Skip to content

Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“


VG Regensburg: Die Vorgaben der DSGVO stehen einer Fahrtenbuchauflage nicht entgegen

VG Regensburg
Urteil v. 17.04.2019
RN 3 K 19.267


Das VG Regensburg hat entschieden, dass die Vorgaben der DSGVO einer Fahrtenbuchauflage nicht entgegenstehen.

Aus den Entscheidungsgründen:

Dem kann der Kläger vorliegend jedenfalls nicht entgegenhalten, durch die Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27. April 2016 an der Preisgabe des Namens der Fahrzeugführerin gehindert gewesen zu sein. Die Datenschutz-Grundverordnung (DSGVO) findet für die Ermittlungen der Polizei nämlich von vornherein wohl schon keine unmittelbare Anwendung oder es würde sich wenigstens um eine nach den Anforderungen der Datenschutz-Grundverordnung auch ohne Einwilligung der betreffenden Person gerechtfertigte Datenverarbeitung gehandelt haben:

a) Nach Art. 2 Abs. 2 Buchst. d DSGVO ist von deren sachlichem Anwendungsbereich die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit ausgenommen. Dabei ist der Begriff der Straftaten europarechtlich zu verstehen und er wird nicht nur die Straftaten im Sinne des deutschen Strafrechts umfassen, sondern weiter zu verstehen sein. Dies zeigt ein Blick auf die zeitgleich mit der Datenschutz-Grundverordnung erlassene Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. Diese Richtlinie hat den durch Art. 2 Abs. 2 Buchst. d DSGVO von der Anwendung der DSGVO ausgenommenen Bereich zum Gegenstand. In ihrem Erwägungsgrund 13 ist klargestellt, dass eine Straftat im Sinne der Richtlinie ein eigenständiger Begriff des Unionsrechts ist. Die Richtlinie (EU) 2016/680 wurde in Deutschland insbesondere durch Regelungen im Teil 3 des Bundesdatenschutzgesetzes (BDSG) vom 30. Juni 2017 in nationales Recht umgesetzt, dessen Anwendungsbereich nach § 45 Satz 1 BDSG die Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten ausdrücklich mit umfasst. Zu dieser Erstreckung des Anwendungsbereichs ist in der Gesetzesbegründung (vgl. BT-Drs. 18/11325, S. 110) unter anderem ausgeführt:
„…; dies wird durch Erwägungsgrund 13 der Richtlinie (EU) 2016/680 unterstützt. Hierdurch wird insbesondere erreicht, dass die polizeiliche Datenverarbeitung einheitlichen Regeln folgt, unabhängig davon, ob eine Straftat oder eine Ordnungswidrigkeit in Rede steht. Aus dem Ziel, dem Ordnungswidrigkeitenverfahren einheitliche datenschutzrechtliche Regeln gegenüberzustellen, folgt, dass somit auch in Bezug auf die Datenverarbeitung durch Behörden, die nicht Polizeibehörden sind, soweit sie aber Ordnungswidrigkeiten verfolgen, ahnden und vollstrecken, der Teil 3 des vorliegenden Gesetzes gilt und die Datenverarbeitung auch sonst Regeln folgen muss, welche die Richtlinie (EU) 2016/680 umsetzen.“

Eine dem § 45 BDSG entsprechende Regelung findet sich für die bayerischen Behörden in Art. 28 des Bayerischen Datenschutzgesetzes (BayDSG), der für diese die Regelungen zu Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680 auf die Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit erstreckt. Hierzu heißt es in der einschlägigen Gesetzesbegründung (LT-Drs 17/19628, S. 47) unter anderem:
„Der Begriff der „Straftat“ ist gemäß Erwägungsgrund 13 DSGVO autonom im Sinne der Rechtsprechung des EuGH auszulegen und erfasst auch den nach dem deutschen Rechtsverständnis hiervon zu unterscheidenden Begriff der Ordnungswidrigkeiten.“

Wenn aber dem entsprechend davon auszugehen ist, dass der Bereich der Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten dem Anwendungsbereich der Richtlinie (EU) 2016/680 unterfällt, wird dieser Bereich im Umkehrschluss und unter Berücksichtigung von Art. 2 Abs. 2 Buchst. d DSGVO gerade nicht unmittelbar dem in Art. 2 DSGVO bestimmten sachlichen Anwendungsbereich der Datenschutz-Grundverordnung unterfallen.

b) Selbst soweit eine Anwendbarkeit der Datenschutz-Grundverordnung mittelbar, etwa über Art. 2 BayDSG, gegeben ist, wäre eine von der Polizei erfolgte Verarbeitung personenbezogener Daten durch deren Erhebung beim Kläger nach Art. 6 Abs. 1

Buchst. e DSGVO i.V.m. Art. 2 und 28 Abs. 2 Nr. 2 BayDSG auch ohne Einwilligung der betroffenen Person gerechtfertigt, da die Verarbeitung im Rahmen des Ordnungswidrigkeitenverfahrens insoweit für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Soweit für die darauf beruhende Herausgabe von personenbezogenen Daten durch den Kläger die Datenschutz-Grundverordnung wiederum anwendbar sein sollte, wäre er hierfür auch ohne Einwilligung der betroffenen Person nach Art. 6 Abs. 1 Buchst. c DSGVO berechtigt gewesen, da dies zur Erfüllung seiner rechtlichen Verpflichtung zur Mitwirkung bei der Feststellung des Fahrzeughalters (vgl. zu dieser z.B. BVerwG B.v. 14.5.1997 - 3 B 28/97 - juris) erforderlich gewesen wäre.

Der Kläger konnte sich daher in Bezug auf das fragliche Ordnungswidrigkeitenverfahren gegenüber der ermittelnden Polizei also auch nicht auf die Datenschutz-Grundverordnung berufen, um sich

4. Auch dem präventiv angeordneten Führen eines Fahrtenbuches steht die Datenschutz-Grundverordnung nicht entgegen. Soweit diese trotz der Regelung in Art. 2 Abs. 2 Buchst. d DSGVO, die die Abwehr von Gefahren für die öffentliche Sicherheit vom Anwendungsbereich der Datenschutz-Grundverordnung ausnimmt, etwa auch wegen Art. 2 BayDSG überhaupt anwendbar ist, ist auch insoweit eine entsprechende Verarbeitung der Daten der jeweiligen Fahrzeugführer wiederum über die vorgenannten Bestimmungen in Art. 6 Abs. 1 Buchst. c und e DSGVO auch ohne Einwilligung der betreffenden Personen gerechtfertigt.


Den Volltext der Entscheidung finden Sie hier:


OLG Frankfurt: Es verstößt nicht gegen Vorgaben der DSGVO wenn Teilnahme an Gewinnspiel von Zustimmung zum Erhalt von Werbung abhängig gemacht wird

OLG Frankfurt
Urteil vom 27.06.2019
6 U 6/19


Das OLG Frankfurt hat entschieden, dass es nicht gegen die Vorgaben der DSGVO verstößt, wenn die Teilnahme an einem Gewinnspiel von der Zustimmung zum Erhalt von Werbung abhängig gemacht wird. Auch in einem solchen Fall ist die Einwilligung "freiwillig" im Sinne der DSGVO.




EuGH: Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für Erhebung und Übermittlung aber nicht für spätere Verarbeitung durch Facebook mitverantwortlich

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,


Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.


Den Volltext der Entscheidung finden Sie hier:



LG Köln: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen sondern Beurteilung von Umfang und Inhalt der gespeicherten personenbezogenen Daten

LG Köln
Teilurteil vom 18.03.2019
26 O 25/18


Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.

Aus den Entscheidungsgründen:

2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.

Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..


Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 unter Berücksichtigung des DSGVO veröffentlicht.


EuGH: Veröffentlichung von Videos bei YouTube kann zulässige Verarbeitung personenbezogener Daten allein zu journalistischen Zwecken gemäß Richtlinie 95/46 sein

EuGH
Urteil vom 14.02.2019
C-345/17


Der EuGH hat entschieden, dass die Veröffentlichung von Videos bei YouTube eine zulässige Verarbeitung personenbezogener Daten allein zu journalistischen Zwecken gemäß Richtlinie 95/46 sein kann.

Tenor der Entscheidung:

1. Art. 3 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass die Aufzeichnung von Polizeibeamten in einer Polizeidienststelle auf Video während der Aufnahme einer Aussage und die Veröffentlichung des so aufgezeichneten Videos auf einer Video-Website, auf der die Nutzer Videos versenden, anschauen und teilen können, in den Anwendungsbereich dieser Richtlinie fällt.

2. Art. 9 der Richtlinie 95/46 ist dahin auszulegen, dass ein Sachverhalt wie der des Ausgangsverfahrens, d. h. die Aufzeichnung von Polizeibeamten in einer Polizeidienststelle auf Video während der Aufnahme einer Aussage und die Veröffentlichung des so aufgezeichneten Videos auf einer Video-Website, auf der die Nutzer Videos versenden, anschauen und teilen können, eine Verarbeitung personenbezogener Daten allein zu journalistischen Zwecken im Sinne dieser Bestimmung darstellen kann, sofern aus diesem Video hervorgeht, dass diese Aufzeichnung und diese Veröffentlichung ausschließlich zum Ziel hatten, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Schwarzwälder Schinken muss nur dann im Schwarzwald geschnitten und verpackt werden wenn dies zur Einhaltung der Vorgaben erforderlich ist

EuGH
Urteil vom 19.12.2018
C‑367/17


Der EuGH hat entschieden, dass Schwarzwälder Schinken nur dann im Schwarzwald geschnitten und verpackt werden muss, wenn dies zur Einhaltung und Kontrolle der Vorgaben der geschützte geografische Angabe erforderlich ist.

Tenor der Entscheidung:

Art. 4 Abs. 2 Buchst. e der Verordnung (EG) Nr. 510/2006 des Rates vom 20. März 2006 zum Schutz von geografischen Angaben und Ursprungsbezeichnungen für Agrarerzeugnisse und Lebensmittel in Verbindung mit Art. 8 der Verordnung (EG) Nr. 1898/2006 der Kommission vom 14. Dezember 2006 mit Durchführungsbestimmungen zur Verordnung Nr. 510/2006 und Art. 7 Abs. 1 Buchst. e der Verordnung (EU) Nr. 1151/2012 des Europäischen Parlaments und des Rates vom 21. November 2012 über Qualitätsregelungen für Agrarerzeugnisse und Lebensmittel sind dahin auszulegen, dass das Erfordernis der Aufmachung eines von einer geschützten geografischen Angabe erfassten Erzeugnisses in dem geografischen Gebiet, in dem es erzeugt wird, gemäß dem besagten Art. 4 Abs. 2 Buchst. e gerechtfertigt ist, wenn es ein erforderliches und verhältnismäßiges Mittel darstellt, um die Qualität des Erzeugnisses zu wahren oder dessen Ursprung oder die Kontrolle der Spezifikation für die geschützte geografische Angabe zu gewährleisten. Es ist Sache des nationalen Gerichts, zu beurteilen, ob dieses Erfordernis, was die geschützte geografische Angabe „Schwarzwälder Schinken“ betrifft, durch eines der vorstehend genannten Ziele gebührend gerechtfertigt ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


LG München: Abmahnfähige Einwilligungs-Klausel wegen Verstoß gegen Art. 6 Abs. 1 DSGVO in AGB eines Online-Dating-Portals

LG München
Urteil vom 11.10.2018
12 O 19277/17


Das LG München hat entschieden, dass die Einwilligungsklausel für die Verarbeitung personenbezogener Daten in den AGB eines Online-Dating gegen Art. 6 Abs. 1 DSGVO verstößt und einen abmahnfähigen Wettbewerbsverstoß darstellt.

Aus den Entscheidungsgründen:

"Im Rahmen des Anmeldevorgangs heißt es auf der Startseite unterhalb einer „Weiter“-Schaltfläche: „Mit meiner Anmeldung erkläre ich mich mit den Nutzungsbedingungen, der Datenschutzerklärung und der Verwendung sowie Weitergabe meiner Daten einverstanden.“

Auf die Anlagen K 2 bis K 4 wird Bezug genommen. In den Nutzungsbedingungen der verschiedenen von der Beklagten betriebenen Plattformen finden sich - jeweils gleichlautend - unter § 2 Abs. 2 unter anderen folgende Passage:
„[...] Der Nutzer erkennt an und stimmt dem ausdrücklich zu, dass ... zur Erleichterung des Einstiegs für neue Nutzer in die Plattform und zur Unterstützung der Kommunikation zwischen den Nutzern, Nachrichten im Namen des Nutzers verschicken kann. [...] Mit der Registrierung bei [Angabe der jeweiligen Plattform] erklärt sich der Nutzer einverstanden auf anderen, thematisch passenden, Seiten des ... Netzwerkes angezeigt zu werden.“

Auf die Anlagen K 5 und K 7 wird Bezug genommen.

Die von der Beklagten für die einzelnen Plattformen verwendete Datenschutzerklärung enthält unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ unter anderem folgende Passage:
„Ich willige ferner ein, dass ... meine personenbezogenen Daten den Kooperationspartnern zur Verfügung stellt, die [Angabe der jeweiligen Plattform] organisatorisch betreuen und vermarkten.“

Auf die Anlagen K 6 und K 8 wird Bezug genommen.

[...]

2. Die Klausel 2 begründet daneben eine rechtswidrige und damit unzulässige Verarbeitung personenbezogener Daten durch die Beklagte.

Durch die Verwendung der Klausel verstößt die Beklagte gegen Art. 6 Abs. 1 DSGVO. Sie erlaubt die Weitergabe personenbezogener Daten an andere Internetplattformen und die Verarbeitung durch diese. An einer wirksamen Einwilligung fehlt es schon deswegen, weil die Klausel unter § 2 Abs. 2 S. 8 der Nutzungsbedingungen nicht Teil der von der Beklagten verwendeten „Einwilligung“ im Bereich „Datenschutz“ (Anlage K 8) ist. Sie ist auch sonst in keiner Weise hervorgehoben. Eine Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO, der eine bewusste Handlung eines informierten Nutzers voraussetzt, liegt damit nicht vor. Zudem fehlt es mangels Nennung der Plattformen, an die Daten weitergegeben werden, sowie mangels Benennung der konkreten Daten, die weitergegeben werden, an einer transparenten Verarbeitung im Sinne des Art. 5 Abs. 1 a) DSGVO. Auch dies führt zur Rechtswidrigkeit und Unwirksamkeit der Klausel.

IV. Auch die in der Datenschutzerklärung der Beklagten (vgl. Anlagen K 6, K 8) unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ enthaltene Klausel 3, wonach der Nutzer einwilligt, dass die Beklagte seine personenbezogenen Daten Kooperationspartnern und Vermarktern zur Verfügung stellt, ist unwirksam.

1. Soweit die Beklagte die Auffassung vertritt, eine Einwilligung des Nutzers sei nicht erforderlich, überzeugt dies nicht. Zum einen geht die Beklagte ausweislich der Überschrift und des Wortlauts ihrer Datenschutzerklärung offenbar selbst davon aus, eine Einwilligung des Nutzers zu benötigen. Zum anderen liegen die Voraussetzungen eines der anderen Erlaubnistatbestände des Art. 6 DSGVO nicht vor. Insbesondere erschließt sich nicht, weshalb die Weitergabe von Daten an irgendwelche „Kooperationspartner“ hier schlicht Werbekunden der Beklagten - zur Erfüllung des Vertrags zwischen dem Nutzer und der Beklagten erforderlich sein sollte (Art. 6 Abs. 1 S. 1 b) DSGVO), oder wie eine solche Weitergabe an Werbekunden die Interessen der Nutzer wahren könnte (Art. 6 Abs. 1 S. 1 f) DSGVO).

2. Die Klausel verstößt gegen geltendes Datenschutzrecht. Eine wirksame Einwilligung des Nutzers nach Art. 6 DSGVO liegt in der streitgegenständlichen Klausel nicht. Die Wirksamkeit einer Einwilligung nach Art. 6 DSGVO setzt voraus, dass diese für den konkreten Fall und in Kenntnis der Sachlage abgegeben wird. Die betroffene Person muss wissen, was mit ihren Daten geschehen soll. Dazu muss sie zunächst wissen, auf welche personenbezogenen Daten sich die Einwilligung bezieht. Unspezifische Pauschal- oder Blankoeinwilligungen sind nicht statthaft (vgl. Schulz in: Gola, DSGVO, 2. Auflage, Rdnr. 34).

Daran fehlt es hier. Die streitgegenständliche Klausel konkretisiert weder, welche genauen personenbezogenen Daten des Nutzers weitergegeben werden. Sie verschweigt auch, wem diese Daten überlassen werden sollen. Die streitgegenständliche Klausel stellt letztlich den Versuch dar, der Beklagten eine pauschale Möglichkeit der Datenweitergabe an nicht näher benannte Vertragspartner zu verschaffen. Dies stellt eine unangemessene Benachteiligung im Sinne des § 307 Abs. 1 S. 1 BGB dar. Die Klausel ist unwirksam.


Den Volltext der Entscheidung finden Sie hier


LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

OLG München: DSGVO steht Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen - Berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit f DGSVO

OLG München
Teilurteil vom 24.10.2018
3 U 1551/17


Das OLG München hat entschieden, dass die Vorgaben der DSGVO einem Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen steht. Insofern greift Art. 6 Abs. 1 Satz 1 lit f DGSVO.

Aus den Entscheidungsgründen:

Soweit die Beklagte die Auffassung vertritt, der Auskunftserteitung stünden Bestimmungen der Datenschutz-Grundverordnung entgegen, ist auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO zu verweisen. Hiernach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein Abwägungsgesichtspunkt ist der Hinweis des europäischen Gesetzgebers in den Erwägungsgründen, dass die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu den Verantwortlichen beruhen, zu berücksichtigen sind (vgl. Erwägungsgrund 47 Satz 1 Halbsatz 2). In Satz 2 wird als Beispiel für eine solche Beziehung genannt, dass der Betroffene ein Kunde des Verantwortlichen ist oder in seinen Diensten steht (BeckOK Datenschutzrecht, 25. Edition, Stand 01.05.2018, Bearbeiter Albers/Veit, DS-GVO, Art. 6, Rn. 48).

Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden. Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin - durch Einsatz der Kräne bzw, Aufbauten - nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.


Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht.


EuGH-Generalanwalt: Betreiber einer Facebook-Fanpage ist neben Facebook datenschutzrechtlich für Erhebung und Verarbeitung personenbezogener Daten verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 24.10.2017
C-434/15
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH,
Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass der Betreiber einer Facebook-Fanpage neben Facebook datenschutzrechtlich für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist. Sollte sich der EuGH dieser Ansicht anschließen, würde dies de facto das Aus für Fanpages bedeuten.

Das Ergebnis des EuGH-Generalanwalts:

Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesverwaltungsgerichts wie folgt zu beantworten:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist dahin auszulegen, dass der Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook ein für die Verarbeitung Verantwortlicher im Sinne dieser Bestimmung hinsichtlich der Phase der Verarbeitung von personenbezogenen Daten ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk im Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken besteht.

2. Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn ein ein soziales Netzwerk betreibendes Unternehmen in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen dieses Unternehmens und diesen Verkauf selbst eine Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der das auf die betreffende Verarbeitung personenbezogener Daten anwendbare nationale Recht dasjenige des Mitgliedstaats einer Kontrollstelle ist, ist Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung dahin auszulegen, dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

4. Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse gegenüber diesem Verantwortlichen selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem dieser Verantwortliche seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.


Die vollständigen Schlussanträge finden Sie hier: