Skip to content

Volltext LG Berlin: 14,5 Millionen EURO DSGVO-Bußgeld gegen Deutsche Wohnen SE aufgehoben - § 30 OWiG gilt über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße

LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20


Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.

Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen

Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.

Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.

Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.

Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.

Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.

II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.

1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).

aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.

bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.

Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).

Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.

Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.

Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.

Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.

Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).

Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.

Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).

Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).

Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.

b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.

Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.

Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.

2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.


Den Volltext der Entscheidung finden Sie hier:



ArbG Dresden: 1.500 EURO Schadensersatz aus Art 82 Abs.1 DSGVO für unberechtigte Weitergabe von Gesundheitsdaten durch ehemaligen Arbeitgeber an Behörde

ArbG Dresden
Urteil vom 26.08.2020
13 Ca 1046/20


Das ArbG Dresden hat 1.500 EURO Schadensersatz aus Art 82 Abs.1 DSGVO für die unberechtigte Weitergabe von Gesundheitsdaten durch einen ehemaligen Arbeitgeber an eine Behörde zugesprochen.

LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“


OLG Frankfurt: Kein Urheberrechtsverstoß und kein Verstoß gegen DSGVO oder BDSG wenn Haftpflichtversicherer eingereichtes Schadensgutachten mit Lichtbildern an Unternehmen zur Prüfung weitergibt

OLG Frankfurt
Urteil vom 12.02.2019
11 U 114/17


Das OLG Frankfurt hat entschieden, dass weder ein Urheberrechtsverstoß noch Verstoß gegen die DSGVO oder das BDSG vorliegt, wenn ein Haftpflichtversicherer das bei ihm zur Schadensregulierung eingereichte Schadensgutachten mit Lichtbildern an ein Unternehmen zur Prüfung weitergibt.

Aus den Entscheidungsgründen:

"2. Das Landgericht hat auch den mit ursprünglichen Klageantrag zu 3.) (Berufungsantrag zu 2.) geltend gemachten datenschutzrechtlichen Löschungsanspruch im Ergebnis rechtsfehlerfrei abgewiesen, weil es an einer unzulässigen Verwendung der streitgegenständlichen Daten fehlt.

Der Kläger hat für den geltend gemachten Löschungsanspruch keine Anspruchsgrundlage. Er hat weder a.) nach dem aufgrund Art. 8 des DSAnpUG-EU bis zum 25.05.2018 geltende Bundesdatenschutzgesetz (im Folgenden "BDSG a.F.") noch b.) nach dem ab 25.05.2018 geltenden Datenschutzgesetz (im Folgenden "BDSG" bzw. "DSGVO" oder c.) aus dem Persönlichkeitsrecht nach §§ 823, 1004 BGB einen Anspruch auf Löschung seiner Daten.

a.) Der datenschutzrechtliche Löschungsanspruch ist nach keiner der in Betracht kommenden Alternativen des § 35 Abs. 2 Satz 2 BDSG a.F. begründet.

Für den Löschungsanspruch aus § 35 Abs. 2 Satz 2 Nr. 1 BDSG a.F. fehlt es an einer unzulässigen Speicherung der Daten. Die Speicherung ist nach dem im Datenschutz geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt dann nicht unzulässig, wenn eine andere Rechtsvorschrift sie erlaubt ( Dix in Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011, § 35 Rn. 26; Wolff/Brink , Datenschutzrecht, § 35 Rn. 33). Dies ist vorliegend nach §§ 4 Abs. 1, 28 Abs. 1 Nr. 2 BDSG a.F. i.V.m. § 11 BDSG a.F. der Fall. Nach diesen Vorschriften darf die Beklagte und die für sie im Auftrag handelnde A GmbH die Daten des Beklagten für eigene Geschäftszwecke speichern, weil dies zur Wahrung ihrer berechtigten Interessen erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Ein berechtigtes Interesse kann jedes von der Rechtsordnung gebilligtes Interesse sein, dass bei vernünftiger Erwägung durch die Sachlage gerechtfertigt ist ( Gola/Schomerus , BDSG, 12. Aufl. 2015, § 28 Rn. 24; Wolff/Brink, a.a.O., § 28 Rn. 59). Das berechtigte Interesse der Beklagten an der Verwendung der Daten des Beklagten besteht in dem sich aus § 115 Abs. 1 Nr. 1 VVG i.V.m. § 1 PflVG ergebenen Direktanspruch des geschädigten Klägers gegen die beklagte Haftpflichtversicherung. Als verpflichtete Aktiengesellschaft ist die Beklagte berechtigt und verpflichtet, die gegen sie geltend gemachten Ansprüche zu prüfen und die dazu übermittelten Daten zu speichern. Das Interesse des Klägers am Ausschluss oder Nutzung der Daten überwiegt nicht. Bei dieser Abwägungsentscheidung fällt zu Gunsten der Beklagten ins Gewicht, dass der Kläger die Schadensregulierung aufgrund selbst von ihm zur Verfügung gestellter Daten erwartet, bei denen es sich um wenig sensible Daten handelt. Das Recht der Beklagten zur Speicherung dieser Daten zu Kontrollzwecken umfasst gemäß § 11 BDSG a.F. auch das Recht, diese durch eine von ihr mit dieser Aufgabe betraute Stelle im Rahmen der Auftragsdatenverarbeitung vornehmen zu lassen. Entgegen der Ansicht des Klägers stehen § 28 BDSG a.F. und § 11 BDSG a.F. nicht zueinander in Widerspruch, sondern ermöglichen der Beklagten als i.S.v. § 3 Abs. 7 BDSG a.F. für die Daten verantwortliche Stelle, ihr nach Speicherungsrecht durch einen Auftragnehmer vornehmen zu lassen ( Petri in Simitis, a.a.O., § 11 Rn. 1; Spoerr in Wolff/Brink, a.a.O., § 11 Rn. 4). Wie das Landgericht richtig geurteilt hat ist ein derartiger Auftragnehmer nicht Dritter i.S.v. § 3 Abs. 8 Satz 3 BDSG a.F.

Das Landgericht hat rechtsfehlerfrei festgestellt, dass die Beklagte bei der Speicherung zu Kontrollzwecken in zulässiger Weise als Auftragnehmer i.S.v. § 11 BDSG a.F. für die Beklagte handelt. Die gegen diese Entscheidung in der Berufungsbegründung angeführten Argumente überzeugen nicht. Die von der Beklagten vorgelegte Dokumentation belegt hinreichend, dass die A GmbH als Auftragnehmerin für die Beklagte handelt und dabei die in § 11 BDSG a.F. aufgestellten Voraussetzungen an eine Auftragsdatenverarbeitung erfüllt.

Dass die Beklagte Vertragspartnerin der mit der A GmbH am 15.02./01.03.2011 und am 16./29.09.2011 abgeschlossenen Verträgen zur Auftragsdatenverarbeitung ist, ergibt sich aus dem in der Berufungsinstanz vorgelegten chronologischen Handelsregisterauszug der Gesellschaft vom 03.08.2015. Aus diesem ist ersichtlich, dass die Beklagte am 09.08.2013 die Umfirmierung von C1 Versicherungs-Aktiengesellschaft AG in C Sachversicherungs AG beschloss und deshalb dieselbe Vertragspartnerin mit unterschiedlichen Namen ist. Auch wenn im Laufe des Prozesses lediglich einer der beiden Unterzeichnenden der Verträge auf Seiten der Beklagten namentlich benannt wurde, ist das Gericht davon überzeugt, dass diese zwischen der Beklagten und der A GmbH Geltung haben. Zum einen wurde diese Verträge unstreitig durch die erforderliche Anzahl von vertretungsberechtigten Personen unterschrieben von denen der zeichnende Leiter der Schadensabteilung E ausweislich des vorlegten Handelsregisterauszuges vom 13.09.2018 Gesamtprokura mit einem Vorstandsmitglied oder einem anderen Prokuristen verliehen worden ist. Zum anderen will die Beklagte nach ihrem Vortrag an diese Verträge gebunden sein. Selbst wenn sie zum Vertragsschluss durch einen nicht vertretungsberechtigten Vertreter ihres Unternehmens gezeichnet worden sein sollten, könnte die Beklagte diese jederzeit nach § 177 BGB genehmigen. Da der Rahmenvertrag in § 18 im Fall der Nichtkündigung eine automatische Verlängerung um jeweils 2 Jahre vorsieht, ist auch vom Bestehen eines schriftlichen Vertragsverhältnisses auszugehen ist.

Der von Klägerseite gegen den Beklagtenvortrag zur Parteiidentität der Vertragspartner erhobene Verspätungseinwand greift nicht durch, weil die Frage der Parteiidentität der C1 Versicherungs AG und der Beklagten einen Gesichtspunkt betreffen, der i.S.v. § 531 Abs. 2 Nr. 1 ZPO vom Landgericht Frankfurt am Main bei seinem Urteil erkennbar übersehen worden ist. Das Landgericht ist trotz der namentlichen Abweichung der unterzeichnenden Gesellschaft allein aufgrund der Vorlage der Anlage B 2 vom Bestehen der Datenschutzvereinbarung zwischen der Beklagten und der A GmbH ausgegangen. Dies wird von dem Kläger in seiner Berufungsbegründung zu Recht kritisiert, so dass die Frage der vertraglichen Bindung zwischen der Beklagten und der A GmbH gemäß § 529 Abs. 1 Nr. 1 ZPO zum Gegenstand des Berufungsverfahrens gemacht werden muss.

An der ausführlichen Subsumption des Vertragsverhältnisses unter die Tatbestandsvoraussetzungen des §§ 11 Abs. 2 BDSG a.F. und der dazu gegebenen Begründungen des Landgerichts ist nichts zu erinnern. Insbesondere hat das Landgericht zu Recht judiziert, dass die Berechtigung von A GmbH aus den Unterlagen anonymisierte Auswertungen herzustellen nicht zu beanstanden ist. Auch in der Berufungsbegründung werden hiergegen keine überzeugenden Argumente vorgebracht. Für einen Löschungsanspruch aus § 35 Abs. 1 Nr. 3 BDSG a.F. fehlt es an einer Zweckerfüllung. Die weitere Verarbeitung der Daten ist schon wegen des hiesigen Gerichtsprozesses notwendig. Die Daten sind zur Abwehr des geltend gemachten Schadensersatzanspruches notwendig ( Dix in Simitis, a.a.O., § 35 Rn. 38; Wolff/Brink , a.a.O. § 35 Rn. 39).

b.) Auch unter dem neuen Datenschutzregime ist der geltend gemachte Löschungsanspruch nicht begründet. Der Löschungsanspruch aus Art. 17 Abs. 1 Buchst. a DSGVO scheitert an dem in dessen Absatz 3 Buchst. c geregelten Ausnahmetatbestand. Danach gilt der Löschungsanspruch nicht, soweit die Verarbeitung zur "Verteidigung von Rechtsansprüchen" erforderlich ist. Dass diese erforderlich ist, zeigt hiesiger Rechtsstreit.

c.) Das Datenschutzgesetz hat als Spezialregelung den Anspruch auf Löschung personenbezogener Daten abschließend geregelt. Daneben ist für eine Anwendung für einen auf das allgemeine Persönlichkeitsrecht gestützten Unterlassungsanspruch kein Raum (BGH, Urt. v. 17.12.1985, Az. VI ZR 244/84, NJW 1986, 2505).

3. Das Landgericht hat auch die mit Klaganträgen zu 4.) und 5.) geltend gemachten und mit den Berufungsanträgen zu 3.) und 4.) weiter verfolgten Unterlassungs- und Entschädigungsansprüche rechtsfehlerfrei abgewiesen, weil es - wie festgestellt - an einer unzulässigen Verwendung der streitgegenständlichen Daten fehlt. Aus demselben Grund besteht auch kein Schadensersatzanspruch nach dem neuen Art. 82 DSGVO.

4. Im Ergebnis hat das Landgericht auch die mit den Berufungsanträgen zu 5.) und 6.) weiter verfolgten urheberrechtlichen Ansprüche zu Recht abgewiesen.

Zwar hat das Landgericht übersehen, dass der Kläger Lichtbildner der streitgegenständlichen Fotos ist und solcher Rechtsschutz nach § 72 UrhG genießt. Wie die Berufung zu Recht moniert, hat der Klägervertreter dies in der mündlichen Verhandlung vom 19.01.2017 (Bl. 213 d. A.) vorgetragen. Dies wurde auch nicht bestritten.

Jedoch besteht kein Anspruch nach § 97 UrhG, weil es an einer widerrechtlichen Verletzung der Lichtbildrechte des Klägers fehlt.

§§ 15 Abs. 2 Nr. 2, 19 a UrhG ist nicht einschlägig, weil durch die streitgegenständlichen Handlungen nicht das Recht der öffentlichen Zugänglichmachung betroffen ist. Insoweit unterscheidet sich die Fallgestaltung von denen, die der Bundesgerichtshof in seiner von der Klägerseite zitierten Rechtsprechung entschiedenen hat und bei denen die urhebergeschützten Fotos ins Internet eingestellt worden waren (BGH, Urt. v. 29.04.2010, I ZR 68/09 - Restwertbörse und Urt. v. 20.06.2013, I ZR 55/12 - Restwertbörse II ). Eine Einstellung der Daten in das öffentlich zugängliche Internet steht vorliegend nicht in Streit.

§§ 15 Abs. 1 Nr. 2, 17 UrhG ist auch nicht einschlägig. Der Tatbestand der Verbreitung umfasst gemäß § 17 Abs. 1 UrhG das Recht, das Original oder Vervielfältigungsstücke des Werkes der Öffentlichkeit anzubieten oder in den Verkehr zu bringen. Es ist schon zweifelhaft, ob der Auftragsnehmer einer Auftragsdatenverwaltung i.S.d. § 11 BDSG überhaupt "Öffentlichkeit" im Sinne dieser Vorschrift sein kann. Die Verletzung dieses Verwertungsrecht scheitert jedenfalls am Erschöpfungsgrundsatz des § 17 Abs. 2 UrhG, nachdem der Kläger das Gutachten mit den Fotos der Beklagten selbst zur Verfügung gestellt hat.

Auch an einem Eingriff in das Vermietungsrecht des Klägers gemäß § 17 Abs. 3 Satz 1 UrhG fehlt es. Die Vorschrift setzt eine vorübergehende Gebrauchsüberlassung der geschützten Leistung zu Erwerbszwecken voraus. Eine zeitlich begrenzte Gebrauchsüberlassung ist anzunehmen, wenn der Gegenstand dem Kunden für eine bestimmte Zeit in der Weise zur freien Verfügung übergeben wird, dass ihm eine uneingeschränkte und wiederholbare Werknutzung ermöglicht wird. Der Begriff der "Werknutzung" verweist dabei auf den Zweck des Vermietrechts. Dieser liegt darin, den Berechtigten eine angemessene Beteiligung an den Nutzungen zu sichern, die aus der Verwertung ihrer Werke oder geschützten Leistungen gezogen werden (BGH, Urt. v. 07.06.2001, I ZR 21/99 - Kauf auf Probe ). Unter Anlegung dieser Maßstäbe beinhaltet die zweckgebundene Weitergabe des Gutachtens an die A GmbH keine Gebrauchsüberlassung im Sinne der Vorschrift. Zwar verfolgte die Beklagte damit mittelbar einen Erwerbszweck, weil sie durch die Kontrolle der Kostenpositionen die Erstattung überhöhter Reparaturkosten an den Geschädigten verhindern wollte. Der erstrebte Vorteil beruht jedoch nicht auf der Nutzung der Lichtbilder als der durch das Urheberrecht geschützten Leistung, sondern auf einer Überprüfung der Kalkulation. Er wäre in gleicher Weise eingetreten, wenn die Bekl. das Gutachten ohne die Lichtbilder übermittelt hätte (vgl. auch LG Berlin, Urt. v. 03.07.2012, 16 O 309/11).

Auch das Vervielfältigungsrecht des §§ 15 Abs. 1 Nr. 1, 16 UrhG ist nicht betroffen, weil die Speicherung nach § 1 Nr. 3 der Datenschutzvereinbarung nur die übermittelten Daten bzw. nach § 2 Nr. 7 der Datenschutzvereinbarung die anonymisierte Auswertung der Auswertung, aber nicht die streitgegenständlichen Fotos betrifft."



Den Volltext der Entscheidung finden Sie hier:

BGH setzt Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur EuGH-Entscheidung zum Gefällt-Mir-Button aus

BGH
Beschluss vom 11.04.2019
I ZR 186/17


Der BGH hat das Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur Entscheidung des EuGH zur datenschutzrechtlichen Problematik des Facebook Gefällt-Mir-Buttons ausgesetzt (siehe dazu OLG Düsseldorf legt EuGH Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Buttons auf Unternehmenswebseiten vor ).

Die Pressemitteilung des BGH:

Bundesgerichtshof setzt Verfahren gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zu einer Entscheidung des EuGH aus

Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, die Beklagte verstoße mit dieser Präsentation der Spiele im "App-Zentrum" gegen § 13 Abs. 1 Satz 1 TMG und § 4a Abs. 1 Satz 2 BDSG aF, weil die den Nutzern erteilten Hinweise zu Umfang und Zweck der Erhebung und Verwendung ihrer Daten unzureichend seien und daher keine Grundlage für eine nach § 4a Abs. 1 Satz 1 BDSG aF wirksame Einwilligung in die Nutzung der Daten bilden könnten. Der Kläger ist ferner der Auffassung, dass es sich bei den verletzten datenschutzrechtlichen Vorschriften um Marktverhaltensregelungen im Sinne von § 3 Abs. 1, § 4 Nr. 11 UWG aF (jetzt § 3 Abs. 1, § 3a UWG) handele und ein Verstoß daher wettbewerbsrechtliche Unterlassungsansprüche nach § 8 Abs. 1 Satz 1 UWG begründe, zu deren Geltendmachung er als qualifizierte Einrichtung im Sinne von § 8 Abs. 3 Nr. 3 UWG berechtigt sei.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 - I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den "Gefällt mir"-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die - wie § 8 Abs. 3 Nr. 3 UWG - gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgeblichen Vorschriften lauten:

§ 13 Abs. 1 Satz 1 TMG

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

§ 4a Abs. 1 Satz 1 und 2 BDSG aF

Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

§ 3 Abs. 1 UWG

Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 8 Abs. 1 Satz 1 UWG

Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden.

§ 8 Abs. 3 Nr. 3 UWG

Die Ansprüche aus Absatz 1 stehen zu: qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagengesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. L 110 vom 1.5.2009, S. 30) eingetragen sind.

§ 148 Abs. 1 ZPO

Das Gericht kann, wenn die Entscheidung des Rechtsstreits ganz oder zum Teil von dem Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt, das den Gegenstand eines anderen anhängigen Rechtsstreits bildet oder von einer Verwaltungsbehörde festzustellen ist, anordnen, dass die Verhandlung bis zur Erledigung des anderen Rechtsstreits oder bis zur Entscheidung der Verwaltungsbehörde auszusetzen sei.


KG Berlin: Diverse unzulässige Klauseln in Apple-Datenschutzrichtlinie - Verarbeitung und Weitergabe personenbezogener Daten

KG Berlin
Urteil vom 27.12.2018
23 U 196/13


Das KG Berlin hat bestätigt, dass die diverse Klauseln in der Apple-Datenschutzrichtlinie unzulässig waren. Insbesondere ging es um die Weitergabe personenbezogener Daten. Streitgegenständlich war die Apple-Datenschutzrichtlinie aus dem Jahr 2011.

Den Volltext der Entscheidung finden Sie hier:

Siehe zur Vorinstanz: LG Berlin: Apple unterliegt der Verbraucherzentrale - zahlreiche AGB-Klauseln zum Datenschutz unwirksam

BGH legt EuGH vor: Dürfen pharmazeutische Unternehmen kostenlose Fertigarzneimittel mit Verpackungsaufschrift "zu Demonstrationszwecken" auch an Apotheker abgeben ?

BGH
Beschluss vom 31.10.2018
I ZR 235/16
Apothekenmuster
Richtlinie Nr. 2001/83/EG Art. 96 Abs. 1 und 2; AMG § 47 Abs. 3


Der BGH hat dem EuGH zur Entscheidung vorgelegt, ob pharmazeutische Unternehmen kostenlose Fertigarzneimittel mit der Verpackungsaufschrift "zu Demonstrationszwecken" auch an Apotheker abgeben dürfen.

Dem Gerichtshof der Europäischen Union werden zur Auslegung des Art. 96 der Richtlinie 2001/83/EG des Europäischen Parlaments und des Rates vom 6. November 2001 zur Schaffung eines Gemeinschaftskodexes für Humanarzneimittel (ABl. L 311 vom 6. November 2001, S. 67) in der zuletzt durch die Verordnung (EU) 2017/745 (ABl. L 117 vom 5. April 2017, S. 1) geänderten Fassung folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 96 Abs. 1 der Richtlinie 2001/83/EG dahin auszulegen, dass pharmazeutische Unternehmer kostenlose Fertigarzneimittel auch an Apotheker abgeben dürfen, wenn deren Verpackungen mit der Aufschrift "zu Demonstrationszwecken" versehen sind, die Arzneimittel der Erprobung des Arzneimittels durch den Apotheker dienen, keine Gefahr einer (ungeöffneten) Weitergabe an Endverbraucher besteht und die in Art. 96 Abs. 1 Buchst. a bis d und f bis g dieser Richtlinie geregelten weiteren Voraussetzungen einer Abgabe vorliegen?

2. Falls die Frage 1 bejaht wird: Erlaubt Art. 96 Abs. 2 der Richtlinie 2001/83/EG eine nationale Vorschrift wie § 47 Abs. 3 AMG, wenn diese so ausgelegt wird, dass pharmazeutische Unternehmer kostenlose Fertigarzneimittel nicht an Apotheker abgeben dürfen, wenn deren Verpackungen mit der Aufschrift "zu Demonstrationszwecken" versehen sind, die Arzneimittel der Erprobung des Arzneimittels durch den Apotheker dienen, keine Gefahr einer (ungeöffneten) Weitergabe an Endverbraucher besteht und die in Art. 96 Abs. 1 Buchst. a bis d und f bis g dieser Richtlinie und die in § 47 Abs. 4 AMG geregelten weiteren Voraussetzungen einer Abgabe vorliegen?

BGH, Beschluss vom 31. Oktober 2018 - I ZR 235/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:



Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten rechtskräftig

Eine Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung von Nutzerdaten ist nunmehr rechtskräftig.


Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Verfahren zu den Privatsphärebestimmungen von Google abgeschlossen – Anordnung des HmbBfDI hat Bestand

Das Klageverfahren der Google LLC vor dem Verwaltungsgericht Hamburg gegen die bereits 2014 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) erlassene Anordnung auf Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten wurde nunmehr durch Gerichtsbeschluss eingestellt. Dadurch konnte ein europaweit koordiniertes Verfahren zu einem für die Betroffenen guten Ausgang gebracht werden.

Aus Anlass der Neuformulierung der Datenschutzerklärung durch Google im Jahr 2012 beauftragte die europäische Art.-29-Datenschutzgruppe eine Task-Force unter Leitung der Französischen Datenschutzaufsichtsbehörde CNIL. Diese hatte die Aufgabe, die Rechtmäßigkeit der Datenverarbeitung durch das Unternehmen zu untersuchen und die datenschutzrechtlichen Anforderungen nach Maßgabe der jeweiligen nationalen Gesetze durchzusetzen. An dieser Task-Force war neben den Aufsichtsbehörden Großbritanniens, Italiens, der Niederlande und Spaniens auch der HmbBfDI beteiligt, da Google seinen deutschen Sitz in Hamburg hat. Der HmbBfDI sah in der Bildung von umfassenden Nutzerprofilen durch das Unternehmen mittels der aus den verschiedenen Diensten gesammelten Informationen einen massiven und tiefgreifenden Eingriff in die Interessen und schutzwürdigen Rechte der Betroffenen. Auch die Art.-29-Datenschutzgruppe kam zu dem Ergebnis, dass neben unzureichender Transparenz über Art und Umfang der Datenverarbeitung Google keine hinreichende Rechtsgrundlage für die Zusammenführung der Daten nachweisen konnte. Daraufhin erließ der HmbBfDI eine entsprechende Anordnung mit der Verpflichtung des Unternehmens, die notwendigen Maßnahmen zur Stärkung des Datenschutzes zu ergreifen. Hierzu zählte insbesondere die Forderung nach einer Einwilligung der Nutzer für die diensteübergreifende Datenverarbeitung durch Google.

Obwohl Google gegen diese Anordnung Rechtsmittel einlegte, hat sich der Konzern zeitgleich in eine Abstimmung mit den beteiligten Aufsichtsbehörden begeben und umfassende Maßnahmen ergriffen, um die erforderliche Rechtsgrundlage zu schaffen und die Transparenz und Kontrolle für die Nutzer zu verbessern. Es ist daher nun konsequent, dass das Klageverfahren gegen die Anordnung für alle Beteiligten nunmehr ressourcenschonend beendet werden konnte. Die Anordnung HmbBfDI ist damit rechtskräftig und muss durch Google beachtet werden. Das Verfahren gegen den HmbBfDI war das letzte, das im nationalen Recht der Task Force Mitglieder noch rechtshängig war. Alle anderen Verfahren hatten bereits zuvor ihren Abschluss gefunden.

Dazu Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit: „Mit dem aus unserer Sicht erfreulichen Abschluss dieses europaweit koordinierten und bis dahin wohl einmaligen Verfahrens haben wir gemeinsam mit den anderen Aufsichtsbehörden ein deutliches Zeichen an Google und vergleichbare Unternehmen gesendet. Es wurden dabei Standards für eine Stärkung der Transparenz und zum Schutz des informationellen Selbstbestimmungsrechts der Nutzer gesetzt, hinter die die Anbieter künftig nicht mehr zurückfallen dürfen. Wer in Europa mit der Verarbeitung personenbezogener Daten Geld verdienen möchte, muss sich an die hier herrschenden Spielregeln halten. Diese Aussage wird insbesondere ab Mai 2018 unter den Regeln der einheitlichen Datenschutzgrundverordnung mit Nachdruck fortgelten. Die europäische Koordination bei der Kontrolle der Einhaltung des Datenschutzes wird künftig nicht mehr die Ausnahme, sondern der Regelfall sein. Gerade mit Blick auf die Einwilligung gilt dann EU-weit ein strikteres Koppelungsverbot, das die Marktmacht globaler Anbieter noch stärker begrenzt.“


LG Düsseldorf: Unbefugte Weitergabe von Kontodaten verletzt allgemeines Persönlichkeitsrecht und verstößt gegen § 28 BDSG

LG Düsseldorf
Urteil vom 20.02.2017
5 O 400/16


Das LG Düsseldorf hat entschieden, dass die unbefugte Weitergabe von Kontodaten das allgemeine Persönlichkeitsrecht verletzt. Zudem stellt dies zugleich einen Verstoß gegen § 28 BDSG dar. Es bestehen daher Unterlassungsansprüche gemäß §§ 1004, 823 Abs. 1 BGB und §§ 1004, 823 Abs. 2 i.V.m. § 28 BDSG

Aus den Entscheidungsgründen:

"I. Die Verfügungsklägerin hat das Bestehen eines Verfügungsanspruchs aus §§ 1004, 823 Abs. 1 BGB bzw. §§ 1004, 823 Abs. 2 i.V.m. § 28 BDSG bzgl. der Weitergabe ihrer Kontodaten an Dritte glaubhaft gemacht.

Durch die Weitergabe der Kontodaten der Verfügungsklägerin liegt ein Eingriff in deren Allgemeines Persönlichkeitsrecht vor, welches als sonstiges Recht durch§ 823 Abs. 1 BGB geschützt wird. Der Verfügungsbeklagte hat nicht dargelegt, dass dieser Eingriff durch ein berechtigtes Interesse an der Weitergabe der Kontodaten gerechtfertigt ist. Soweit er im Rahmen der persönlichen Anhörung angab, es sei ihm darum gegangen sein Geld zurückzuerhalten, gibt es dafür den Rechtsweg. Es ist nicht ersichtlich, warum er die sensiblen Kontodaten der Verfügungsklägerin an deren Geschäftspartner oder sonstige Dritte weiterleiten muss, um das gewährte Darlehen zurückzuerhalten. Der Verfügungsbeklagte kann gerichtliche Hilfe in Anspruch nehmen, wenn er der Auffassung ist, die Verfügungsklägerin käme ihren Rückzahlungsverpflichtungen nicht nach.

Unter Anwendung des Bundesdatenschutzgesetztes ergibt sich nichts anderes. Gemäß § 28 Abs. 1 und 2 BDSG ist die Übermittlung personenbezogener Daten ebenfalls nur zulässig, wenn ein berechtigtes Interesse vorliegt. Gemäß § 27 Abs. 1 S. 1 Nr. 1 BDSG ist die Vorschrift auf nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 S. 1 BDSG anwendbar, es sei denn die Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Als persönliche Tätigkeit ist zwar die Verwaltung des eigenen Vermögens anzusehen. Diesen privilegierten Bereich hat der Verfügungsbeklagte jedoch durch die Weitergabe der Kontodaten an Dritte verlassen.

Die Ansprüche aus dem BDSG und der Anspruch auf Unterlassung nach §§ 1004, 823 BGB stehen nebeneinander (Palandt/ Sprau, BGB, 76. Auflage 2017, § 823 BGB, Rn. 85).

Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ergibt sich aus dem Versenden der Nachricht durch den Verfügungsbeklagten an Herrn T am 2.7.2016.


EuGH: Einwilligung eines Fernsprechteilnehmers in Veröffentlichung seiner Daten umfasst auch die Nutzung dieser Daten in einem anderen Mitgliedstaat

EuGH
Urteil vom 15.03.2017
C-536/15
Tele2 (Netherlands) BV, Ziggo BV, Vodafone Libertel BV gegen Autoriteit Consument en Markt (ACM),


Der EuGH hat entschieden, dass die Einwilligung eines Fernsprechteilnehmers in Veröffentlichung seiner Daten auch die Nutzung dieser Daten in einem anderen Mitgliedstaat umfasst

Tenor der Entscheidung:

1. Art. 25 Abs. 2 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und ‑diensten (Universaldienstrichtlinie) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass unter dem darin enthaltenen Begriff „Anträge“ auch der Antrag eines Unternehmens zu verstehen ist, das in einem anderen Mitgliedstaat ansässig ist als die Unternehmen, die Teilnehmern Telefonnummern zuweisen, und das zum Zweck der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten und Teilnehmerverzeichnissen in diesem Mitgliedstaat und/oder in anderen Mitgliedstaaten von diesen Unternehmen die ihnen vorliegenden relevanten Informationen anfordert.

2. Art. 25 Abs. 2 der Richtlinie 2002/22 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass er ein Unternehmen, das Teilnehmern Telefonnummern zuweist und nach nationalem Recht verpflichtet ist, die Einwilligung dieser Teilnehmer in die Nutzung der sie betreffenden Daten zum Zweck der Bereitstellung von Auskunftsdiensten und Teilnehmerverzeichnissen einzuholen, daran hindert, dieses Ersuchen so zu formulieren, dass die Teilnehmer bei ihrer Einwilligung in die Nutzung danach differenzieren, in welchem Mitgliedstaat die Unternehmen, die für eine Anforderung der in Art. 25 Abs. 2 genannten Informationen in Betracht kommen, ihre Dienste anbieten.

Die Pressemitteilung des EuGH:

Die Einwilligung eines Fernsprechteilnehmers in die Veröffentlichung seiner Daten umfasst auch die Nutzung dieser Daten in einem anderen Mitgliedstaat

Der weitgehend harmonisierte Rechtsrahmen ermöglicht es, die Einhaltung der Anforderungen im Bereich des Schutzes personenbezogener Teilnehmerdaten unionsweit gleichermaßen sicherzustellen

Die belgische Gesellschaft European Directory Assistance NV (EDA) bietet vom belgischen Hoheitsgebiet aus Auskunftsdienste und Teilnehmerverzeichnisse an. Sie beantragte bei Unternehmen, die Teilnehmern in den Niederlanden Telefonnummern zuweisen (Tele2, Ziggo und Vodafone Libertel), ihr ihre Teilnehmerdaten zur Verfügung zu stellen. Dabei berief sie sich auf eine Verpflichtung in einer niederländischen Rechtsvorschrift, mit der die europäische
Universaldienstrichtlinie umgesetzt wird. Da die niederländischen Unternehmen der Ansicht waren, dass sie nicht verpflichtet seien, die betreffenden Daten einem Unternehmen aus einem anderen Mitgliedstaat zu überlassen, lehnten sie dies ab.

Das mit dem Rechtsstreit befasste College van Beroep voor het bedrijfsleven (Berufungsgericht für Wirtschaftssachen, Niederlande) hat dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt. Es möchte wissen, ob ein Unternehmen verpflichtet ist, die Daten seiner Teilnehmer einem Anbieter von Auskunftsdiensten und Teilnehmerverzeichnissen aus einem anderen Mitgliedstaat zu überlassen, und, wenn ja, ob es den Teilnehmern freigestellt werden muss, ihre Einwilligung davon abhängig zu machen, in welchem Land das Unternehmen, das die Daten anfordert, seine
Dienste anbietet. Insoweit stelle sich die Frage, wie die Beachtung des Diskriminierungsverbots und der Schutz des Privatlebens gegeneinander abzuwägen seien.

In seinem heutigen Urteil antwortet der Gerichtshof auf die erste Frage, dass sich die Universaldienstrichtlinie auf alle Anträge erstreckt, die von einem Unternehmen gestellt werden, das in einem anderen Mitgliedstaat ansässig ist als die Unternehmen, die Teilnehmern Telefonnummern zuweisen.

Schon aus dem Wortlaut des einschlägigen Artikels der Richtlinie geht nämlich hervor, dass er alle zumutbaren Anträge erfasst, die zum Zweck der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten und Teilnehmerverzeichnissen gestellt werden. Außerdem schreibt er vor, dass die Informationen zu nichtdiskriminierenden Bedingungen zur Verfügung zu stellen sind. Dieser Artikel unterscheidet somit nicht danach, ob der Antrag von einem Unternehmen gestellt wird, das im selben Mitgliedstaat ansässig ist wie das Unternehmen, an das sich der Antrag richtet, oder von einem Unternehmen aus einem anderen Mitgliedstaat. Das Fehlen einer solchen Unterscheidung steht im Einklang mit dem Ziel der Richtlinie, das u. a. darin besteht, die Verfügbarkeit unionsweiter hochwertiger öffentlich zugänglicher Dienste durch wirksamen Wettbewerb und Angebotsvielfalt zu gewährleisten.

Außerdem wäre eine allein auf der Ansässigkeit der Antragsteller in einem anderen Mitgliedstaat beruhende Weigerung, ihnen die Teilnehmerdaten zur Verfügung zu stellen, mit dem Diskriminierungsverbot unvereinbar.

In Bezug auf die Frage, ob es den Teilnehmern freigestellt werden muss, ihre Einwilligung davon abhängig zu machen, in welchem Land das Unternehmen, das die Daten anfordert, seine Dienste anbietet, verweist der Gerichtshof auf seine frühere Rechtsprechung. Wenn ein Teilnehmer, der von dem Unternehmen, das ihm eine Telefonnummer zugewiesen hat, von der Möglichkeit der Weitergabe seiner personenbezogenen Daten an ein drittes Unternehmen zur Veröffentlichung in einem öffentlichen Teilnehmerverzeichnis informiert wurde und dieser Veröffentlichung zugestimmt
hat, muss er in die Weitergabe derselben Daten an ein anderes Unternehmen nicht erneut einwilligen, sofern gewährleistet ist, dass die betreffenden Daten nicht für andere Zwecke als diejenigen verwendet werden, für die sie im Hinblick auf ihre erste Veröffentlichung erhoben wurden.

Unter diesen Umständen kann nämlich die ohne erneute Zustimmung dieses Teilnehmers vorgenommene Weitergabe derselben Daten an ein anderes Unternehmen, das ein öffentliches Teilnehmerverzeichnis veröffentlichen möchte, das in der Charta der Grundrechte der Europäischen Union verankerte Recht auf Schutz personenbezogener Daten
nicht in seinem Wesensgehalt antasten.

Der Gerichtshof stellt überdies fest, dass ein Unternehmen, das öffentlich zugängliche Auskunftsdienste und Teilnehmerverzeichnisse anbietet, unabhängig davon, wo es in der Union ansässig ist, in einem weitgehend harmonisierten Rechtsrahmen tätig wird, der es ermöglicht, die Einhaltung der Anforderungen im Bereich des Schutzes personenbezogener Teilnehmerdaten unionsweit gleichermaßen sicherzustellen.

Folglich ist es für das Unternehmen, das seinen Teilnehmern Telefonnummern zuweist, nicht angezeigt, das an den Teilnehmer gerichtete Ersuchen um Einwilligung so zu formulieren, dass er bei seiner Einwilligung danach differenziert, in welchen Mitgliedstaat die ihn betreffenden Daten übermittelt werden können.

OLG Oldenburg: Keine Wiederholungsgefahr und kein Unterlassungsanspruch wenn Versicherung personenbezogene Daten zwecks Prüfung eines Schadensgutachtens in Zusammenhang mit einem Unfall weiterleitet

OLG Oldenburg
Urteil vom 23.12.2014
13 U 66/14


Das OLG Oldenburg hat entschieden, dass keine Wiederholungsgefahr und damit kein Unterlassungsanspruch besteht, wenn eine Versicherung personenbezogene Daten zwecks Prüfung eines Schadensgutachtens in Zusammenhang mit einem Unfall weiterleitet. Der Unfall stellt - so die angreifbare Argumentation des Gerichts - eine Sondersituation dar, so dass nicht mit einer erneuten Verletzungshandlung zu rechnen ist. Die Frage, ob die Versicherung berechtigt war, die personenbezogenen Daten weiterzugeben, hat das Gericht nicht abschließend entschieden.

Aus den Entscheidungsgründen:

"Ein Anspruch des Klägers auf Unterlassung der Weitergabe seiner Daten könnte sich zwar aus einer entsprechenden Anwendung des § 1004 Abs. 1 Satz 2 BGB in Verbindung mit § 823 Abs. 1 BGB ergeben, weil eine durch das Bundesdatenschutzgesetz nicht gedeckte Übermittlung personenbezogener Daten eine Verletzung des allgemeinen Persönlichkeitsrechts als „sonstiges Recht“ im Sinne des § 823 Abs. 1 BGB darstellt und keine speziellen datenschutzrechtlichen Ansprüche auf Unterlassung bestehen (vgl. BGH, Urteil vom 7. Juli 1983 - III ZR 159/82, NJW 1984, 436, zitiert nach juris, Rn. 14; OLG Düsseldorf, Urteil vom 11. Mai 2005 - 15 U 196/04, NJW 2005, 2401, zitiert nach juris, Rn. 57 ff.; Taeger in: Taeger/Gabel, BDSG, § 4 Rn. 76; Dix in: Simitis, BDSG, 8. Aufl., § 35 Rn. 73 m.w.N.).
11
Voraussetzung für einen Unterlassungsanspruch ist jedoch, dass „weitere Beeinträchtigungen zu besorgen“ sind, also eine Wiederholungsgefahr besteht (vgl. OLG Düsseldorf, aaO, Rn. 58; vgl. auch Gabel in: Taeger/Gabel, aaO, § 7 Rn. 17 m.w.N.). Wiederholungsgefahr ist die auf Tatsachen gegründete objektive ernstliche Besorgnis weiterer Störungen (Palandt/Bassenge, BGB, 74. Aufl., § 1004 Rn. 32 m.w.N.). Zwar begründet eine vorangegangene rechtswidrige Beeinträchtigung eine tatsächliche Vermutung für das Bestehen einer Wiederholungsgefahr (OLG Düsseldorf, aaO, Rn. 59; Palandt/Bassenge, aaO). Diese Vermutung ist aber dann als widerlegt anzusehen, wenn die Beeinträchtigung durch eine einmalige Sondersituation veranlasst ist und eine Wiederholung deshalb nicht naheliegt (vgl. OLG Saarbrücken, Beschluss vom 2. August 2013 - 1 UH 1/13, MDR 2013, 1485, zitiert nach juris, Rn. 22; BeckOK BGB/Fritzsche, § 1004 Rn. 83 m.w.N.). So verhält es sich - eine rechtswidrige Beeinträchtigung unterstellt - hier.

Mit einer erneuten Weitergabe von Daten des Klägers durch die Beklagte zu 2 ist nicht zu rechnen. Denn die Weitergabe diente allein der Abwicklung des Verkehrsunfalls vom 10. Oktober 2011, die inzwischen abgeschlossen ist."


Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Apple unterliegt der Verbraucherzentrale - zahlreiche AGB-Klauseln zum Datenschutz unwirksam

LG Berlin
Urteil vom 30.04.2013
15 O 92/12


Das LG Berlin hat auf eine Klage der Verbraucherzentrale hin zahlreiche Klauseln zum Datenschutz in den AGB von Apple für unwirksam und wettbewerbswidrig erklärt. Auch wenn es den einen oder anderen Apple-Jünger schmerzt, ist das Ergebnis zutreffend und wenig überraschend. Es handelt sich dabei um keinen Einzelfall. Es ist zu begrüßen, dass die Verbraucherzentrale vermehrt gegen Großunternehmen vorgeht.

Den Volltext der Entscheidung finden Sie hier:

NRW-Datenschutzbeauftragter verhängt Bußgeld von 60.000 EURO gegen Easycash GmbH wegen Weitergabe von Konto- und Umsatzdaten an Dritte

Der NRW-Datenschutzbeauftragte hat gegen die Easycash GmbH ein Bußgeld von 60.000 EURO verhängt. Der Dienstleister für EC-Kartenzahlungen für Einzelhändler hatte Konto- und Umsatzdaten der Kunden rechtswidrig an Dritte weitergegeben, die u.a. Zahlungsverkehrsanalysen und Konsummuster erstellen.


Die Pressemitteilung des NRW-Datenschutzbeauftragten finden Sie hier:
"NRW-Datenschutzbeauftragter verhängt Bußgeld von 60.000 EURO gegen Easycash GmbH wegen Weitergabe von Konto- und Umsatzdaten an Dritte" vollständig lesen