Das BVerwG hat entschieden, dass die Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt und damit unzulässig ist.
Die Pressemitteilung des Gerichts: Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne (mutmaßliche) Einwilligung unzulässig
Wer in allgemein zugänglichen Verzeichnissen veröffentlichte Telefonnummern von Zahnarztpraxen erhebt und speichert, um unter Nutzung dieser Daten Telefonwerbung zu betreiben, kann sich nicht auf den in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Erlaubnistatbestand der Wahrung berechtigter Interessen berufen, sofern nicht eine zumindest mutmaßliche Einwilligung der betroffenen Zahnärzte im Sinne des § 7 Abs. 2 Nr. 1 UWG vorliegt. Dies hat das Bundesverwaltungsgericht in Leipzig heute entschieden.
Die Klägerin kauft Edelmetallreste von Zahnarztpraxen an. Hierzu erhebt sie aus öffentlich zugänglichen Verzeichnissen - wie z.B. den Gelben Seiten - Namen und Vornamen des Praxisinhabers sowie die Praxisanschrift nebst Telefonnummer. Die von ihr gespeicherten Kontaktdaten nutzt sie, um durch Telefonanrufe bei den Zahnarztpraxen in Erfahrung zu bringen, ob die Angerufenen Edelmetalle an sie verkaufen möchten.
Im Januar 2017 ordnete die beklagte saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit auf der Grundlage des Bundesdatenschutzgesetzes in der damals geltenden Fassung gegenüber der Klägerin an, die für den Zweck einer telefonischen Werbeansprache erfolgende Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Inhabern von Zahnarztpraxen einzustellen, sofern nicht eine Einwilligung des Betroffenen vorliegt oder bereits ein Geschäftsverhältnis mit ihm besteht. Nach rechtskräftiger Abweisung ihrer Klage beantragte die Klägerin bei der Beklagten unter Hinweis auf die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung erfolglos die Aufhebung des Bescheids vom Januar 2017.
Die hierauf vor dem Verwaltungsgericht des Saarlandes erhobene Verpflichtungsklage hatte keinen Erfolg. Das Oberverwaltungsgericht des Saarlandes wies die Berufung der Klägerin mit der Begründung zurück, ein Wiederaufnahmegrund nach § 51 Abs. 1 Nr. 1 SVwVfG liege nicht vor. Durch die Datenschutzgrundverordnung habe sich die Rechtslage nicht zu Gunsten der Klägerin geändert. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, der nunmehr eine Interessenabwägung vorsehe, könne nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Denn die telefonische Werbeansprache entspreche mangels einer zumindest mutmaßlichen Einwilligung der angesprochenen Zahnärzte nicht den Anforderungen des § 7 Abs. 2 Nr. 1 UWG. Werde die Anwendbarkeit des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO unterstellt, bestünde unter Berücksichtigung der Wertungen des § 7 Abs. 2 Nr. 1 UWG kein berechtigtes Interesse der Klägerin.
Das Bundesverwaltungsgericht hat die Revision der Klägerin zurückgewiesen. Zwar ist der Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO entgegen der Auffassung der Vorinstanz hier grundsätzlich anwendbar. Bei der Beurteilung, ob die Datenverarbeitung zur Wahrung eines „berechtigten Interesses" im Sinne dieser Bestimmung erfolgt, sind jedoch die Wertungen des § 7 Abs. 2 Nr. 1 UWG zu berücksichtigen. Ob dies generell für Bestimmungen des nationalen Rechts gilt, die keinen datenschutzspezifischen Gehalt haben, musste das Bundesverwaltungsgericht nicht entscheiden. Denn mit § 7 UWG hat der deutsche Gesetzgeber die in Art. 13 der Richtlinie 2002/58/EG enthaltenen Vorgaben zum Schutz der Privatsphäre der Betroffenen vor unverlangt auf elektronischem Weg zugesandter Werbung umgesetzt. Es widerspräche daher dem Grundsatz der Einheit der Unionsrechtsordnung, wenn diese lauterkeitsrechtlichen Wertungen bei der Konkretisierung des berechtigten Interesses im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO außer Betracht bleiben müssten.
Hiervon ausgehend fehlt es der Klägerin an einem berechtigten Interesse im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, weil der von ihr verfolgte Zweck der Datenverarbeitung gegen § 7 Abs. 2 Nr. 1 UWG verstößt. Bei den Telefonanrufen, mit denen die Klägerin die Bereitschaft der angerufenen Zahnärzte zum Verkauf von Edelmetallen in Erfahrung zu bringen sucht, handelt es sich um Werbung im Sinne dieser Bestimmung. Da die von der Klägerin angesprochenen Inhaber von Zahnarztpraxen in dem hier vorliegenden Kontext als sonstige Marktteilnehmer zu qualifizieren sind, ist eine zur Unzulässigkeit der Werbeanrufe führende unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG anzunehmen, wenn nicht zumindest eine mutmaßliche Einwilligung vorliegt. Diese wird durch ein sachliches Interesse der Anzurufenden an der Telefonwerbung indiziert. Auf der Grundlage der für das Bundesverwaltungsgericht bindenden tatsächlichen Feststellungen des Oberverwaltungsgerichts ist diese Voraussetzung nicht erfüllt. Denn danach dient die Veröffentlichung der Telefonnummern der Zahnärzte in öffentlich zugänglichen Verzeichnissen ausschließlich dazu, die Erreichbarkeit für Patienten zu gewährleisten. Zudem hat das Oberverwaltungsgericht festgestellt, dass der Verkauf von Edelmetallresten zur Gewinnerzielung weder typisch noch wesentlich für die Tätigkeit eines Zahnarztes ist.
Schließlich hat die Klägerin nicht deshalb einen Anspruch auf eine erneute Sachentscheidung, weil es an einer auf die nunmehr geltende Rechtslage bezogenen Ermessensausübung der Beklagten fehlen würde. Denn das der Aufsichtsbehörde hinsichtlich der Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO grundsätzlich eingeräumte Ermessen ist im vorliegenden Fall dahingehend reduziert, dass nur ein Verbot gemäß Art. 58 Abs. 2 Buchst. f DSGVO geeignet, erforderlich und verhältnismäßig ist, um dem festgestellten Verstoß gegen die DSGVO abzuhelfen.
Da BAG hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch eine vom Arbeitsgeber beauftragte Detektei zur Bewertung des Gesundheitszustandes des Arbeitnehmers besteht.
Leitsatz des BAG:
Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.
Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.
Die Pressemitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines LinkedIn Ireland €310 million
The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.
The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decision records the following findings of infringement of the GDPR:
Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:
“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”
The DPC will publish the full decision and further related information in due course.
Summary of LinkedIn Decision Infographic
Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.
This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).
The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.
The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.
Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.
The DPC’s final decision exercised the following corrective powers:
a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).
EuGH
Urteil vom 04.10.2024 C-446/21
Maximilian Schrems gegen Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd
(Mitteilung von Daten an die breite Öffentlichkeit)
Der EuGH hat entschieden, dass ein soziales Netzwerk personenbezogene Daten nich unbegrenzt für Zwecke der zielgerichteten Werbung aggregieren, analysieren und verarbeiten darf.
Tenor der Entscheidung:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.
2. Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.
Die Pressemitteilung des EuGH: Ein soziales Online-Netzwerk wie Facebook darf nicht sämtliche personenbezogenen Daten, die es für Zwecke der zielgerichteten Werbung erhalten hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden
Der Umstand, dass Herr Maximilian Schrems bei einer öffentlichen Podiumsdiskussion seine sexuelle Orientierung mitgeteilt hat, gestattet dem Betreiber einer Online-Plattform für ein soziales Netzwerk nicht, andere Daten über die sexuelle Orientierung von Herrn Schrems zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um Herrn Schrems personalisierte Werbung anzubieten.
Herr Maximilian Schrems wendet sich vor den österreichischen Gerichten gegen die seiner Ansicht nach rechtswidrige Verarbeitung seiner personenbezogenen Daten durch Meta Platforms Ireland im Rahmen des sozialen Online-Netzwerks Facebook. Dabei geht es u. a. um Daten zu seiner sexuellen Orientierung.
Meta Platforms erhebt personenbezogene Daten der Nutzer von Facebook, darunter Herr Schrems, über deren Tätigkeiten innerhalb und außerhalb dieses sozialen Netzwerks. Dazu gehören u. a. Daten über den Abruf der Online-Plattform sowie von Websites und Anwendungen Dritter. Zu diesem Zweck verwendet Meta Platforms auf den betreffenden Websites eingebaute „Cookies“ , „Social Plugins“ und „Pixel“ .
Meta Platforms kann anhand der ihr zur Verfügung stehenden Daten auch das Interesse von Herrn Schrems an sensiblen Themen wie sexuelle Orientierung erkennen, was es ihr ermöglicht, hierzu zielgerichtete Werbung4 an ihn zu richten. Somit stellt sich die Frage, ob Herr Schrems ihn betreffende sensible personenbezogene Daten dadurch offensichtlich öffentlich gemacht hat, dass er bei einer öffentlichen Podiumsdiskussion die Tatsache, dass er homosexuell sei, mitgeteilt und somit die Verarbeitung dieser Daten gemäß der Datenschutz-Grundverordnung (DSGVO) genehmigt hat.
In diesem Kontext hat der österreichische Oberste Gerichtshof den Gerichtshof um Auslegung der DSGVO ersucht .
Erstens antwortet der Gerichtshof, dass der in der DSGVO festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Online-Plattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.
Zweitens ist es nach Auffassung des Gerichtshofs nicht ausgeschlossen, dass Herr Schrems durch seine Aussage bei der fraglichen Podiumsdiskussion seine sexuelle Orientierung offensichtlich öffentlich gemacht hat. Es ist Sache des österreichischen Obersten Gerichtshofs, dies zu beurteilen.
Der Umstand, dass eine betroffene Person Daten zu ihrer sexuellen Orientierung offensichtlich öffentlich gemacht hat, führt dazu, dass diese Daten unter Einhaltung der Vorschriften der DSGVO verarbeitet werden können. Dieser Umstand allein berechtigt jedoch nicht, andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen.
Somit gestattet der Umstand, dass sich eine Person bei einer öffentlichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Online-Plattform für ein soziales Netzwerk nicht, andere Daten über ihre sexuelle Orientierung zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.
Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.
Aus den Entscheidungsgründen: Die Klage ist nur teilweise zulässig.
I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.
II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.
III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.
IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.
V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.
VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.
VII. Im Übrigen ist die Klage zulässig.
B.
Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.
Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.
II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.
1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.
2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.
III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.
1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.
2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.
3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.
a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.
b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.
d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.
4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.
5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.
6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.
IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“
So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.
V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.
1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.
2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.
3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.
VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.
VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.
OLG Stuttgart
Hinweisbeschluss vom 02.02.2024 2 U 63/22
Das OLG Stuttgart hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass die Übersendung von Werbung per Briefpost ohne vorherige Einwilligung des Empfängers auch mit den Vorgaben der DSGVO vereinbar ist
Aus den Entscheidungsgründen: Der Senat ist einstimmig der Auffassung, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat, der Rechtssache auch keine grundsätzliche Bedeutung zukommt, weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und die Durchführung einer mündlichen Verhandlung über die Berufung nicht geboten ist.
Das Landgericht hat zutreffend einen Anspruch des Klägers auf Schadensersatz abgewiesen. Auf die überzeugende Begründung des Landgerichts wird zur Vermeidung von Wiederholungen verwiesen.
I. Insbesondere hat das Landgericht zutreffend und überzeugend herausgearbeitet, dass sowohl die Erhebung der öffentlich zugänglichen Daten als auch die der Übersendung des Werbeschreibens zugrundeliegende Verarbeitung der Daten in Übereinstimmung mit Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO erfolgte.
Entgegen der Auffassung der Berufung ist für die Rechtmäßigkeit einer Direktwerbung nicht Voraussetzung, dass bereits eine Kundenbeziehung besteht. Bei seiner Auslegung des Artikels 6 Absatz 1 Satz 1 lit. f DS-GVO hat das Landgericht überzeugend den Erwägungsgrund Nr. 47 herangezogen, der die Direktwerbung beispielhaft als berechtigtes Interesse im Sinne der genannten Norm anerkennt. Unter diesem Begriff versteht die Verordnung – etwa in Artikel 21 Absatz 2 DS-GVO – jede unmittelbare Ansprache der betroffenen Person, etwa durch Zusendung von Briefen (Buchner/Petri in: Kühling/Buchner, DS-GVO, 4. Aufl. 2024, Artikel 21 DS-GVO Rn. 26). Weder aus Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO noch aus den Erwägungsgründen ergeben sich Anhaltspunkte dafür, dass die Direktwerbung nur innerhalb einer bestehenden Kundenbeziehung als berechtigtes Interesse anerkannt wird. Unter dem Begriff der berechtigten Interessen sind vielmehr sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (OVG Lüneburg, Beschluss vom 19. Januar 2021 – 11 LA 16/20, juris Rn. 16), die auch außerhalb oder im Vorfeld einer Kundenbeziehung liegen können. Zutreffend hat das Landgericht auch gesehen, dass das berechtigte Interesse eines Dritten – hier das Interesse der X. Lebensversicherung AG an der Verteilung der Werbebotschaft – dem Interesse des Beklagten als Verantwortlichen gleichsteht.
Weiter hat das Landgericht überzeugend herausgearbeitet, dass die Verarbeitung der personenbezogenen Daten erforderlich war. Insbesondere steht der Erforderlichkeit nicht der Einwand der Berufung entgegen, dass auch eine Übersendung der Werbung per elektronischer Post möglich wäre. Zwar sollen personenbezogene Daten nicht verarbeitet werden, wenn der Zweck der Verarbeitung in zumutbarer Weise durch andere Mittel erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 108). Dabei kann der Kläger die Beklagte allerdings nicht darauf verweisen, die Zusendung elektronischer Nachrichten sei weniger belastend für Betroffene. Nach der Wertung der deutschen Rechtsordnung stellt die Versendung elektronischer Nachrichten ohne vorherige ausdrückliche Einwilligung vielmehr eine unzumutbare Belästigung dar (vgl. § 7 Absatz 2 Nr. 2 UWG), während die Zusendung eines Briefes mit einer sofort als Werbung erkennbaren Botschaft als zulässig bewertet wird (BGH, Urteil vom 30. April 1992 – I ZR 287/90, juris Rn. 14 – Briefwerbung; BGH, Urteil vom 3. März 2011 – I ZR 167/09, juris Rn. 19 – Kreditkartenübersendung).
Weiter hat das Landgericht auch überzeugend die Interessen der Streitparteien miteinander abgewogen und ist zutreffend davon ausgegangen, dass die Interessen, Grundrechte und Grundfreiheiten des Klägers die Interessen der Beklagten und ihrer Auftraggeberin jedenfalls nicht überwiegen. Alleine das Interesse des Klägers, keine Werbung zu erhalten, führt nicht zu einer ihm günstigen Interessenabwägung. Erst wenn er einen Widerspruch erhebt, ist die künftige Direktwerbung unzulässig (Artikel 21 Absatz 2 DS-GVO).
II. Zutreffend hat das Landgericht auch die weiteren gerügten Handlungen nicht als Verstöße gegen die Datenschutz-Grundverordnung bewertet. Insbesondere wurde der Kläger ganz offenkundig nicht im Sinne von Artikel 22 Absatz 1 DS-GVO einer ihm gegenüber verbindlichen oder erheblich beeinträchtigenden Entscheidung unterworfen, die auf einer automatisierten Verarbeitung seiner Daten getroffen wurde (sog. Profiling). Eine derartige beeinträchtigende Entscheidung legt der Kläger schon nicht dar.
Auch die Behauptung, dass die Beklagte dem Kläger eine unvollständige Auskunft über die Verarbeitung seiner Daten erteilt habe, kann nicht festgestellt werden. Vorgerichtlich wurde danach nicht gefragt, und in der ersten Instanz hat die Beklagte ausgeführt, die personenbezogenen Daten des Klägers nicht mit zusätzlichen Informationen verknüpft zu haben. Auf die Frage, ob eine unvollständige Auskunft überhaupt zu einem Schadensersatzanspruch gem. Art. 82 DS-GVO führen kann, kommt es nicht mehr an (zum Streitstand: OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 381 ff.).
III. Unabhängig davon, dass datenschutzrechtliche Verstöße nicht feststellbar sind, hat der Kläger auch nicht ausreichend dargelegt, einen Schaden erlitten zu haben. Zwar ist es nach der Rechtsprechung des Europäischen Gerichtshofs nicht erforderlich, dass der Schaden einen bestimmten Grad an Erheblichkeit überschreitet. Gleichwohl löst der bloße Verstoß gegen Bestimmungen der Verordnung einen Schadensersatzanspruch noch nicht aus. Es muss vielmehr festgestellt werden, dass tatsächlich ein Schaden entstanden ist (EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 42, 51). Insoweit beruft sich der Kläger auf eine mit dem Verlust der Daten seelisch belastende Ungewissheit über das Schicksal der Daten. Dieser Vortrag genügt nicht für die Darlegung eines Schadens, denn es muss festgestellt werden können, ob die Befürchtung einer künftigen missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85). Dies ist jedoch nicht ersichtlich auf der Grundlage der überzeugenden und unangefochtenen Feststellung des Landgerichts, dass die Beklagte die personenbezogenen Daten nicht an Dritte übermittelt hat. Zudem hat die Beklagte die Daten gelöscht bzw. intern mit einem Sperrvermerk versehen, um künftige Werbesendungen zu verhindern.
Das BAG hat entschieden, dass die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO durch einen Medizinischen Dienst für ein Gutachten über den eigenen Arbeitnehmer, dass von einer Krankenkasse beauftragt wurde, zulässig ist.
Die Pressemitteilung des Gerichts: "Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis - Medizinischer Dienst - Schadenersatz
Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO* auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat.
Der beklagte Medizinische Dienst Nordrhein führt ua. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch, und zwar auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. Im letztgenannten Fall ist es – nach den Regelungen in einer zwischen dem Beklagten und dem Personalrat geschlossenen Dienstvereinbarung und einer vom Beklagten erlassenen Dienstanweisung – einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (sog. Organisationseinheit „Spezialfall“), gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Beklagten die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Der Zugriff auf die Daten erfolgt durch den Einsatz personalisierter Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem ua. festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte – in einem „Zugriffskonzept“ namentlich benannte – Mitarbeiter (Assistenzkräfte und Gutachter) der Organisationseinheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienstvereinbarung zugangsberechtigt sind außerdem – wiederum ausschließlich zur Erledigung ihrer Aufgaben – die Mitarbeiter der beim Beklagten standortübergreifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.
Der Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Beklagten mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Eine bei dem Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.
Mit seiner Klage hat der Kläger vom Beklagten die Zahlung von immateriellem Schadenersatz ua. auf der Grundlage von Art. 82 Abs. 1 DSGVO mit der Begründung verlangt, die Verarbeitung seiner Gesundheitsdaten durch den Beklagten sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte – näher ausgeführte – Sorgen und Befürchtungen ausgelöst. Zweitinstanzlich hat der Kläger außerdem im Wege der Leistungs- und der Feststellungsklage materiellen Schadenersatz in Gestalt eines ihm entstandenen bzw. künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend gemacht, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.
Die Vorinstanzen haben die Klage abgewiesen. Die Revision des Klägers blieb vor dem Achten Senat des Bundesarbeitsgerichts erfolglos. Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig. Sie genügte den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21. Dezember 2023 (- C-667/21 – [Krankenversicherung Nordrhein]), um die ihn der Senat durch Beschluss vom 26. August 2021 (- 8 AZR 253/20 (A) -) ersucht hat. Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers iSv. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Das betrifft auch das zwischen der Gutachterin des Beklagten und dem behandelnden Arzt des Klägers geführte Telefonat. Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen. Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO einführen oder aufrechterhalten dürfen, sind im nationalen (deutschen) Recht nicht enthalten. Die Datenverarbeitung durch den Beklagten war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des Klägers – zurückzuführen war.
Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 8 AZR 253/20 –
Vorinstanz: Landesarbeitsgericht Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19 –
*Art. 9 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) lautet auszugsweise:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von (…) Gesundheitsdaten (…) einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
(…)
h) die Verarbeitung ist (…) für die Beurteilung der Arbeitsfähigkeit des Beschäftigten (…) auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats (…) und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
(…)
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
Das Bundesverwaltungsgericht hat entschieden, das Art. 79 Abs. 1 DSGVO einen öffentlich-rechtlichen Unterlassungsanspruch gegen die kommunale Videoüberwachung einer Grünfläche zur Gefahrenabwehr und Gefahrenvorsorge nicht ausschließt.
Leitsatz des Gerichts:
Art. 79 Abs. 1 DSGVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus.
Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.
Aus den Entscheidungsgründen: 1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).
2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.
3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).
Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).
Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).
Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).
Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.
4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.
5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.
Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:
"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."
Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.
Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.
In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."
Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.
Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.
Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.
LAG Rheinland-Pfalz
Urteil vom 08.02.2024 5 Sa 154/23
Das LAG Rheinland-Pfalz hat entschieden, dass eine verspätete Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.
Aus den Entscheidungsgründen: In der Sache ist die Berufung der Beklagten begründet; die Anschlussberufung der Klägerin ist unbegründet. Die Beklagte ist nicht verpflichtet, an die Klägerin Schadensersatz zu zahlen. Das erstinstanzliche Urteil ist deshalb aufzuheben und die Klage abzuweisen.
Die Klägerin hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO, weil die Beklagte ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DSGVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Beklagte der Klägerin die nach § 15 Abs. 3 Satz 1 DSGVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat.
1. Die Beklagte hat auf das formelhafte Auskunftsverlangen der Klägerin vom 13. Juli 2022, eingegangen am 14. Juli 2022, nicht innerhalb der Monatsfrist des § 12 Abs. 3 Satz 1 DSGVO geantwortet. Ihre Auskunft vom 30. August 2022 ging erst am 2. September 2022 und damit (unstreitig) verspätet bei der Klägerin ein.
a) Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch.
Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DSGVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DSGVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 Satz 3 der DSGVO der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH 04.05.2023 - C-300/21) auf eine Art und Weise weit ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gemäß Art. 15 Abs. 1 DSGVO als solche sind somit nicht haftungsauslösend (vgl. LAG Düsseldorf 28.11.2023 - 3 Sa 285/23 - PM Nr. 29/2023; LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 78 ff; LAG Hamm 02.12.2022 - 19 Sa 756/22 - Rn. 150 ff mwN).
b) Der von der Klägerin angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar (ebenso LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 82). Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Klägerin bestanden haben soll. Die Beklagte weist zutreffend darauf hin, dass die Daten der Klägerin nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Beklagte - entgegen der Ansicht der Klägerin - im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig.
Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Klägerin über die nicht fristgerechte Antwort der Beklagten auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft (vgl. Schlussanträge des Generalanwalts vom 06.10.2022 im Verfahren C-300/21), um einen immateriellen Schaden annehmen zu können.
Dieses Auslegungsergebnis steht im Einklang mit der Rechtsprechung des EuGH, der in seinem Urteil vom 4. Mai 2023 (Rechtssache C-300/21 Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DSGVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen (Rn. 42). Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv. Art. 82 DSGVO darstellen (Rn. 50).
c) Im Streitfall ist es der Klägerin nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden im Sinne der Norm darzulegen.
Die Klägerin macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit 6 Ca 738/22 (LAG Rheinland-Pfalz 5 Sa 155/23). Dort verlangt sie von der Beklagten ua. ein angemessenes Schmerzensgeld von mindestens € 30.000,00 wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Beklagten auf ihr Auskunftsbegehren betrachtet die Klägerin als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Beklagte habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Klägerin keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Beklagten mit Datum vom 29. Juni 2022 abhebt.
Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 Satz 1 DSGVO um 18 Tage verspätete Antwort der Beklagten auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Halbsatz 2 DSGVO erschöpfte, zu einer „Demütigung “ der Klägerin geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Klägerin ist bei der gebotenen objektiven Betrachtungsweise, d.h. ohne Rücksicht auf das subjektive Empfinden der Klägerin, nicht erkennbar. Soweit die Klägerin geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Beklagten, in der Zeit vom 12. Juli bis 14. September 2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Das Auskunftsverlangen der Klägerin vom 13. Juli 2022 ist bei der Beklagten am 14. Juli 2022 eingegangen, die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO am 15. August 2022 (einem Montag) abgelaufen. Die Arbeitsunfähigkeit der Klägerin begann bereits am 12. Juli 2022. Die verspätete Auskunft der Beklagten kann auf der Zeitschiene für diesen Arbeitsunfähigkeitszeitraum nicht ursächlich gewesen sein. Hinzu kommt, dass die Klägerin behauptet, sie habe aufgrund der beiden Abmahnungen der Beklagten vom 29. Juni 2022 unter starken gesundheitlichen Beeinträchtigungen (ua. Schlafstörungen, Schweißausbrüchen, starkes Unwohlsein) gelitten. Der teils widersprüchliche Sachvortrag der Klägerin ist nicht geeignet, einen Kausalzusammenhang zwischen ihrer psychischen Erkrankung und der nicht fristgerechten Auskunft schlüssig darzulegen. Bei objektiver Betrachtung ist das Auskunftsbegehren der Klägerin eine Reaktion auf die Abmahnung wegen Verletzung des Datenschutzes, und nicht umgekehrt. Das belegt schon die zeitliche Abfolge.
2. Die Beklagte ist nicht zum Schadensersatz verpflichtet, weil sie der Klägerin nicht bereits mit der erteilten Auskunft vom 30. August 2022 die geforderte Datenkopie nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Beklagten.
Die Klägerin hat sich in ihrem schriftlichen Auskunftsbegehren vom 13. Juli 2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Halbsatz 2 DSGVO beschränkt. Ansonsten hat sie - unbestimmt - verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 Satz 1 DSGVO grundsätzlich nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird (vgl. BAG 16.12.2021 - 2 AZR 235/21 - Rn. 33 mwN). Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. Hier hat sich die Beklagte in Ziff. 3 des Teilvergleichs vom 1. Juni 2023 bereit erklärt, der Klägerin (in einem zu vereinbarenden Termin mit ihrem Vorgesetzten) Einsicht in die über sie gespeicherten personenbezogenen Daten zu ermöglichen, wenn ihr „die Klägerin vorher mitteilt, welche genauen Daten sie zu sehen wünscht“. Anders als die Klägerin meint, bestand vor der Konkretisierung ihres Einsichtsbegehrens kein rechtswidriger Zustand. Ihr Vorwurf, die Beklagte habe sie über „viele Monate“ benachteiligt, weil sie ihr mit der Auskunft keine Datenkopie zur Verfügung gestellt hat, ist nicht berechtigt.
EuGH-Generalanwalt
Schlussanträge vom 25.04.2024 C-446/21
Offenlegung von Daten gegenüber der Öffentlichkeit
Maximilian Schrems gegen Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Selbstöffnung des Betroffenen
zwar dazu führt, dass personenbezogene Daten "offensichtlich öffentlich" sind, dies aber nicht die Verarbeitung zum Zweck der personalisierten Werbung erlaubt.
Die Pressemitteilung des EuGH: Generalanwalt Rantos: Die öffentliche Äußerung der eigenen sexuellen Orientierung durch den Nutzer eines sozialen Netzwerks macht dieses Datum „offensichtlich öffentlich“, doch erlaubt dies nicht dessen Verarbeitung zum Zweck der personalisierten Werbung
Im Laufe des Jahres 2018 legte Meta Platforms Ireland ihren Nutzern in der Europäischen Union neue Nutzungsbedingungen für Facebook vor. Die Einwilligung zu diesen Bedingungen ist erforderlich, um sich registrieren oder auf von Facebook bereitgestellte Konten und Dienste zugreifen zu können. Herr Maximilian Schrems, ein Facebook-Nutzer und Aktivist im Bereich des Datenschutzes, hat diese Bedingungen akzeptiert. Er habe oft Werbung, die auf homosexuelle Personen abgezielt habe, und Einladungen zu entsprechenden Veranstaltungen erhalten. Diese Werbungen hätten sich nicht unmittelbar auf seine sexuelle Orientierung gestützt, sondern auf die Analyse seiner Interessen. Da er mit der Behandlung seiner Daten unzufrieden war, und diese sogar für rechtswidrig hielt, klagte Herr Schrems vor den österreichischen Gerichten. In der darauffolgenden Zeit erwähnte er öffentlich bei einer Podiumsdiskussion seine sexuelle Orientierung, veröffentlichte darüber aber nichts auf seinem Facebook-Profil.
Der Oberste Gerichtshof hat Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) 1 . Er möchte vom Gerichtshof wissen, ob ein Netzwerk wie Facebook personenbezogene Daten, über die es verfügt, ohne zeitliche Einschränkung für Zwecke der zielgerichteten Werbung analysieren und verarbeiten darf. Des Weiteren fragt er den Gerichtshof, ob eine Äußerung einer Person über die eigene sexuelle Orientierung anlässlich einer Podiumsdiskussion die Verarbeitung von anderen diesbezüglichen Daten zu dem Zweck erlaubt, dieser Person personalisierte Werbung anzubieten.
Zur ersten Frage schlägt Generalanwalt Athanasios Rantos dem Gerichtshof vor, zu entscheiden, dass die DSGVO dem entgegenstehe, dass personenbezogene Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach der Zeit verarbeitet würden. Das nationale Gericht habe auf der Grundlage insbesondere des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt seien. Zur zweiten Frage vertritt der Generalanwalt vorbehaltlich der dem Obersten Gerichtshof obliegenden Sachprüfungen die Ansicht, dass der Umstand, dass sich Herr Schrems bei einer öffentlichen Podiumsdiskussion in vollem Bewusstsein über die eigene sexuelle Orientierung geäußert habe, eine Handlung darstellen könne, mit der er dieses Datum im Sinne der DSGVO „offensichtlich öffentlich gemacht“ habe. Er weist darauf hin, dass Daten über die sexuelle Orientierung zwar in die Kategorie besonders geschützter Daten fielen, für die ein Verarbeitungsverbot gelte, doch gelte dieses Verbot dann nicht, wenn diese Daten von der betroffenen Person offensichtlich öffentlich gemacht worden seien. Eine solche Stellungnahme erlaube jedoch für sich genommen nicht die Verarbeitung zum Zweck der personalisierten Werbung.
Das Ergebnis der Schlussantraäge:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,
– dass er der Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegensteht und
– dass es Sache des vorlegenden Gerichts ist, unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sind.
2. Art. 5 Abs. 1 Buchst. b in Verbindung mit Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen,
– dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer öffentlichen Podiumsdiskussion zwar eine Handlung darstellen kann, mit der die betroffene Person dieses Datum im Sinne von Art. 9 Abs. 2 Buchst. e dieser Verordnung „offensichtlich öffentlich gemacht“ hat, jedoch für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung erlaubt.
Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.
Die Pressemitteilung des Gerichts: LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO
Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.
Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.
Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.
Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.
Das Landesarbeitsgericht hat die Revision zugelassen.
Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23
Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)
"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
…
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
…
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
…
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Artikel 82
Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"
Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.
Die Pressemitteilung des Gerichts: Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz
Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.
Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.
Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).
Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.
Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.
Aus den Entscheidungsgründen: 2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.
a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).
b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).
Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.
c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.
d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.
3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.
a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.
b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.
c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.
Der BayVGH hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig ist.
Die Pressemitteilung des Gerichts: BayVGH: Drohnenbefliegung eines Wohngrundstücks zur Beitragserhebung ist rechtswidrig
Mit Beschluss vom 15. Februar 2024 hat der Bayerische Verwaltungsgerichtshof (BayVGH) die Beschwerde der Stadt Neumarkt-Sankt Veit im Landkreis Mühldorf am Inn zurückgewiesen und die geplante Drohnenbefliegung eines Wohngrundstücks zur Ermittlung der Geschossfläche als rechtswidrig eingestuft.
Die Stadt Neumarkt-Sankt Veit plante ursprünglich für Oktober 2023 eine Drohnenbefliegung verschiedener Wohngrundstücke, um die Geschossfläche der dort vorhandenen Gebäude zu bestimmen. Die dadurch erlangten Daten sollten zur Berechnung des sog. Herstellungsbeitrags dienen, der für den Anschluss von Grundstücken an die gemeindliche Abwasserentsorgung erhoben wird. Nachdem der Antragsteller, dem ein Wohngrundstück im Stadtgebiet gehört, über die geplante Drohnenbefliegung informiert worden war, wandte er sich an das Verwaltungsgericht München, das seinem Eilantrag stattgab. Gegen diesen Beschluss legte die Stadt Beschwerde zum BayVGH ein.
Der BayVGH wies die Beschwerde der Stadt zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würden.
Der Beschluss des BayVGH ist unanfechtbar.
(BayVGH, Beschluss vom 15. Februar 2024, Az.: 4 CE 23.2267)