick auf die am 25.5.2018 – wenige Wochen nach der mündlichen Verhandlung – in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) nicht gerecht werde und das Gericht daher eine „nutzlose Entscheidung“ getroffen habe. Die Klägerin beruft sich – im Wesentlichen unter Wiederholung des erstinstanzlichen Vorbringens – darauf, dass sich die Erfahrungswerte der bisherigen Praxis nur begrenzt auf die Regelungen in der DS-GVO übertragen ließen. Durch die DS-GVO sei es zu einer spürbaren Akzentverschiebung im Vergleich zur alten Rechtslage nach dem BDSG gekommen. Die Interessenabwägung in Artikel 6 Abs. 1f DS-GVO erfolge nach einem anderen Maßstab, da nun auf andere Leitlinien zurückgegriffen werden werde. Das Interesse des Verantwortlichen an der Durchführung von Direktwerbung werde durch den Normgeber als „berechtigtes Interesse“ anerkannt, anders als es bei Anwendbarkeit des BDSG gewesen sei. Im Erwägungsgrund 47 zu Artikel 6 DS-GVO sei explizit das Interesse des Verantwortlichen an der Durchführung einer „Direktwerbung“ genannt. Damit sei klar, dass die werbliche Datennutzung als besonders wichtiger Anwendungsfall eines berechtigten Interesses anzusehen sei.

Diese allgemeinen Ausführungen der Klägerin beinhalten keine ausreichenden Gründe, die eine Berufungszulassung nach § 124 Abs. 2 Nr. 1 VwGO rechtfertigen. Das Verwaltungsgericht hat bei der rechtlichen Beurteilung der Anordnung des Beklagten vom 10.1.2017 in seinem Urteil vom 9.3.2018 zutreffend das bis zum 24.5.2018 geltende Bundesdatenschutzrecht für maßgeblich gehalten. Die von der Klägerin reklamierte Beurteilung der angefochtenen Verfügung des Beklagten vom 10.1.2017 am Maßstab der Rechtslage aufgrund der ab 25.5.2018 maßgeblichen Datenschutz-Grundverordnung kam nicht in Betracht. Maßgeblicher Zeitpunkt für die gerichtliche Beurteilung der auf § 38 Abs. 5 Satz 2 BDSG a.F. beruhenden Anordnung des Beklagten ist, da gegen diese Entscheidungen kein Widerspruchsverfahren stattfindet (vgl. § 28a SDSG i. d. Fassung der Bekanntmachung vom 28.1.2008; Amtsbl. S. 293), der Zeitpunkt des Erlasses der streitgegenständlichen Verfügung des Beklagten. Das Bundesverwaltungsgericht(Urteil vom 27.3.2019 - 6 C 2/18 - (Videoüberwachungen zu privaten Zwecken); NVwZ 2019, 1126 - 1132; zitiert nach juris) hat entschieden, dass die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. nach der Rechtslage zu beurteilen ist, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt und nachträgliche Rechtsänderungen nicht zu berücksichtigen sind. Das Bundesverwaltungsgericht hat weiter ausgeführt, diese Bestimmung eröffne der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen. Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung beziehe sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergebe. Für eine Ermessensentscheidung sei kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten Handlungsalternativen wählen könne. Die Verwaltungsgerichte prüften diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere seien sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließe es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen habe einbeziehen können, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorgelegen hätten(BVerwG, Urteile vom 20.5.1980 - 1 C 82.76 - BVerwGE 60, 133 <136> und vom 6.4.1989 - 1 C 70.86 - BVerwGE 81, 356 <358>; BFH, Urteil vom 26.3.1991 - VII R 66/90 - BFHE 164, 7 <9>)). Vielmehr habe sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ungeachtet des Umstands, dass sich die im konkreten vom Bundesverwaltungsgericht entschiedenen Fall der dortigen Klägerin aufgegebenen Handlungsgebote ständig aktualisierten, weil damit die Verpflichtung einhergehe, den neu geschaffenen Zustand auf Dauer beizubehalten, seien derartige Maßnahmen gemäß § 38 Abs. 5 Satz 1 BDSG a.F. nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung gegolten habe. Es hätte deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt habe, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen hätten, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen seien. Derartige Hinweise enthielten weder der Text der Datenschutz-Grundverordnung noch die Erwägungsgründe. Vielmehr bestimme Art. 96 DS-GVO die Fortgeltung der vor dem 24.5.2016 geschlossenen Übereinkünfte der Mitgliedstaaten mit Drittstaaten und internationalen Organisationen über die Übermittlung personenbezogener Daten.

Diese vom Bundesverwaltungsgericht dargelegten Grundsätze beanspruchen auch im vorliegenden Fall Geltung, denn sowohl Anordnungen nach § 38 Abs. 5 Satz 1 BDSG als auch Anordnungen nach § 38 Abs. 5 Satz 2 BDSG, wonach bei schwerwiegenden Verstößen oder Mängeln die Erhebung, Verarbeitung oder Nutzung oder der Einsatz einzelner Verfahren untersagt werden kann, wenn die Verstöße oder Mängel nicht in angemessener Zeit beseitigt werden, stehen gleichermaßen im Ermessen der zuständigen Aufsichtsbehörde. Dass in Bezug auf die von dem Beklagten herangezogenen Ermächtigungsgrundlage des § 38 Abs. 5 Satz 2 BDSG ausnahmsweise ein anderer rechtlicher Beurteilungszeitpunkt als bei der Vorschrift des § 38 Abs. 5 Satz 1 BDSG zugrunde zu legen wäre, erschließt sich dem Senat nicht. Die Rechtmäßigkeit der Anordnung des Beklagten ist demzufolge vom Verwaltungsgericht zutreffend nach Maßgabe des damals geltenden Bundesdatenschutzrechtes beurteilt worden. Der Einwand der Klägerin, die Entscheidung des erstinstanzlichen Gerichts könne wegen inzwischen geänderter Rechtslage keinen Bestand haben, verfängt daher nicht. Das Zulassungsvorbringen der Klägerin beschränkt sich im Weiteren auf die Subsumtion des Sachverhaltes unter Artikel 6 Abs. 1f DS-GVO und der danach zu treffenden Abwägungsentscheidung. Diese auf die Rechtslage bei Anwendung der DS-GVO bezogenen Ausführungen sind indessen nicht geeignet, die Entscheidung des Verwaltungsgerichts in Frage zu stellen, weil – was sich bereits aus dem Vorhergesagten ergibt – die Datenschutz-Grundverordnung nicht für die Beurteilung der Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße gilt, die die Behörden vor deren Geltungsbeginn auf der Grundlage des nationalen Rechts getroffen haben, und sie daher auf die Anordnung des Beklagten keine Anwendung findet. Ob die Werbeanrufe der Klägerin mit der Datenschutz-Grundverordnung im Einklang stehen, war daher vom Verwaltungsgericht im Rahmen der Anfechtungsklage nicht zu klären. Die Beantwortung dieser Frage setzt vielmehr zunächst eine eigenständige Prüfung seitens des Beklagten nach Maßgabe der §§ 49 ff. SVwVfG voraus, ob er die Anordnung für die Zukunft aufrechterhält(vgl. BVerwG, Urteil vom 27.3. 2019 - 6 C 2.18 - und Beschluss vom 9.7.2019 - 6 B 2/18 -; juris). Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung bestehen nach Maßgabe des Zulassungsvorbringens demzufolge insoweit nicht.


Den Volltext der Entscheidung finden Sie hier:

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“

LG Köln
Teilurteil vom 18.03.2019
26 O 25/18

Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.

Aus den Entscheidungsgründen:

2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.

Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..

Den Volltext der Entscheidung finden Sie hier:

BVerfG
Beschluss vom 20.12.2018
2 BvR 2377/16

Das Bundesverfassungsgericht hat entschieden, dass die Verpflichtung des E-Mail-Providers zur Übermittlung von IP-Adressen an Ermittlungsbehörden einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verfassungskonform ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des Bundesverfassunsgerichts:

Erfolglose Verfassungsbeschwerde gegen die Verpflichtung zur Übermittlung von IP-Adressen

Es verstößt nicht gegen das Grundgesetz, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert. Dies hat die 3. Kammer des Zweiten Senats mit heute veröffentlichtem Beschluss entschieden und die Verfassungsbeschwerde eines solchen Diensteanbieters nicht zur Entscheidung angenommen. Zur Begründung hat sie angeführt, dass das auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich schützenswerte Anliegen, ein datenschutzoptimiertes Geschäftsmodell anzubieten, nicht von der Einhaltung der gesetzlichen Vorgaben, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen, entbinden kann.

Sachverhalt:

Der Beschwerdeführer betreibt einen E-Mail-Dienst, der mit einem besonders effektiven Schutz der Kundendaten wirbt und sich den Grundsätzen der Datensicherheit und der Datensparsamkeit verpflichtet sieht. Er erhebt und speichert Daten nur dann, wenn dies aus technischen Gründen erforderlich oder - aus seiner Sicht - gesetzlich vorgesehen ist. Die Staatsanwaltschaft Stuttgart führte ein Ermittlungsverfahren wegen des Verdachts von Verstößen gegen das Betäubungsmittelgesetz und das Kriegswaffenkontrollgesetz. Mit Beschluss vom 25. Juli 2016 ordnete das Amtsgericht auf Antrag der Staatsanwaltschaft gemäß §§ 100a, 100b StPO in der damals geltenden Fassung die Sicherung, Spiegelung und Herausgabe aller Daten, die auf den Servern des Dienstes bezüglich des betreffenden E-Mail-Accounts elektronisch gespeichert sind, „sowie sämtlicher bezüglich dieses Accounts künftig anfallender Daten“ an. Das Landeskriminalamt gab dem Beschwerdeführer die angeordnete Überwachungsmaßnahme sowie den zu überwachenden Account bekannt. Daraufhin richtete der Beschwerdeführer die Telekommunikationsüberwachung ein, wies jedoch darauf hin, dass Verkehrsdaten der Nutzer nicht „geloggt“ würden und solche Daten inklusive der IP-Adressen deshalb nicht zur Verfügung gestellt werden könnten, sie seien nicht vorhanden. Der Annahme der Staatsanwaltschaft, die IP-Adressen seien beim Anbieter vorhanden, widersprach der Beschwerdeführer unter Darstellung seiner Systemstruktur. Er trenne sein internes Netz über ein sogenanntes NAT-Verfahren (Network Address Translation), bei dem die Adressinformationen in Datenpaketen automatisiert durch andere ersetzt würden, aus Sicherheitsgründen strikt vom Internet ab. Die IP-Adressen der Kunden würden daher bereits an den Außengrenzen des Systems verworfen und seien dem Zugriff des Beschwerdeführers entzogen. Mit Beschluss vom 9. August 2016 setzte das Amtsgericht ein Ordnungsgeld in Höhe von 500 Euro, ersatzweise sieben Tage Ordnungshaft, gegen den Beschwerdeführer fest. Aufgrund des Beschlusses vom 25. Juli 2016 sei der Beschwerdeführer verpflichtet, zukünftig die Verkehrsdaten und insbesondere die IP-Adressen zu erheben. Das Landgericht verwarf die hiergegen gerichtete Beschwerde mit Beschluss vom 1. September 2016 als unbegründet. Im November 2016 teilte das Landeskriminalamt dem Beschwerdeführer mit, dass die Überwachung des Anschlusses abgeschaltet werden könne. Das Ordnungsgeld wurde schließlich bezahlt.

Wesentliche Erwägungen der Kammer:

Soweit sich die Verfassungsbeschwerde gegen die Beschwerdeentscheidung richtet, ist sie jedenfalls unbegründet. Zwar greift die Festsetzung des Ordnungsgeldes in die durch Art. 12 Abs. 1 Satz 2 GG geschützte Freiheit der Berufsausübung des Beschwerdeführers ein. Die Annahme des Landgerichts, der Eingriff in den Schutzbereich des Art. 12 Abs. 1 Satz 2 GG sei nach Maßgabe der einschlägigen gesetzlichen Vorschriften gerechtfertigt, begegnet jedoch keinen verfassungsrechtlichen Bedenken.

Art. 12 Abs. 1 Satz 2 GG erlaubt Eingriffe in die Berufsfreiheit nur auf Grundlage einer gesetzlichen Regelung, die Umfang und Grenzen des Eingriffs erkennen lässt. Dabei muss der Gesetzgeber selbst alle wesentlichen Entscheidungen treffen, soweit sie gesetzlicher Regelung zugänglich sind. Je stärker in grundrechtlich geschützte Bereiche eingegriffen wird, desto deutlicher muss das gesetzgeberische Wollen zum Ausdruck kommen. Danach ist ein Grundrechtsverstoß nicht ersichtlich. Die Fachgerichte haben die Vorschriften über die Mitwirkungs- und Vorhaltungspflichten von Telekommunikationsdiensteanbietern in verfassungsrechtlich vertretbarer Weise ausgelegt. Sie durften ohne Verfassungsverstoß davon ausgehen, dass der Beschwerdeführer verpflichtet war seinen Betrieb so zu gestalten, dass er den Ermittlungsbehörden die am überwachten Account vom Zeitpunkt der Anordnung an anfallenden externen IP-Adressen zur Verfügung stellen kann. Denn die Überwachung der Telekommunikation im Sinne von § 100a StPO erfasst nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation einschließlich der fraglichen IP-Adressen.

1. Die - verfassungskonforme - Vorschrift des § 100a StPO ermächtigt zur Überwachung und Aufzeichnung der Telekommunikation. Vor dem Hintergrund des „weiten“ Telekommunikationsbegriffs unterfällt der Zugriff auf E-Mail-Kommunikation, jedenfalls soweit es sich um die Übertragung der Nachricht vom Gerät des Absenders über dessen Mailserver auf den Mailserver des E-Mail-Providers und um den späteren Abruf der Nachricht durch den Empfänger handelt, unstrittig dem Anwendungsbereich des § 100a StPO.

Vom Schutz des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG sind aber nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation erfasst. Vor diesem Hintergrund betrifft die Überwachung der Telekommunikation gemäß § 100a StPO auch die Verkehrsdaten im Sinne des § 3 Nr. 30 TKG, soweit diese im Rahmen der zu überwachenden Telekommunikation anfallen. Zu den Verkehrsdaten in diesem Sinne gehören auch und gerade die anfallenden IP-Adressen. Diese werden dementsprechend in § 96 Abs. 1 Satz 1 TKG als Nummern der beteiligten Anschlüsse oder Einrichtungen aufgeführt. Dynamische oder statische IP-Adressen, mit denen die Kunden eines Anbieters von E-Mail-Diensten mit ihren internetfähigen Endgeräten auf ihren E-Mail-Account zugreifen wollen, unterfallen daher grundsätzlich dem Anwendungsbereich des § 100a StPO.

Der Umstand, dass die Überwachung des E-Mail-Verkehrs im Rahmen einer Anordnung nach § 100a StPO auch die bezeichneten IP-Adressen umfasst, bedeutet allerdings nicht schon zwangsläufig, dass der Beschwerdeführer als Betreiber einer Telekommunikationsanlage verpflichtet ist, Vorkehrungen zu treffen, um den Ermittlungsbehörden auch und gerade diese IP-Adressen zur Verfügung zu stellen. § 100b Abs. 3 Satz 2 StPO a. F. verweist insoweit auf die Vorschriften des TKG und der TKÜV.

Nach § 110 Abs. 1 Satz 1 Nr. 1 TKG besteht für Betreiber von öffentlich zugänglichen Telekommunikationsdiensten die Verpflichtung, ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung der Telekommunikationsüberwachung vorzuhalten und die entsprechenden organisatorischen Vorkehrungen für deren unverzügliche Umsetzung zu treffen. Die grundlegenden technischen Anforderungen und organisatorischen Eckpunkte für die Umsetzung der Überwachungsmaßnahmen regelt dabei die auf Grundlage der Ermächtigung in § 110 Abs. 2 TKG erlassene TKÜV. Danach unterliegt auch der Beschwerdeführer der Vorhaltungsverpflichtung; dass die in § 3 Abs. 2 TKÜV vorgesehenen Ausnahmen für bestimmte Arten von Telekommunikationsanlagen eingreifen, ist weder vorgetragen noch ersichtlich.

Der Umfang der bereitzustellenden Daten bestimmt sich nach § 5 Abs. 1 und 2 in Verbindung mit § 7 Abs. 1 TKÜV. Gemäß § 5 Abs. 1 TKÜV besteht die zu überwachende Telekommunikation - dem weiten Telekommunikationsbegriff des § 100a StPO entsprechend - aus dem Inhalt und den Daten über die näheren Umstände der Telekommunikation. Nach Absatz 2 der Vorschrift hat der Verpflichtete eine vollständige Kopie der Telekommunikation bereitzustellen, die über seine Telekommunikationsanlage abgewickelt wird. Als Teil dieser Überwachungskopie hat der Verpflichtete gemäß § 7 Abs. 1 Satz 1 Nr. 2, 3 und 4 TKÜV schließlich auch die bei ihm vorhandenen Daten über eine gewählte Rufnummer oder eine andere Adressierungsangabe bereitzustellen. Nach dem Sprachgebrauch des TKG unterfallen die bei einer Telekommunikation anfallenden IP-Adressen dabei ohne weiteres dem Begriff „andere Adressierungsangabe“, denn sie dienen gerade der Adressierung, also dem Erreichen oder Auffinden eines bestimmten Ziels im Internet. So unterfallen IP-Adressen unstrittig der Legaldefinition des § 3 Nr. 13 TKG, wonach Nummern im Sinne des TKG Zeichenfolgen sind, die in Telekommunikationsnetzen Zwecken der Adressierung dienen.

Es ist auch jedenfalls verfassungsrechtlich vertretbar anzunehmen, die Daten seien beim Beschwerdeführer vorhanden im Sinne des § 7 Abs. 1 Satz 1 TKÜV und von diesem als Teil der vollständigen Kopie der überwachten, über seine Telekommunikationsanlage abgewickelten Telekommunikation bereitzustellen. Schon aus der von ihm beschriebenen Systemstruktur ergibt sich, dass der Beschwerdeführer die öffentlichen IP-Adressen seiner Kunden wenigstens für die Dauer der Kommunikation speichern muss, da er ansonsten die abgerufenen Datenpakete seinen Kunden gar nicht übersenden könnte. Jedenfalls fallen die Daten beim Zugriff auf den überwachten E-Mail-Account an, sind der Telekommunikationsanlage des Beschwerdeführers wenigstens zeitweise bekannt und werden von dieser auch zur Herstellung einer erfolgreichen Kommunikation mit dem anfragenden Kunden benutzt.

Die Überwachung der ‑ künftigen - Telekommunikation gemäß § 100a StPO ist - anders als die Erhebung von Verkehrsdaten nach § 100g StPO - auch nicht auf die Verkehrsdaten beschränkt, die nach § 96 Abs. 1 TKG vom Diensteanbieter zulässigerweise erhoben werden dürfen.

Dass der Beschwerdeführer auf die externen IP-Adressen - derzeit - nicht zugreifen kann, steht dem nicht entgegen. Denn dies liegt nicht daran, dass die Daten an sich nicht vorhanden wären, sondern allein daran, dass sich der Beschwerdeführer aus Datenschutzgründen dazu entschlossen hat, diese vor seinen internen Systemen zu verbergen und sie nicht zu protokollieren. Das ist indes allein dem vom Beschwerdeführer bewusst gewählten Geschäfts- und Systemmodell geschuldet. Zwar erscheint das Anliegen des Beschwerdeführers, ein datenschutzoptimiertes und daher für viele Nutzer attraktives Geschäftsmodell anzubieten, auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich durchaus schützenswert. Dies kann ihn jedoch nicht von den im Rahmen einer vertretbaren Auslegung gewonnen Vorgaben des TKG und der TKÜV, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen, entbinden.

Diesem Ergebnis steht schließlich auch nicht entgegen, dass sich die bereitzustellenden Daten nach der im Rahmen der Neubekanntmachung der TKÜV vom 11. Juli 2017 neu eingefügten Regelung in § 7 Abs. 1 Satz 1 Nr. 9 TKÜV nunmehr ausdrücklich auch auf die der Telekommunikationsanlage des Verpflichteten bekannten öffentlichen IP-Adressen der beteiligten Nutzer erstrecken. Denn diese Neuregelung lässt jedenfalls keinen verfassungsrechtlich zwingenden Schluss darauf zu, dass die fraglichen IP-Adressen bislang aus dem Kreis der bereitzustellenden Daten ausgenommen gewesen wären. Vielmehr kommt dem neu eingefügten § 7 Abs. 1 Satz 1 Nr. 9 TKÜV ersichtlich eine klarstellende Funktion zu.

2. Entgegen der Auffassung des Beschwerdeführers verdrängt § 100g Abs. 1 StPO, soweit die (Echtzeit-)Überwachung künftiger Telekommunikation betroffen ist, die Vorschrift des § 100a StPO nicht.

3. Gegen die Festsetzung des Ordnungsgeldes in Höhe von 500 Euro ist im konkreten Fall von Verfassungs wegen ebenfalls nichts zu erinnern.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“