Skip to content

BAG: Zulässige Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO durch Medizinischen Dienst für Gutachten über eigenen Arbeitnehmer

BAG
Urteil vom 20.06.2024
8 AZR 253/20


Das BAG hat entschieden, dass die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO durch einen Medizinischen Dienst für ein Gutachten über den eigenen Arbeitnehmer, dass von einer Krankenkasse beauftragt wurde, zulässig ist.

Die Pressemitteilung des Gerichts:
"Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis - Medizinischer Dienst - Schadenersatz

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO* auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat.

Der beklagte Medizinische Dienst Nordrhein führt ua. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch, und zwar auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. Im letztgenannten Fall ist es – nach den Regelungen in einer zwischen dem Beklagten und dem Personalrat geschlossenen Dienstvereinbarung und einer vom Beklagten erlassenen Dienstanweisung – einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (sog. Organisationseinheit „Spezialfall“), gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Beklagten die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Der Zugriff auf die Daten erfolgt durch den Einsatz personalisierter Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem ua. festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte – in einem „Zugriffskonzept“ namentlich benannte – Mitarbeiter (Assistenzkräfte und Gutachter) der Organisationseinheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienstvereinbarung zugangsberechtigt sind außerdem – wiederum ausschließlich zur Erledigung ihrer Aufgaben – die Mitarbeiter der beim Beklagten standortübergreifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.

Der Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Beklagten mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Eine bei dem Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.

Mit seiner Klage hat der Kläger vom Beklagten die Zahlung von immateriellem Schadenersatz ua. auf der Grundlage von Art. 82 Abs. 1 DSGVO mit der Begründung verlangt, die Verarbeitung seiner Gesundheitsdaten durch den Beklagten sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte – näher ausgeführte – Sorgen und Befürchtungen ausgelöst. Zweitinstanzlich hat der Kläger außerdem im Wege der Leistungs- und der Feststellungsklage materiellen Schadenersatz in Gestalt eines ihm entstandenen bzw. künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend gemacht, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.

Die Vorinstanzen haben die Klage abgewiesen. Die Revision des Klägers blieb vor dem Achten Senat des Bundesarbeitsgerichts erfolglos. Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig. Sie genügte den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21. Dezember 2023 (- C-667/21 – [Krankenversicherung Nordrhein]), um die ihn der Senat durch Beschluss vom 26. August 2021 (- 8 AZR 253/20 (A) -) ersucht hat. Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers iSv. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Das betrifft auch das zwischen der Gutachterin des Beklagten und dem behandelnden Arzt des Klägers geführte Telefonat. Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen. Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO einführen oder aufrechterhalten dürfen, sind im nationalen (deutschen) Recht nicht enthalten. Die Datenverarbeitung durch den Beklagten war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des Klägers – zurückzuführen war.

Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 8 AZR 253/20
Vorinstanz: Landesarbeitsgericht Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19

*Art. 9 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) lautet auszugsweise:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von (…) Gesundheitsdaten (…) einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:
(…)
h) die Verarbeitung ist (…) für die Beurteilung der Arbeitsfähigkeit des Beschäftigten (…) auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats (…) und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
(…)
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.



BVerwG: Art. 79 Abs. 1 DSGVO schließt öffentlich-rechtlichen Unterlassungsanspruch gegen kommunale Videoüberwachung zur Gefahrenabwehr und Gefahrenvorsorge nicht aus

BVerwG
Beschluss vom 02.05.2024
6 B 66.23


Das Bundesverwaltungsgericht hat entschieden, das Art. 79 Abs. 1 DSGVO einen öffentlich-rechtlichen Unterlassungsanspruch gegen die kommunale Videoüberwachung einer Grünfläche zur Gefahrenabwehr und Gefahrenvorsorge nicht ausschließt.

Leitsatz des Gerichts:
Art. 79 Abs. 1 DSGVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus.

Den Volltext der Entscheidung finden Sie hier:

LG Lüneburg: 500 Euro Schadensersatz aus Art . 82 DSGVO wegen Zusendung von Werbemails nach Widerruf der Einwilligung

LG Lüneburg
Urteil vom 07.12.2023
5 O 6/23


Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.

Aus den Entscheidungsgründen:
1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.

3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).

Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).

Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).

Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).

Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.

4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.

5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.

Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:

"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."

Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.

Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.

In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."

Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.

Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.

Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.


Den Volltext der Entscheidung finden Sie hier:

LAG Rheinland-Pfalz: Kein Schadensersatzanspruch aus Art. 82 DSGVO wegen verspäteter Auskunftserteilung nach Art. 15 DSGVO

LAG Rheinland-Pfalz
Urteil vom 08.02.2024
5 Sa 154/23


Das LAG Rheinland-Pfalz hat entschieden, dass eine verspätete Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
In der Sache ist die Berufung der Beklagten begründet; die Anschlussberufung der Klägerin ist unbegründet. Die Beklagte ist nicht verpflichtet, an die Klägerin Schadensersatz zu zahlen. Das erstinstanzliche Urteil ist deshalb aufzuheben und die Klage abzuweisen.

Die Klägerin hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO, weil die Beklagte ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DSGVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Beklagte der Klägerin die nach § 15 Abs. 3 Satz 1 DSGVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat.

1. Die Beklagte hat auf das formelhafte Auskunftsverlangen der Klägerin vom 13. Juli 2022, eingegangen am 14. Juli 2022, nicht innerhalb der Monatsfrist des § 12 Abs. 3 Satz 1 DSGVO geantwortet. Ihre Auskunft vom 30. August 2022 ging erst am 2. September 2022 und damit (unstreitig) verspätet bei der Klägerin ein.

a) Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch.

Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DSGVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DSGVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 Satz 3 der DSGVO der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH 04.05.2023 - C-300/21) auf eine Art und Weise weit ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gemäß Art. 15 Abs. 1 DSGVO als solche sind somit nicht haftungsauslösend (vgl. LAG Düsseldorf 28.11.2023 - 3 Sa 285/23 - PM Nr. 29/2023; LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 78 ff; LAG Hamm 02.12.2022 - 19 Sa 756/22 - Rn. 150 ff mwN).

b) Der von der Klägerin angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar (ebenso LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 82). Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Klägerin bestanden haben soll. Die Beklagte weist zutreffend darauf hin, dass die Daten der Klägerin nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Beklagte - entgegen der Ansicht der Klägerin - im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig.

Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Klägerin über die nicht fristgerechte Antwort der Beklagten auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft (vgl. Schlussanträge des Generalanwalts vom 06.10.2022 im Verfahren C-300/21), um einen immateriellen Schaden annehmen zu können.

Dieses Auslegungsergebnis steht im Einklang mit der Rechtsprechung des EuGH, der in seinem Urteil vom 4. Mai 2023 (Rechtssache C-300/21 Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DSGVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen (Rn. 42). Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv. Art. 82 DSGVO darstellen (Rn. 50).

c) Im Streitfall ist es der Klägerin nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden im Sinne der Norm darzulegen.

Die Klägerin macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit 6 Ca 738/22 (LAG Rheinland-Pfalz 5 Sa 155/23). Dort verlangt sie von der Beklagten ua. ein angemessenes Schmerzensgeld von mindestens € 30.000,00 wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Beklagten auf ihr Auskunftsbegehren betrachtet die Klägerin als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Beklagte habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Klägerin keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Beklagten mit Datum vom 29. Juni 2022 abhebt.

Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 Satz 1 DSGVO um 18 Tage verspätete Antwort der Beklagten auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Halbsatz 2 DSGVO erschöpfte, zu einer „Demütigung “ der Klägerin geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Klägerin ist bei der gebotenen objektiven Betrachtungsweise, d.h. ohne Rücksicht auf das subjektive Empfinden der Klägerin, nicht erkennbar. Soweit die Klägerin geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Beklagten, in der Zeit vom 12. Juli bis 14. September 2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Das Auskunftsverlangen der Klägerin vom 13. Juli 2022 ist bei der Beklagten am 14. Juli 2022 eingegangen, die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO am 15. August 2022 (einem Montag) abgelaufen. Die Arbeitsunfähigkeit der Klägerin begann bereits am 12. Juli 2022. Die verspätete Auskunft der Beklagten kann auf der Zeitschiene für diesen Arbeitsunfähigkeitszeitraum nicht ursächlich gewesen sein. Hinzu kommt, dass die Klägerin behauptet, sie habe aufgrund der beiden Abmahnungen der Beklagten vom 29. Juni 2022 unter starken gesundheitlichen Beeinträchtigungen (ua. Schlafstörungen, Schweißausbrüchen, starkes Unwohlsein) gelitten. Der teils widersprüchliche Sachvortrag der Klägerin ist nicht geeignet, einen Kausalzusammenhang zwischen ihrer psychischen Erkrankung und der nicht fristgerechten Auskunft schlüssig darzulegen. Bei objektiver Betrachtung ist das Auskunftsbegehren der Klägerin eine Reaktion auf die Abmahnung wegen Verletzung des Datenschutzes, und nicht umgekehrt. Das belegt schon die zeitliche Abfolge.

2. Die Beklagte ist nicht zum Schadensersatz verpflichtet, weil sie der Klägerin nicht bereits mit der erteilten Auskunft vom 30. August 2022 die geforderte Datenkopie nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Beklagten.

Die Klägerin hat sich in ihrem schriftlichen Auskunftsbegehren vom 13. Juli 2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Halbsatz 2 DSGVO beschränkt. Ansonsten hat sie - unbestimmt - verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 Satz 1 DSGVO grundsätzlich nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird (vgl. BAG 16.12.2021 - 2 AZR 235/21 - Rn. 33 mwN). Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. Hier hat sich die Beklagte in Ziff. 3 des Teilvergleichs vom 1. Juni 2023 bereit erklärt, der Klägerin (in einem zu vereinbarenden Termin mit ihrem Vorgesetzten) Einsicht in die über sie gespeicherten personenbezogenen Daten zu ermöglichen, wenn ihr „die Klägerin vorher mitteilt, welche genauen Daten sie zu sehen wünscht“. Anders als die Klägerin meint, bestand vor der Konkretisierung ihres Einsichtsbegehrens kein rechtswidriger Zustand. Ihr Vorwurf, die Beklagte habe sie über „viele Monate“ benachteiligt, weil sie ihr mit der Auskunft keine Datenkopie zur Verfügung gestellt hat, ist nicht berechtigt.


Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Werden personenbezogene Daten durch Selbstöffnung des Betroffenen offensichtlich öffentlich erlaubt dies nicht die Verarbeitung zum Zweck der personalisierten Werbung

EuGH-Generalanwalt
Schlussanträge vom 25.04.2024
C-446/21
Offenlegung von Daten gegenüber der Öffentlichkeit
Maximilian Schrems gegen Meta Platforms Ireland Limited, vormals Facebook Ireland Limited


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Selbstöffnung des Betroffenen
zwar dazu führt, dass personenbezogene Daten "offensichtlich öffentlich" sind, dies aber nicht die Verarbeitung zum Zweck der personalisierten Werbung erlaubt.

Die Pressemitteilung des EuGH:
Generalanwalt Rantos: Die öffentliche Äußerung der eigenen sexuellen Orientierung durch den Nutzer eines sozialen Netzwerks macht dieses Datum „offensichtlich öffentlich“, doch erlaubt dies nicht dessen Verarbeitung zum Zweck der personalisierten Werbung

Im Laufe des Jahres 2018 legte Meta Platforms Ireland ihren Nutzern in der Europäischen Union neue Nutzungsbedingungen für Facebook vor. Die Einwilligung zu diesen Bedingungen ist erforderlich, um sich registrieren oder auf von Facebook bereitgestellte Konten und Dienste zugreifen zu können. Herr Maximilian Schrems, ein Facebook-Nutzer und Aktivist im Bereich des Datenschutzes, hat diese Bedingungen akzeptiert. Er habe oft Werbung, die auf homosexuelle Personen abgezielt habe, und Einladungen zu entsprechenden Veranstaltungen erhalten. Diese Werbungen hätten sich nicht unmittelbar auf seine sexuelle Orientierung gestützt, sondern auf die Analyse seiner Interessen. Da er mit der Behandlung seiner Daten unzufrieden war, und diese sogar für rechtswidrig hielt, klagte Herr Schrems vor den österreichischen Gerichten. In der darauffolgenden Zeit erwähnte er öffentlich bei einer Podiumsdiskussion seine sexuelle Orientierung, veröffentlichte darüber aber nichts auf seinem Facebook-Profil.

Der Oberste Gerichtshof hat Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) 1 . Er möchte vom Gerichtshof wissen, ob ein Netzwerk wie Facebook personenbezogene Daten, über die es verfügt, ohne zeitliche Einschränkung für Zwecke der zielgerichteten Werbung analysieren und verarbeiten darf. Des Weiteren fragt er den Gerichtshof, ob eine Äußerung einer Person über die eigene sexuelle Orientierung anlässlich einer Podiumsdiskussion die Verarbeitung von anderen diesbezüglichen Daten zu dem Zweck erlaubt, dieser Person personalisierte Werbung anzubieten.

Zur ersten Frage schlägt Generalanwalt Athanasios Rantos dem Gerichtshof vor, zu entscheiden, dass die DSGVO dem entgegenstehe, dass personenbezogene Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach der Zeit verarbeitet würden. Das nationale Gericht habe auf der Grundlage insbesondere des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt seien. Zur zweiten Frage vertritt der Generalanwalt vorbehaltlich der dem Obersten Gerichtshof obliegenden Sachprüfungen die Ansicht, dass der Umstand, dass sich Herr Schrems bei einer öffentlichen Podiumsdiskussion in vollem Bewusstsein über die eigene sexuelle Orientierung geäußert habe, eine Handlung darstellen könne, mit der er dieses Datum im Sinne der DSGVO „offensichtlich öffentlich gemacht“ habe. Er weist darauf hin, dass Daten über die sexuelle Orientierung zwar in die Kategorie besonders geschützter Daten fielen, für die ein Verarbeitungsverbot gelte, doch gelte dieses Verbot dann nicht, wenn diese Daten von der betroffenen Person offensichtlich öffentlich gemacht worden seien. Eine solche Stellungnahme erlaube jedoch für sich genommen nicht die Verarbeitung zum Zweck der personalisierten Werbung.


Das Ergebnis der Schlussantraäge:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,

– dass er der Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegensteht und

– dass es Sache des vorlegenden Gerichts ist, unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sind.

2. Art. 5 Abs. 1 Buchst. b in Verbindung mit Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen,

– dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer öffentlichen Podiumsdiskussion zwar eine Handlung darstellen kann, mit der die betroffene Person dieses Datum im Sinne von Art. 9 Abs. 2 Buchst. e dieser Verordnung „offensichtlich öffentlich gemacht“ hat, jedoch für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung erlaubt.

Die vollständigen Schlussanträge finden Sie hier:

LAG Düsseldorf: Kein Schadensersatzanspruch aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 DSGVO

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23


Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person



(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.



Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.



(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"


BVerwG: Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform - keine anonymen IFG-Anfragen

BVerwG
Urteil vom 20.03.2024
6 C 8.22


Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.

Die Pressemitteilung des Gerichts:
Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz

Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.

Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.

Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).

Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.

BVerwG 6 C 8.22 - Urteil vom 20. März 2024

Vorinstanzen:
OVG Münster, OVG 16 A 857/21 - Urteil vom 15. Juni 2022 -
VG Köln, VG 13 K 1190/20 - Urteil vom 18. März 2021 -


BFH: Juristische Personen haben keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO

BFH
Beschluss vom 08.02.Februar 2024
IX B 113/22

Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.

Aus den Entscheidungsgründen:
2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.

a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).

b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).

Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.

c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.

d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.

3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.

a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.

b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.

c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.


Den Volltext der Entscheidung finden Sie hier:


BayVGH: Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig

BayVGH
Beschluss vom 15.02.2023
4 CE 23.2267


Der BayVGH hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig ist.

Die Pressemitteilung des Gerichts:
BayVGH: Drohnenbefliegung eines Wohngrundstücks zur Beitragserhebung ist rechtswidrig

Mit Beschluss vom 15. Februar 2024 hat der Bayerische Verwaltungsgerichtshof (BayVGH) die Beschwerde der Stadt Neumarkt-Sankt Veit im Landkreis Mühldorf am Inn zurückgewiesen und die geplante Drohnenbefliegung eines Wohngrundstücks zur Ermittlung der Geschossfläche als rechtswidrig eingestuft.

Die Stadt Neumarkt-Sankt Veit plante ursprünglich für Oktober 2023 eine Drohnenbefliegung verschiedener Wohngrundstücke, um die Geschossfläche der dort vorhandenen Gebäude zu bestimmen. Die dadurch erlangten Daten sollten zur Berechnung des sog. Herstellungsbeitrags dienen, der für den Anschluss von Grundstücken an die gemeindliche Abwasserentsorgung erhoben wird. Nachdem der Antragsteller, dem ein Wohngrundstück im Stadtgebiet gehört, über die geplante Drohnenbefliegung informiert worden war, wandte er sich an das Verwaltungsgericht München, das seinem Eilantrag stattgab. Gegen diesen Beschluss legte die Stadt Beschwerde zum BayVGH ein.

Der BayVGH wies die Beschwerde der Stadt zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würden.

Der Beschluss des BayVGH ist unanfechtbar.

(BayVGH, Beschluss vom 15. Februar 2024, Az.: 4 CE 23.2267)



KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung verstößt gegen DSGVO

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

OLG Hamburg: 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen

OLG Hamburg
Urteil vom 10.01.2024
13 U 70/23

Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.

Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.

Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.

Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.

Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.

Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.

Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.

Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.



ArbG Suhl: Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail verstößt gegen Art. 5 DSGVO - Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eins konkreten Schadens

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23


Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“


Den Volltext der Entscheidung finden Sie hier:


VG München: DSGVO-Verstoß durch Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung

VG München
Beschluss vom 22.11.2023
M 7 E 23.5047


Das VG München hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung nicht mit der DSGVO vereinbar ist.

Aus den Entscheidungsgründen:
3. Auch aus dem unionalen und nationalen Datenschutzrecht dürfte keine Ermächtigung zur Durchführung der streitgegenständlichen Maßnahmen folgen.

Der Anwendungsbereich der DSGVO ist eröffnet, da es sich bei den Informationen, die durch die streitgegenständlichen Maßnahmen erhoben werden sollen, um personenbezogene Informationen i. S. v. Art. 4 Nrn. 1 und 2 DSGVO handelt. Ein Personenbezug liegt nicht nur dann vor, wenn die Maßnahmen Personen möglicherweise (mit-)aufzeichnen, was hier durchaus im Bereich des Möglichen liegen könnte (vgl. OVG Saarl, U.v. 14.9.2017 ‒ 2 A 213/16 ‒ juris Rn. 23). Selbst wenn durch die streitgegenständlichen Maßnahmen tatsächlich keine Person mitaufgezeichnet würde, liegt der Personenbezug jedoch gleichwohl vor. Gemäß Art. 4 Nr. 1 DSGVO bezeichnen „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten etc. identifiziert werden kann. Die Informationen erfüllen die jeweils eigenständig zu prüfenden Merkmale (vgl. Klar/Kühling in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 4 Rn. 11) des Personenbezugs und der Identifizierbarkeit der Person. Bei den bildlichen Aufzeichnungen und ihrer anschließenden Auswertung insbesondere durch Erstellen von Modellen handelt sich nicht um Sachdaten, sondern um Informationen, die sich auf eine natürliche Person beziehen. Wenn in der Information über eine Sache aufgrund individualisierender Identifikationsmerkmale, des Detaillierungsgrads oder der Einzigartigkeit der Sache ein Personenbezug angelegt ist, handelt es sich um ein personenbezogenes Datum (vgl. Klar/Kühling a.a.O. Rn. 13). Der Personenbezug ergibt sich bei den streitgegenständlichen Maßnahmen aus mehreren Erwägungen. Es handelt sich bei den bildlichen Aufzeichnungen von Grundstücken (und daraus erstellten Modellen) nicht lediglich um Sachdaten, sondern um personenbezogene Daten. Der Personenbezug ergibt sich aus der Georeferenziertheit der Daten und der nachträglichen Bearbeitung der Daten durch den Ingenieurdienstleister. Die bildlichen Aufzeichnungen („Rohdaten“) zeigen stets auch die exakten Positionsdaten der Drohne wie die Flughöhe im Augenblick des Bildes, die geographische Lagebestimmung, die Aufnahmerichtung und den Neigungswinkel an. Auch die nachträgliche Verknüpfung der bildlichen Aufzeichnung mit den Informationen wie Name, Anschrift und Flurstücknummer stellt den Personenbezug i. S. v. Art. 4 Nr. 1 DSGVO her (ausdrücklich für die Anschrift als individualisierendes Identifikationsmerkmal Klar/Kühling a.a.O. Rn. 13). Zudem weisen die beabsichtigten Aufnahmen einen hohen Detailgrad auf und es handelt sich bei den aufzuzeichnenden Informationen um Wohngrundstücke. Die Aufzeichnungen sollen u. a. Terrassen und Balkone erfassen. Durch (leicht) seitliche Aufnahmen werden bei dem beabsichtigten Vorgehen auch Fenster zu (Wohn-)Räumen erfasst. Auch wenn man zu Gunsten der Antragsgegnerin von einem Detailgrad von drei Zentimetern ausgeht, könnten konkrete Details der Wohnverhältnisse erfasst werden. Auf nicht-überdachten Flächen wie Terrassen könnten Gegenstände von einer Größe über drei Zentimeter erfasst werden. Unter überdachten Flächen ist die Aufzeichnung der Wohnverhältnisse nicht ausgeschlossen. Die (leicht) seitliche Perspektive würde auch das Erfassen der Wohnverhältnisse in der Nähe eines Fensters oder einer Glastür ermöglichen. Wie weit durch die seitliche Perspektive der Einblick in Fenster und Glastüren ermöglicht wird, hängt von der konkreten Flugroute, während der Aufzeichnungen angefertigt werden, sowie von der vorhandenen Bebauung, dem Abstand zwischen den Gebäuden und dem Baumbestand ab. Je größer der Abstand zwischen zwei Wohngebäuden und je geringer der Baumbestand wäre, desto umfassender wären die möglichen Aufzeichnungen der Wohnverhältnisse. Ob der Ingenieurdienstleister die Grundstücke einzelnen befliegt oder eine zusammenhängende Befliegung mehrerer benachbarter Grundstücke „am Stück“ bei durchgehender Aufzeichnung vornimmt, kann zumindest im Eilverfahren offenbleiben. Bei lebensnaher Betrachtung ergeben sich die Vorzüge der Drohnenbefliegung gegenüber anderen Möglichkeiten der Geschossflächenermittlung indes daraus, dass in einem oder wenigen einheitlichen Vorgängen eine Vielzahl von Grundstücken erfasst wird. Bei durchgehender Aufzeichnung während der Befliegung wäre eine besonders weitreichende Aufzeichnung der Wohnverhältnisse durch Fenster und Glastüren möglich. Der Antragsteller ist durch die verarbeiteten Informationen auch identifizierbar. Ausgehend von den durch den Ingenieurdienstleister erstellten Modellen und Plänen folgt die Identität des Antragstellers unmittelbar aus der Information selbst. Mit Blick auf die Rohdaten wie bspw. „Orthofotos“ ist der Antragsteller zumindest unter Zuhilfenahme weiterer Informationen identifizierbar.

Die Verarbeitung personenbezogener Daten dürfte auch nicht gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO i. V. m. Art. 4 Abs. 1 BayDSG rechtmäßig sein.

Richtet sich die Datenverarbeitung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO nach dem Recht der Mitgliedstaaten, handelt es sich bei Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO nicht um die Rechtsgrundlage zur Datenverarbeitung, sondern um eine Vorschrift mit Richtliniencharakter. Die eigentliche Legitimationsgrundlage muss im (unionalen oder) nationalen Recht geregelt sein. Für öffentliche Stellen der Länder ist gemäß § 1 Abs. 1 Satz 1 BDSG der Anwendungsbereich des Bayerischen Landesdatenschutzgesetzes eröffnet, vgl. auch Art. 1 Abs. 1 Satz 1 BayDSG. Die von Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO vorausgesetzte Rechtsgrundlage ist Art. 4 Abs. 1 BayDSG (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 3; Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 73).

Die streitgegenständlichen Maßnahmen dürften nicht gemäß Art. 4 Abs. 1 BayDSG zur Erfüllung einer der Antragsgegnerin obliegenden Aufgabe erforderlich sein. Da es sich bei Art. 4 Abs. 1 BayDSG um eine Durchführungsvorschrift handelt, richtet sich die Bestimmung der Begriffe „Aufgabe“ und „Erforderlichkeit“ nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Art. 23 Abs. 1 Buchst. a bis Buchst. e DSGVO (vgl. vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 6). Die Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung fällt unter den Auffangtatbestand von Art. 23 Abs. 1 Buchst. e DSGVO (vgl. Bäcker in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, Art. 23 Rn. 22) als wichtiges Ziel des allgemeinen öffentlichen Interesses. Wirtschaftliche und finanzielle Interessen werden von Art. 23 Abs. 1 Buchst. e DSGVO explizit aufgeführt.

Die streitgegenständlichen Maßnahmen dürften jedoch nicht zur Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung erforderlich sein. Bei dem Kriterium der Erforderlichkeit handelt es sich um einen autonomen Begriff des Unionsrechts (vgl. Albers/Veit in Wolff/Brink/v.Ungern-Sternberg, BeckOK Datenschutzrecht, 45. Edition, DSGVO Art. 6 Rn. 60). Die Voraussetzung der Erforderlichkeit stellt sicher, dass der Verantwortliche ein vorgegebenes Ziel nicht zum Anlass nimmt, überschießend personenbezogene Daten zu verarbeiten (vgl. Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 118, 81). Gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist eine Datenverarbeitung erforderlich, wenn ohne die Verarbeitung die Erreichung des Zwecks nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte. Nach Erwägungsgrund 39 zur DSGVO sollten personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Ob Aufwand und Zeit angemessen sind, beurteilt sich nach einer Güterabwägung, in die einerseits die Schutzwürdigkeit der personenbezogenen Daten und andererseits der Verarbeitungszweck einzustellen ist (vgl. Wilde/Ehmann/Niese/Knoblauch in Datenschutz in Bayern, Stand Juni 2018, DSGVO Art. 6 Rn. 35).

Die streitgegenständlichen Maßnahmen dürften nicht erforderlich in diesem Sinne sein. Entgegen dem Vortrag der Antragsgegnerin dürften andere Verfahrensmöglichkeiten bestehen, mit denen der Zweck der Datenverarbeitung auch in zumutbarer Weise zu erreichen ist. So hat auch die Antragsgegnerin neben dem Befliegungsverfahren weitere Verfahrensmöglichkeiten zur Ermittlung der Geschossfläche in Betracht gezogen: die Grundstücksbegehung und das Selbstauskunftsverfahren.

Das Selbstauskunftsverfahren dürfte den Zweck hinlänglich, mit angemessenem Aufwand und in der angemessenen Zeit erreichen können. Es ist davon auszugehen, dass bei der letzten Beitragserhebung in 1995 über das Selbstauskunftsverfahren oder ein anderes geeignetes Verfahren ohne Befliegung und Aufzeichnung die Geschossflächenermittlung erfolgreich umgesetzt wurde. Es ist nicht ersichtlich, dass die Berechnung der Geschossfläche deutlich komplizierter wäre als die Berechnung der Wohnfläche. Der Großteil der Grundstückseigentümer dürfte bereits in der Grundsteuererklärung die Berechnung der Grundstücksfläche und ggf. der Wohnfläche vorgenommen haben und mit dem Selbstauskunftsverfahren vertraut sein. Zwar handelt es sich bei der Geschossfläche um einen anderen Wert als den der Wohnfläche, es dürfte sich jedoch bei beiden Flächen um Werte handeln, die ggf. durch händisches Messen der Bebauung unter Berücksichtigung des normativen Rahmens zu ermitteln sind. Die im Internet frei verfügbaren Berechnungshilfen für die Wohnfläche einerseits und die Geschossfläche andererseits dürften mit Blick auf ihre Anforderungen und die Komplexität des Vorhabens vergleichbar sein. Es ist auch nicht ersichtlich, weshalb bei der Ermittlung der Geschossfläche im Selbstauskunftsverfahren mit erheblichen Unrichtigkeiten und eventuell auch falschen Angaben gerechnet werden müsste. Bei Ermittlung der für die Herstellungsbeiträge erforderlichen Geschossfläche dürfte wie bei Ermittlung der für die Grundsteuer erforderlichen Wohnfläche (und anderen Angaben) davon auszugehen sein, dass die Beitragspflichtigen wie auch die Steuerpflichtigen wahrheitsgemäße Angaben machen, wovon die Antragsgegnerin grundsätzlich ausgehen können dürfte. Es liegen keine konkreten Anhaltspunkte dafür vor, dass die Antragsgegnerin bei Ermittlung der Werte im Selbstauskunftsverfahren in erheblichem Umfang mit bewussten oder unbewussten Falschangaben rechnen müsste. Die Antragsgegnerin hat in diesem Zusammenhang lediglich Vermutungen geäußert, ohne diese durch weiteren Vortrag plausibel zu belegen. Ob bspw. bei der letzten Erhebung des Beitrags und der dabei erfolgenden Geschossflächenermittlung Falschauskünfte zu verzeichnen waren, wurde nicht vorgetragen.

Das Selbstauskunftsverfahren dürfte auch mit angemessenem Aufwand und in der angemessenen Zeit durchführbar sein. Dies indiziert bereits ein der Antragsgegnerin vorliegendes Angebot einer anderen Kommunalberatung zur Kalkulation der Beiträge und Gebühren vom 23. Mai 2023, die ebenfalls mit einem (anderen) Ingenieurdienstleister zur Datenerhebung kooperiert. Nach dem Angebot dieses Ingenieurdienstleisters vom 19. Mai 2023 wurde zur Ermittlung der beitrags- und gebührenrelevanten Flächen vorgeschlagen, entweder auf die kostenpflichtig zu erwerbenden Bilder des Landesvermessungsamts zurückzugreifen und eine (lediglich ergänzende) Selbstauskunft durchzuführen („Alternative 1“) oder auf Grundlage des Amtlichen Liegenschaftskatasters ein reines Selbstauskunftsverfahren („Alternative 2“) durchzuführen. Für das als „Alternative 1“ bezeichnete Verfahren wurde wegen des geringen Baumbestands in der Gemarkung der Antragsgegnerin entgegen der üblichen Vorgehensweise vorgeschlagen, die Luftbilder des Landesvermessungsamtes zu erwerben. Auf dieser Grundlage würden die beitrags- und gebührenrelevanten Flächen ermittelt. Dadurch könnte direkt nach Erwerb der Luftbilder und damit deutlich schneller mit der Datenauswertung begonnen werden. Auch die Vorgehensweise in einem reinen Selbstauskunftsverfahren könnte in angemessener Zeit durchgeführt werden. Um die Rückgabe der Selbstauskunftsformulare zu beschleunigen, stünden der Antragsgegnerin verschiedene Möglichkeiten offen. Sie könnte Fristen setzen, Mahnungen aussprechen, Verspätungszuschläge erheben oder bei Einreichung innerhalb einer genannten Frist eine Reduzierung des Guthabens in Aussicht stellen. Auch der finanzielle Aufwand dürfte sowohl bei dem Rückgriff auf die Bilder des Landesvermessungsamtes als auch bei einem reinen Selbstauskunftsverfahren für die Antragsgegnerin und die Beitragspflichtigen nicht höher, sondern vielmehr niedriger sein.

Gegen die Rechtmäßigkeit der Datenverarbeitung durch die streitgegenständlichen Maßnahmen spricht auch der Grundsatz der Speicherbegrenzung. Nach Art. 5 Abs. 1 Buchst. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der Betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für welche diese verarbeitet werden, erforderlich ist. Aus dem Grundsatz der Speicherbegrenzung folgt das Verbot der Datenerhebung und Datenspeicherung auf Vorrat (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand April 2023, DSGVO Art. 6 Rn. 36). Ist bei der Erhebung nicht absehbar, zu welchem Zweck sie irgendwann einmal benutzt werden könnten, handelt es sich um Datenerhebung und Speicherung auf Vorrat. Sofern die Antragsgegnerin mit der Datenerhebung weitere, zusätzliche Zwecke verfolgt wie die Ermittlung von Gebäudehöhen, Firsthöhen und Dachneigungen, rechtfertigen diese Zwecke die konkrete Datenerhebung und -speicherung nicht.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier: