Skip to content

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die ergänzenden Maßnahmen zur Standarddatenschutzklausel.

Gibt es noch Hoffnung für den US-Datentransfer?

Einleitung

Im Juli diesen Jahres kippte der Europäische Gerichtshof den transatlantischen „Privacy Shield“. Dieses Urteil hatte und hat weitreichende Auswirkungen auf den Datentransfer zwischen der EU und den Vereinigten Staaten. Um dennoch einen Datentransfer zu gewährleisten, werden nun ergänzende Maßnahmen vorgeschlagen, die in Verbindung mit den Standarddatenschutzsklauseln einen gleichwertigen Datenschutz darstellen sollen. Dazu hat das European Data Protection Board (EDPB) eine schriftliche Empfehlung zur praktischen Vorgehensweise veröffentlicht. 

Diese Empfehlungen beinhalten zunächst einen Sechs-Schritte-Plan, in dem es vorrangig darum geht, wie Daten sicher übermittelt werden können. Im Anschluss daran erfolgt dann eine Erläuterung über die neuen ergänzenden Maßnahmen. Diese sollen in Kombination mit bereits bestehenden Transfer Tools eingesetzt werden, um einen gleichwertig geschützten Datentransfer in Drittländer vornehmen zu können, insbesondere dort wo der Schutz allein aufgrund der Standarddatenschutzklauseln nach dem Urteil nicht mehr gewährleistet ist. 

Was für ergänzende Maßnahmen sind das? 

Es gibt drei Kategorien, in die die Maßnahmen eingeteilt sind: technisch, vertraglich und organisatorisch.  

Die technischen Maßnahmen betreffen überwiegend die Verschlüsselung und Pseudonymisierung von Daten einer Datenübermittlung. Diesbezüglich werden in den Empfehlungen Fallbeispiele angeführt, wie die Datenspeicherung bei einem externen Provider oder die Verschlüsselung bei Durchquerung des Drittlandes aussehen sollte, um nach Ansicht des EDPB als angemessene Maßnahme zu gelten. Insbesondere soll eine Verschlüsselung und Pseudonymisierung vor der Datenübermittlung erfolgen, womit eine Entschlüsselung beim Übermittlungs– und Verarbeitungsprozess durch unberechtigte Parteien unmöglich gemacht oder zumindest erschwert werden soll. Allerdings sind derartige technische Maßnahmen bei Cloud-Anbietern oder bei Fernzugriffen auf Geschäftsdaten regelmäßig nur schwer umsetzbar, da in beiden Bereichen eine Verschlüsselung die Arbeitsprozesse behindern kann. 

Die vertraglichen Maßnahmen umfassen die Einführung verpflichtender Klauseln zur Absicherung der technischen Maßnahmen, Informationspflichten, verstärkte Kontrollrechte, Mitteilungspflichten sowie die Anfechtung von behördlichen Anordnungen. 

Die organisatorischen Maßnahmen dienen der angemessenen Umsetzung und Erhaltung der zuvor benannten Maßnahmen. Sie können aus internen Richtlinien, Organisationsmethoden sowie Standards bestehen, die die verantwortlichen Parteien anwenden und auch den Datenimporteuren in Drittländern auferlegt werden können. Des Weiteren wird die Durchführung entsprechender Schulungen empfohlen, um Mitarbeiter für die Überprüfung dieser Prozesse auszubilden. 

Können diese Maßnahmen den Datentransfer in die Vereinigten Staaten sichern?  

Die schriftlichen Empfehlungen legen sich nicht auf die Vereinigten Staaten fest, sondern umfassen allgemein Drittstaaten, wozu nach Wegfall des Privacy Shields nun eben auch die Vereinigten Staaten zählen. Da die Einstellung des Datentransfers in die Vereinigten Staaten wirtschaftlich betrachtet höchst problematisch und nahezu unmöglich ist, zumindest zum gegenwärtigen Zeitpunkt, kann man nur vermuten, dass das EDPB angesichts der verhältnismäßig schnellen Veröffentlichung seiner Empfehlungen dieses Problem erkannt hat und den betroffenen Unternehmen dennoch Möglichkeiten an die Hand geben will, um einen Datentransfer in die Vereinigten Staaten zu legitimieren. Die Anwendbarkeit und Legitimierungswirkung der empfohlenen Maßnahmen sei erst einmal dahingestellt, da die Maßnahmen zumindest dann nicht ausreichend sein können, wenn die Datenimporteure und das Telekommunikations-Sicherheitsgesetz der Vereinigten Staaten (FISA) fallen  

So wurde im Schrems-II-Urteil zwar die weitere Nutzung von Standardvertragsklauseln als zulässig erachtet, aber zusätzlich vor deren Nutzung muss nunmehr von den Datenexporteuren und –importeuren geprüft werden, ob die Standardvertragsklauseln einen ausreichenden Schutz bieten oder ggf. noch weitere Maßnahmen zur Gewährleistung des Datenschutzes erfolgen müssen. Für die Vereinigten Staaten dürfte dies meist der Fall sein. Darüber hinaus ist aber auch jedes andere Drittland betroffen, sofern es nicht den europäischen Datenschutzstandards gerecht wird.  

Wie sieht die praktische Umsetzbarkeit aus? 

Die Einsetzung der ergänzenden Maßnahmen ist hilfreich, allerdings ist die praktische Umsetzung schwierig. Zu einer umfassenden Dokumentationspflicht kommt hinzu, dass die ergänzenden Maßnahmen viele individuelle Absprachen zwischen den datenverarbeitenden Parteien erfordern. Zudem garantiert die Einsetzung einer einzelnen Maßnahme nicht automatisch den erforderlichen Datenschutz. Ganz im Gegenteil muss eine konkrete Abwägung der verschiedenen Maßnahmen vorgenommen werden, die im jeweiligen Drittland zum Einsatz kommen sollen. Denn jedes Drittland hat verschiedene Gesetze und Regelungen, die Auswirkungen auf das EU-Datenschutzniveau haben und daher andere Maßnahmen erforderlich machen. Daher ist es unabdingbar, dass diverse Informationsquellen über das Zielland herangezogen werden. Dazu zählen Rechtsprechung der Europäischen Union, Berichte von zwischenstaatlichen Organisationen, nationale Rechtsprechung und Einschätzungen und Berichte von nationalen oder europäischen Datenschutzbehörden (wie bspw. des EDPB) Letztlich muss immer eine Einzelfallentscheidung getroffen werden, die auch eine Kombination aus mehreren Maßnahmen voraussetzen kann 

Fazit 

Folglich gibt es nicht den einen Lösungsweg. Doch bieten die Empfehlungen eine Orientierungshilfe, um den Datentransfer in Drittländer dennoch anhand von Standardvertragsklauseln zu ermöglichen. Bei alldem gilt es die eigene Verantwortlichkeit für den Datentransfer zu beachten. Daher sollten Datenexporteure und –importeure die Empfehlungen des EDPB vor der Datenübermittlung oder Datenverarbeitung berücksichtigen und sich detailliert über die Regelungen im Drittland informieren, in welches die Daten transferiert oder verarbeitet werden.  

In diesem Zusammenhang ist es auch empfehlenswert den neuen Entwurf der SCCs zu lesen, welcher vermutlich zu Beginn des nächsten Jahres in Kraft treten wird und die Verordnung von 2010 ablösen soll. Bis zum 10.12.2020 hatten Betroffene die Möglichkeit sich zu diesem Entwurf zu äußeren. Besonders besorgt sind einige Betroffene über den Umsetzungszeitraum von einem Jahr ab Inkrafttreten, da viele Forderungen in der Praxis nicht entsprechend schnell umgesetzt werden können.  

Zwar greift der neue Entwurf die oben benannten Maßnahmen auf und wird auf diese Weise den Anforderungen des Schrems-II-Urteils gerecht, aber für die Unternehmen bedeutet das, dass sie mit erheblichem Aufwand eine umfassende Übersicht über ihre Datentransfers vornehmen müssen. 

 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, was unter Bestandsdatenauskunft zu verstehen ist und in welchem Verhältnis sie zu den Grundrechten steht.

BVerfG: Regelungen zur Bestandsdatenauskunft gehen noch immer zu weit

Einleitung

Nach einigen Jahren hat das Bundesverfassungsgericht (BVerfG) sich erneut mit der Bestandsdatenauskunft auseinandergesetzt. Grund dafür waren zwei Verfassungsbeschwerden, wobei eine der Verfassungsbeschwerden 2013 von einem heutigen Piraten-Europapolitiker und einer seiner ehemaligen Parteikolleginnen eingelegt und von etwas mehr als 6.000 Bürgerinnen und Bürgern unterstützt wurde. Die Beschwerde-führer kritisierten insbesondere, dass Sicherheitsbehörden aufgrund der geltenden Gesetzeslage ohne große Hürden personenbezogene Daten einsehen könnten und sie deswegen in ihren Grundrechten verletzt seien.

Nachdem die Regelungen zur Bestandsdatenauskunft bereits 2012 nach einem Beschluss des BVerfG (Beschl. v. 24.01.2012, Az. 1 BvR 1299/05, „Bestandsdatenauskunft I“) abgeändert wurden, stehen sie nun wieder im Visier des Karlsruher Gerichts. Erst kürzlich hat das BVerfG erneut darüber entschieden, ob sie mit der Verfassung vereinbar sind oder sie einer erneuten Änderung bedürfen.

Bestandsdatenauskunft und ihre rechtliche Grundlage

Als Bestandsdaten werden gem. § 3 Nr. 3 des Telekommunikationsgesetzes (TKG) solche personenbezogenen Daten bezeichnet, die im Rahmen eines Telekommunikationsvertrages zu dessen Begründung, inhaltlicher Ausgestaltung, Änderung oder Beendigung erhoben werden. Dazu zählen bspw. der Name, die Adresse, die Telefonnummer oder auch Passwörter und IP-Adressen der Kunden. Bestimmte gesetzliche Regelungen befugen nun Sicherheitsbehörden, von den Telekommunikationsunternehmen Auskunft über diese Kundendaten zu erlangen (sog. Bestandsdatenauskunft). Dabei geht es insbesondere um die Auskunft über den Anschlussinhaber eines Telefonanschlusses oder einer bestimmten IP-Adresse. Sofern die jeweiligen gesetzlichen Voraussetzungen erfüllt sind, sind die Telekommunikationsanbieter zur Auskunft verpflichtet. Dies betrifft jedoch nicht die sog. Verkehrsdaten, welche sich auf die Nutzung des Telekommunikationsdienstes oder deren Inhalt beziehen, sondern ausschließlich die Bestandsdaten der Kunden.

Als gesetzliche Grundlage für die Bestandsdatenauskunft dient insbesondere der § 113 TKG. Danach dürfen Sicherheitsbehörden die jeweiligen Bestandsdaten anfordern, wenn dies im Einzelfall der Verfolgung von Straftaten oder Ordnungswidrigkeiten, der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder der Erfüllung von gesetzlichen Aufgaben der Behörden dient. Die in § 113 TKG berechtigten Behörden sind bspw. die Bundespolizei, das Bundeskriminalamt oder auch Nachrichtendienste.

Entscheidung des BVerfG 

In seinem neusten Beschluss (Beschl. v. 27.05.2020, Az. 1 BvR 1873/13, 1 BvR 2618/13, “Bestandsdatenauskunft II”) entschied das BVerfG erneut für die Kläger und begründete seine Entscheidung damit, dass § 113 TKG keine ausreichende und verhältnismäßige Rechtsgrundlage für die Bestandsdatenauskunft darstelle. Dies liege daran, dass die Norm zu weit und unbestimmt gefasst sei. Die Eingriffsschwellen für die Sicherheitsbehörden seien zu niedrig, sodass die derzeitige Fassung des § 113 TKG gegen das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 des Grundgesetzes (GG) und gegen das Telekommunikationsgeheimnis aus Art. 10 Abs. 1 GG verstoße. Nach Auffassung des Gerichts seien neben dem § 113 TKG auch andere Bundesgesetze verfassungswidrig, die maßgeblich die Bestandsdatenauskunft betreffen.

Die Karlsruher Richter verlangten, dass der Gesetzgeber sowohl für die Übermittlung der Bestandsdaten an die Behörden als auch für dessen Abruf durch die Behörden eine verhältnismäßige Rechtsgrundlage ausarbeite. Diese müsste dann eine hinreichende Begrenzung der Verwendungszwecke der Daten beinhalten. Davon sei jedenfalls dann auszugehen, wenn tatbestandliche Eingriffsschwellen und ein hinreichend gewichtiger Rechtsgüterschutz in den jeweiligen Normen vorgesehen würden. Das BVerfG betonte zudem, dass eine Bestandsdatenauskunft nicht per se verfassungswidrig sei, sondern nur die derzeitige gesetzliche Grundlage.

Folge der Entscheidung ist, dass § 113 TKG und andere Bundesgesetze, die die Bestandsdatenauskunft betreffen, abgeändert werden müssen, um den Grundrechten der Betroffenen gerecht zu werden und sie nicht in unverhältnismäßiger Weise zu verletzen. Dies soll nun bis spätestens Ende 2021 geschehen. In der Übergangszeit könne § 113 TKG jedoch weiterhin eine Bestandsdatenauskunft legitimieren, sofern die jeweilige Auskunft zur Abwehr einer konkreten Gefahr erforderlich oder bezüglich der Nachrichtendienste zur Aufklärung im Einzelfall geboten sei oder wenn für die Verfolgung von Straftaten und Ordnungswidrigkeiten zumindest ein Anfangsverdacht bestehe, so das BVerfG.

Fazit

Die Änderung der Vorschriften zur Bestandsdatenauskunft in 2012 waren nach Ansicht des BVerfG nicht ausreichend. Die Rechtsgrundlagen, insbesondere § 113 TKG, seien derzeit immer noch zu unbestimmt und würden die Betroffenen in ihren Grundrechten auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis (Art. 2 Abs.1 i.V.m Art 1 Abs. 1 und Art. 10 Abs. 1 GG) verletzen.

Als Folge des Urteils wird nun eine weitere Änderung der Vorschriften über die Bestandsdatenauskunft erwartet. Für die Reformierung der Gesetze hat der Gesetzgeber nun bis zum 31.12.2021 Zeit. In der Zwischenzeit findet § 113 TKG jedoch weiterhin mit gewissen Einschränkungen Anwendung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über das Kopplungsverbot und gehen dabei insbesondere auf dem Begriff der Freiwilligkeit ein.

Neues zum Kopplungsverbot – Begriff der Freiwilligkeit

Einleitung

Seit Verbreitung der „Kostenloskultur“ im Internet findet das Kopplungsverbot zunehmende Beachtung im Datenschutz. Das Kopplungsverbot war in Deutschland in § 28 Abs. 3b BDSG a.F. normiert und bezog sich nur auf Monopolsituationen, wonach es einem Dienstleister untersagt war, eine Leistungserbringung von der Einwilligung des Betroffenen in eine Datenerhebung oder Datenverarbeitung seiner personenbezogenen Daten abhängig zu machen. Erst mit Einführung der DS-GVO fand diesbezüglich ein Paradigmenwechsel in Deutschland statt, so dass sich das Kopplungsverbot auf jede Verarbeitung personenbezogener Daten erstreckt.

Siehe dazu auch: früheren Blogbeitrag.

Problematik 

Das Kopplungsverbot des Art. 7 Abs. 4 DS-GVO ist getrennt vom Erforderlichkeitsgrundsatz des Art. 6 Abs. 1 lit. b) DS-GVO zu betrachten. Nach diesem ist eine Verarbeitung personenbezogener Daten nur erlaubt, wenn diese zur Durchführung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist. 

Hingegen regeln Art. 6 Abs. 1 S. 1 lit. a, Art. 7 Abs. 4 DS-GVO die Verarbeitung von personenbezogenen Daten, die für die Erfüllung eines Vertrages eben nicht zwingend erforderlich sind, und so nicht der Regelung des Art. 6 Abs. 1 lit. b) DS-GVO unterfallen. In diesen Fällen ist explizit eine Einwilligung des Betroffenen notwendig. Zwingende Voraussetzung für diese Einwilligung ist unter anderem nach Art. 7 Abs. 4 DS-GVO, dass diese von den Betroffenen freiwillig erteilt wurde. Fehlt es an der Freiwilligkeit der Einwilligung, ist diese unwirksam und die Verarbeitung rechtswidrig.

Damit bemisst sich die Reichweite des Kopplungsverbots nach der Freiwilligkeit der Einwilligung. Wie das Erfordernis der Freiwilligkeit auszulegen ist, regelt Art. 7 Abs. 4 DS-GVO:

„(Es muss) dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Hingegen verneint Erwägungsgrund 43 DS-GVO bereits die Freiwilligkeit, wenn:

„zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

Wie man sieht, legt einerseits Art. 7 Abs. 4 DS-GVO den Begriff der Freiwilligkeit weit aus („in größtmöglichem Umfang“), andererseits grenzt Erwägungsgrund 43 ihn stärker ein („…wenn die Erfüllung eines Vertrags (…) von der Einwilligung abhängig ist.“) Diese Diskrepanz führt zu einer Rechtsunsicherheit, mit der sich die Rechtsprechung wird befassen müssen.

Urteil des OLG Frankfurt 

Das OLG Frankfurt beschäftigte sich im Urteil vom 27.06.2019 (Az.: 6 U 6/19) damit, ob die Klägerin dem beklagten Unternehmen eine Einwilligung für Werbeanrufe erteilt hat. Die Einwilligung für Werbeanrufe war mit der Teilnahme an einem Gewinnspiel gekoppelt. Ohne ein solche Einwilligung war die Teilnahme am Gewinnspiel nicht möglich. Das Unternehmen rief in der Folge die Klägerin an und berief sich hierbei auf die durch die Teilnahme an dem Gewinnspiel erhaltene Genehmigung. Da die Beklagte keinen Nachweis über das Vorliegen einer Einwilligung erbringen konnte, entschied das Gericht zugunsten der Klägerin auf Unterlassung der Werbeanrufe. 

Merkmal der Freiwilligkeit

Das Gericht stellt jedoch fest, dass keine Bedenken gegen die wirksame Einwilligung bestehen, wenn der Verbraucher der Werbung zugestimmt hat und der Geschäftsbereich des werbenden Unternehmens hinreichend klar beschrieben worden ist. Eine Umschreibung des Geschäftsbereichs mit „Marketing und Werbung“ ist nicht genug präzise, da nicht erkennbar ist, für welche Art von Produkten die Einwilligung in die Werbung erteilt wurde.

Zudem muss die Einwilligung freiwillig erfolgen. Nach dem OLG Frankfurt ist eine Einwilligung „freiwillig“, wenn sie „ohne Zwang“ erteilt wird – was der Begriffsbestimmung des Art. 2 lit. h) RL 95/46/ EG entspricht. Dabei muss der Betroffene eine echte oder freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (siehe Erwägungsgrund Art. 42 S. 5 DS-GVO). Auf den Betroffenen darf kein Druck ausgeübt werden. Ein bloßes Anlocken durch Versprechen einer Vergünstigung, oder die Teilnahme an einem Gewinnspiel, reicht nicht, um Druck zu erzeugen. Wer sich für ein Gewinnspiel anmeldet und im Gegenzug seine Daten im Rahmen einer Werbeeinwilligung preisgibt, tut dies ohne Zwang. Die Verknüpfung eines Einwilligungserfordernisses mit der Teilnahme an einem Gewinnspiel stehe der Freiwilligkeit einer solchen Einwilligung nicht entgegen. 

Fazit

Das OLG Frankfurt hat in seinem Urteil zwar eine Präzisierung des Merkmals der „Freiwilligkeit“ im Rahmen von Werbeeinwilligungen vorgenommen. Anzumerken ist jedoch, dass das Gericht nicht explizit zum Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO Bezug nimmt. Auch ob ein DS-GVO-Verstoß über das Wettbewerbsrecht sanktioniert werden kann, wird vom Gericht nicht angesprochen. 

Auch ist weiterhin unklar, wie die Wirksamkeit einer früheren Einwilligung für die Nutzung eines kostenlosen Dienstes nach Änderung der AGB dieses Dienstes zu beurteilen ist, was besonders für die Nutzung von großen sozialen Netzwerken wie Facebook relevant sein dürfte.

Somit lässt sich festhalten, dass das OLG Frankfurt ein absolutes Kopplungsverbot ablehnt. Dies ist zu begrüßen, da es Usus in der Kostenloskultur des Internets ist, einen Teil seiner personenbezogenen Daten freiwillig preiszugeben, um in den Genuss zahlreicher Dienste zu kommen. Es wäre praxisfern, anzunehmen, dass Verbraucher den Großteil dieser Dienste weiterhin nutzen würden, wenn sie kostenpflichtig wären. Ob dem Verbraucher die Preisgabe seiner Daten „wert“ ist oder er lieber ganz auf den Dienst verzichtet, muss er selbst entscheiden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Rund um den "Gefällt-mir"-Button: EuGH-Urteil und datenschutzrechtliche Einordnung.

Zulässigkeit von Facebooks “Like-Button”

Einleitung

Im Urteil C-40/17 „Fashion-ID“ vom 29.7.2019 hat der EuGH entschieden, dass Webseitenbetreiber, die Facebooks „Gefällt-mir“- Button auf ihrer Seite einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben ebenso verantwortlich sind, wie Facebook selber. Deshalb ist der Webseitenbetreiber verpflichtet, den Webseitenbesucher über die Erhebung seiner Daten zu informieren und seine Einwilligung einzuholen. 

Unterschied zur Facebook-Fanpage

Bereits im Urteil zu den Facebook-Fanpages vom 05.06.2018 (Az. C-210/16) begründet der EuGH eine gemeinsame Verantwortlichkeit damit, dass Fanpage-Betreiber durch Erstellen der Fanpage einen Beitrag leisten, der es Facebook erst ermöglicht, mithilfe von Cookies umfassende Einblicke in die Nutzung seiner Dienste zu erhalten, um sein System der Werbung zu verbessern.

Im vorliegenden Urteil C-40/17 liegt der Beitrag des Webseitenbetreibers darin, durch Einbinden des „Gefällt-mir“-Buttons, Facebook Einblicke in die Nutzungsstatistik zu geben.

Während im Urteil zu Facebook-Fanpages eine gemeinsame Verantwortlichkeit ausschließlich auf das Erstellen und Betreiben einer Facebook-Fanpage bezogen war, weitet der EuGH die gemeinsame Verantwortlichkeit auf die Verwendung von Social Plug-ins aus. 

Im Urteil zu den Facebook-Fanpages hat der EuGH zwar den unterschiedlichen Grad der Verantwortlichkeit gewürdigt (C-210/16 Rn. 43), aber erst im vorliegenden Urteil dahingehend präzisiert (C-40/17 Rn. 85), dass „diese Verantwortlichkeit (…) jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt (ist), für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.“ Für die Vorgänge darüber hinaus ist Facebook verantwortlich.

Vorliegen eines gemeinsamen Zwecks

Bereits in den Schlussanträgen vom 19. Dezember 2018 hat der Generalanwalt angemerkt, dass, obwohl keine identische kommerzielle Nutzung der Daten stattfindet, der Webseitenbetreiber und Facebook allgemein offenbar kommerzielle Zwecke verfolgen, die sich wechselseitig ergänzen. Damit besteht trotz fehlender Zweckidentität eine Einheit der Zwecke: Es werden nämlich kommerzielle und werbliche Zwecke verfolgt. 

Der Webseitenbetreiber möchte durch die Einbindung des Buttons seine Werbung für ihre Produkte so optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt (C-40/17 Rn. 80).

Der EuGH würdigt zwar auch die eigenständigen Verarbeitungsvorgänge, wonach Facebook nur Besucherdaten sammelt und der Webseitenbetreiber seine Inhalte verbreiten will, differenziert jedoch nicht weiter und fasst beide unter „wirtschaftlichen Interessen“ zusammen:

 „Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.“

Facebook könnte jederzeit, unabhängig vom Webseitenbetreiber, die Funktionsweise des Like-Buttons ändern. Dieser muss das gar nicht erst mitbekommen. Durch die vom EuGH vorgenommen Aufteilung der Verantwortlichkeit, muss der Webseitenbetreiber jedoch nicht über die von Seiten Facebooks vorgenommenen Änderungen informieren, sondern nur über seine eigenen Verarbeitungsvorgänge. Für die weitere Verarbeitung durch Facebook bedarf es einer gesonderten Einwilligung des Nutzers.

Kritik

In der Literatur wurde diese geringe Schwelle zur Mitverantwortlichkeit bereits im Rahmen der Begründung des EuGH zu Facebook-Fanpages kritisiert, da eine bloße Mitursächlichkeit an einem Datenstrom nicht für eine gemeinsame Verantwortlichkeit genügen soll. Erforderlich soll ein zumindest rein tatsächlicher Einfluss auf die Erhebung und Verarbeitung personenbezogener Daten sein. Die Figur der gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO (Joint Controllership) beruht eben auf einem bewussten und gewollten Miteinander und nicht auf einer losen oder gar zufälligen Zusammenarbeit. Insbesondere hat der Webseitenbetreiber keinen Zugriff auf die Facebook-Server. Ebenso ist nicht nachvollziehbar wieso der Empfänger der Daten (hier Facebook) zusammen mit dem Webseitenbetreiber verantwortlich sein soll, wenn er keinen Einfluss auf die Übermittlung durch den Webseitenbetreiber hat.

Offene Fragen

Zwar schafft der EuGH mit dem Urteil Klarheit in Bezug auf den unterschiedlichen Verantwortungsgrad im Rahmen der Verarbeitung personenbezogener Daten – er schafft jedoch auch Unklarheit.

Sonstige Plug-ins 

Fraglich ist, ob eine Verantwortlichkeit auch besteht, wenn der Seitenbetreiber andere Plug-ins, wie z.B. Twitter, Instagram oder Pinterest verwendet, die zwar dem Plug-in-Betreiber zu kommerziellen Zwecken dienen, dem Seitenbetreiber aber nur als Beispiel zur Veranschaulichung im Rahmen eines Beitrags für einen Blog dienen, und damit nicht zu kommerziellen Zwecken. Auch die Situation von Plug-ins zu technischen Zwecken, zum Beispiel iframes im Rahmen Webseitendarstellung, oder Googles Plug-ins wie Analytics oder reCAPTCHA ist nicht klar. Stellt man dabei auf das Auslesen von Nutzungsdaten, einschließlich der IP-Adresse ab, wäre dafür auch schon eine Einwilligung des Nutzers erforderlich.

Die Argumentation des EuGH, dass der Webseitenbetreiber zusammen mit dem Plug-in-Betreiber zu kommerziellen Zwecken agiert, greift hier nicht. Deswegen kann man genauso gut argumentieren, dass Plug-ins, mit denen der Webseitenbetreiber keine eigenen kommerziellen Zwecke verfolgt, von der gemeinsamen Verantwortlichkeit ausgenommen sind. Damit bleibt es nur bei der Notwendigkeit einer Auftragsdatenvereinbarung gem. Art. 28 DS-GVO. Diesen gibt es nicht für reCAPTCHA. Google selber gibt keine transparenten Informationen über die von reCAPTCHA gesendeten Informationen preis.

Cookies

Der EuGH hat weiterhin offengelassen, ob eine Einwilligung des Webseitenbesuchers in die Nutzung des Facebook Like-Buttons erforderlich ist oder diese durch ein berechtigtes Interesse gedeckt ist. 

Diese Frage wird das OLG Düsseldorf beantworten müssen. Dabei beruft sich der EuGH (C-40/17 Rn. 87) auf die Richtlinie 2002/58 (Cookie-Richtlinie / ePrivacy-RIchtlinie), die jedoch in Deutschland nie richtig umgesetzt worden ist. Außerdem beruht der vor dem OLG Düsseldorf anhängige Prozess auf der alten Datenschutzrichtlinie 95/46 und nicht auf der DS-GVO. 

Der EuGH stellt zumindest klar, dass, sollte ein berechtigtes Interesse ausreichen, sowohl der Webseitenbetreiber als auch der Plugin-Anbieter, jeweils berechtigte Interessen wahrnehmen müssen (C-40/17 Rn. 97).

Fazit

Welche Auswirkungen das Urteil in der Praxis haben wird und ob nun alle Webseitenbetreiber, die Social Plug-ins verwenden, eine Vereinbarung gem. Art. 26 Abs. 1 Satz 2 DS-GVO (Joint Controller Agreement) zusätzlich zu einer Auftragsdatenvereinbarung nach Art. 28 DS-GVO abschließen müssen, bleibt abzuwarten. 

Ob eine Einwilligung für Cookies notwendig ist, ist weiterhin unklar. Endgültige Rechtssicherheit wird wohl erst die ePrivacy-Verordnung bringen. Bis dahin empfiehlt es sich, eine 2-Klick Lösung zum Beispiel „Shariff-Lösung“ bei der Implementierung von Social-Plug-ins zu benutzen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir berichten, wann eine Verletzung des Persönlichkeitsrechts einen Entschädigungsanspruch ermöglicht.

Geldentschädigung für Verletzungen des Rechts am eigenen Bild

Zum Sachverhalt

Im Urteil vom 22.11.2018 (Az. I-4 U 140/17) hat das OLG Hamm Stellung dazu bezogen, wann eine Verletzung des Rechts am eigenen Bild einen Anspruch des Verletzten auf eine Geldentschädigung gegen den Schädiger zur Folge haben kann.

Im vorliegenden Fall wurde der Kläger vom Beklagten gefilmt, wie er im Rahmen seiner beruflichen Tätigkeit am Flughafen das Gepäck des beklagten Touristen kontrollierte. Der gefilmte Gepäckkontrolleur erhob daraufhin Klage auf Zahlung einer Geldentschädigung wegen der Verletzung seines allgemeinen Persönlichkeitsrechts.

Aus dem Urteil

In seiner Entscheidung arbeitet das OLG Hamm heraus, dass nicht jede Verletzung des allgemeinen Persönlichkeitsrechts – und damit auch nicht jede Verletzung des Rechts am eigenen Bild – einen Anspruch des Verletzten auf eine Geldentschädigung gegen den Schädiger auslöst.

Das OLG Hamm stützte sich dabei auf die Grundsätze des Urteils des BGHs vom 12.12.1995 (VI ZR 223/94). Demnach begründet die „– schuldhafte – Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.“

Dabei ist auf die Umstände des Einzelfalls abzustellen. Zu berücksichtigen sind dabei die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens.

Das Gericht hat folgende Umstände berücksichtigt:

  • Zwar hat der Beklagte die Videosequenz bewusst und heimlich aufgenommen; dies vermag jedoch keine schwerwiegende Verletzung des Persönlichkeitsrechts des Klägers zu begründen. Die Aufnahme fand in dem öffentlich, bzw. für jeden Besucher des Flughafens mit einer Bordkarte zugänglichen Gepäckkontrollbereich des Flughafens statt.
  • Der Beklagte hat zwar die Aufnahme auf einer Internetplattform veröffentlicht; dies geschah jedoch im Rahmen eines längeren Videozusammenschnitts, so dass diese – lediglich eine, höchstens zwei Sekunden lange – Szene mit dem Kläger innerhalb der einzelnen Videos nicht mehr als ein Beiwerk darstellt. Durch das Veröffentlichen auf einer Internetplattform verwertet der Beklagte das Video auch wirtschaftlich. Da die Szene aber nur einen kurzen Teil des hochgeladenen Videos darstellt, kann indes nicht von einem schwerwiegenden Eingriff in das Persönlichkeitsrecht gesprochen werden.
  • Schließlich liegt auch kein Fall einer hartnäckigen Rechtsverletzung vor, in dem der Verletzer sich bei der Verwendung von Bildnissen über den ausdrücklich erklärten entgegenstehenden Willen des Verletzten hinweggesetzt hat.

Das OLG Hamm berücksichtigte, dass die Veröffentlichung der Filmsequenz und die damit ausgelöste Beeinträchtigung des Persönlichkeitsrechts des Klägers nicht mehr rückgängig gemacht werden kann. Ebenso kann auch die Verurteilung des Beklagten zur Unterlassung und zur Vernichtung und Löschung des Bild- und Tonmaterials keinen Ausgleich bieten. Darum sollen geringere Anforderungen an die Zubilligung eines Geldentschädigungsanspruchs gestellt werden.

Jedoch ist die veröffentlichte Filmsequenz mangels schwerwiegenden Eingriffs nicht geeignet, die Persönlichkeit des Klägers in ihren Grundlagen zu berühren oder beim Kläger ein Gefühl des Ausgeliefertseins hervorzurufen, welches ein unabweisbares Bedürfnis für eine Geldentschädigung begründen könnte.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, ob eine bereits veröffentlichte Fotografie einer Website für eigene Zwecke genutzt werden kann.

Zugänglichmachung einer bereits online unbeschränkt veröffentlichten Fotografie auf anderer Website

 

Einführung

Der Europäische Gerichtshof hat mit seinem Urteil vom 07.08.2018 (C- 161/17) über die Frage entschieden, ob bei Veröffentlichung einer frei zugänglichen Fotografie auf einer anderen Website das Einverständnis des Urhebers einzuholen ist. In dem zugrunde liegenden Sachverhalt hatte eine Schülerin ein auf dem Internetportal eines Reisemagazins veröffentlichtes Foto heruntergeladen, um dieses  zur Veranschaulichung in einem Schulreferat zu verwenden. Die Schule veröffentlichte das Referat im Anschluss an die Präsentation inklusive des in Rede stehenden Fotos auf der Website der Schule. Der Fotograf des Bildes entdeckte die Veröffentlichung seines Fotos auf der Schulwebseite und erhob Klage gegen das Land NRW als Träger der Schule auf Unterlassung und Schadensersatz.

Art. 3 der Richtlinie 2001/29/EG

Entscheidend für die Beantwortung der maßgeblichen Frage nach der Erforderlichkeit der Einwilligung ist Art. 3 der Richtlinie 2001/29/EG. Art. 3 RL 2001/29/EG verweist darauf, dass den Urhebern das ausschließliche Recht zusteht, die drahtgebundene oder drahtlose öffentliche Wiedergabe ihrer Werke einschließlich der öffentlichen Zugänglichmachung der Werke zu erlauben oder zu verbieten.

Zentrales Stichwort ist hierbei die öffentliche Zugänglichmachung der Werke. Nach Auffassung des Gerichtshofs enthält der Begriff der öffentlichen Zugänglichmachung zwei kumulative Tatbestandsvoraussetzungen. Einmal die „Handlung der Wiedergabe“ eines Werks und dessen „öffentliche Wiedergabe“. Eine Handlung der Wiedergabe liegt grundsätzlich vor, wenn ein Werk der Öffentlichkeit zugänglich gemacht wird. Es kommt dabei auf die Möglichkeit der Kenntniserlangung an.

Vorliegend hat die Schule diese Zugänglichmachung des Fotos durch die Veröffentlichung des Fotos auf der Website vorgenommen. Die Vornahme dieser Handlung obliegt jedoch dem Fotografen als Urheber des Werkes. Wie im aktuellen Fall liegt die erforderliche „Zugänglichmachung“ häufig darin, dass ein Foto von einer Website wiederum auf einer anderen Website veröffentlicht wird.

Eine Zugänglichmachung ist in diesem Fall gerade aufgrund der Tatsache anzunehmen, dass durch die Veröffentlichung des Werks auf einer anderen Webseite auch ein „neues“ Publikum Zugang hat, welches der Urheber des Werks bei seiner Veröffentlichung nicht als Zielpublikum anvisiert hatte.

Rechtslage zum Hyperlinking – Abgrenzung zum vorliegenden Fall

Zur vollständigen Erfassung und Verständnis des hier präsentierten EuGH-Urteils ist die Darstellung der Rechtsprechung des Gerichts zum Hyperlinking unabdingbar. Die Rechtsprechung weicht in diesem Bereich nämlich grundlegend von der hier im Fokus stehenden Entscheidung ab. Gelangt der Besucher einer Website durch Klicken auf einen Hyperlink auf ein Foto, so ist dieser Nutzer als möglicher zukünftiger Adressat des ursprünglichen Fotos (Wiedergabe) einzuordnen. Demnach liegt hierin gerade keine Zugänglichmachung an ein neues Publikum. In der Nutzung eines solchen Links liegt damit gerade nicht die Wiedergabe an ein vom ursprünglich anvisierten abweichenden neuen Publikum. Vorliegend liegt der Fall anders.   

Das zur Veranschaulichung des Referats verwendete Foto wurde auf der Website der Schule hochgeladen. Hierin liegt nach Auffassung des EuGH der wesentliche Unterschied zur Verwendung eines Hyperlinks. Als entscheidend sah das Gericht die Tatsache an, dass der Rechtsinhaber des Urheberrechts die Kontrolle über die Art und Weise der Verwendung verliert. Die sonst das Urheberrecht gerade mitkennzeichnende Kontrolle durch den Urheber im Hinblick auf den Umgang des Werks sei somit nicht mehr gewährleistet.

Der EuGH wies darauf hin, dass dem Urheber des Fotos die Möglichkeit der Kontrolle der jeweiligen Verwendung des Fotos entzogen wird. Maßgeblich ist hierbei insbesondere der Fakt, dass dem Urheber beim Wunsch nach einer Entfernung des Bildes aus dem Internet, sprichwörtlich die Hände gebunden sind. Bei einem Hyperlink gestaltet sich dies anders. Wird dieser entfernt, so ist ein späterer Zugriff auf das Bild nicht mehr möglich.

Fazit

Auch wenn dieses ausschließliche Recht dem Urheber obliegt, stellt sich die Frage, inwieweit hier das Herunterladen und die anschließende Veröffentlichung des Fotos zur visuellen Unterstützung einer schulischen Leistung, im Rahmen der Entscheidung Beachtung finden muss. Relevant sind hier unter anderem der Schutz des geistigen Eigentums aus Art. 17 Abs. 2 GRCh, als auch die in Art. 11 GRCh verankerte Freiheit der Meinungsäußerung und Informationsfreiheit. Das in Art. 14 GRCh verankerte Recht auf Bildung ist ebenfalls von Bedeutung.

Der EuGH bestätigte im Rahmen des Vorabentscheidungsverfahrens die Entscheidung des BGH und nahm auch eine Urheberrechtsverletzung an. Das Urteil des EuGH zeigt, dass das Urheberrecht eines großen Schutzes bedarf. In Anbetracht der Digitalisierung und der hiermit einhergehenden Möglichkeit der schnellen Verbreitung von Inhalten im Internet verdient der Urheber eines Werks den größtmöglichen Schutz.

Auch wenn eine Betroffenheit der aufgeführten Grundrechte zweifelsfrei zum Teil gegeben ist, so kann ein Ausgleich nur durch Einbeziehung der Bildungs- und Wissenschaftsschranke in Art. 5 Abs. 3 lit. a InfoSoc-RL 2001/29 gelöst werden. Schulen können sich hierauf berufen und darauf hoffen, dass eine Veröffentlichung im Rahmen von schulischen Angeboten nicht ausgeschlossen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das Urteil des LG Würzburg zur Zulässigkeit einer wettbewerbsrechtlichen Mahnung bei einem DS-GVO-Verstoß.

Zulässigkeit einer wettbewerbsrechtlichen Abmahnung bei einem DS-GVO Verstoß

Einführung

Im vorliegenden Fall hatte das Landgericht (LG) Würzburg eine Rechtsanwältin auf Unterlassung verurteilt. Untersagt wurde ihr damit der Betrieb einer unverschlüsselten Kanzlei-Homepage mit unzureichender Datenschutzerklärung. Die von der Beklagten vorgenommene 7-zeilige Datenschutzerklärung erachtete das Gericht als nicht ausreichend. Die nach Art. 13 der Datenschutz-Grundverordnung (DS-GVO) erforderlichen Angaben hatte die Anwältin nicht gemacht, woraufhin sie von einem Rechtsanwalt abgemahnt wurde. Es fehlte beispielsweise die Angabe des datenschutzrechtlich Verantwortlichen, wie es Art. 13 DS-GVO fordert. Das Gericht wies zudem ausdrücklich auf die Notwendigkeit einer Verschlüsselung für solche Websites hin, welche eine Datenverarbeitung vornehmen. Das Gericht sah die unzureichende Datenschutzerklärung, als auch die fehlende Verschlüsselung der Homepage, als Verstöße gegen die DS-GVO an.

Lange Zeit war ungeklärt, ob eine Abmahnung aufgrund eines Datenschutzverstoßes durch einen Konkurrenten rechtmäßig ist. Über diese Rechtsfrage hat das LG Würzburg mit Beschluss vom 13.9.2018 (Az.: 11 O 1741/18 UWG) entschieden.

Unzureichende Datenschutzerklärung als abmahnbarer Wettbewerbsverstoß

Mit Geltung der DS-GVO gewinnt dieser schon länger bestehende Streit an großer Bedeutung für die Praxis. Grundsätzlich besteht bei Verstößen gegen die DS-GVO nach Art. 83 Abs. 5 DS-GVO zugunsten der Aufsichtsbehörden die Möglichkeit, Bußgelder zu verhängen. Betroffene können seit dem 25.05.2018 unter den Voraussetzungen des Art. 82 DS-GVO Schadensersatz geltend machen.

Wettbewerbern kann zusätzlich das Mittel der Abmahnung zur Verfügung stehen. Diese ist jedoch gerade nicht im Datenschutzrecht verankert. Das Instrument der Abmahnung fällt vielmehr in den Bereich des Wettbewerbsrechts, mit der Folge, dass ein Verstoß gegen das UWG vorliegen muss. Ein Datenschutzverstoß allein ist also nicht ausreichend.

Im Fokus der Entscheidung steht also die Frage, ob eine unzureichende Datenschutzerklärung als abmahnbarer Wettbewerbsverstoß qualifiziert werden kann. Ein Verstoß gegen das Datenschutzrecht kann den Tatbestand des unlauteren Handelns nach § 3a UWG erfüllen. Entsprechend des Wortlauts liegt ein unlauteres Handeln vor, wenn die betreffende Person einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Eine solche Beeinträchtigung ist zu bejahen, wenn die konkrete Datenverarbeitung eine gewisse Kommerzialisierbarkeit der Daten umfasst.

Voraussetzungen für Abmahnung durch Mitbewerber (Bisheriger Streitstand)

Eine Abmahnung durch Mitbewerber i.S.d. § 8 Abs. 3 Nr. 2 UWG setzt voraus, dass ein Verstoß gegen eine Norm gegeben ist, welche gleichzeitig auch als eine sog. Marktverhaltensregelung qualifiziert werden kann.

Schon vor Inkrafttreten des BDSG neu bestand keine Einigkeit darüber, ob datenschutzrechtliche Normen als Marktverhaltensregelungen i.S.d. UWG einzuordnen sind, so dass ein Verstoß wettbewerbsrechtlich abgemahnt werden könnte.

Als Hauptargument wird von der Gegenseite angeführt, dass diese Normen gerade nicht dem Schutz der Marktteilnehmer dienten. Die DS-GVO schütze nach Art. 1 Abs. 1 DS-GVO primär natürliche Personen bei der Verarbeitung personenbezogener Daten. Sinn und Zweck sei demnach einzig der Schutz des Persönlichkeitsrechts.

Nach Ansicht der Befürworter bestehe die Funktion des Datenschutzrechts auch in der Regelung des Marktverhaltens. Es sei im Rahmen der Verarbeitung personenbezogener Daten ein Zusammenhang mit wettbewerbsrechtlichen Interessen zu beobachten. Ein Wettbewerbsbezug sei demnach ohne Zweifel gegeben.

Eine weitere Ansicht präferiert eine dem Einzelfall gerecht werdende Prüfung dahingehend, ob die betreffende Datenschutznorm als Marktverhaltensregel anzusehen ist. Die Oberlandesgerichte gingen insoweit von einem gemeinsamen Anwendungsbereich des Datenschutz- und Wettbewerbsrechts aus. Das OLG Köln bejaht das Vorliegen einer Marktverhaltensregel, wenn das geschützte Interesse gerade durch die Marktteilnahme tangiert wird.

Das LG Würzburg bezieht sich im Rahmen der Urteilsbegründung lediglich auf die Rechtsprechung des OLG Köln und bejaht damit die Abmahnfähigkeit im vorliegenden Fall. Das Gericht stuft die verletzten Normen der DS-GVO als Marktverhaltensregeln ein, ohne eine detaillierte Begründung zu liefern. Auf den oben dargestellten Meinungsstreit ist das Gericht in seiner Begründung leider nicht eingegangen, obwohl dies vor dem Hintergrund der nun geltenden DS-GVO vielenorts erhofft wurde.

Fazit

Die Entscheidung ist für alle Marktteilnehmer von hoher Relevanz, die eine Website betreiben oder auf eine andere Art und Weise eine Verarbeitung personenbezogener Daten vornehmen. Nicht jeder Verstoß gegen die DS-GVO stellt auch tatsächlich einen abmahnfähigen Verstoß im Bereich des Wettbewerbsrechts dar. Nichtsdestotrotz sind Marktteilnehmer angehalten, ihre Websites entsprechend den Vorgaben der DS-GVO zu gestalten. Im Falle einer fehlerhaften Datenschutzerklärung ist eine sofortige Korrektur dringend zu empfehlen.

Entwicklungsstand des Gesetzesvorhabens gegen missbräuchliche Abmahnungen

Um die dargestellten Unklarheiten und den daraus resultierenden Streitstand zu beseitigen, wurde die Bundesregierung durch den Bundestag dazu aufgefordert, ein Gesetz zu erarbeiten, das den Abmahnmissbrauch eindämmen soll.

Der – bislang noch nicht veröffentlichte – Gesetzesentwurf des Bundesjustizministeriums soll hierzu mehrere Maßnahmen vorsehen:

  • Demnach sollen nur noch solche Mitbewerber klagebefugt sein, die „in nicht unerheblichem Maße ähnliche Waren und Dienstleistungen vertreiben oder nachfragen“.
  • Künftig sollen Wirtschaftsverbände klageberechtigt sein, wenn sie sich in eine Liste „qualifizierter“ Verbände haben eintragen lassen. Voraussetzung ist, dass sie mindestens 50 Mitgliedsunternehmen haben, die „Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben“.
  • Durch eine Deckelung des Streitwerts in Höhe von 1.000 Euro soll der finanzielle Anreiz für Abmahnungen gesenkt werden.
  • Die Abschaffung des fliegenden Gerichtsstands soll verhindern Gerichte auszuwählen, die möglichst weit vom Beklagten entfernt sind und als Abmahner-freundlich gelten.
  • Die Abmahner sollen zudem verpflichtet werden, nachvollziehbar und verständlich darzulegen, welche Berechnungskriterien sie für die Aufwands- und Schadensersatzansprüche hinzugezogen haben.
  • Der Entwurf verschärft außerdem die inhaltlichen Vorgaben an die Gestaltung einer Abmahnung. Hält der Abmahnende diese Vorgaben nicht ein, so hat er keinen Anspruch auf Ersatz seiner Aufwendungen und der Abgemahnte könne Gegenansprüche stellen. Es muss ersichtlich sein, welches ganz konkrete Verhalten dem Abgemahnten vorgeworfen wird und warum dieses zu einer Rechtsverletzung führt.

Das Bundesjustizministerium sieht in der Verschärfung der Anforderungen an die Klagebefugnis eine wirksame Maßnahme den Missbrauch von Abmahnungen einzudämmen. Leider soll der geplante Gesetzesentwurf keinen Schutz vor Abmahnungen bei Verletzungen der DS-GVO bieten. Dies wird vom Bundeswirtschaftsministerium und dem Bundesinnenministerium kritisiert. Nach deren Auffassung sind Abmahnungen bei DS-GVO-Verstößen unzulässig. Sie setzen sich für eine entsprechende Klarstellung im Gesetz ein, was aber vom Bundesjustizministerium bislang verweigert wird.

Im Folgenden erleutern wir, was unter einem immateriellen Schaden zu verstehen ist und inwieweit Schadenserstaz für sie geleistet wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wie erläutern, warum das Fluggastdaten-Abkommen mit Kanada aus Sicht des EuGH keinen ausreichenden Datenschutz bietet.

EuGH zum Fluggastdaten-Abkommen mit Kanada: So nicht!

Vorgeschichte des Abkommens 

Zwischen der Europäischen Union und Kanada besteht seit 2006 ein Abkommen über die Übermittlung und Verarbeitung von erweiterten Fluggastdaten und Fluggastdatensätzen, wonach die Fluggesellschaften, die Personen nach Kanada fliegen, erweiterte Fluggastdaten und Fluggastdatensätze an die zuständigen kanadischen Behörden übermitteln dürfen und gegebenenfalls müssen. Gleichzeitig wurde in Art. 1 des Abkommens von 2006 gewährleistet, dass die Weitergabe von den genannten Daten unter uneingeschränkter Achtung grundlegender Rechte und Freiheiten, insbesondere des Rechts auf Privatsphäre erfolgt. Auf dieser Grundlage entschied die Europäische Kommission gem. Art. 25 Abs. 2 RL 95/46/EG, dass das Abkommen einen angemessenen Schutz böte. Diese Entscheidung und damit auch die Geltungsdauer des Abkommens lief im September 2009 aus, sodass im folgenden Jahr die Verhandlungen über ein neues Fluggastdatenabkommen aufgenommen wurde und am 5. Dezember 2013 beschloss der Rat die Unterzeichnung des neuen, wenn auch umstrittenen, Abkommens und ersuchte die Zustimmung des Parlaments zu diesem Entwurf. Das Parlament jedoch legte das Abkommen dem EuGH vor und bat um ein Gutachten nach Art.218 Abs.11 AEUV, welches der EuGH nun am 26. Juli 2017 verkündet hat. Ein solches Gutachten über die Vereinbarkeit mit europäischem Recht bzw Zustimmungsfähigkeit eines internationalen Abkommens wurde bisher noch nie erbeten und stellt damit schon rein verfahrenstechnisch eine Besonderheit dar. 

Inhalt des geplanten Abkommens 

Wesentlicher Inhalt des Abkommens ist die Übermittlung und Verarbeitung von Fluggastdatensätzen, sog. Passenger Name Records, oder kurz: PNR-Daten. Das Abkommen sieht vor, dass die Fluggesellschaften bei Flügen zwischen Kanada und der EU die erhobenen Daten an die zuständigen kanadischen Behörden übermitteln dürfen, welche diese dann verarbeiten können. Dies alles zum Zwecke der Verhinderung und Aufdeckung von terroristischen Straftaten oder anderer grenzüberschreitender schwerer Kriminalität. Dabei gilt ein Speicherungszeitraum von 5 Jahren im Zielland und die gesammelten Daten lassen dabei Rückschlüsse auf den Reiseverlauf, Reisegewohnheiten, Beziehungen zwischen den Fluggästen sowie die finanzielle Situation, Essgewohnheiten und gesundheitlichen Zustand der Fluggäste zu. Das Europäische Parlament wandte sich mit zwei Fragen an den EuGH, in denen es erfragte, ob das Abkommen mit den Bestimmungen der Verträge (Art. 16 AEUV) und der Charta der Grundrechte der Europäischen Union (Art. 7, Art. 8 und Art. 52 Abs. 1) bezüglich des Rechts auf den Schutz personenbezogener Daten vereinbar sei. Und die zweite Frage, bezog sich auf die zutreffende Rechtsgrundlage, denn das Europäische Parlament war sich nicht darüber einig, ob Art. 82 Abs. 1 Buchst. d und Art. 87 Abs. 2 Buchst. a AEUV oder Art. 16 AEUV die zutreffende Rechtsgrundlage darstelle. 

EuGH pocht auf Schutz personenbezogener Daten

Obwohl das Abkommen grundsätzlich zulässig sei, kommt der EuGH dennoch zu dem Ergebnis, dass es in seiner jetzigen Form so nicht geschlossen werden dürfe, weil einzelne Bestimmungen nicht mit den Grundrechten aus der Grundrechtecharta vereinbar seien. Die Speicherungsdauer von 5 Jahren stelle einen besonders großen Zeitraum dar. Die Speicherung, Verwendung und Weitergabe zwischen kanadischen, europäischen und ausländischen Behörden greife in das Grundrecht auf Achtung des Privatlebens sowie in das Grundrecht auf Schutz personenbezogener Daten ein. Diese Eingriffe könnten jedoch gerechtfertigt sein durch die Verfolgung eines dem Gemeinwohl dienenden Ziels, welches hier die Gewährleistung der öffentlichen Sicherheit im Rahmen der Bekämpfung terroristischer und grenzübergreifender schwerer Kriminalität darstellt. Allerdings stellte das Gericht fest, dass einige Bestimmungen im Rahmen der Erforderlichkeitsprüfung problematisch erscheinen: Zum einen fehlt es an einer Rechtfertigung für diejenigen Bestimmungen, die die Übermittlung von sensiblen Daten – darunter sind Daten über die rassische oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder die Gewerkschaftszugehörigkeit zu verstehen – ermöglichen, da das Risiko einer gegen das Diskriminierungsverbot verstoßenden Verarbeitung besonders präzise und fundierte Rechtfertigungsgründe erfordere, welche aber nicht gegeben sind. 

Darüber hinaus legt der EuGH fest, dass sich das Ausmaß der Befugnisse auf das absolut Notwendige beschränken müsse. Im Falle der Einreise und des Aufenthalts der Fluggäste in Kanada sei ein hinreichender mittelbarer Zusammenhang zum verfolgten Ziel vorhanden, so dass die Speicherung nicht über das absolut Notwendige hinausgeht. Besteht bei den Fluggästen aber weder bei ihrer Ankunft in Kanada noch während ihres Aufenthalts oder ihrer Ausreise der Verdacht einer Gefahr im terroristischen Bereich, ist eine weitere dauerhafte Speicherung ihrer Daten für einen Zeitraum von 5 Jahren nicht erforderlich, da kein mittelbarer Zusammenhang zwischen ihren PNR-Daten und dem verfolgten Ziel bestehe, sodass eine Rechtfertigung hier fehlt. 

Abschließend arbeitet das Gericht einige Änderungsvorgaben heraus, unter deren Berücksichtigung ein überarbeiteter Entwurf zulässig wäre. Darunter fällt zum einen die Forderung, dass einige der zu übermittelnden PNR-Daten klarer und präziser definiert werden müssen, ebenso müssen die in der automatisierten Verarbeitung von PNR-Daten verwendeten Modelle spezifischer und zuverlässiger und keinesfalls diskriminierend sein. Es dürfen außerdem nur Datenbanken gebraucht werden, die im Zusammenhang mit der Terrorismusbekämpfung eingerichtet wurden. Zur Weitergabe an Nicht-EU-Länder durch kanadische Behörden gibt der EuGH vor, dass eine solche Weitergabe nur möglich ist, wenn ein ähnliches Abkommen mit entsprechendem Schutzniveau zwischen der EU und diesem Staat gilt. Außerdem müssen den betroffenen Fluggästen Informationsrechte eingeräumt und eine unabhängige Kontrollstelle zur Überwachung eingerichtet werden. 

Die Frage nach der zutreffenden Rechtsgrundlage beantwortet der EuGH dahingehend, dass das Abkommen auf beiden Rechtsgrundlagen, also Art. 82, 87 AEUV (justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit) sowie auf Art. 16 AEUV (Schutz personenbezogener Daten) fußen muss, da zwei gleichrangige, untrennbar miteinander verbundene Ziele verfolgt werden. 

Kritik 

Von Datenschützern zwar uneingeschränkt begrüßt, löst das Gutachten des EuGH teilweise auch Kritik aus. Denn die Folge ist: Wird kein neues Abkommen geschlossen, gilt das Abkommen von 2006 unverändert weiter, welches mindestens genauso überprüfungsbedürftig sei wie der aktuelle Entwurf. Durch die Änderungsvorgaben des EuGH werde jetzt aber nun der Zeitraum verlängert, in dem das alte Abkommen gelte, das keinen besseren Schutz biete.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das Urteil des OVG Saarlouis zur Videoüberwachung am Arbeitsplatz.

Zulässigkeit von Videoüberwachung am Arbeitsplatz

Einführung

Schon im März 2017 hatte der Deutsche Bundestag das sog. Videoüberwachungsverbesserungsgesetz verabschiedet, welches am 5. Mai 2017 in Kraft getreten ist. Das seit Mai 2018 geltende Bundesdatenschutzgesetz (BDSG neu) enthält dabei die inhaltlich gleiche Neuregelung der Videoüberwachung. Die Videoüberwachung öffentlich zugänglicher Räume darf nur unter den in § 4 BDSG (neu) geregelten Voraussetzungen vorgenommen werden. § 4 BDSG betrifft dabei den Einsatz von optisch-elektronischen Einrichtungen. Hiervon werden sowohl analoge als auch digitale Beobachtungstechnik erfasst, sowie Fotoapparate oder Mobiltelefone mit integrierter Kamera. Eine Anwendung von § 4 BDSG kann nur dann erfolgen, wenn die Videoüberwachung zum Zwecke der Beobachtung vorgenommen wird. § 4 BDSG umfasst dabei ausschließlich die Beobachtung öffentlich zugänglicher Räume. Es wird unterschieden zwischen dem Regelfall und den Bereichen mit besonderem Gefahrenpotenzial. Das OVG Saarlouis hat mit Urteil vom 14.12.2017 (2 A 662/17) in einem Rechtsstreit entschieden, der die Videoüberwachung zur Wahrnehmung des Hausrechts betraf. Hierauf wird abschließend eingegangen.

§ 4 BDSG (neu)

§ 4 Abs. 1 BDSG enthält dabei die Voraussetzungen für die Zulässigkeit der Videoüberwachung. Die Beobachtung ist demnach zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen (Nr. 1), zur Wahrnehmung des Hausrechts (Nr. 2) oder zur Wahrnehmung berechtigter Interessen für konkrete festgelegte Zwecke erforderlich sind (Nr. 3). Hierbei handelt es sich um drei Zweckbestimmungen, die geeignet sind eine Beobachtung zu rechtfertigen.

Nach § 4 Abs. 1 Satz 1 BDSG muss die Videobeobachtung erforderlich sein. Die Erforderlichkeit einer Überwachungsmaßnahme ist grundsätzlich dann gegeben, wenn sie geeignet ist, das mit der Überwachung verfolgte Ziel tatsächlich zu erreichen. Zusätzlich darf kein anderes Mittel ersichtlich sein, das gleich wirksam, aber die betroffene Person weniger in ihren Rechten beeinträchtigt. Maßgeblich im Rahmen der Prüfung der Rechtmäßigkeit der Videoüberwachungsmaßnahme ist also die Abwägung zwischen den mit der Überwachung verfolgten Zwecken und dem Grad der Schutzwürdigkeit der Interessen des Betroffenen. Bei der vorzunehmenden Abwägung ist insbesondere darauf zu achten, ob der jeweilige Bereich öffentlich zugänglich ist oder nicht.

Nach § 4 Abs. 3 BDSG darf eine Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten nur dann erfolgen, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und schutzwürdige Interessen des Betroffenen nicht überwiegen. Gemäß § 4 Abs. 4 BDSG besteht auch eine Informationspflicht gegenüber der von der Videoüberwachungsmaßnahme betroffenen Person. Einer Pflicht zur Löschung der Daten muss nach § 4 Abs. 5 BDSG dann nachgegangen werden, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind.

Urteil des OVG Saarlouis

Das OVG Saarlouis hat mit Urteil vom 14.12.2017 (2 A 662/17) in einem Rechtsstreit über die Frage entschieden, ob die erfolgte Videoüberwachung zur Wahrnehmung des Hausrechts und berechtigter Interessen erfolgte und somit eine Rechtfertigung der Beobachtung vorliegt. In dem dem Urteil zugrundeliegenden Sachverhalt hatte der Eigentümer einer Apotheke aufgrund eines zu verzeichnenden und nicht erklärbaren Verlusts in Höhe von 40.000€ eine Videoüberwachung eingerichtet. Die Überwachung umfasst dabei sowohl die Verkaufsräume der Apotheke, als auch den nicht öffentlich zugänglichen Bereich und eine Überwachung der Beschäftigten selbst. Die Mitarbeiter haben ihre Einwilligung zur Aufstellung der Videokameras erteilt. Die Aufstellung der Videokameras wurde von dem Unabhängigen Datenschutzzentrum des Saarlandes untersagt. Hiergegen klagte der betroffene Apotheker. Das OVG Saarlouis gab dieser Klage zum Teil statt.

Videoüberwachung des Verkaufsraums

Die Videoüberwachung des Verkaufsraumes sollte den Schutz des Klägers vor weiteren Diebstählen bezwecken. Dieser Zweck stellt einen Fall der Wahrnehmung des Hausrechts i.S.v. § 4 Abs. 1 Nr. 2 BDSG dar. Das Gesetz enthält jedoch keine Definition des Hausrechts. In Rechtsprechung und Literatur erfolgt dabei eine weite Auslegung. Bei Zugrundelegung einer weiten Auslegung zählen Maßnahmen, die geeignet sind zur Gewährleistung eines Eigentumsschutzes beizutragen, zur Wahrnehmung des Hausrechts. Bezogen auf den vorliegenden Fall ist festzuhalten, dass die potentiellen Straftäter durch eine Videoüberwachung massiv abgeschreckt werden können. Nach Auffassung des Gerichts überwiegt damit das Interesse des Eigentümers am Schutz seines Eigentums. Überdies kann der Kläger sich vorliegend auch auf § 4 Abs. 1 Nr. 3 BDSG berufen. Es waren genügend Anhaltspunkte gegeben, die den Schluss auf einen Diebstahl zulassen und eine permanente Beobachtung des Raumes nach § 4 Abs. 1 Nr. 3 BDSG damit erforderlich machten.

Videoüberwachung des nicht öffentlich zugänglichen Bereichs

Die Videoüberwachung der Arbeitsräume und damit des nicht öffentlich zugänglichen Bereichs ist aufgrund der eingeholten Einwilligung der Beschäftigten zu bejahen. Grundsätzlich kommen im Rahmen der Videoüberwachung nicht-öffentlicher Räume die allgemeinen Erlaubnistatbestände in Betracht (Bsp.: Art. 6 DS-GVO, insbesondere Art. 6 Abs. 1 lit. f DS-GVO).

Videoüberwachung der Beschäftigten

Im Rahmen der Videoüberwachung der Beschäftigten kann im vorliegenden Fall nicht ausgeschlossen werden, dass ein möglicherweise strafbares Verhalten eines oder mehrerer Mitarbeiter ursächlich für den eingetretenen Verlust ist.

Das OVG Saarlouis hob folglich die Anordnung der Datenschutzbehörde auf (Urteil vom 12.12.2017, Az. 2 A 662/17).

Fazit

Für die Frage der Zulässigkeit der Videoüberwachung kommt es zunächst auf das Vorliegen eines Zwecks nach § 4 Abs. 1 BDSG an. Damit steht auch bei dem Urteil des OVG Saarlouis das Gebot der Zweckbindung im Fokus. Nachfolgend liegt der Schwerpunkt dann auf der Prüfung der Intensität des aus der Überwachung resultierenden Grundrechtseingriffs. Im Rahmen dieser Abwägung sind u.a. Art und Umfang der erfassten Informationen, den betroffenen Personenkreis und die Alternativen zur Videoüberwachung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!