Skip to content

LG Flensburg: Anrufung der Datenschutzbehörde hemmt Verjährung nicht da es sich nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt

LG Flensburg
Urteil vom 19.11.2021
3 O 227/19


Das LG Flensburg hat entschieden, dass Anrufung der Datenschutzbehörde die Verjährung etwaiger Ansprüche gegen die verarbeitende Stelle nicht hemmt, da es sich dabei nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt.

Aus den Entscheidungsgründen:

bb) Ein etwaiger, hieraus folgender Schadensersatzanspruch des Klägers wäre nämlich verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB).

(1) Ein etwaiger Schadensersatzanspruch des Klägers unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB).

(2) Diese Verjährungsfrist hätte mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Die regelmäßige Verjährungsfrist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste (§ 199 Abs. 1 BGB). Dies wäre hier der Schluss des Jahres 2015 gewesen:

Der Anspruch wäre im Jahr 2015 entstanden, weil die als gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 stattfanden. Der Kläger hätte durch das Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten, dem Zeugen O. F., und der nachfolgenden Übersendung der Stellungnahmen der vier Mitarbeiter der Beklagten, jeweils im Jahr 2015, auch Kenntnis von den den Anspruch begründenden Umständen und der Person des Schuldners erlangt.

Anlässlich der Vernehmung des Zeugen F. hat der Kläger persönlich in der mündlichen Verhandlung bestätigt, dass das Gespräch mit dem betrieblichen Datenschutzbeauftragten, in welchem die fraglichen Zugriffe identifiziert worden seien, bereits im Jahr 2015 stattgefunden habe. Der Kläger hat ebenfalls bestätigt, die in dem E-Mails vom 14.12.2015 und 15.12.2015 erwähnte Post mit den Stellungnahmen der Beschäftigten erhalten zu haben. Hiermit hatte der Kläger bereits 2015 die hinreichende Kenntnis von den anspruchsbegründenden Umständen. Der Kläger wusste von den erfolgten Zugriffen auf seine Patientendaten, hat die Berechtigung für die vier streitgegenständlichen Zugriffe als zweifelhaft erkannt und er kannte die Stellungnahmen der vier Beschäftigten und damit deren Begründungen für die Zugriffe. Dies genügt, um die Verjährungsfrist beginnen zu lassen.

Entgegen der Auffassung des Klägers begann die Verjährung nicht erst dann zu laufen, als die internen Ermittlungen der Beklagten zu den Berechtigungen der Zugriffe abgeschlossen waren oder als das ULD Feststellungen hierzu getroffen hat. Die erforderliche Kenntnis von den Anspruchsvoraussetzungen und der Person des Ersatzpflichtigen liegt im Allgemeinen vor, wenn dem Geschädigten die Erhebung einer Schadensersatzklage, sei es auch nur in Form der Feststellungsklage, Erfolg versprechend, wenn auch nicht risikolos, möglich ist. Weder ist notwendig, dass der Geschädigte alle Einzelumstände kennt, die für die Beurteilung möglicherweise Bedeutung haben, noch muss er bereits hinreichend sichere Beweismittel in der Hand haben, um einen Rechtsstreit im Wesentlichen risikolos führen zu können. Auch kommt es grundsätzlich nicht auf eine zutreffende rechtliche Würdigung an. Vielmehr genügt aus Gründen der Rechtssicherheit und Billigkeit im Grundsatz die Kenntnis der den Ersatzanspruch begründenden tatsächlichen Umstände (statt vieler BGH, Urteil vom 27.05.2008 – XI ZR 132/07, juris Rn. 32 mwN). Hier hatte der Kläger bereits im Jahr 2015 Kenntnis aller tatsächlichen Umstände, auf deren Grundlage zumindest – wenn auch nicht risikolos – eine Feststellungsklage hätte erhoben werden können. Die Kenntnis von den gerügten Zugriffen auf seine Patientendaten, von bestehenden Zweifeln an der Berechtigung hierzu und von den Stellungnahmen der Beschäftigten, aufgrund derer er die Berechtigung der Beschäftigten hätte beurteilen können, genügte hierfür. Dies wird durch den vorliegenden Rechtsstreit bestätigt: Der Kläger gründet seine Klage letztlich auf die Umstände und Zweifel, die seinem Informationsstand im Jahr 2015 entsprechen. Der Umstand, dass das ULD mit Schreiben vom 10.08.2018 festgestellt hat, dass die Zugriffe einen Verstoß gegen Vorschriften der DSGVO darstellten, ändert hieran nichts; insoweit handelt es sich um die rechtliche Bewertung der bereits bekannten Umstände durch einen Dritten, auf die es für die Bestimmung des Verjährungsbeginns nicht ankommt.

(3) Die Verjährung wäre auch nicht gehemmt worden (§ 209 BGB).

(11) Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB).

Nach der Rechtsprechung des Bundesgerichtshofes ist der Begriff der „Verhandlungen“ im Sinne des § 203 Satz 1 BGB weit auszulegen. Der Gläubiger muss dafür lediglich klarstellen, dass er einen Anspruch geltend machen und worauf er ihn stützen will. Anschließend genügt jeder ernsthafte Meinungsaustausch über den Anspruch oder seine tatsächlichen Grundlagen, sofern der Schuldner dies nicht sofort und erkennbar ablehnt. Verhandlungen schweben schon dann, wenn eine der Parteien Erklärungen abgibt, die der jeweils anderen Partei die Annahme gestatten, der Erklärende lasse sich auf Erörterungen über die Berechtigung des Anspruches oder dessen Umfang ein. Nicht erforderlich ist, dass dabei Vergleichsbereitschaft oder Bereitschaft zum Entgegenkommen signalisiert wird oder dass Erfolgsaussicht besteht (statt vieler BGH, Urteil vom 14.07.2009 – XI ZR 18/08, juris Rn. 16 mwN).

An diesem Maßstab gemessen haben Verhandlungen im Sinne des § 203 BGB zwischen den Parteien in unverjährter Zeit nicht stattgefunden. Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen iSd. § 203 BGB. Die Parteien mögen dabei über Umstände gesprochen haben, die dem streitgegenständlichen Anspruch zugrunde liegen, etwa die gerügten Zugriffe auf die Patientendaten des Klägers, deren Berechtigungen etc. Erkennbar ist das Ziel des Klägers, Aufklärung zu erlangen und Vorsorge gegen zukünftige vermeintliche Datenschutzverstöße zu treffen. Auch forderte der Kläger die Beklagte immer wieder zu Stellungnahmen zu den gerügten und vermeintlichen weiteren Datenschutzverstößen auf. Weder aus dem Vortrag der Parteien noch aus der gesamten zur Akte gereichten Korrespondenz bis einschließlich 2018 ergibt sich aber, weder ausdrücklich noch konkludent, dass der Kläger gegenüber der Beklagten einen Schadensersatzanspruch geltend machen will. Dies aber ist Mindestvoraussetzung für ein „Verhandeln“ iSd. § 203 BGB, auch wenn dann anschließend jeder Meinungsaustausch hierüber, d.h. auch über die tatsächlichen Grundlagen, genügt. Soweit ersichtlich, begehrt der Kläger erstmals mit anwaltlichem Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) Schadensersatz in Form der Erstattung seiner Rechtsanwaltskosten und behält sich „etwaige Schadensersatzansprüche gemäß Art. 82 DSGVO“ vor. Dies geschah allerdings bereits in verjährter Zeit und vermochte eine Hemmung nicht mehr herbeizuführen.

(22) Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein durch den Kläger mit Schreiben vom 16.03.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Der Landesbeauftragte ist nicht als staatliche oder staatlich anerkannte Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. a BGB oder als andere Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. b BGB tätig geworden. Trotz der fehlenden zeitlichen Anwendbarkeit der DSGVO (dazu oben) ist das ULD, dokumentiert etwa im Schreiben des ULD vom 16.07.2018 (Sonderband), aufgrund der Beschwerde des Klägers nach Art. 77 DSGVO im Rahmen eines aufsichtsbehördlichen Verfahrens gemäß § 74 LVwG tätig geworden, in dessen Ergebnis gemäß Art. 58 Abs. 2 DSGVO Abhilfebefugnisse wie etwa eine Verwarnung, Beschränkungen oder Geldbußen hätten ausgesprochen bzw. verhängt werden können, wovon das ULD letztlich aber absah. Dieses Verwaltungsverfahren ist auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch. Im Übrigen muss für einen wirksam hemmenden Streitbeilegungsantrag - wie bei allen in § 204 Abs. 1 BGB genannten Rechtsverfolgungshandlungen und Verfahren - ein bestimmter Anspruch bezeichnet werden. Nur im Umfang des geltend gemachten Anspruchs erfolgt eine Hemmung. Antragsgegner, Streitbeilegungsstelle und einem ggf. später befassten Gericht muss es möglich sein, Art, Umfang und Tatsachenbasis einer Forderung zu identifizieren (zum Ganzen BeckOGK-BGB/Meller-Hannich, Stand 01.09.2021, § 204 BGB Rn. 176 mwN). Einen solchen individualisierten (Schadensersatz-) Anspruch hat der Kläger bei Anrufung des ULD weder geltend gemacht noch ist ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Auch dies zeigt, dass dieses Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien über einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren ist, das ULD ist keine Streitbeilegungsstelle.

(33) Die Klage ist am 03.07.2019 und damit in verjährter Zeit bei Gericht eingegangen, so dass die Erhebung der Klage die Verjährung ebenfalls nicht mehr zu hemmen vermochte (§ 204 Abs. 1 Nr. 1 BGB).


Den Volltext der Entscheidung finden Sie hier:


BVerwG: Facebook oder Fanpagebetreiber - EuGH muss Streit um datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten klären

BVerwG
Beschluss vom 25.02.2016
1 C 28.14


Das BVerwG hat den Streit um die Frage, wer die datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten trägt, dem EuGH zur Entscheidung vorgelegt.

Die Pressemitteilung des BVerwG:

EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat in einem Ver­fah­ren, in dem es um die Be­an­stan­dung des Be­triebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich or­ga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Da­ten­schutz­auf­sichts­be­hör­de geht, den Ge­richts­hof der Eu­ro­päi­schen Union (EuGH) an­ge­ru­fen. Die dem EuGH zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen be­tref­fen die Aus­le­gung der Richt­li­nie 95/46/EG zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Da­ten­ver­kehr (Da­ten­schutz­richt­li­nie). Diese dient u.a. dazu, im Be­reich der Eu­ro­päi­schen Union ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten.

Die Klä­ge­rin des Aus­gangs­ver­fah­rens ist eine Trä­ge­rin der be­ruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer ei­ge­nen Home­page eine sog. Fan­page bei Face­book un­ter­hält. Das be­klag­te Un­ab­hän­gi­ge Lan­des­zen­trum für Da­ten­schutz (ULD) hat im No­vem­ber 2011 ge­gen­über der Klä­ge­rin die De­ak­ti­vie­rung die­ser Fan­page an­ge­ord­net. Die Nut­zungs­da­ten der Be­su­cher wür­den von Face­book über ein „Coo­kie“ bei einem Auf­ruf der Fan­page er­ho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Klä­ge­rin be­reit­ge­stell­te Nut­zer­sta­tis­tik ge­nutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in diese Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Klage statt­ge­ge­ben. Das Ober­ver­wal­tungs­ge­richt hat die Be­ru­fung zu­rück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne ge­stuf­te Ver­fah­ren nicht ein­ge­hal­ten habe. Die Klä­ge­rin sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book er­ho­be­nen Daten.

Der 1. Re­vi­si­ons­se­nat des Bun­des­ver­wal­tungs­ge­richts hat eine Vor­la­ge an den EuGH be­schlos­sen. Nach sei­ner Auf­fas­sung wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Frage, ob die Klä­ge­rin als Fan­page­be­trei­be­rin eine da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Be­trei­bers ihrer In­ter­ne­tre­prä­sen­tanz und des­sen da­ten­schutz­rechts­kon­for­men Um­gang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/46/EG auf. Dabei hat es - wie das OVG - keine Be­ur­tei­lung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat der Senat dem EuGH fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Da­ten­schutz­ver­stö­ße ab­schlie­ßend und er­schöp­fend re­gelt oder ver­bleibt im Rah­men der „ge­eig­ne­ten Maß­nah­men“ nach Art. 24 RL 95/46/EG und der „wirk­sa­men Ein­griffs­be­fug­nis­se“ nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/46/EG in mehr­stu­fi­gen In­for­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Da­ten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Be­trei­bers für sein In­for­ma­ti­ons­an­ge­bot?

2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Da­ten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Si­cher­heits­maß­nah­men und or­ga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Ge­währ bie­tet‘, im Um­kehr­schluss, dass bei an­de­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Da­ten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorg­fäl­ti­gen Aus­wahl be­steht und auch nach na­tio­na­lem Recht nicht be­grün­det wer­den kann?

3. Ist in Fäl­len, in denen ein au­ßer­halb der Eu­ro­päi­schen Union an­säs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) un­ter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Be­fug­nis­se gegen die im ei­ge­nen Ho­heits­ge­biet ge­le­ge­ne Nie­der­las­sung auch dann be­fugt, wenn diese Nie­der­las­sung al­lein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zu­stän­dig ist, wäh­rend der in einem an­de­ren Mit­glied­staat (hier: Ir­land) ge­le­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im ge­sam­ten Ge­biet der Eu­ro­päi­schen Union und damit auch in dem an­de­ren Mit­glied­staat (hier: Deutsch­land) ob­liegt, wenn tat­säch­lich die Ent­schei­dung über die Da­ten­ver­ar­bei­tung durch den Mut­ter­kon­zern ge­trof­fen wird?

4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Ho­heits­ge­biet eines Mit­glied­staa­tes (hier: Ir­land) be­sitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Ho­heits­ge­biet eines an­de­ren Mit­glied­staa­tes (hier: Deutsch­land) be­steht, die u.a. für den Ver­kauf von Wer­be­flä­chen zu­stän­dig ist und deren Tä­tig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem an­de­ren Mit­glied­staat (hier: Deutsch­land) zu­stän­di­ge Kon­troll­stel­le Maß­nah­men und An­ord­nun­gen zur Durch­set­zung des Da­ten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Da­ten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und An­ord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Ir­land) mög­lich, in des­sen Ho­heits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?

5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Ho­heits­ge­biet tä­ti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Da­ten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in An­spruch nimmt, weil die­ser Drit­te gegen Da­ten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die da­ten­schutz­recht­li­che Be­ur­tei­lung der Kon­troll­be­hör­de des an­de­ren Mit­glied­staa­tes, in dem der für die Da­ten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te seine Nie­der­las­sung hat (hier: Ir­land), in dem Sinne ge­bun­den ist, dass sie keine hier­von ab­wei­chen­de recht­li­che Be­ur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch den in einem an­de­ren Mit­glied­staat (hier: Ir­land) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des ei­ge­nen Tä­tig­wer­dens selb­stän­dig auf seine Recht­mä­ßig­keit prü­fen?

6. So­weit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung er­öff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin aus­zu­le­gen, dass diese Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Ho­heits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Da­ten­schutz­ver­stö­ße des in einem an­de­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses an­de­ren Mit­glied­staa­tes (hier: Ir­land) um die Aus­übung ihrer Be­fug­nis­se er­sucht hat?

Bis zur Ent­schei­dung des Ge­richts­hofs hat das BVerwG das Re­vi­si­ons­ver­fah­ren aus­ge­setzt.

BVerwG 1 C 28.14 - Be­schluss vom 25. Fe­bru­ar 2016

Vor­in­stan­zen:
OVG Schles­wig 4 LB 20/13 - Ur­teil vom 04. Sep­tem­ber 2014
VG Schles­wig 8 A 14/12 - Ur­teil vom 09. Ok­to­ber 2013


OVG Schleswig: Betreiber von Facebook-Fanpages sind nicht für Datenschutzverstöße von Facebook verantwortlich - ULD kann nicht gegen Facebooknutzer vorgehen

OVG Schleswig
Urteil vom 05.09.2014
4 LB 20/13


Das OVG Schleswig hat entschieden, dass Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße, die in der Spähre von Facebook liegen, verantwortlich sind (ebenso bereits "VG Schleswig: Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich"). Datenschutzbehörden (hier das ULD) sind nach dieser Entscheidung nicht berechtigt, gegen Betreiber von Facebook-Fanpages und Unternehmensseiten vorzugehen und zur Abschaltung aufzufordern. Das OVG hat die Revision zum Bundesverwaltungsgericht zugelassen.

Die Pressemitteilung des OVG Schleswig.
"OVG Schleswig: Wirtschaftsakademie kann vom ULD nicht zur Abschaltung ihrer Facebook-Fanpage verpflichtet werden

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten.

Dies hat der 4. Senat des Schleswig-Holsteinischen Oberverwaltungsgerichts mit Urteil vom 4. September 2014 entschieden und damit die Berufung des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen ein Urteil des Verwaltungsgerichts Schleswig vom 09. Oktober 2013 zurückgewiesen. Seine Anordnung Ende 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH, deren Facebook-Fanpage zu deaktivieren, hatte das ULD mit datenschutzrechtlichen Verstößen von Facebook - insbesondere einer fehlenden Widerspruchsmöglichkeit von Nutzern nach dem Telemediengesetz gegen die Erstellung von Nutzungsprofilen - begründet. Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.
Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision gegen das Urteil (Az.: 4 LB 20/13) zugelassen. Diese kann innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden."

OVG Schleswig: Thilo Weichert bzw. das ULD dürfen sich kritisch über ein der bayerischen Datenschutzaufsicht unterliegendes Apothekenrechenzentrum äußern - aber Zurückhaltung geboten

OVG Schleswig
Beschluss vom 28.02.14
4 MB 82/13


Das OVG Schleswig hat entschieden, dass sich das Unabhängige Landeszentrums für Datenschutz (ULD) Schleswig-Holstein kritisch über ein der bayerischen Datenschutzaufsicht unterliegendes Apothekenrechenzentrum äußern darf. Gegenstand des Verfahrens waren kritische Äußerungen in den Medien durch den Landesdatenschutzbeauftragten und Leiter des ULD Thilo Weichert. Das Gericht stellt jedoch klar, dass derartige Äußerungen nicht unangemessen "verabsolutierend, skandalisierend oder diskreditierend" sein dürfen. Da die bayerische Aufsichtsbehörde keine datenschutzrechtlichen Bedenken hatte, hätte das ULD die Meinung zudem als eigene kennzeichnen müssen.


Die Pressemitteilung des OVG Schleswig:


"OVG Schleswig: Medienäußerungen des Landesdatenschutzbeauftragten zu bayerischem Apothekenrechenzentrum nur eingeschränkt zulässig

Der schleswig-holsteinische Landesdatenschutzbeauftragte darf sich medienöffentlich kritisch zur Praxis eines der bayerischen Datenschutzaufsicht unterliegenden Apothekenrechenzentrums äußern, wenn er dies als seine eigene Auffassung kennzeichnet und keine unangemessen zuspitzenden Formulierungen verwendet. Dies hat das Schleswig-Holsteinische Oberverwaltungsgericht in einem Beschluss vom 28. Februar 2014 (4 MB 82/13) entschieden und damit der Beschwerde des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen einen Beschluss des Verwaltungsgerichts teilweise stattgegeben.

Der Leiter des ULD - der Landesdatenschutzbeauftragte - war in mehreren Medienberichten u.a. im Spiegel, Spiegel-Online, der TAZ und der Deutschen Welle im August 2013 mit kritischen Bewertungen zur Praxis der Anonymisierung von Rezeptabrechnungsdaten auch eines in Bayern ansässigen, aber bundesweit tätigen Apothekenrechenzentrums zitiert worden. Dessen unter den Datenschutzbehörden in seiner Rechtmäßigkeit umstrittenes Anonymisierungsverfahren war von der zuständigen bayerischen Datenschutzaufsichtsbehörde geprüft und gebilligt worden. Daraufhin erwirkte das Rechenzentrum beim Verwaltungsgericht eine einstweilige Anordnung, mit der dem ULD eine Wiederholung entsprechender medienöffentlicher Äußerungen untersagt wurde. Dagegen hatte das ULD Beschwerde eingelegt.

Das Oberverwaltungsgericht hat in seiner Entscheidung eine Befugnis des ULD zu Presseäußerungen bei einem begründeten Gefahrenverdacht für den Schutz persönlicher Daten grundsätzlich anerkannt. Das ULD habe aber die hierbei gebotene Sachlichkeit und Verhältnismäßigkeit zu wahren. Es müsse in seinen Äußerungen durch entsprechend zurückhaltende Formulierungen berücksichtigen, dass die zuständige Aufsichtsbehörde (hier in Bayern) eine Prüfung mit positivem Ergebnis durchgeführt habe. Daher müsse die schleswig-holsteinische Datenschutzbehörde ihre Kritik (z.B.: „die Antragstellerin gebe keine anonymisierten, sondern pseudonymisierte Daten heraus“) als eigene Auffassung kennzeichnen. Mit unangemessen verabsolutierenden, skandalisierenden oder diskreditierenden Bewertungen (z.B.: „das Geschäftsmodell der Antragstellerin sei illegal“) werde der Bereich zulässiger medienöffentlicher Äußerungen über das von der bayerischen Aufsichtsbehörde akzeptierte Verfahren der Datenaufbereitung verlassen.

Der Beschluss des Oberverwaltungsgerichts ist unanfechtbar."


VG Schleswig: Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich

VG Schleswig
Urteile vom 09.10.2013
8 A 37/12
8 A 14/12
8 A 218/11


Das VG Schleswig hat entschieden, dass Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich sind. Das Gericht hob die Verfügungen des ULD auf, worin Betreibern von Facebook-Fanpages aufgegeben worden war, ihre Facebook-Fanpages zu deaktivieren.

Um etwaige datenschutzrechtliche Verstöße durch Nutzung des Gefällt-Mir-Buttons ging es vorliegend nicht.

Die Pressemitteilung des VG Schleswig finden Sie hier:

"VG Schleswig: Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich" vollständig lesen

OVG Schleswig: Facebook gewinnt im Klarnamen-Streit gegen das Unabhängige Landeszentrum für Datenschutz (ULD) - Klarnamenzwang weiterhin zulässig

OVG Schleswig
Beschlüsse vom 22.04.2013
4 MB 10/13
4 MB 11/13
Facebook ./. ULD


Facebook hat nun auch in zweiter Instanz im Klarnamen-Streit gegen das Unabhängige Landeszentrum für Datenschutz (ULD) gewonnen. Wir hatten in dem Beitrag "VG Schleswig-Holstein: Facebook muss deutsches Datenschutzrecht nicht beachten - Klarnamenzwang zulässig" über den Rechtsstreit berichtet.

Aus der Pressemitteilung des OVG Schleswig:

"Das Oberverwaltungsgericht hat entschieden, dass für das Eilverfahren von einer Tätigkeit der irischen Niederlassung im Bereich der Nutzerdatenverarbeitung auszugehen sei. Allein diese Tätigkeit sei nach der EU-Datenschutzrichtlinie und dem Bundesdatenschutzgesetz ausreichend für die ausschließliche Anwendung irischen Datenschutzrechts. Ob möglicherweise Facebook USA als sog. verantwortliche Stelle die maßgeblichen Entscheidungen über die Datenverarbeitung treffe, sei für die Frage des anwendbaren Rechts nicht erheblich. Deutsches Datenschutzrecht sei auch nicht wegen der Existenz der ausschließlich im Bereich Anzeigenakquise und Marketing tätigen Hamburger Facebook Germany GmbH anwendbar. Dass die Möglichkeit pseudonymer Nutzung auch nach irischem Datenschutzrecht gewährleistet sein müsse, habe das ULD im Beschwerdeverfahren nicht dargelegt."


Die vollständige Pressemitteilung des OVG Schleswig finden Sie hier:


"OVG Schleswig: Facebook gewinnt im Klarnamen-Streit gegen das Unabhängige Landeszentrum für Datenschutz (ULD) - Klarnamenzwang weiterhin zulässig" vollständig lesen

VG Schleswig-Holstein: Facebook muss deutsches Datenschutzrecht nicht beachten - Klarnamenzwang zulässig

VG Schleswig-Holstein
Beschlüsse vom 14.02.2013
8 B 61/12
8 B 60/12


Das VG Schleswig-Holstein hat entschieden, dass Facebook die Vorgaben des deutschen Datenschutzrechts nicht beachten muss. Anbieter des Facbook-Angebots in Deutschland ist die Facebook Ireland Ltd. mit Sitz in Irland. Nach Ansicht des VG Schleswig-Holstein ist insoweit irisches Recht anzuwenden. Gegenstand der Verfahren war die von Facebook verlangte Klarnamenpflicht, die jedenfalls nach Ansicht vieler Datenschützer mit § 13 Ábs. 6 TMG nicht zu vereinbaren ist. Im irischen Recht gibt es eine entsprechende Regelung nicht. Die Entscheidungen sind nicht rechtskräftig.

Die Pressemitteilung des Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein sowie den Volltext der Entscheidung finden Sie hier.

§ 13 Abs. 6 TMG
Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

Anmerkung zu: Oberste Aufsichtsbehörden für den Datenschutz - Einbindung von Social-Plugins, Facebook-Fanpages etc. verstoßen gegen deutsches Datenschutzrecht

Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08. Dezember 2011)

Der Düsseldorfer Kreis hat einen Beschluss zum Datenschutz in sozialen Netzwerken veröffentlicht. Danach ist die Einbindung von Social-Plugins und das Betreiben von Facebook-Fanpages etc. in der derzeitigen Ausgestaltung mit dem deutschen Datenschutzrecht nicht zu vereinbaren sind.

In dem Beschluss heißt es:
"In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden"


Anmerkung:
Auch wenn wir die zahlreichen datenschutzrechtlichen Probleme in sozialen Netzwerken nicht verharmlosen wollen und Facebook & Co. allzu offenherzig mit dem Datenschutz umgehen, stellt sich die Frage, ob das Datenschutzrecht dazu dienen soll, technische Innovationen und neue Anwendungen, die von Internetnutzern und Unternehmen vielfach genutzt und gewollt werden, zu blockieren. Zudem ist es sehr bedauerlich und nicht hinnehmbar, dass nach Ansicht der Datenschützer nunmehr die Unternehmen, welche Socialmedia-Plattformen nutzen, die Zeche zahlen sollen.

Die Einhaltung datenschutzrechtlicher Vorgaben ist im Internet auch außerhalb von Social-Media-Plattformen praktisch unmöglich. Es ist dringend erforderlich, dass das deutsche Datenschutzrecht komplett erneuert sowie an neue technische und auch gesellschaftliche Gegebenheiten angepasst wird. Dabei gilt es auch die zum Teil fundamentalistisch anmutenden Positionen von Datenschützern und Datennutzern beiderseits zu überdenken und einen interessengerechten Ausgleich zu finden.



Wissenschaftlicher Dienst des Deutschen Bundestages veröffentlicht Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins

Das wissenschaftliche Dienst des Deutschen Bundestages hat ein Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins veröffentlicht. Es überrascht nicht, dass das Gutachten zu dem Ergebnis kommt, dass die Rechtslage unklar ist.

Am Ende des Gutachtens heißt es :

"Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus. Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden."

Das Gutachten zeigt abermals, dass sich das deutsche Datenschutzrecht in einem katastrophalen Zustand befindet. Leider ist nicht damit zu rechnen, dass der Gesetzgeber in der Lage ist, eine zeitgemäßes, klares und funktionales Regelwerk zu schaffen. Es hilft dabei gar nichts, wenn Datenschützer wie das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein mit markigen Worten und Ordnungsgeldern drohen. Es wird Zeit, dass das deutsche Datenschutzrecht und auch zahlreiche Datenschützer das Steinzeitalter hinter sich lassen.

ULD Schleswig-Holstein kündigt Ordnungsgelder und Unterlassungsverfügungen gegen Webseitenbetreiber an, die den Facebook Gefällt Mir - Button verwenden

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hat in einer Pressemitteilung Webseitenbetreiber aufgefordert, den Facebook "Gefällt Mir"-Button von ihren Webseiten zu entfernen. Andernfalls will das ULD Schleswig-Holstein mit Ordnungsgeldern und Unterlassungsverfügungen gegen Webseiten-Betreiber in Schleswig-Holstein vorgehen. In der Pressemitteilung heißt es:

"Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro."


Richtig ist daran, dass die Verwendung des Facebook "Gefällt Mir"-Buttons gegen deutsches Datenschutzrecht vertstößt (aber nicht wettbewerbswidrig ist KG Berlin, Beschluss vom 29.04.2011 - 5 W 88/11 und LG Berlin, Urteil vom 14.03.2011- 91 O 25/11). Allerdings hat es einen äußerst schalen Beigeschmack, wenn das ULD SH nicht gegen den eigentlichen Anbieter Facebook sondern gegen die Webseitenbetreiber vorgehen will.

Es bleibt abzuwarten, ob den markigen Worten auch Taten folgen werden.

Die vollständige Pressemitteilung finden Sie hier:



"ULD Schleswig-Holstein kündigt Ordnungsgelder und Unterlassungsverfügungen gegen Webseitenbetreiber an, die den Facebook Gefällt Mir - Button verwenden" vollständig lesen