Urteile zur Rechtmäßigkeit von Datenverarbeitungen
Die Verarbeitung personenbezogener Daten ist nach der DS-GVO nur zulässig, wenn eine der vorgegebenen Rechtsgrundlagen nach Art. 6 bzw. Art. 9 DS-GVO einschlägig sind. Eine Datenverarbeitung ist demnach grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist (sog. Erlaubnisvorbehalt). Zu den Rechtsgrundlagen zählen insbesondere
- die Anbahnung eines Vertrags,
- die Erfüllung einer vertraglichen Pflicht,
- die Erfüllung einer gesetzlichen Pflicht,
- der Schutz lebenswichtiger Interessen,
- die Wahrnehmung öffentlich-rechtlicher Aufgaben,
- das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten sowie
- die Einwilligung in die Datenverarbeitung.
Ob und welche Rechtsgrundlage anwendbar ist, muss im Einzelfall geprüft werden und ist nicht immer ganz eindeutig. Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR (sog. Drittländer) übermittelt, in denen die DS-GVO nicht direkt gilt, müssen zusätzlich die Vorgaben der Art. 44 ff. DS-GVO beachtet werden. Dementsprechend müssen Gerichte immer wieder über die Rechtmäßigkeit von Datenverarbeitungen entscheiden. Besonders umstritten ist die Frage, wann eine Einwilligung wirksam erteilt wurde, aber auch die anderen Rechtsgrundlagen führen zu Rechtsstreitigkeiten:
Fallbeschreibung
Der Medizinische Dienst der Krankenkassen Nordrhein (MDK Nordrhein) wurde von einer Krankenkasse beauftragt, ein Gutachten zur Arbeitsunfähigkeit eines seiner eigenen Mitarbeiter zu erstellen. Das Gutachten wurde von einer Ärztin der „Organisationseinheit Spezialfall“ des MDK Nordrhein erstellt, die hierfür u. a. Auskünfte vom behandelnden Arzt des Mitarbeiters einholte, der den Betroffenen wiederum über das Gutachten informierte. Daraufhin bat der Mitarbeiter einen seiner Kollegen der IT-Abteilung, Fotos von dem Gutachten aus dem elektronischen Archiv des MDK Nordrhein zu machen und ihm zu übermitteln. Nach Ansicht des Mitarbeiters seien seine Gesundheitsdaten i. S. d. Art. 9 DS-GVO von seinem Arbeitgeber rechtswidrig verarbeitet worden. Er forderte vom MDK Nordrhein deshalb Schadensersatz in Höhe von 20.000 Euro, was dieser ablehnte. Im darauffolgenden Rechtsstreit kamen beim Bundesarbeitsgericht (BAG) mehrere Fragen, darunter auch, ob für eine rechtmäßige Verarbeitung von Gesundheitsdaten neben den Voraussetzungen des Art. 9 DS-GVO auch zusätzlich eine Rechtsgrundlage nach Art. 6 DS-GVO einschlägig sein muss.
Entscheidung des EuGH
Bei Beantwortung der Vorlagefrage entschied der Europäische Gerichtshof (EuGH), dass neben den Voraussetzungen des Art. 9 DS-GVO auch die des Art. 6 DS-GVO erfüllt sein müssen. Art. 9 Abs. 2 lit. h) und Art. 6 Abs. 1 DS-GVO seien dahingehend auszulegen, dass eine auf Art. 9 Abs. 2 lit. h) DS-GVO gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art 6 Abs. 1 DS-GVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt. Art. 6 Abs. 1 DS-GVO enthalte eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Nach Ansicht des EuGH führt die Ausnahme nach Art. 9 Abs. 2 lit. h) DS-GVO nicht dazu, dass die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten außer Kraft gesetzt werden.
Der EuGH wies auch auf frühere Entscheidungen hin, die beinhalteten, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 DS-GVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DS-GVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss.
(EuGH, Urteil v. 21.12.2023, Az.: C-667/21)
Fallbeschreibung
Hintergrund des Rechtsstreits waren Verfahrensweisen zum Scoring, das, Berechnungen von Score-Werten zur Bonität einer Person. Nachdem einem Betroffenen ein Kredit verwehrt wurde, forderte er die Wirtschaftsauskunftei Schufa auf, einen Eintrag zu löschen und ihm Zugang zu den ihn betreffenden personenbezogenen Daten zu gewähren. Nachdem er lediglich seinen Score-Wert sowie allgemeine Informationen zur Berechnung erhielt, beschwerte der Betroffene sich beim zuständigen Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Die Datenschutzbehörde entschied, dass die Verfahrensweisen der Schufa den Voraussetzungen des § 31 BDSG zur Zulässigkeit von Scoring entsprächen und wurde nicht tätig. Daraufhin reichte der Betroffene beim Verwaltungsgericht (VG) Wiesbaden Klage ein. Das VG wendete sich an den Europäischen Gerichtshof (EuGH) und legte unter anderem die Frage vor, ob es sich bei der Vorgehensweise der Schufa um eine Verarbeitung im Sinne des Art. 22 DSGVO handele.
Entscheidung des EuGH
Der EuGH bejahte im Ergebnis die Frage des VG Wiesbaden. Der Gerichtshof entschied, dass das von der Schufa betriebene Scoring bereits eine nachteilige automatisierte Entscheidung i. S. d. Art. 22 Abs. 1 DS-GVO darstellt, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein dritter Empfänger des Wertes ein Vertragsverhältnis mit der betroffenen Person begründet, durchführt oder beendet. Bereits das bloße Scoring entfalte eine Entscheidungswirkung, auch wenn der Score-Wert noch nicht für die nachgelagerte Entscheidung über einen Vertragsschluss herangezogen wird, sondern diese nur vorbereitet. Dies hat zur Folge, dass das verbreitete Scoring nur unter den besonderen Voraussetzungen des Art. 22 Abs. 2-4 DS-GVO zulässig ist und das berechtigte betriebliche Interesse als Rechtsgrundlage ausscheidet. Die endgültige Entscheidung des Falls obliegt nun dem VG Wiesbaden. Nach dem Urteil des EuGH werden private Wirtschaftsauskunfteien in der Praxis allerdings nun prüfen müssen, ob ihre Vorgehensweisen datenschutzrechtlich zulässig sind.
(EuGH, Urteil v. 07.12.2023, Az.: C-635/21)
Fallbeschreibung
Hintergrund der Entscheidung war eine Klage gegen einen Bescheid des Bundesamtes für Migration und Flüchtlinge vor dem Verwaltungsgericht (VG) Wiesbaden. Das Bundesamt stütze sich auf die von ihm erstellte elektronische Akte „MARIS“. In diesem Zusammenhang kamen Zweifel an der Einhaltung der Datenschutzvorgaben auf, da das Bundesamt auf Nachfrage weder ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO noch eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO vorlegte. Das VG hatte Zweifel daran, ob die in der elektronischen Akte „MARIS“ vorhandenen Daten zum Gegenstand des verwaltungsgerichtlichen Verfahrens gemacht werden dürfen, und legte dem Europäischen Gerichtshof (EuGH) mehrere Fragen vor.
Entscheidung des EuGH
Der EuGH betont in seiner Entscheidung, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 DS-GVO aufgestellten Grundsätzen im Einklang stehen und eine Rechtsgrundlage der Verarbeitung nach Art. 6 DS-GVO bestehen muss. Ein Verstoß gegen Art. 26 und 30 DS-GVO durch den Verantwortlichen stelle hingegen keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 lit. d) oder Art. 18 Abs. 1 lit. b) DS-GVO dar, die einen Anspruch auf Löschung bzw. Einschränkung der Verarbeitung begründe. Ein solcher Verstoß bedeute nicht automatisch einen Verstoß gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO.
(EuGH, Urteil vom 04.05.2023, Az.: C-60/22)
Fallbeschreibung
Hintergrund der Entscheidung ist ein Fall, der vor dem Bundesgerichtshof (BGH) Karlsruhe verhandelt wurde (BGH, Urteil vom 23.05.2023, Az. VI ZR 476/18). Ein Paar aus der Finanzdienstleistungsbranche sah sich von einer US-amerikanischen Internetseite in Misskredit gebracht. Der Betreiber der Internetseite soll gezielt negative Berichte lancieren, um Betroffene später damit zu erpressen. Das betroffene Paar forderte Google auf, die Links zu den Artikeln zu entfernen. Das Unternehmen weigerte sich, dieser Aufforderung nachzukommen, da es nicht beurteilen könne, ob die Vorwürfe begründet sind.
Entscheidung des EuGH
Der Europäische Gerichtshof folgte der Ansicht des Suchmaschinenbetreibers nicht. Das Recht auf freie Meinungsäußerung und Information könne bei falschen Inhalten nicht berücksichtigt werden. Könne ein Betroffener nachweisen, dass eine Suchanfrage auf eine Seite mit falschen Inhalten führe, müsse der Betreiber der Suchmaschine den entsprechenden Link löschen – auch ohne richterliche Entscheidung. Die Betreiber müssen sich nicht aktiv an der Suche nach Beweisen beteiligen, die Nachweispflicht liege beim Betroffenen. Dieser müsse aber lediglich Beweise vorbringen, die „vernünftigerweise verlangt werden können“.
(EuGH, Urteil vom 08.12.2022, Az.: C-460/20)
Die Beweislast, dass eine Einwilligung wirksam erteilt wurde, liegt einzig beim verantwortlichen Unternehmen. Ein auf Basis einer telefonischen Erklärung des Betroffenen vorausgefülltes Kästchen auf einem Vertrag, ist als Nachweis nicht ausreichend, auch wenn der Kunde den Vertrag anschließend unterschreibt. Es kann nicht sichergestellt werden, dass der Kunde die entsprechende Passage liest und sich bewusst ist, dass er eine Einwilligung erteilen soll. Zudem ist die Freiwilligkeit der Einwilligung zweifelhaft, wenn eine Ablehnung schriftlich bestätigt werden muss und dem Kunden nicht eindeutig klar ist, dass ein Vertragsabschluss auch ohne Einwilligung zur Speicherung einer Personalausweiskopie möglich ist.
(Az.: C-61/19)
In den USA herrscht aufgrund der Zugriffsmöglichkeiten der US-Behörden sowie fehlender Rechtsbehelfe kein angemessenes Schutzniveau für personenbezogene Daten. Das EU-US-Privacy-Shield ist demnach ungültig und kann nicht als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden. Der Anwendbarkeit der Standardvertragsklauseln steht dies grundsätzlich allerdings nicht entgegen, wobei das Schutzniveau stets geprüft und die Regeln ggf. zu ergänzen sind.
(Az.: C 311/18)
Für die Erteilung einer Einwilligung ist ein aktives Handeln des Betroffenen erforderlich. Eine Einwilligung für Cookies auf Websites durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, ist nicht ausreichend. Auf Bundesebene bestätigte der BGH diese Ansicht ebenfalls (Urteil v. 25.08.2020, Az.: I ZR 7/16).
(Az.: C-673/17)
Fallbeschreibung
Ein Betroffener forderte die Berichtigung seines vermeintlich falsch eingetragenen Geburtsdatums im Melderegister. Sein Geburtsjahr sei nicht – wie im Melderegister eingetragen – 1968, sondern 1965. Da er das vermeintlich richtige Geburtsdatum allerdings nicht nachweisen konnte, wurde der Berichtigungsanspruch abgelehnt.
Entscheidung des VGH
Der Verwaltungsgerichtshof (VGH) München kam ebenfalls zu dem Ergebnis, dass dem Betroffenen kein Berichtigungsanspruch zusteht. Voraussetzung eines Anspruchs auf Berichtigung aus § 6 Abs. 1 Satz 1 BMG i. V. m. Art. 16 Satz 1 DS-GVO sei es, dass er auf die Ersetzung eines unrichtigen Datums durch ein richtiges gerichtet ist. Die Beweislast für die Richtigkeit des Datums trage der Betroffene. Der Verantwortliche kann nach Ansicht des Gerichts nur zur Berichtigung eines Datums verpflichtet sein, wenn sich die Richtigkeit feststellen lässt. Diesen Nachweis konnte der Betroffene im vorliegenden Fall nicht erbringen, da er selbst in der Vergangenheit das angeblich falsche Geburtsdatum angegeben hat.
(VGH München, Beschluss vom 21.08.2023, Az.: 5 C 22.1782)
Fallbeschreibung:
Ein Unternehmen war im Bereich der Versicherungsvermittlung tätig. Hierzu wurden unter anderem telefonische Werbeansprachen genutzt. Ein Ehepaar wandte sich an die für sie zuständige Datenschutzbehörde und erklärte, dass es ohne Einwilligung von dem Versicherungsunternehmen zu Werbezwecken per Telefon kontaktiert wurde. Auf Nachfrage der Datenschutzbehörde erklärte das Unternehmen, dass eine Einwilligung in die telefonische Werbeansprache vorliegt. Bei der Teilnahme an einem Gewinnspiel auf der Website des Unternehmens hat das Ehepaar das Einverständnis in Telefonwerbung unter der angegebenen Telefonnummer erteilt. Dabei wurde das Double-Opt-In-Verfahren vollständig durchlaufen. Auf Nachfrage der Datenschutzbehörde erklärte das Ehepaar, dass ihm die genannte E-Mail-Adresse unbekannt ist und es weder eine Eintragung zu dem benannten Gewinnspiel noch eine entsprechende Bestätigung über die angegebene E-Mail-Adresse vorgenommen hat.
Entscheidung des OVG Saarland:
Das OVG Saarland stellte fest, dass ein per Internet-Gewinnspiel erhobenes Opt-In keinen Nachweis für den Werbekanal Telefon begründen kann. Technisch ist es nämlich nicht möglich zu klären, ob der Inhaber der betreffenden E-Mail-Adresse auch Besitzer der angegebenen Rufnummer ist. Das behauptete Double-Opt-In-Verfahren im Gewinnspiel kann also maximal eine Zustimmung zur E-Mail-Werbung dokumentieren, nicht aber zur Telefonwerbung. Auch auf ein berechtigtes Interesse an einer Datenverarbeitung – ohne Einwilligung – im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO kann sich das Unternehmen aufgrund einer wettbewerbswidrigen Verarbeitung ebenfalls nicht berufen. Es ist dem Unternehmen daher ist nicht gelungen, den Nachweis zu führen, dass das Ehepaar in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Mit dieser Entscheidung hat das OVG Saarland nochmals die geltende Rechtsprechung, nach der das Double-Opt-In-Verfahren per E-Mail für die Einholung einer Einwilligung in telefonische Werbung nicht ausreicht, bestätigt.
(OVG Saarland, Beschluss v. 16.02.2021, Az.: 2 A 355/19)
Die Veröffentlichung von Fototaufnahmen auf Facebook-Fanpages stellt eine Verarbeitung personenbezogener Daten dar und bedarf einer Rechtsgrundlage nach Art. 6 DS-GVO. Das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO kommt hier grundsätzlich in Betracht. Bei der erforderlichen Interessenabwägung muss auf Seiten des Betroffenen allerdings berücksichtigt werden, welche enormen Risiken durch die Veröffentlichung im Internet und die Reichweite der Plattform bestehen. Zudem ist zu prüfen, ob ein Verpixeln der identifizierbaren Personen nicht denselben Zweck erfüllen würde. Im vorliegenden Fall hätte der beklagte Politiker bei der Aufnahme von der Straße die Gesichter des klagenden Ehepaares zur Erreichung des Zwecks ebenso verpixeln können. Die Datenverarbeitung war demnach unzulässig.
(Az.: 11 LA 16/20)
Fallbeschreibung
Der Verbraucherzentrale NRW e. V. klagte gegen eine Tochtergesellschaft der Deutsche Telekom AG wegen verschiedener Datenschutzverstöße auf der Website des Unternehmens. Die Verbraucherzentrale betrachtete unter anderem die verwendeten Datenschutzhinweise, die verwendeten Cookiebanner und Datenübermittlungen in die USA als datenschutzwidrig. Neben der optischen Gestaltung des Cookiebanners wurde insbesondere kritisiert, dass die IP-Adresse sowie Browser- und Geräteinformationen aus dem Endgerät eines Website-Besuchers an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA übermittelt wurden. Dies stellte nach Ansicht der Verbraucherzentrale einen Verstoß gegen § 25 Abs. 1 TTDSG (Erforderlichkeit einer Einwilligung) sowie gegen Art. 45 ff. DS-GVO (Rechtmäßigkeit der Datenübermittlung in Drittländer) dar.
Entscheidung des Gerichts
Das Landgericht (LG) Köln gab dem Kläger in erster Instanz überwiegend Recht. Die Gestaltung des Cookiebanners entspräche nicht den Anforderungen des § 25 Abs. 1 TTDSG und die Einwilligungserteilung könne nicht als freiwillig i. S. d. Art. 4 Nr. 11 DS-GVO bewertet werden, da der „Ablehnen“-Button erst auf zweiter Ebene vorhanden gewesen sei. Mit den Buttons „Einstellungen ändern“ oder „Alle akzeptieren“ sei für den Websitebesucher auf erster Ebene nicht erkennbar gewesen, dass eine Wahlmöglichkeit besteht. Im Ergebnis war der Antrag des Klägers nach Ansicht des Gerichts jedoch unbegründet, da er zu weit gefasst war.
Das LG Köln stellte jedoch fest, dass die Datenübermittlung an Google LLC in die USA unzulässig ist. Bei seiner Entscheidung bezog sich das Gericht auf die Schrems-II-Entscheidung des EuGH, in der das Privacy-Shield-Abkommen für ungültig erklärt wurde. In den USA herrsche kein ausreichendes Datenschutzniveau und auch Standardvertragsklauseln würden nicht genügen, um eine Datenübermittlung zu rechtfertigen. Durch einen solchen Vertrag ließe sich kein mit der DS-GVO vergleichbares Datenschutzniveau gewährleisten, da ein Vertrag insbesondere keine Zugriffe von US-Behörden verhindern könne. Auch könne sich das beklagte Unternehmen nicht auf eine Einwilligung gem. Art. 49 Abs. 1 lit. a) DS-GVO berufen, da die Websitebesucher nicht über eine Datenübermittlung in die USA informiert wurden und an Einwilligungen in einen Drittstaatentransfer höhere Anforderungen zu stellen seien als bei sonstigen Einwilligungen.
(LG Köln, Urteil v. 23.03.2023, Az.: 33 O 376/22)
Gegen die Entscheidung legten beide Parteien Berufung ein, die vor dem Oberlandesgericht (OLG) Köln allerdings ohne Erfolg blieb. Für den auf Widerholungsgefahr gestützten Unterlassungsanspruch, den die Verbraucherzentrale geltend machte, müsse die beanstandete Handlung sowohl im Zeitpunkt ihrer Vornahme als auch im Zeitpunkt der gerichtlichen Entscheidung rechtswidrig sein. Das OLG teilte die Ansichten des LG Köln bezüglich der Rechtswidrigkeit der Datenübermittlung zum Zeitpunkt der Abmahnung. Da nach der Entscheidung des LG Köln als Vorinstanz ein neuer Angemessenheitsbeschluss (Data Privacy Framework, DPF) verabschiedet wurde, sei dieser ebenfalls zu berücksichtigen.
Der Angemessenheitsbeschluss als solcher sei nach Ansicht des Gerichts zwar grundsätzlich eine ausreichende Rechtsgrundlage für Datenübermittlungen in die USA. Im vorliegenden Fall sei der Datentransfer aufgrund fehlender Rechtsschutzmöglichkeiten der Betroffenen gegen die Überwachungsmaßnahmen allerdings rechtswidrig. Diese müssten bei der konkreten Übermittlung tatsächlich vorliegen. Des Weiteren sei eine Datenzugriffsmöglichkeit allgemein nicht effektiv ausgeschlossen oder auf ein erträgliches Maß zurückzuführen. Google verpflichte sich zwar, den Datenexporteur über entsprechende Anforderungen von US-Behörden zur Offenlegung personenbezogener Daten zu informieren, allerdings unter dem Vorbehalt der Zulässigkeit nach US-Recht. Ein direkter Zugriff auf personenbezogene Daten sei ebenfalls noch nicht ausgeschlossen. Auch eine Einwilligung als Rechtsgrundlage scheide wegen mangelnder Transparenz aus.
(OLG Köln, Urteil v. 03.11.2023. Az.: 6 U 58/23)
Fallbeschreibung
Der Betroffene unterhielt auf Facebook ein privates Nutzerkonto. Darüber verfasste er Kommentare unter Beiträgen anderer User, die auch Beleidigungen enthielten, und veröffentliche Fotos, die den Sohn eines US-Politikers unbekleidet zeigten. Die betreffenden Beiträge und Kommentare wurden von der Betreiberin der Social Media Plattform gelöscht und der Nutzer zeitweise gesperrt. Dieser forderte die Wiederherstellung dieser Beiträge und klagte gegen die Lösch- und Sperrvermerke.
Entscheidung des OLG
Das Oberlandesgericht (OLG) Karlsruhe als zweite Instanz entschied, dass dem Betroffenen kein Wiederherstellungsanspruch zusteht. Unabhängig von der Gültigkeit der Nutzungsbedingungen, die ebenfalls Teil des Rechtsstreits waren, war die Betreiberin der Plattform kraft Gesetzes berechtigt, die strafbaren Inhalte zu löschen. Ein Berichtigungsanspruch gem. Art. 16 DS-GVO bestehe ebenfalls nicht, da die Löschung und Sperrung tatsächlich stattgefunden hat und die zugehörigen Vermerke damit nicht unrichtig sind. Einen Anspruch auf Löschung der Lösch- und Sperrvermerke nach Art. 17 Abs. 1 DS-GVO lehnte das OLG ebenfalls ab.
(OLG Karlsruhe Urteil v. 26.5.2023, Az.: 10 U 24/22)
Fallbeschreibung
Der Betroffene war Vorstandsvorsitzender eines eingetragenen Vereins. Nachdem er aus dem Verein ausgeschiedenen ist, wurden die Daten aus dem Vereinsregister gelöscht, sind allerdings noch im chronologischen Auszug enthalten. Betroffen ist die ehemalige Vorstandstätigkeit unter Nennung des vollständigen Namens und Geburtsdatums. Der Betroffene forderte, dass die Angabe seines Geburtsdatums und die Dauer seiner Vorstandstätigkeit nicht mehr voraussetzungslos über das Internet verfügbar gemacht werden darf. Nachdem das Registergericht Bonn einen Löschanspruch ablehnte, landete der Fall in erster Instanz beim Amtsgericht (AG) Bonn und anschließend beim Oberlandesgericht (OLG) Köln.
Entscheidung des OLG
Das OLG Köln stimmte dem Vereinsregister zu, die Löschung sei zu Recht abgelehnt worden. Auch ein Recht auf Einschränkung der Verarbeitung besteht nach Ansicht des Gerichts nicht. Für beide Ansprüche fehle es an einer Rechtsgrundlage. Ein Anspruch aus Art. 17 Abs. 1 DS-GVO bestehe nach Art. 17 Abs. 3 DS-GVO nicht, da eine rechtliche Verpflichtung bzgl. der Eintragungen in das Vereinsregister besteht. Auch Art. 18, 21 DS-GVO seien nicht einschlägig. Ein Widerspruch des Betroffenen gem. Art. 21 DS-GVO, der zu einer Einschränkung der Verarbeitung von Registerdaten führen könnte, wird durch § 79a Abs. 3 BGB auf der Grundlage des Art. 23 Abs. 1 lit. e) DSGVO ausgeschlossen.
(OLG Köln, Beschluss vom 03.05.2023, Az.: 2 Wx 56/23)
Fallbeschreibung
Ein GmbH-Geschäftsführer beantragte beim Registergericht, sein Geburtsdatum und seinen Wohnort aus dem Handelsregister zu entfernen. Da seine berufliche Tätigkeit im Umgang mit Sprengstoff läge, bestehe die Gefahr, dass er Opfer einer Entführung oder eines Raubes würde, um an die Materialien zu gelangen. Das Registergericht verwies auf die verpflichtenden Angaben nach der Handelsregisterordnung und lehnte den Anspruch ab. Ebenso wie die Beschwerde des Betroffenen, die dieser mit dem hilfsweisen Begehren verband, eine Übermittlung von Geburtsdatum und Wohnort aus dem Handelsregister an Dritte erst nach einer Interessenabwägung vorzunehmen. Gegen diesen Beschluss reichte der Betroffene vor dem Oberlandesgericht (OLG) Celle Beschwerde ein.
Entscheidung des OLG Celle
Das OLG Celle entschied, dass für einen Löschanspruch an einer Rechtsgrundlage fehle. Die in § 10a Abs. 3 HGB vorgenommene Einschränkung der Rechte aus Art. 21 DS-GVO sei von Art. 23 Abs. 1 lit. e) DS-GVO gedeckt, wonach die Pflichten und Rechte gemäß den Art. 12 – 22 DS-GVO zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaates beschränkt werden können. Demnach stehe dem Betroffenen kein Widerspruchsrecht nach Art. 21 DS-GVO zu. Ein Löschanspruch aus Art. 17 Abs. 1 DS-GVO bestehe ebenfalls nicht, da gemäß Art. 17 Abs. 3 lit. b) DS-GVO eine Ausnahme für die Datenverarbeitung im Handelsregister vorliegt.
(OLG Celle, Beschluss vom 24.02.2023, Az.: 9 W 16/23)
Fallbeschreibung
In einem Vergabeverfahren für ein digitales Entlass-Management für Patienten zweier kommunaler Krankenhausgesellschaften war als Voraussetzung zwingend zu beachten, dass die Anforderungen der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen. Favorit war aus Kostengründen ein Anbieter eines digitalen Entlass-Managements, der das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns als Hosting-Dienstleister einbinden wollte. Dieser sicherte zu, den Auftrag ausschließlich dort zu bearbeiten und die Daten ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH zu verarbeiten.
Ein Konkurrent stellte einen Nachprüfungsantrag und die Vergabekammer Baden-Württemberg (VK Baden-Württemberg, Beschluss v. 13.07.2022, Az.: 1 VK 23/22) gab diesem Recht. Nach Ansicht der VK Baden-Württemberg ist es für eine „Weitergabe“ im Sinne der DS-GVO ausreichend, wenn eine nichteuropäische Muttergesellschaft theoretisch auf die Daten, welche auf Servern der europäischen Tochtergesellschaft gespeichert werden, zugreifen kann. Dabei ist unerheblich, ob ein solcher Zugriff tatsächlich erfolgt oder nicht. Allein die Zugriffsmöglichkeit schafft ein Risiko, dass eine unzulässige Weitergabe von personenbezogenen Daten erfolgt. Diese Datenübermittlung in ein Drittland kann nach dem Schrems II-Urteil des EuGH auch nicht per se durch den Abschluss der Standardvertragsklauseln legitimiert werden. Vielmehr muss eine konkrete Einzelfallprüfung durchgeführt werden.
Entscheidung des OLG Karlsruhe
Das Oberlandesgericht (OLG) Karlsruhe hat mit diesem Beschluss die entgegenstehende Entscheidung der VK Baden-Württemberg aufgehoben. Die kommunalen Krankenhausgesellschaften mussten nicht damit rechnen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen der US-amerikanischen Muttergesellschaft an das Tochterunternehmen kommen wird. Sie durften sich vielmehr auf die bindenden Zusagen des Anbieters verlassen, dass die personenbezogenen Daten ausschließlich von ihm in Deutschland verarbeitet und nicht in die USA übermittelt werden. Zudem muss beachtet werden, dass durch die eingesetzte Verschlüsselungstechnik der Tochtergesellschaft gar keine Möglichkeit der Übermittlung personenbezogener Daten in die USA bestanden hat.
Das von den kommunalen Krankenhausgesellschaften bevorzugte Angebot weicht nach Ansicht des Senats nicht von den bei der Ausschreibung formulierten Anforderungen an Datenschutz und IT-Sicherheit ab. Daher gibt es keinen Grund dafür, dieses Angebot aus dem Vergabeverfahren auszuschließen. Die Entscheidung ist rechtskräftig.
(OLG Karlsruhe, Beschluss v. 07.09.2022, Az.: 15 Verg 8/22)
Fallbeschreibung
Eine Stammkundin einer Bäckerei war wieder einmal zum Frühstücken in dem an die Bäckerei angeschlossenen Café. Allerdings verlief dieser Besuch scheinbar nicht so reibungslos wie die vorherigen Besuche, sodass sich die Kundin im Anschluss an diesen Besuch dazu entschlossen hat, auf Google eine Rezension über das Café zu veröffentlichen. Im Oktober 2019 verfasste die Frau folgende Bewertung: „Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich „bedient“ von Frau …! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.“ In der Bewertung wurde zum einen der Nachname der Mitarbeiterin ausgeschrieben zum anderen ist die bewertete Mitarbeiterin die einzige Mitarbeiterin in der Bäckerei mit diesem Nachnamen. Diese Mitarbeiterin verlangte von Google daraufhin die Löschung ihres Nachnamens aus der Rezension und Schadensersatz. Nachdem Google nicht reagierte, reichte die Angestellte Klage ein.
Entscheidung des OLG Hamm
Nachdem das Landgericht (LG) Essen die Klage der Mitarbeiterin im ersten Rechtszug abwies (Urteil v. 29.10.2020, Az.: 4 O 09/20), legte sie Berufung vor dem Oberlandesgericht (OLG) Hamm ein. Das OLG schloss sich dem Urteil des LG Essen an und erklärte, dass nicht jede Namensangabe eine Verletzung des Datenschutzes und damit einen ungerechtfertigten Eingriff in die Persönlichkeitsrechte der Betroffenen darstellt. Die Richter werteten die Bewertung der Servicekraft als „unfreundlich“ als freie Meinungsäußerung im Rahmen einer sachlichen Unternehmensbewertung gem. § 17 Abs. 3 lit. a Datenschutz-Grundverordnung (DS-GVO). Die Namensnennung der Mitarbeiterin in diesem Zusammenhang ist unter Abwägung der betroffenen Grundrechte zulässig und hinzunehmen. Aus diesen Gründen hat die Klägerin keinen Anspruch auf Löschung nach § 17 Abs. 1 DS-GVO. Die Zahlung eines Schmerzensgeldes nach Art. 82 DS-GVO i. H. v. 500 EUR wiesen die Richter des OLG ebenfalls ab.
(OLG Hamm, Urteil v. 29.06.2021, Az.: I-4 U 189/20)
Ein Energieunternehmen hat ein Gewinnspiel angeboten und die Teilnahme davon abhängig gemacht, dass der Nutzer seine E-Mail-Adresse und Telefonnummer angibt und Telefonwerbung zustimmt. Das OLG Frankfurt hat entschieden, dass der Erhalt von Vergünstigungen an die Herausgabe von Daten und die Einwilligung zu Werbeanrufen/-E-Mails gekoppelt werden darf.
(Az.: 6 U 6/19)
Fallbeschreibung
Ein Dienstleister für Werbetreibende verschickte im Auftrag einer Versicherungsgesellschaft adressierte Postwerbung (Direktwerbung). Ein Empfänger machte daraufhin sein Auskunfts- und Löschrecht geltend und verlangte Schadensersatz. Er argumentierte, dass der beklagte Werbedienstleister seine personenbezogenen Daten nicht hätte für Werbezwecke verwenden und insbesondere nicht hätte weitergeben dürfen. Direktwerbung sei nur zulässig, wenn zwischen den Parteien bereits eine Kundenbeziehung bestehe. Das Unternehmen gab an, die Adresse über einen Adressanbieter erlangt zu haben, diese ausschließlich für Direktwerbung zu verwenden und die Daten nicht an seine Kunden weiterzugeben. Der Dienstleister arbeite nach dem „Lettershop-Verfahren“, bei dem Kunden ihm Werbeinhalte bereitstellen, die er versendet.
Entscheidung des LG Stuttgart
Das Landgericht (LG) Stuttgart lehnte einen Schadensersatzanspruch des betroffenen Werbeempfängers ab, die Datenverarbeitung verstoße nicht gegen die DS-GVO. Der Werbedienstleister als Verantwortlicher sowie dessen Kunde als Dritter haben ein wirtschaftliches Interesse an der Durchführung von Werbemaßnahmen, was ein berechtigtes Interesse i. S. d. DS-GVO darstellt. Im Rahmen der Interessenabwägung verwies das Gericht auch auf den Erwägungsgrund 47 der DS-GVO. Eine Kundenbeziehung sei für die Zulässigkeit der Direktwerbung nicht erforderlich, das Gesetz sehe keine solche Voraussetzung vor. Auch die Verarbeitung zur Sicherstellung des Werbewiderspruchs gem. Art. 6 Abs. 1 S. 1 c) DS-GVO verstoße nicht gegen Art. 17 DS-GVO. Ein sonstiger Verstoß gegen die Datenschutzvorgaben war für das Gericht ebenfalls nicht erkennbar.
(LG Stuttgart, Urteil v. 25.02.2022, Az.: 17 O 807/21)
Fallbeschreibung
Die Bayerische Staatsoper bzw. der Freistaat Bayern als Arbeitgeber stellte in der Spielzeit 2020/2021 ein Corona-Hygienekonzept auf, das unter anderem in regelmäßigen Abständen einen Nachweis über eine negative Corona-Testung der Beschäftigten für die Proben und Aufführungen vorsah. Die Testungen durch medizinisch geschultes Personal wurden vom Arbeitgeber organisiert, zudem konnten auch qualifizierte Testnachweise anderer Stellen vorgelegt werden. Eine Flötistin verweigerte die Testung mit der Begründung, dass die Abstriche im Hals-Nasen-Bereich einen erheblichen Eingriff in ihre körperliche Unversehrtheit darstellen, vor allem, weil eine Verletzung in diesem Bereich in ihrem Berufsfeld zur Arbeitsunfähigkeit führen kann. Daraufhin wurde die Arbeitnehmerin ohne Lohnfortzahlung freigestellt. Infolgedessen klagte sie auf Beschäftigung und Bezahlung ohne Corona-Testung.
Das Landesarbeitsgericht (LAG) München teilte in seinem Urteil (LAG München, Urteil v. 26.10.2021, Az.: 9 Sa 332/21) die Meinung der Vorgängerinstanz, dem Arbeitsgericht (ArbG) München (ArbG München, Urteil v. 24.03.2021, Az.: 19 Ca 11406/20), und entschied, dass die Flötistin weder einen Anspruch auf Beschäftigung noch auf Lohnzahlung hat. In der Begründung stützen sich die Gerichte auf den bestehenden Tarifvertrag, dessen Regelungen den Arbeitgeber auch ohne das Vorliegen konkreter Symptome zur Anordnung einer Testung berechtigen. Die Testpflicht sei verhältnismäßig, stelle keinen unzulässigen Eingriff in die körperliche Unversehrtheit dar und Verstöße gegen Datenschutzbestimmungen wurden ebenfalls nicht erkannt.
Entscheidung des BAG
Das Bundesarbeitsgericht (BAG) kam zur gleichen Entscheidung wie die beiden Vorgängerinstanzen, ging in seiner Begründung allerdings gar nicht auf den Tarifvertrag ein. Nach Ansicht des BAG sind Arbeitgeber bereits im Rahmen ihres Direktionsrechtes dazu berechtigt, Corona-Tests im Betrieb anzuordnen, soweit dies verhältnismäßig ist und die Interessen beider Seiten berücksichtigt werden. Die Richter verwiesen dabei auf die Fürsorgepflicht von Arbeitgebern, wonach diese Beschäftigte bei der Arbeit gegen Gefahren für Leben und Gesundheit schützen müssen. Folglich war die Anordnung von Corona-Testungen im Rahmen des Hygienekonzepts der Bayerischen Staatsoper zulässig. Der minimale Eingriff in die körperliche Unversehrtheit durch die Testung sei verhältnismäßig. Eine Verletzung der informationellen Selbstbestimmung sah das Gericht in der Testanordnung ebenfalls nicht. Ein positives Testergebnis würde aufgrund der infektionsschutzrechtlichen Meldepflichten und Kontaktnachverfolgung ohnehin im Betrieb bekannt werden.
(BAG, Urteil v. 01.06.2022, Az.: 5 AZR 28/22)
Die Verarbeitung von Echtdaten von Beschäftigten zu Testzwecken für ein Personalinformationssystem kann nicht auf § 26 BDSG gestützt werden, da die Verarbeitung für die Durchführung Beschäftigungsverhältnis nicht erforderlich ist. Da fiktive Daten zur Erreichung des Zwecks ebenso geeignet sind, wie Echtdaten, greift auch Art. 6 Abs. 1 S. 1 lit. f) DS-GVO nicht als Rechtsgrundlage. Die Verarbeitung kann auf eine Betriebsvereinbarung gestützt werden, insoweit dort alle betreffenden Datenkategorien vollständig aufgelistet sind. Allein die Tatsache, dass eine Datenverarbeitung unzulässig ist, begründet allerdings noch keinen Schadensersatzanspruch der Mitarbeiter nach Art. 82 DS-GVO.
(17 Sa 37/20)
Für den Aushang eines Mietvertrags an einer öffentlichen Straße besteht keine Rechtsgrundlage nach Art. 6 DS-GVO, da dies weder zur Vertragserfüllung erforderlich ist noch ein berechtigtes Interesse des Vermieters besteht. Die Mieterin hat einen Unterlassungsanspruch gegen den Vermieter, dieser ist nicht von Art. 72 DS-GVO gesperrt.
(Az.: 2-03 O 356/20)
Nach der DS-GVO dürfen Inkassofirmen persönliche Daten von Verbrauchern nicht an Auskunfteien wie die Schufa weitergeben, wenn eine Forderung von den Betroffenen als unberechtigt zurückgewiesen wurde. Entsprechende Drohungen in Zahlungsaufforderungen sind wettbewerbswidrig.
(Az.: 18 O 400/19)
Die Klägerin war im Bereich der Versicherungsvermittlung tätig und betrieb in diesem Zusammenhang telefonische Werbeansprachen. Die Datenschutzbehörde sah hierin eine Verletzung der DS-GVO und erließ eine Unterlassungsverfügung, entsprechende Daten zur Telefonwerbung zu benutzen, wenn keine wirksame Einwilligung vorlag. Die Klägerin wehrte sich vergeblich gerichtlich gegen die Verfügung. Das von ihr behauptete Double-Opt-In-Verfahren könne allenfalls eine Zustimmung zur E-Mail-Werbung dokumentieren, jedoch nicht zur Telefonwerbung. Auch auf die berechtigten Interessen nach Art. 6 Abs.1 f) DS-GVO könne sich die Klägerin nicht berufen.
(Az.: 1 K 732/19)