Urteile zur Rechtmäßigkeit von Datenverarbeitungen

Die Verarbeitung personenbezogener Daten ist nach der DS-GVO nur zulässig, wenn eine der vorgegebenen Rechtsgrundlagen nach Art. 6 bzw. Art. 9 DS-GVO einschlägig sind. Eine Datenverarbeitung ist demnach grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist (sog. Erlaubnisvorbehalt). Zu den Rechtsgrundlagen zählen insbesondere

  • die Anbahnung eines Vertrags,
  • die Erfüllung einer vertraglichen Pflicht,
  • die Erfüllung einer gesetzlichen Pflicht,
  • der Schutz lebenswichtiger Interessen,
  • die Wahrnehmung öffentlich-rechtlicher Aufgaben,
  • das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten sowie
  • die Einwilligung in die Datenverarbeitung.

Ob und welche Rechtsgrundlage anwendbar ist, muss im Einzelfall geprüft werden und ist nicht immer ganz eindeutig. Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR (sog. Drittländer) übermittelt, in denen die DS-GVO nicht direkt gilt, müssen zusätzlich die Vorgaben der Art. 44 ff. DS-GVO beachtet werden. Dementsprechend müssen Gerichte immer wieder über die Rechtmäßigkeit von Datenverarbeitungen entscheiden. Besonders umstritten ist die Frage, wann eine Einwilligung wirksam erteilt wurde, aber auch die anderen Rechtsgrundlagen führen zu Rechtsstreitigkeiten:

Die Beweislast, dass eine Einwilligung wirksam erteilt wurde, liegt einzig beim verantwortlichen Unternehmen. Ein auf Basis einer telefonischen Erklärung des Betroffenen vorausgefülltes Kästchen auf einem Vertrag, ist als Nachweis nicht ausreichend, auch wenn der Kunde den Vertrag anschließend unterschreibt. Es kann nicht sichergestellt werden, dass der Kunde die entsprechende Passage liest und sich bewusst ist, dass er eine Einwilligung erteilen soll. Zudem ist die Freiwilligkeit der Einwilligung zweifelhaft, wenn eine Ablehnung schriftlich bestätigt werden muss und dem Kunden nicht eindeutig klar ist, dass ein Vertragsabschluss auch ohne Einwilligung zur Speicherung einer Personalausweiskopie möglich ist.

(Az.: C-61/19)

In den USA herrscht aufgrund der Zugriffsmöglichkeiten der US-Behörden sowie fehlender Rechtsbehelfe kein angemessenes Schutzniveau für personenbezogene Daten. Das EU-US-Privacy-Shield ist demnach ungültig und kann nicht als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden. Der Anwendbarkeit der Standardvertragsklauseln steht dies grundsätzlich allerdings nicht entgegen, wobei das Schutzniveau stets geprüft und die Regeln ggf. zu ergänzen sind.

(Az.: C 311/18)

Für die Erteilung einer Einwilligung ist ein aktives Handeln des Betroffenen erforderlich. Eine Einwilligung für Cookies auf Websites durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, ist nicht ausreichend. Auf Bundesebene bestätigte der BGH diese Ansicht ebenfalls (Urteil v. 25.08.2020, Az.: I ZR 7/16).

(Az.: C-673/17)

Fallbeschreibung:

Ein Unternehmen war im Bereich der Versicherungsvermittlung tätig. Hierzu wurden unter anderem telefonische Werbeansprachen genutzt. Ein Ehepaar wandte sich an die für sie zuständige Datenschutzbehörde und erklärte, dass es ohne Einwilligung von dem Versicherungsunternehmen zu Werbezwecken per Telefon kontaktiert wurde. Auf Nachfrage der Datenschutzbehörde erklärte das Unternehmen, dass eine Einwilligung in die telefonische Werbeansprache vorliegt. Bei der Teilnahme an einem Gewinnspiel auf der Website des Unternehmens hat das Ehepaar das Einverständnis in Telefonwerbung unter der angegebenen Telefonnummer erteilt. Dabei wurde das Double-Opt-In-Verfahren vollständig durchlaufen. Auf Nachfrage der Datenschutzbehörde erklärte das Ehepaar, dass ihm die genannte E-Mail-Adresse unbekannt ist und es weder eine Eintragung zu dem benannten Gewinnspiel noch eine entsprechende Bestätigung über die angegebene E-Mail-Adresse vorgenommen hat.

Entscheidung des OVG Saarland:

Das OVG Saarland stellte fest, dass ein per Internet-Gewinnspiel erhobenes Opt-In keinen Nachweis für den Werbekanal Telefon begründen kann. Technisch ist es nämlich nicht möglich zu klären, ob der Inhaber der betreffenden E-Mail-Adresse auch Besitzer der angegebenen Rufnummer ist. Das behauptete Double-Opt-In-Verfahren im Gewinnspiel kann also maximal eine Zustimmung zur E-Mail-Werbung dokumentieren, nicht aber zur Telefonwerbung. Auch auf ein berechtigtes Interesse an einer Datenverarbeitung – ohne Einwilligung – im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO kann sich das Unternehmen aufgrund einer wettbewerbswidrigen Verarbeitung ebenfalls nicht berufen. Es ist dem Unternehmen daher ist nicht gelungen, den Nachweis zu führen, dass das Ehepaar in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Mit dieser Entscheidung hat das OVG Saarland nochmals die geltende Rechtsprechung, nach der das Double-Opt-In-Verfahren per E-Mail für die Einholung einer Einwilligung in telefonische Werbung nicht ausreicht, bestätigt.

(OVG Saarland, Beschluss v. 16.02.2021, Az.: 2 A 355/19)

Die Veröffentlichung von Fototaufnahmen auf Facebook-Fanpages stellt eine Verarbeitung personenbezogener Daten dar und bedarf einer Rechtsgrundlage nach Art. 6 DS-GVO. Das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO kommt hier grundsätzlich in Betracht. Bei der erforderlichen Interessenabwägung muss auf Seiten des Betroffenen allerdings berücksichtigt werden, welche enormen Risiken durch die Veröffentlichung im Internet und die Reichweite der Plattform bestehen. Zudem ist zu prüfen, ob ein Verpixeln der identifizierbaren Personen nicht denselben Zweck erfüllen würde. Im vorliegenden Fall hätte der beklagte Politiker bei der Aufnahme von der Straße die Gesichter des klagenden Ehepaares zur Erreichung des Zwecks ebenso verpixeln können. Die Datenverarbeitung war demnach unzulässig.

(Az.: 11 LA 16/20)

Fallbeschreibung

In einem Vergabeverfahren für ein digitales Entlass-Management für Patienten zweier kommunaler Krankenhausgesellschaften war als Voraussetzung zwingend zu beachten, dass die Anforderungen der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen. Favorit war aus Kostengründen ein Anbieter eines digitalen Entlass-Managements, der das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns als Hosting-Dienstleister einbinden wollte. Dieser sicherte zu, den Auftrag ausschließlich dort zu bearbeiten und die Daten ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH zu verarbeiten.

Ein Konkurrent stellte einen Nachprüfungsantrag und die Vergabekammer Baden-Württemberg (VK Baden-Württemberg, Beschluss v. 13.07.2022, Az.: 1 VK 23/22) gab diesem Recht. Nach Ansicht der VK Baden-Württemberg ist es für eine „Weitergabe“ im Sinne der DS-GVO ausreichend, wenn eine nichteuropäische Muttergesellschaft theoretisch auf die Daten, welche auf Servern der europäischen Tochtergesellschaft gespeichert werden, zugreifen kann. Dabei ist unerheblich, ob ein solcher Zugriff tatsächlich erfolgt oder nicht. Allein die Zugriffsmöglichkeit schafft ein Risiko, dass eine unzulässige Weitergabe von personenbezogenen Daten erfolgt. Diese Datenübermittlung in ein Drittland kann nach dem Schrems II-Urteil des EuGH auch nicht per se durch den Abschluss der Standardvertragsklauseln legitimiert werden. Vielmehr muss eine konkrete Einzelfallprüfung durchgeführt werden.

Entscheidung des OLG Karlsruhe

Das Oberlandesgericht (OLG) Karlsruhe hat mit diesem Beschluss die entgegenstehende Entscheidung der VK Baden-Württemberg aufgehoben. Die kommunalen Krankenhausgesellschaften mussten nicht damit rechnen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen der US-amerikanischen Muttergesellschaft an das Tochterunternehmen kommen wird. Sie durften sich vielmehr auf die bindenden Zusagen des Anbieters verlassen, dass die personenbezogenen Daten ausschließlich von ihm in Deutschland verarbeitet und nicht in die USA übermittelt werden. Zudem muss beachtet werden, dass durch die eingesetzte Verschlüsselungstechnik der Tochtergesellschaft gar keine Möglichkeit der Übermittlung personenbezogener Daten in die USA bestanden hat.

Das von den kommunalen Krankenhausgesellschaften bevorzugte Angebot weicht nach Ansicht des Senats nicht von den bei der Ausschreibung formulierten Anforderungen an Datenschutz und IT-Sicherheit ab. Daher gibt es keinen Grund dafür, dieses Angebot aus dem Vergabeverfahren auszuschließen. Die Entscheidung ist rechtskräftig.

(OLG Karlsruhe, Beschluss v. 07.09.2022, Az.: 15 Verg 8/22)

Fallbeschreibung

Eine Stammkundin einer Bäckerei war wieder einmal zum Frühstücken in dem an die Bäckerei angeschlossenen Café. Allerdings verlief dieser Besuch scheinbar nicht so reibungslos wie die vorherigen Besuche, sodass sich die Kundin im Anschluss an diesen Besuch dazu entschlossen hat, auf Google eine Rezension über das Café zu veröffentlichen. Im Oktober 2019 verfasste die Frau folgende Bewertung: „Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich „bedient“ von Frau …! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.“ In der Bewertung wurde zum einen der Nachname der Mitarbeiterin ausgeschrieben zum anderen ist die bewertete Mitarbeiterin die einzige Mitarbeiterin in der Bäckerei mit diesem Nachnamen. Diese Mitarbeiterin verlangte von Google daraufhin die Löschung ihres Nachnamens aus der Rezension und Schadensersatz. Nachdem Google nicht reagierte, reichte die Angestellte Klage ein.

Entscheidung des OLG Hamm

Nachdem das Landgericht (LG) Essen die Klage der Mitarbeiterin im ersten Rechtszug abwies (Urteil v. 29.10.2020, Az.: 4 O 09/20), legte sie Berufung vor dem Oberlandesgericht (OLG) Hamm ein. Das OLG schloss sich dem Urteil des LG Essen an und erklärte, dass nicht jede Namensangabe eine Verletzung des Datenschutzes und damit einen ungerechtfertigten Eingriff in die Persönlichkeitsrechte der Betroffenen darstellt. Die Richter werteten die Bewertung der Servicekraft als „unfreundlich“ als freie Meinungsäußerung im Rahmen einer sachlichen Unternehmensbewertung gem. § 17 Abs. 3 lit. a Datenschutz-Grundverordnung (DS-GVO). Die Namensnennung der Mitarbeiterin in diesem Zusammenhang ist unter Abwägung der betroffenen Grundrechte zulässig und hinzunehmen. Aus diesen Gründen hat die Klägerin keinen Anspruch auf Löschung nach § 17 Abs. 1 DS-GVO. Die Zahlung eines Schmerzensgeldes nach Art. 82 DS-GVO i.  H.  v. 500 EUR wiesen die Richter des OLG ebenfalls ab.

(OLG Hamm, Urteil v. 29.06.2021, Az.: I-4 U 189/20)

Ein Energieunternehmen hat ein Gewinnspiel angeboten und die Teilnahme davon abhängig gemacht, dass der Nutzer seine E-Mail-Adresse und Telefonnummer angibt und Telefonwerbung zustimmt. Das OLG Frankfurt hat entschieden, dass der Erhalt von Vergünstigungen an die Herausgabe von Daten und die Einwilligung zu Werbeanrufen/-E-Mails gekoppelt werden darf.

(Az.: 6 U 6/19)

Fallbeschreibung

Ein Dienstleister für Werbetreibende verschickte im Auftrag einer Versicherungsgesellschaft adressierte Postwerbung (Direktwerbung). Ein Empfänger machte daraufhin sein Auskunfts- und Löschrecht geltend und verlangte Schadensersatz. Er argumentierte, dass der beklagte Werbedienstleister seine personenbezogenen Daten nicht hätte für Werbezwecke verwenden und insbesondere nicht hätte weitergeben dürfen. Direktwerbung sei nur zulässig, wenn zwischen den Parteien bereits eine Kundenbeziehung bestehe. Das Unternehmen gab an, die Adresse über einen Adressanbieter erlangt zu haben, diese ausschließlich für Direktwerbung zu verwenden und die Daten nicht an seine Kunden weiterzugeben. Der Dienstleister arbeite nach dem „Lettershop-Verfahren“, bei dem Kunden ihm Werbeinhalte bereitstellen, die er versendet.

Entscheidung des LG Stuttgart

Das Landgericht (LG) Stuttgart lehnte einen Schadensersatzanspruch des betroffenen Werbeempfängers ab, die Datenverarbeitung verstoße nicht gegen die DS-GVO. Der Werbedienstleister als Verantwortlicher sowie dessen Kunde als Dritter haben ein wirtschaftliches Interesse an der Durchführung von Werbemaßnahmen, was ein berechtigtes Interesse i. S. d. DS-GVO darstellt. Im Rahmen der Interessenabwägung verwies das Gericht auch auf den Erwägungsgrund 47 der DS-GVO. Eine Kundenbeziehung sei für die Zulässigkeit der Direktwerbung nicht erforderlich, das Gesetz sehe keine solche Voraussetzung vor. Auch die Verarbeitung zur Sicherstellung des Werbewiderspruchs gem. Art. 6 Abs. 1 S. 1 c) DS-GVO verstoße nicht gegen Art. 17 DS-GVO. Ein sonstiger Verstoß gegen die Datenschutzvorgaben war für das Gericht ebenfalls nicht erkennbar.

(LG Stuttgart, Urteil v. 25.02.2022, Az.: 17 O 807/21)

Fallbeschreibung

Die Bayerische Staatsoper bzw. der Freistaat Bayern als Arbeitgeber stellte in der Spielzeit 2020/2021 ein Corona-Hygienekonzept auf, das unter anderem in regelmäßigen Abständen einen Nachweis über eine negative Corona-Testung der Beschäftigten für die Proben und Aufführungen vorsah. Die Testungen durch medizinisch geschultes Personal wurden vom Arbeitgeber organisiert, zudem konnten auch qualifizierte Testnachweise anderer Stellen vorgelegt werden. Eine Flötistin verweigerte die Testung mit der Begründung, dass die Abstriche im Hals-Nasen-Bereich einen erheblichen Eingriff in ihre körperliche Unversehrtheit darstellen, vor allem, weil eine Verletzung in diesem Bereich in ihrem Berufsfeld zur Arbeitsunfähigkeit führen kann. Daraufhin wurde die Arbeitnehmerin ohne Lohnfortzahlung freigestellt. Infolgedessen klagte sie auf Beschäftigung und Bezahlung ohne Corona-Testung.

Das Landesarbeitsgericht (LAG) München teilte in seinem Urteil (LAG München, Urteil v. 26.10.2021, Az.: 9 Sa 332/21) die Meinung der Vorgängerinstanz, dem Arbeitsgericht (ArbG) München (ArbG München, Urteil v. 24.03.2021, Az.: 19 Ca 11406/20), und entschied, dass die Flötistin weder einen Anspruch auf Beschäftigung noch auf Lohnzahlung hat. In der Begründung stützen sich die Gerichte auf den bestehenden Tarifvertrag, dessen Regelungen den Arbeitgeber auch ohne das Vorliegen konkreter Symptome zur Anordnung einer Testung berechtigen. Die Testpflicht sei verhältnismäßig, stelle keinen unzulässigen Eingriff in die körperliche Unversehrtheit dar und Verstöße gegen Datenschutzbestimmungen wurden ebenfalls nicht erkannt.

Entscheidung des BAG

Das Bundesarbeitsgericht (BAG) kam zur gleichen Entscheidung wie die beiden Vorgängerinstanzen, ging in seiner Begründung allerdings gar nicht auf den Tarifvertrag ein. Nach Ansicht des BAG sind Arbeitgeber bereits im Rahmen ihres Direktionsrechtes dazu berechtigt, Corona-Tests im Betrieb anzuordnen, soweit dies verhältnismäßig ist und die Interessen beider Seiten berücksichtigt werden. Die Richter verwiesen dabei auf die Fürsorgepflicht von Arbeitgebern, wonach diese Beschäftigte bei der Arbeit gegen Gefahren für Leben und Gesundheit schützen müssen. Folglich war die Anordnung von Corona-Testungen im Rahmen des Hygienekonzepts der Bayerischen Staatsoper zulässig. Der minimale Eingriff in die körperliche Unversehrtheit durch die Testung sei verhältnismäßig. Eine Verletzung der informationellen Selbstbestimmung sah das Gericht in der Testanordnung ebenfalls nicht. Ein positives Testergebnis würde aufgrund der infektionsschutzrechtlichen Meldepflichten und Kontaktnachverfolgung ohnehin im Betrieb bekannt werden.

(BAG, Urteil v. 01.06.2022, Az.: 5 AZR 28/22)

Die Verarbeitung von Echtdaten von Beschäftigten zu Testzwecken für ein Personalinformationssystem kann nicht auf § 26 BDSG gestützt werden, da die Verarbeitung für die Durchführung Beschäftigungsverhältnis nicht erforderlich ist. Da fiktive Daten zur Erreichung des Zwecks ebenso geeignet sind, wie Echtdaten, greift auch Art. 6 Abs. 1 S. 1 lit. f) DS-GVO nicht als Rechtsgrundlage. Die Verarbeitung kann auf eine Betriebsvereinbarung gestützt werden, insoweit dort alle betreffenden Datenkategorien vollständig aufgelistet sind. Allein die Tatsache, dass eine Datenverarbeitung unzulässig ist, begründet allerdings noch keinen Schadensersatzanspruch der Mitarbeiter nach Art. 82 DS-GVO.

(17 Sa 37/20)

Für den Aushang eines Mietvertrags an einer öffentlichen Straße besteht keine Rechtsgrundlage nach Art. 6 DS-GVO, da dies weder zur Vertragserfüllung erforderlich ist noch ein berechtigtes Interesse des Vermieters besteht. Die Mieterin hat einen Unterlassungsanspruch gegen den Vermieter, dieser ist nicht von Art. 72 DS-GVO gesperrt.

(Az.: 2-03 O 356/20)

Nach der DS-GVO dürfen Inkassofirmen persönliche Daten von Verbrauchern nicht an Auskunfteien wie die Schufa weitergeben, wenn eine Forderung von den Betroffenen als unberechtigt zurückgewiesen wurde. Entsprechende Drohungen in Zahlungsaufforderungen sind wettbewerbswidrig.

(Az.: 18 O 400/19)

Die Klägerin war im Bereich der Versicherungsvermittlung tätig und betrieb in diesem Zusammenhang telefonische Werbeansprachen. Die Datenschutzbehörde sah hierin eine Verletzung der DS-GVO und erließ eine Unterlassungsverfügung, entsprechende Daten zur Telefonwerbung zu benutzen, wenn keine wirksame Einwilligung vorlag. Die Klägerin wehrte sich vergeblich gerichtlich gegen die Verfügung. Das von ihr behauptete Double-Opt-In-Verfahren könne allenfalls eine Zustimmung zur E-Mail-Werbung dokumentieren, jedoch nicht zur Telefonwerbung. Auch auf die berechtigten Interessen nach Art. 6 Abs.1 f) DS-GVO könne sich die Klägerin nicht berufen.

(Az.: 1 K 732/19)