Skip to content

VG Hamburg: Anordnung des Hamburgischen Datenschutzbeauftragten die Referenzdatenbank der Polizei zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel zu löschen rechtswidrig

VG Hamburg
Urteil vom 23.10.2019
17 K 203/19


Das VG Hamburg hat entschieden, dass die Anordnung des Hamburgischen Datenschutzbeauftragten, die Referenzdatenbank der Polizei zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel zu löschen, rechtswidrig war.

Die Pressemitteilung des Gerichts:

Verwaltungsgericht Hamburg: Anordnung des Datenschutzbeauftragten, die von der Polizei zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel erstellte Referenzdatenbank zu löschen, rechtswidrig

Die Polizei Hamburg setzt zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel eine Gesichtserkennungssoftware („Videmo 360“) ein, mit der eigenes und der Polizei zur Verfügung gestelltes Bildmaterial verarbeitet wird. Die Ergebnisse dieser Datenverarbeitung sind in einer Referenzdatenbank gespeichert. Nach einer vorherigen Beanstandung ordnete der Hamburgische Datenschutzbeauftragte die Löschung dieser Referenzdatenbank an. Er begründete seine - auf § 6 Hamburgisches Gesetz zur Aufsicht über die Anwendung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften i.V.m. § 43 Abs. 1 Satz 5 Hamburgisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug gestützte - Anordnung im Wesentlichen mit dem Fehlen einer hinreichend bestimmten Ermächtigungsgrundlage, die die intensiven Eingriffe in das Recht auf informationelle Selbstbestimmung erlaube.

Das Verwaltungsgericht hat die Anordnung des Datenschutzbeauftragten auf die Klage der Freien und Hansestadt Hamburg mit heute verkündetem Urteil aufgehoben (17 K 203/19). Nach Auffassung des Verwaltungsgerichts liegen die Voraussetzungen für eine entsprechende Anordnung nicht vor. Der Datenschutzbeauftragte hätte die Datenverarbeitung der Polizei in der konkret praktizierten Form in den Blick nehmen und eigene Feststellungen zu einem Verstoß gegen Vorschriften des Datenschutzes treffen müssen. Die Anordnung ist zudem ermessensfehlerhaft, weil der Datenschutzbeauftragte die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften durch normkonkretisierende Auflagen zu kompensieren, nicht in Betracht gezogen und seiner Entscheidung einen fehlerhaften Bewertungsmaßstab zugrunde gelegt hat. Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht.

Der Datenschutzbeauftragte kann innerhalb eines Monats nach Zustellung des schriftlichen Urteils die Zulassung der Berufung beantragen, über die das Hamburgische Oberverwaltungsgericht zu entscheiden hat.


VG Hamburg: Unbegründeter Eilantrag gegen Genehmigung nach § 2 Abs. 7 PBefG für On-Demand-Ride-Sharing-Dienst Clever Shuttle

VG Hamburg
Beschluss vom 30.04.2019
5 E 16/19


Das VG Hamburg hat entschieden, dass der Eilantrag gegen die Genehmigung nach § 2 Abs. 7 PBefG für den On-Demand-Ride-Sharing-Dienst Clever Shuttle unbegründet ist.

Den Volltext der Entscheidung finden Sie hier:

VG Hamburg: Facebook darf personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen

VG Hamburg
Beschluss vom 24.04.2017
13 E 5912/16

Das VG Hamburg hat entschieden, dass Facebook personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen darf.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des VG Hamburg:

Verwaltungsgericht Hamburg entscheidet: Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwenden

Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine - bis dahin nach den Nutzungsbedingungen nicht zugelassene - Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) - dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.
AZ: 13 E 5912/16
Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.
Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.


VG Hamburg: Facebook darf voraussichtlich Klarnamenpflicht beibehalten - aufschiebende Wirkung des Widerspruchs gegen Bescheid des Hamburger Datenschutzbeauftragten

VG Hamburg
Beschluss vom 03.03.2016
15 E 4482/15


Das Verwaltungsgericht Hamburg hat entschieden, dass Facebook voraussichtlich die Klarnamenpflicht beibehalten darf und keine Pflicht besteht, die Nutzung per Pseudonym zu ermöglichen. Das Gericht hat die aufschiebende Wirkung des Widerspruchs gegen den entsprechenden Bescheid des Hamburger Datenschutzbeauftragten wiederhergestellt. Das Gericht geht davon aus, dass kein deutsches Datenschutzrecht auf die Fallkonstellation anzuwenden ist, da die streitgegenständliche Datenverarbeitung nicht von der Niederlassung Facebook Deutschland durchgeführt wird.

Aus den Entscheidungsgründen:

"Der zulässige, insbesondere gemäß § 80 Abs. 5 Satz 1 Var. 2 VwGO statthafte Antrag auf Wiederherstellung der aufschiebenden Wirkung des Widerspruchs der Antragstellerin ist auch begründet. In der Sache überwiegt das Interesse der Antragstellerin, von der sofortigen Vollziehung der streitigen Anordnung des Datenschutzbeauftragten vorläufig verschont
zu bleiben, das Interesse der Öffentlichkeit an deren sofortigen Vollziehung. Denn nach summarischer Prüfung unter Berücksichtigung des bisherigen Sach- und Streitstandes dürfte der Widerspruch der Antragstellerin Erfolg haben. Die angefochtene Anordnung des Datenschutzbeauftragten ist voraussichtlich rechtswidrig.

1. Die angegriffene Anordnung ist voraussichtlich materiell rechtswidrig. Mangels Anwendbarkeit materieller deutscher datenschutzrechtlicher Bestimmungen auf die angegriffene Datenverarbeitung vermag insbesondere ein Verstoß gegen § 13 Abs. 6 TMG den Erlass der Anordnung nicht zu rechtfertigen.

[...]

Nach vorstehenden Maßstäben sind auf die streitige Datenverarbeitung deutsche datenschutzrechtliche Bestimmungen nicht anzuwenden, da die streitige Datenverarbeitung nach dem der Entscheidung zugrunde zu legenden Sachverhalt mit der Tätigkeit der Niederlassung F.s bzw. der Antragstellerin in Dublin am engsten verbunden ist. Dies ist vor allem aufgrund des vorgelegten Data Transfer and Processing Agreement und des übrigen unstreitigen Vorbringens der Antragstellerin zu ihrer geschäftlichen Tätigkeit in Dublin und der geschäftlichen Tätigkeit von F. Germany anzunehmen. Nicht F. Germany, sondern die Antragstellerin ist gemäß den Nutzungsbedingungen Vertragspartnerin der Betroffenen. Die Antragstellerin verwaltet auch die Nutzerkonten, greift auf sie zu und sperrt sie in Fällen wie dem vorliegenden, wenn Zweifel an der Identität des Inhabers des Nutzerkontos aufkommen. Demgegenüber ist die Tätigkeit von F. Germany lediglich mittelbar, vor allem wirtschaftlich, mit der streitigen Datenverarbeitung verbunden. "



Den Volltext der Entscheidung finden Sie hier: