Rechtsprechungsübersicht

Seit dem Inkrafttreten der DS-GVO am 5. Mai 2018 sind mittlerweile fast zwei Jahre vergangen. Herrschte nach dem Inkrafttreten der DS-GVO noch große Unsicherheit darüber, was im Umgang mit personenbezogenen Daten beachtet werden muss oder wie die Vorgaben der Verordnung auszulegen sind, so haben nun etliche Urteile für etwas mehr Klarheit gesorgt. Die Rechtsprechungsübersicht gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Datenschutzpolitik von Facebook, der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs, zu datenschutzrechtlichen Schadensersatzansprüchen oder zu der Einwilligung beim Einsatz von Cookies.

Europäischer Gerichtshof (EuGH)

Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, gilt nicht als wirksam erteilte Einwilligung. (Az.: C-673/17)

Unternehmen, die das Plugin „Gefällt mir“ von facebook auf Ihrer Firmenhomepage einbinden, sind gemeinsam mit facebook für die Erhebung und Übermittlung der personenbezogenen Daten verantwortlich. Die Informationspflichten erstrecken sich aber nur auf diesen Vorgang und nicht auf nachgelagerte Verarbeitungen. (Az.: C-40/17)

Notizen, die sich die Zeugen Jehovas bei ihren Hausbesuchen über die angetroffenen Personen machen, unterfallen dem europäischen Datenschutzrecht. Der europäische Gerichtshof stellte fest, dass eine Religionsgemeinschaft, wie die der Zeugen Jehovas gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Da die Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit ist, können sich die Zeugen Jehovas auch nicht auf Ausnahmeregelungen berufen. (Az. C-25/17)

Die Betreiber einer Fanpage auf Facebook sind zusammen mit Facebook gemeinsame Verantwortliche für die Verarbeitung der personenbezogenen Daten. D. h., dass beide für die Einhaltung des Datenschutzes verantwortlich sind.
Diese Ansicht hat die Datenschutzkonferenz (DSK) mit ihrem Beschluss vom 05.09.2018 bestätigt und festgestellt, dass es sich um eine gemeinsame Verantwortlichkeit gem. Art 26 DS-GVO handelt. (Az.: C-210/16)

Bundessozialgericht (BSG)

Krankenkassen dürfen Lichtbilder für die Erstellung der Gesundheitskarte nicht bis zum Ende des Versicherungsverhältnisses aufbewahren. Stattdessen sind die Bilder nach Erstellung und Versenden der Karte zu löschen. (Az.: B 1 KR 31/17 R)

Bundesarbeitsgericht (BAG)

Die Verarbeitung von offenen Videoaufzeichnungen im Kassenbereich ist zulässig, da die Kassiererin bei Kenntnis der Videoaufzeichnung zumindest damit rechnen muss, dass auch die Handlungen von Beschäftigten von der Videoüberwachung erfasst sind. Ist eine längere Aufbewahrung der Aufzeichnungen erforderlich, steht der Datenschutz dieser nicht zwingend entgegen. (Az.: 2 AZR 133/18)

Oberlandesgericht (OLG)

Ob eine datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat und damit das Wettbewerbsrecht anwendbar ist, muss individuell anhand der betroffenen Norm geprüft werden. Dementsprechend ist die Abmahnfähigkeit von Verstößen gegen die DS-GVO eine Einzelfallentscheidung. (Az.: 3 U 66/17)

Ein Energieunternehmen hat ein Gewinnspiel angeboten und die Teilnahme davon abhängig gemacht, dass der Nutzer seine E-Mail-Adresse und Telefonnummer angibt und Telefonwerbung zustimmt. Das OLG Frankfurt hat entschieden, dass der Erhalt von Vergünstigungen an die Herausgabe von Daten und die Einwilligung zu Werbeanrufen/-E-Mails gekoppelt werden darf. (Az.: 6 U6/19)

Das Kammergericht gab dem klagenden Verbraucherverband in vielen von 26 Punkten recht und entschied, dass einige Voreinstellungen zur Privatsphäre in dem sozialen Netzwerk nicht datenschutzkonform sind. Hierzu gehörten eine standardmäßig aktivierte Ortungsfunktion sowie der Zugriff von Suchmaschinen auf Nutzerfeeds. Diese bedürfen der expliziten Einwilligung des Nutzers. Zudem sind einige Klauseln der Geschäftsbedingungen rechtswidrig. Hierzu gehören unter anderem der Vorbehalt, Namen und Profilbilder für kommerzielle Zwecke zu nutzen, die Klarnamenpflicht sowie das Einverständnis mit allen künftigen Datenrichtlinien. (Az.: 5 U 9/18)

Das Kammergericht erklärte 25 Klauseln in den Nutzungsbedingungen und der Datenschutzerklärung von Google für unwirksam. Die Bestätigung eines Nutzers, die Datenschutzerklärung gelesen zu haben, ist keine Einwilligung. Darüber hinaus verletzten einige der verschachtelten Klauseln auch das Transparenzgebot, denn Datenschutzerklärungen müssen nach der DS-GVO so geschrieben werden, dass sie der durchschnittliche Leser verstehen kann. (Az.: 23 U 286/13)

Von verschiedenen Nutzer-konten sendeten Unbekann-te über den Messenger kompromittierende Nach-richten an die Freunde und Familie der Antragstellerin. Sie hatte Facebook vergeb-lich zur Löschung der Beiträ-ge aufgefordert und begehrt nun, dass es Facebook ge-richtlich erlaubt wird, ihr Auskunft über die Bestands-daten der Nutzer, ihre Na-men, E-Mail-Adressen und IP-Adressen zu erteilen. Das OLG Frankfurt entschied jedoch, dass Betroffene von (möglicherweise) rechtswid-rigen Inhalten, die über Fa-cebook-Messenger ver-schickt werden, keine ge-richtliche Erlaubnis dafür erhalten, dass Facebook ihnen die Nutzerdaten des Versenders mitteilt. Ein sol-cher Auskunftsanspruch besteht nur gegen soziale Netzwerke, der Messenger dient jedoch nur dem priva-ten Austausch. (Az.: 16 W 27/18)

Die Klägerin verlangte Auskunft über Namen, Anschriften und Beteiligungshöhe ihrer Mitgesellschafter bzw. Mittreugeber eines Immobilienfonds in der Rechtsform einer Publikums-KG. Das OLG München verurteilte die Beklagte, der Klägerin Name, Anschrift und die Höhe der Beteiligung, der (unmittelbaren und mittelbaren) Anleger schriftlich mitzuteilen. (Az.: 7 U 342/18)

Die Beklagte, eine Auskunftei, hatte auf ihrer Webseite mehrere Aussagen zur datenschutzrechtlichen Auskunft getätigt. Die Aussagen enthielten zum einen Hinweise darauf, dass man einmal eine kostenlose Auskunft erhalten kann und dass die Auskunft nicht geeignet ist, um diese an Dritte weiterzugeben. Das OLG Düsseldorf entschied, dass dadurch keine Täuschung des Verbrauchers vorliegt. Die Aussage, dass die Auskunft nicht geeignet sei, diese an Dritte weiterzugeben, sei inhaltlich zutreffend. Auch die Ausführungen zur Unentgeltlichkeit seien nicht zu beanstanden, da die Sätze nur die Erstauskunft betreffen und nach altem Recht nur eine Auskunft pro Jahr kostenlos gewesen war. (Az.: 20 U 127/17)

Landgericht (LG)

Abmahnungen wegen Verstöße gegen die DS-GVO sind trotz der abweichenden Zielrichtung des Wettbewerbsrechts nicht zulässig, da die DS-GVO eine abschließende Regelung zu Sanktionen enthält und die Zuständigkeit für deren Ahndung ausschließlich bei den Aufsichtsbehörden liegt. (Az.: 35 O 68/18 Kfh)

Ein ehemaliges Vorstandsmitglied (Kläger) verlangte im Rahmen eines Haftungsprozesses gegen den Insolvenzverwalters Auskunft bzgl. sämtlicher personenbezogener Daten und konkretisierte sein Auskunftsbegehren auf alle E-Mails, die ihn während der Amtszeit als Vorstand betrafen. Der Insolvenzverwalter hatte jedoch den gesamten Geschäftsbetrieb, samt der IT, auf der sich das betroffene E-Mail-Konto mit den E-Mails befand, an einen Erwerber veräußert. Um das Auskunftsbegehren zu erfüllen, hätte das E-Mail-Konto technisch reaktiviert werden und vor Herausgabe der E-Mails, mittels einer aufwändigen Durchsicht durch einen Anwalt oder Wirtschaftsprüfer, die Daten Dritter geschwärzt werden müssen. Das Landgericht Heidelberg wies den Auskunftsanspruch ab, da der Antrag zum einen zu unbestimmt sei und zum anderen für den Beklagten ein unzumutbarer Aufwand besteht. (Az.: 4 O 6/19)

Die DS-GVO enthält eine abschließende Regelung zur Frage, wer Verletzungen des Datenschutzes geltend machen darf. Daher sind Abmahnungen nicht zulässig. (Az.: Az. 36 O 48/18)

Konkurrenten können Verletzungen des Datenschutzes nicht abmahnen. (Az.: Az. 5 O 214/18)

Verstöße gegen die DS-GVO verstoßen auch gegen das Wettbewerbsrecht und sind damit abmahnfähig. Zusätzlich müssen Firmenhompages verschlüsselt sein und die verwendete Datenschutzerklärung den Anforderungen der DS-GVO entsprechen. (Az.: 11 O 1741/18 UWG)

Die DS-GVO enthält abschließende Regelungen zur Ahndung von Datenschutzverstößen, weshalb keine weiteren Gesetze herangezogen werden können. Demnach sind Verstöße gegen die DS-GVO nicht nach Wettbewerbsrecht abmahnfähig. (Az.: I-12 O 85/18)

Die Klägerin verlangte eine vollständige Datenauskunft nach Art. 15 Abs. 1 DS-GVO und war nach Erhalt der Auskunft der Meinung, die erteilten Informationen stellen keine vollständige Datenauskunft dar. Nach Auffassung der Kammer, sind Anhaltspunkte dafür, dass die Auskunft unvollständig ist nicht vorhanden. Vielmehr ist die Kammer der Meinung, dass sich der Auskunftsanspruch nicht auf sämtliche interne Vorgänge der Beklagten, wie z. B. Vermerke über rechtliche Einschätzungen oder sämtlichen bereits erfolgten Schriftverkehr mit dem Betroffene erstreckt. Zudem dient ein Auskunftsanspruch nur dazu, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann und nicht dazu die eigene Buchführung zu vereinfachen. (Az.: 26 O 25/18)

Landesarbeitsgericht (LAG)

Arbeitnehmer haben einen Anspruch auf Auskunft und Herausgabe ihrer personenbezogenen Leistungs- und Verhaltensdaten, d. h., insbes. haben sie Anspruch auf ihre Personalakte. Diesem Recht steht ein bestehender Geheimhaltungsgrundsatz nicht zwangsweise entgegen. Vielmehr müssen die Interessen im Einzelfall abgewogen werden. (Az.: 17 Sa 11/18)

Der Betriebsrat ist kein Dritter i. S. d. DS-GVO, sondern Teil der verantwortlichen Stelle, dem Unternehmen. Er ist zur Erfüllung seiner Pflichten dazu berechtigt, auch nichtanonymisierte Bruttolohn- und Gehaltslisten einzusehen. (Az.: 12 TaBV 23/18)

Verwaltungsgericht (VG)

Die Antragsteller sind ein Schüler und seine Eltern. Der Schüler besuchte zwei Schulen, an denen es zu Gewaltvorfällen kam. Diese wurden in seiner Schülerakte dokumentiert. Diese Schülerakte hielten die Antragsteller aus für fehlerhaft und diskriminierend. Durch die Angaben in der Schülerakte sei die Aufnahme an eine andere Schule gefährdet. Die Antragsteller versuchten deshalb über den Löschanspruch der DS-GVO bestimmte Seiten aus den Unterlagen entfernen zu lassen. Das VG Berlin wies den Antrag zurück, da kein Anspruch auf eine Löschung bestehe. Zwar gebe es nach der DSGVO unter bestimmten Voraussetzungen einen Anspruch auf Löschung von Daten, wenn diese z. B. für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Die Daten sind jedoch weiter notwendig und die Schuldatenverordnung des Landes Berlin sieht ausdrücklich vor, dass ein Schulwechsel gerade keinen Zweckwegfall begründe. Denn nur so erfüllt die Schülerakte ihren Zweck, die Entwicklung der Persönlichkeit und des Verhaltens des Schülers über seine Schullaufbahn hinweg über einen längeren Zeitraum nachvollziehbar zu machen. (Az.: VG 3 L 1028.19)

Finanzgericht (FG)

Die Einsicht in Akten des Finanzamts (Steuersachen) ist im allgemeinen Auskunftsanspruch des Art. 15 DS-GVO enthalten, da die Akten auch personenbezogene Daten enthalten.(Az.: 2 K 1002/16)

Arbeitsgericht

Biometrische Daten dürfen von Arbeitgebern nur dann verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der potentielle Missbrauch von Zeiterfassungssystemen ist keine ausreichende Begründung, um eine Zeiterfassung mittels Fingerabdrucks auf die Notwendigkeit zur Durchführung des Arbeitsverhältnisses zu stützen. Als Rechtsgrundlage kommt nur die Einwilligung der Mitarbeiter in Betracht. (Az.: 29 Ca 5451/19)