Rechtsprechungsübersicht

Seit dem Inkrafttreten der DS-GVO am 5. Mai 2018 sind mittlerweile fast zwei Jahre vergangen. Herrschte nach dem Inkrafttreten der DS-GVO noch große Unsicherheit darüber, was im Umgang mit personenbezogenen Daten beachtet werden muss oder wie die Vorgaben der Verordnung auszulegen sind, so haben nun etliche Urteile für etwas mehr Klarheit gesorgt. Die Rechtsprechungsübersicht gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Datenschutzpolitik von Facebook, der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs, zu datenschutzrechtlichen Schadensersatzansprüchen oder zu der Einwilligung beim Einsatz von Cookies.

Europäischer Gerichtshof (EuGH)

Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, gilt nicht als wirksam erteilte Einwilligung. (Az.: C-673/17)

Unternehmen, die das Plugin „Gefällt mir“ von facebook auf Ihrer Firmenhomepage einbinden, sind gemeinsam mit facebook für die Erhebung und Übermittlung der personenbezogenen Daten verantwortlich. Die Informationspflichten erstrecken sich aber nur auf diesen Vorgang und nicht auf nachgelagerte Verarbeitungen. (Az.: C-40/17)

Notizen, die sich die Zeugen Jehovas bei ihren Hausbesuchen über die angetroffenen Personen machen, unterfallen dem europäischen Datenschutzrecht. Der europäische Gerichtshof stellte fest, dass eine Religionsgemeinschaft, wie die der Zeugen Jehovas gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Da die Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit ist, können sich die Zeugen Jehovas auch nicht auf Ausnahmeregelungen berufen. (Az. C-25/17)

Die Betreiber einer Fanpage auf Facebook sind zusammen mit Facebook gemeinsame Verantwortliche für die Verarbeitung der personenbezogenen Daten. D. h., dass beide für die Einhaltung des Datenschutzes verantwortlich sind.
Diese Ansicht hat die Datenschutzkonferenz (DSK) mit ihrem Beschluss vom 05.09.2018 bestätigt und festgestellt, dass es sich um eine gemeinsame Verantwortlichkeit gem. Art 26 DS-GVO handelt. (Az.: C-210/16)

Bundesgerichtshof (BGH)

Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, gilt nicht als wirksam erteilte Einwilligung. (Az.: I ZR 7/16)

Der BGH hat die Frage nach der Abmahnfähigkeit von Datenschutzverstößen durch Wettbewerber und Verbände dem EuGH vorgelegt. (Az.: I ZR 186/17)

Bundessozialgericht (BSG)

Krankenkassen dürfen Lichtbilder für die Erstellung der Gesundheitskarte nicht bis zum Ende des Versicherungsverhältnisses aufbewahren. Stattdessen sind die Bilder nach Erstellung und Versenden der Karte zu löschen. (Az.: B 1 KR 31/17 R)

Bundesarbeitsgericht (BAG)

Die Verarbeitung von offenen Videoaufzeichnungen im Kassenbereich ist zulässig, da die Kassiererin bei Kenntnis der Videoaufzeichnung zumindest damit rechnen muss, dass auch die Handlungen von Beschäftigten von der Videoüberwachung erfasst sind. Ist eine längere Aufbewahrung der Aufzeichnungen erforderlich, steht der Datenschutz dieser nicht zwingend entgegen. (Az.: 2 AZR 133/18)

Der Datenschutz steht dem Einsichtnahmerecht des Betriebsrats in personalisierte Gehaltslisten nicht entgegen.

Hierbei handelt es sich zwar um eine Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts (Art. 4 DSGVO), jedoch erlaubt das Beschäftigtendatenschutzrecht eine solche Verarbeitung, wenn diese zur Ausübung der sich aus dem BetrVG ergebenden Rechte und Pflichten des Betriebsrats nötig ist (§ 26 Abs. 1 Satz 1 Alt. 4 BDSG). Daher ist die Weitergabe der Gehaltslisten datenschutzrechtlich auch zulässig. (Az.: 1 ABR 53/17)

Oberlandesgericht (OLG)

Ob eine datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat und damit das Wettbewerbsrecht anwendbar ist, muss individuell anhand der betroffenen Norm geprüft werden. Dementsprechend ist die Abmahnfähigkeit von Verstößen gegen die DS-GVO eine Einzelfallentscheidung. (Az.: 3 U 66/17)

Ein Energieunternehmen hat ein Gewinnspiel angeboten und die Teilnahme davon abhängig gemacht, dass der Nutzer seine E-Mail-Adresse und Telefonnummer angibt und Telefonwerbung zustimmt. Das OLG Frankfurt hat entschieden, dass der Erhalt von Vergünstigungen an die Herausgabe von Daten und die Einwilligung zu Werbeanrufen/-E-Mails gekoppelt werden darf. (Az.: 6 U6/19)

Das Kammergericht gab dem klagenden Verbraucherverband in vielen von 26 Punkten recht und entschied, dass einige Voreinstellungen zur Privatsphäre in dem sozialen Netzwerk nicht datenschutzkonform sind. Hierzu gehörten eine standardmäßig aktivierte Ortungsfunktion sowie der Zugriff von Suchmaschinen auf Nutzerfeeds. Diese bedürfen der expliziten Einwilligung des Nutzers. Zudem sind einige Klauseln der Geschäftsbedingungen rechtswidrig. Hierzu gehören unter anderem der Vorbehalt, Namen und Profilbilder für kommerzielle Zwecke zu nutzen, die Klarnamenpflicht sowie das Einverständnis mit allen künftigen Datenrichtlinien. (Az.: 5 U 9/18)

Das Kammergericht erklärte 25 Klauseln in den Nutzungsbedingungen und der Datenschutzerklärung von Google für unwirksam. Die Bestätigung eines Nutzers, die Datenschutzerklärung gelesen zu haben, ist keine Einwilligung. Darüber hinaus verletzten einige der verschachtelten Klauseln auch das Transparenzgebot, denn Datenschutzerklärungen müssen nach der DS-GVO so geschrieben werden, dass sie der durchschnittliche Leser verstehen kann. (Az.: 23 U 286/13)

Von verschiedenen Nutzer-konten sendeten Unbekann-te über den Messenger kompromittierende Nach-richten an die Freunde und Familie der Antragstellerin. Sie hatte Facebook vergeb-lich zur Löschung der Beiträ-ge aufgefordert und begehrt nun, dass es Facebook ge-richtlich erlaubt wird, ihr Auskunft über die Bestands-daten der Nutzer, ihre Na-men, E-Mail-Adressen und IP-Adressen zu erteilen. Das OLG Frankfurt entschied jedoch, dass Betroffene von (möglicherweise) rechtswid-rigen Inhalten, die über Fa-cebook-Messenger ver-schickt werden, keine ge-richtliche Erlaubnis dafür erhalten, dass Facebook ihnen die Nutzerdaten des Versenders mitteilt. Ein sol-cher Auskunftsanspruch besteht nur gegen soziale Netzwerke, der Messenger dient jedoch nur dem priva-ten Austausch. (Az.: 16 W 27/18)

Die Klägerin verlangte Auskunft über Namen, Anschriften und Beteiligungshöhe ihrer Mitgesellschafter bzw. Mittreugeber eines Immobilienfonds in der Rechtsform einer Publikums-KG. Das OLG München verurteilte die Beklagte, der Klägerin Name, Anschrift und die Höhe der Beteiligung, der (unmittelbaren und mittelbaren) Anleger schriftlich mitzuteilen. (Az.: 7 U 342/18)

Die Beklagte, eine Auskunftei, hatte auf ihrer Webseite mehrere Aussagen zur datenschutzrechtlichen Auskunft getätigt. Die Aussagen enthielten zum einen Hinweise darauf, dass man einmal eine kostenlose Auskunft erhalten kann und dass die Auskunft nicht geeignet ist, um diese an Dritte weiterzugeben. Das OLG Düsseldorf entschied, dass dadurch keine Täuschung des Verbrauchers vorliegt. Die Aussage, dass die Auskunft nicht geeignet sei, diese an Dritte weiterzugeben, sei inhaltlich zutreffend. Auch die Ausführungen zur Unentgeltlichkeit seien nicht zu beanstanden, da die Sätze nur die Erstauskunft betreffen und nach altem Recht nur eine Auskunft pro Jahr kostenlos gewesen war. (Az.: 20 U 127/17)

Der Kläger forderte von einem Versicherungsunternehmen, bei dem er eine Lebensversicherung abgeschlossen hatte, Auskunft über die über ihn gespeicherten Daten. Er forderte dabei explizit auch Auskunft über Gesprächsnotizen und Telefonvermerke. Das Oberlandesgericht Köln (OLG) hat entschieden, dass der datenschutzrechtliche Auskunftsanspruch aus der DSGVO weitaus umfassender ist als bisher angenommen. Es entschied, dass unter die Vorschrift des Art. 15 DSGVO auch sachliche Informationen wie Vermögens- oder Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen, sowie alle sonstigen Beziehungen der betroffenen Personen zu Dritten und ihrer Umwelt fallen. Darunter gehören auch solche Aussagen, die eine subjektive Einschätzung zu einer identifizierbaren Person liefern. (Az.: 6 U6/19)

Eine Versicherte fordert von ihrer Versicherung die Kopie eines medizinischen Gutachtens, das über sie erstellt wurde. Das Landgericht Berlin als erste Instanz gab ihr zwar Recht. Jedoch stellte die Versicherung der Klägerin trotzdem keine Kopie zur Verfügung. Somit ging der Rechtsstreit in die nächste Instanz zum Kammergericht Berlin. Noch während dem Rechtsstreit wurde der Versicherung bewusst, dass sie hier wieder verlieren würde und stellte der Klägerin das gewünschte Gutachten zur Verfügung. Die Prozesskosten hatte die Versicherung zu tragen, da diese den Rechtsstreit verloren hätten. (Az.: 6 U 45/18)

Landgericht (LG)

Abmahnungen wegen Verstöße gegen die DS-GVO sind trotz der abweichenden Zielrichtung des Wettbewerbsrechts nicht zulässig, da die DS-GVO eine abschließende Regelung zu Sanktionen enthält und die Zuständigkeit für deren Ahndung ausschließlich bei den Aufsichtsbehörden liegt. (Az.: 35 O 68/18 Kfh)

Ein ehemaliges Vorstandsmitglied (Kläger) verlangte im Rahmen eines Haftungsprozesses gegen den Insolvenzverwalters Auskunft bzgl. sämtlicher personenbezogener Daten und konkretisierte sein Auskunftsbegehren auf alle E-Mails, die ihn während der Amtszeit als Vorstand betrafen. Der Insolvenzverwalter hatte jedoch den gesamten Geschäftsbetrieb, samt der IT, auf der sich das betroffene E-Mail-Konto mit den E-Mails befand, an einen Erwerber veräußert. Um das Auskunftsbegehren zu erfüllen, hätte das E-Mail-Konto technisch reaktiviert werden und vor Herausgabe der E-Mails, mittels einer aufwändigen Durchsicht durch einen Anwalt oder Wirtschaftsprüfer, die Daten Dritter geschwärzt werden müssen. Das Landgericht Heidelberg wies den Auskunftsanspruch ab, da der Antrag zum einen zu unbestimmt sei und zum anderen für den Beklagten ein unzumutbarer Aufwand besteht. (Az.: 4 O 6/19)

Die DS-GVO enthält eine abschließende Regelung zur Frage, wer Verletzungen des Datenschutzes geltend machen darf. Daher sind Abmahnungen nicht zulässig. (Az.: Az. 36 O 48/18)

Konkurrenten können Verletzungen des Datenschutzes nicht abmahnen. (Az.: Az. 5 O 214/18)

Verstöße gegen die DS-GVO verstoßen auch gegen das Wettbewerbsrecht und sind damit abmahnfähig. Zusätzlich müssen Firmenhompages verschlüsselt sein und die verwendete Datenschutzerklärung den Anforderungen der DS-GVO entsprechen. (Az.: 11 O 1741/18 UWG)

Die DS-GVO enthält abschließende Regelungen zur Ahndung von Datenschutzverstößen, weshalb keine weiteren Gesetze herangezogen werden können. Demnach sind Verstöße gegen die DS-GVO nicht nach Wettbewerbsrecht abmahnfähig. (Az.: I-12 O 85/18)

Die Klägerin verlangte eine vollständige Datenauskunft nach Art. 15 Abs. 1 DS-GVO und war nach Erhalt der Auskunft der Meinung, die erteilten Informationen stellen keine vollständige Datenauskunft dar. Nach Auffassung der Kammer, sind Anhaltspunkte dafür, dass die Auskunft unvollständig ist nicht vorhanden. Vielmehr ist die Kammer der Meinung, dass sich der Auskunftsanspruch nicht auf sämtliche interne Vorgänge der Beklagten, wie z. B. Vermerke über rechtliche Einschätzungen oder sämtlichen bereits erfolgten Schriftverkehr mit dem Betroffene erstreckt. Zudem dient ein Auskunftsanspruch nur dazu, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann und nicht dazu die eigene Buchführung zu vereinfachen. (Az.: 26 O 25/18)

Eine in Hamburg tätige Rechtsanwaltskanzlei, darf von sozialen Netzwerken verlangen, ihr personenbezogenes automatisch generiertes Firmenprofil zu löschen, Rechtsgrundlage des Unterlassungsanspruchs sind die §§ 823, 1004 BGB i.V.m. Art. 6 DSGVO, denn durch die Profile seien schutzwürdige Interessen der Kanzleiinhaberin verletzt. (Az.:  312 O 372/18)

Nach der DS-GVO dürften Inkassofirmen persönliche Daten von Verbrauchern nicht an Auskunfteien wie die Schufa weitergeben, wenn eine Forderung von den Betroffenen als unbe-rechtigt zurückgewiesen wurde. Entsprechende Dro-hungen in Zahlungsaufforde-rungen sind wettbewerbs-widrig. (Az.: 18 O 400/ 19)

Landesarbeitsgericht (LAG)

Arbeitnehmer haben einen Anspruch auf Auskunft und Herausgabe ihrer personenbezogenen Leistungs- und Verhaltensdaten, d. h., insbes. haben sie Anspruch auf ihre Personalakte. Diesem Recht steht ein bestehender Geheimhaltungsgrundsatz nicht zwangsweise entgegen. Vielmehr müssen die Interessen im Einzelfall abgewogen werden. (Az.: 17 Sa 11/18)

Der Betriebsrat ist kein Dritter i. S. d. DS-GVO, sondern Teil der verantwortlichen Stelle, dem Unternehmen. Er ist zur Erfüllung seiner Pflichten dazu berechtigt, auch nichtanonymisierte Bruttolohn- und Gehaltslisten einzusehen. (Az.: 12 TaBV 23/18)

Verwaltungsgericht (VG)

Die Antragsteller sind ein Schüler und seine Eltern. Der Schüler besuchte zwei Schulen, an denen es zu Gewaltvorfällen kam. Diese wurden in seiner Schülerakte dokumentiert. Diese Schülerakte hielten die Antragsteller aus für fehlerhaft und diskriminierend. Durch die Angaben in der Schülerakte sei die Aufnahme an eine andere Schule gefährdet. Die Antragsteller versuchten deshalb über den Löschanspruch der DS-GVO bestimmte Seiten aus den Unterlagen entfernen zu lassen. Das VG Berlin wies den Antrag zurück, da kein Anspruch auf eine Löschung bestehe. Zwar gebe es nach der DSGVO unter bestimmten Voraussetzungen einen Anspruch auf Löschung von Daten, wenn diese z. B. für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Die Daten sind jedoch weiter notwendig und die Schuldatenverordnung des Landes Berlin sieht ausdrücklich vor, dass ein Schulwechsel gerade keinen Zweckwegfall begründe. Denn nur so erfüllt die Schülerakte ihren Zweck, die Entwicklung der Persönlichkeit und des Verhaltens des Schülers über seine Schullaufbahn hinweg über einen längeren Zeitraum nachvollziehbar zu machen. (Az.: VG 3 L 1028.19)

Die niedersächsische Datenschutzaufsichtsbehörde hatte per Bescheid entschieden, dass die GPS-Überwachung von Firmenfahrzeugen einer Reinigungsfirma eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle.
Dagegen klagte die Reinigungsfirma. Die Nutzung der Firmenfahrzeuge für private Zwecke wurde den Mitarbeitern zwar nicht ausdrücklich gestattet, jedoch von der Reinigungsfirma geduldet. Eine Deaktivierung des GPS-Systems war nur mit sehr hohem Aufwand möglich. Die vorgebrachten Gründe der Reinigungsfirma, beeindruckten das Gericht wenig. Letztlich scheiterte die Klage der Reinigungsfirma daran, dass diese bei der Einholung der Einwilligungserklärungen der Beschäftigten vergessen hatte, diese auf deren Widerrufsrecht hinzuweisen. Der Bescheid der Aufsichtsbehörde hatte somit weiterhin Bestand. (Az.: 4 A 12/19)

Die Klägerin war im Bereich der Versicherungsvermittlung tätig und betrieb in diesem Zusammenhang telefonische Werbeansprachen. Die Datenschutzbehörde sah hierin eine Verletzung der DSGVO und erließ eine Unterlassungsverfügung, entsprechende Daten zur Telefonwerbung zu benutzen, wenn keine wirksame Einwilligung vorlag. Die Klägerin wehrte sich vergeblich gerichtlich gegen die Verfügung. Das von ihr behauptete Double-Opt-In-Verfahren könne allenfalls eine Zustimmung zur E-Mail-Werbung dokumentieren, jedoch nicht zur Telefonwerbung. Auch auf die berechtigten Interessen nach Art. 6 Abs.1 f) DSGVO könne sich die Klägerin nicht berufen. (Az.: 1 K 732/19)

Finanzgericht (FG)

Die Einsicht in Akten des Finanzamts (Steuersachen) ist im allgemeinen Auskunftsanspruch des Art. 15 DS-GVO enthalten, da die Akten auch personenbezogene Daten enthalten.(Az.: 2 K 1002/16)

Arbeitsgericht

Biometrische Daten dürfen von Arbeitgebern nur dann verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der potentielle Missbrauch von Zeiterfassungssystemen ist keine ausreichende Begründung, um eine Zeiterfassung mittels Fingerabdrucks auf die Notwendigkeit zur Durchführung des Arbeitsverhältnisses zu stützen. Als Rechtsgrundlage kommt nur die Einwilligung der Mitarbeiter in Betracht. (Az.: 29 Ca 5451/19)

Internationale Gerichte

Die französische Datenschutzbehörde CNIL hat gegen den Internetkonzern Google eine Strafzahlung in Höhe von 50 Millionen Euro verhängt. Die von Google eingelegte Beschwerde, mit der Begründung die CNIL sei nicht die zuständige Behörde, wurde von dem obersten französischen Verwaltungsgericht zurückgewiesen. Laut dem „One-Stop-Shop-Prinzip“ (Art. 56 DS-GVO) erhält jedes Unternehmen für grenzüberschreitende Datenverarbeitungsvorgänge einen einheitlichen Ansprechpartner – im Regelfall die Aufsichtsbehörde am Sitz der Hauptniederlassung. Da die Stammfirma „Google LLC“ ihren Hauptsitz in den USA hat, ist das Prinzip aus Art. 56 DS-GVO nicht mehr anwendbar. Somit war die CNIL zum maßgeblichen Zeitpunkt befugt, das Bußgeld gegen Google zu verhängen.