Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Haftungsausschluss: Es wird keine Haftung übernommen, dass die folgende Darstellung richtig, vollständig oder aktuell ist.

Die Darstellung dient der Information und ersetzt keine anwaltliche Beratung. Es wird keine Haftung für Schäden übernommen, die dadurch entstehen, dass der Leser ohne Inanspruchnahme eines Rechtsanwalts mit Spezialwissen im Datenschutzrecht, sein datenschutzrechtliches Problem alleine löst.

 

Art. 4 DSGVO. Begriffsbestimmungen

Art. 4 Nr. 1 DSGVO. Personenbezogene Daten

„Personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Diese Legaldefinition umfasst ohne Einschränkung "alle Informationen", die sich auf eine Person beziehen, und ist daher grundsätzlich weit zu verstehen. Darunter fallen Identifikationsmerkmale, äußere Merkmale, innere Zustände sowie die sachlichen und sonstigen persönlichen Verhältnisse einer natürlichen Person.

Werden Erkenntnisse zu dem Verhalten einer optisch identifizierten Person und Erkenntnisse zu deren sachlicher und räumlicher Beziehung (Pkw, Fahrtstrecke) kombiniert, handelt es sich um Personendaten.

(OLG Düsseldorf, Urteil vom 24.5.2022 – 2 RVs 15/22)

 

Art. 4 Nr. 2 DSGVO

Nach Art. 4 Nr. 2 ist eine „Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Das Zur Verfügung-Stellen eines Dropbox-Links gegenüber der Betriebsöffentlichkeit zu Schriftsätzen mit Personendaten ist Datenverarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO.

Wer Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, "verarbeitet" diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Wirde eine Nachricht an den falschen Empfänger mit dem versehentlichen Klick im Rahmen eines Bewerbungsverfahrens geschickt, ist diese keine bloße manuelle Handlung, sondern Datenverarbeitung (OLG Frankfurt, Urteil vom 2.3-2022 – 13 U 206/20).

 

 

Art. 4 Nr. 4 DSGVO. Profling

 Die Erfassung der Standortdaten von Fahrzeugen mit der Möglichkeit, diese ggf. über den Dienstplan mit der Fahrzeugbezeichnung mit den Namen der Berufskraftfahrer zu verknüpfen, mittels eines automatisierten IT-gestützten Systems stellt eine Verwendung von personenbezogenen (Standort-)Daten, die der Analyse des Aufenthaltsorts bzw. des Ortswechsels dienen, und fällt unter den Begriff des Profilings.  Die Standortüberwachung dient auch der Entscheidungsfindung durch den Arbeitgeber , wenn dieser die Standortüberwachung gebraucht bei der Organisation von Arbeitsabläufen, konkreten Aufträgen und gegebenenfalls auch der Aufdeckung und Sanktionierung von Straftaten und Fehlverhalten.

(VG Wiesbaden, Urteil vom 17.1. 2022 – 6 K 1164/21.WI)

 

Art. 4 Nr. 7 DSGVO. Verantwortlicher

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Bei einer Suchmaschine im Internet ist als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO der Betreiber der Suchmaschine anzusehen (LG Köln, Beschluss vom 4.7.2022 – 28 O 168/22).

 

Einwilligung

 Nach Art. 4 Nr. 11 DSGVO bezeichnet der Ausdruck "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Eine wirksame Einwilligung in eine Inbox-Werbung (automatisierte Werbeeinblendung auf bestimmten dafür vorgesehenen Flächen in der E-Mail-Inbox des Nutzers), die eine Werbung unter Verwendung elektronischer Post im Sinne von § 7 Abs. 2 Nr. 3 UWG darstellt, liegt nicht vor, wenn der Nutzer, der eine unentgeltliche, durch Werbung finanzierte Variante eines E-Mail-Dienstes gewählt hat, sich allgemein damit einverstanden erklärt, Werbeeinblendungen zu erhalten, um kein Entgelt für die Nutzung des E-Mail-Dienstes zahlen zu müssen. Erforderlich ist vielmehr, dass der betroffene Nutzer vor einer Einwilligungserklärung klar und präzise über die genauen Modalitäten der Verbreitung einer solchen Werbung und insbesondere darüber informiert wird, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden (BGH, Urteil vom 13.1.2022 – I ZR 25/19)

 

 

Art. 5 DSGVO.Grundsätze für die Verarbeitung personenbezogener Daten

Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO ("Grundsatz der Rechtmäßigkeit der Verarbeitung") und Art. 6 Abs. 1 DSGVO sind Schutzgesetze im Sinne von § 823 Abs. 2 S. 1 BGB (LAG Hamm (Westfalen), Urteil vom 14.12. 2021 – 17 Sa 1185/20).

 

Art. 5 Abs 1. f) DSGVO. Es muss eine angemessene Sicherheit personenbezogener Daten gewährleistet werden, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
(SG Stuttgart, Urteil vom 27.1.2022 – S 24 KA 166/20)

 

Art. 6 DSGVO. Rechtmäßigkeit der Verarbeitung

Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO ("Grundsatz der Rechtmäßigkeit der Verarbeitung") und Art. 6 Abs. 1 DSGVO sind Schutzgesetze im Sinne von § 823 Abs. 2 S. 1 BGB (LAG Hamm (Westfalen), Urteil vom 14.12. 2021 – 17 Sa 1185/20).

 

Die Rechtmäßigkeit der Datenverarbeitung von Gesundheitsdaten in Gerichtsprozessen beurteilt sich nach Art. 6 Abs. 1 UA 1 S. 1 f) i.V.m. Art. 9 DS-GVO (VG Wiesbaden, Urteil vom 19.1.2022 – 6 K 361/21.WI).

 

Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen. Die Erlaubnistatbestände des Art. 6 Abs. 1 Buchst. b und f DS-GVO begründen jeweils eigenständig die datenschutzrechtliche Zulässigkeit der Zugangsgewährung für die Klägerin.
(BGH, Urteil vom 12.7.2018 – III ZR 183/17)

 

 Art. 6 Abs. 1 lit. e) DSGVO: Nach dieser Vorschrift ist die Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Eine zusätzliche Abwägung mit den Interessen der Betroffenen ist nicht vorgesehen. Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO erfasst Datenverarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen. Privatpersonen können sich darauf nur berufen, wenn ihnen die Befugnis, auf personenbezogene Daten zuzugreifen, im öffentlichen Interesse oder als Ausübung öffentlicher Gewalt übertragen ist. Sie müssen anstelle einer Behörde tätig werden. Dies setzt einen wie auch immer gestalteten Übertragungsakt voraus. Eine Privatperson kann sich nicht selbst zum Sachwalter des öffentlichen Rechts erklären (Bayerischer Verwaltungsgerichtshof, Beschluss vom 10.8.2022 – 7 CE 22.1099)

 

Art. 6 Abs. 1 lit. f) DSGVO: Eine Videoüberwachung ist gem. Art. 6 Abs. 1 S. 1 Buchst. f DSGVO zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und Interessen oder Grundrechte der betroffenen Personen nicht überwiegen (AG Köln, Urteil vom 22.9.2021 – 210 C 24/21, hier: Treppenhaus Wohnhaus)

Hinweisschilder, die über die Videoüberwachung informieren, sind zur Bestimmung, was eine betroffene Person objektiv in einer bestimmten Situation erwarten kann, unerheblich. In öffentlich zugänglichen Bereichen können betroffene Personen davon ausgehen, dass sie nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Freizeitaktivitäten genutzt werden, wie es bei Fitnesseinrichtungen der Fall ist (VG Ansbach, Urteil vom 23.2.2022 – AN 14 K 20.00083).

_Eine Datenverarbeitung nach Art. 6 Abs. 1 Buchstabe f DSGVO ist nur erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (LAG Hamm (Westfalen), Urteil vom 14.12.2021 – 17 Sa 1185/20)
_Im Rahmen der Abwägung nach Art. 6 Abs. 1 Buchstabe f DSGVO ist neben der berechtigten Erwartungshaltung der betroffenen Person maßgeblich zu berücksichtigen, ob der Verantwortliche seinen Informationspflichten nach der DSGVO gegenüber der betroffenen Person nachgekommen ist und dieser die Möglichkeit gegeben hat, ihre nach der DSGVO bestehenden Rechte wahrzunehmen (LAG Hamm (Westfalen), Urteil vom 14.12.2021 – 17 Sa 1185/20)

 

Auswirkungen von Verstößen gegen die DSGVO auf das Strafrecht: Auch wenn Videoaufnahmen von der Tatbegehung unter Verstoß gegen die Vorgaben der DSGVO erlangt worden sind, weil der Inhaber eines Ladengeschäfts mit seiner davor angebrachten Videokamera über 50 Meter ins öffentliche Straßenland hineingefilmt hat, bleiben verwertbar (BGH, Beschluss vom 18.8.2021 – 5 StR 217/21).

 

Art. 6 Abs. 4 DSGVO

_Allerdings darf eine behördliche Weitergabe personenbezogener Daten an die Strafverfolgungsbehörden mit Blick auf das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht des Betroffenen in seiner Ausprägung als Recht auf informationelle Selbstbestimmung, nur im Rahmen der datenschutzrechtlichen gesetzlichen Vorgaben unter Wahrung des Verhältnismäßigkeitsgrundsatzes erfolgen. Nach § 9 Abs. 2 Nr. 3 DSG NRW ist im Einklang mit Art. 6 Abs. 4 Fall 2 i. V. m. Art. 23 Abs. 1 Buchst. d) VO (EU) 2016/679 eine Weitergabe von Daten durch öffentliche Stellen zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben worden sind, als Verarbeitung personenbezogener Daten ‒ wozu nach der Legaldefinition des Art. 4 Nr. 2 VO (EU) 2016/679 auch die Offenlegung von Daten durch Übermittlung zählt – zulässig, wenn sich bei der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint. Dies erfordert nicht notwendig, dass im Sinne des sogenannten strafprozessualen Anfangsverdachts nach kriminalistischer Erfahrung die Möglichkeit einer verfolgbaren Straftat gegeben ist. Zwar ist eine Strafanzeige danach nicht geboten, wenn keine über bloße Vermutungen hinausgehenden tatsächlichen Anhaltspunkte für eine Straftat bestehen. Ausreichend kann aber sein, dass objektiv erkennbare Anhaltspunkte dafür sprechen, eine Straftat sei begangen worden.
(Oberverwaltungsgericht Nordrhein-Westfalen, Beschluss vom 30.6.2022 – 4 B 1864/21)

 

Das Interesse eines Arztes an der Geheimhaltung seiner in einem Unterbringungsverfahren über ihn gesammelten Daten kann aufgrund des Gewichts des öffentlichen Interessesan einer effektiven Erfüllung des öffentlichen Auftrags, nämlich dem Interesse der Allgemeinheit im Hinblick auf dem Patientenschutz gerecht zu werden,zurücktreten mit der Folge der Befugnis der Justizverwaltung zur Übermittlung der Betreuungsakte oder einzelner Dokumente aus der Betreuungsakte an die Staatsanwaltschaft sowie an die zum Vollzug des Rechts der Heilberufe zuständige Behörde im Rahmen der Amtshilfe (Bayerisches Oberstes Landesgericht, Beschluss vom 2.6.2022 – 102 VA 7/22).

 

 

Art. 9 DSGVO. Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 9 Abs. 1 DSGVO

Die Verwendung des Verbs „hervorgehen“ in diesen Bestimmungen dafür, dass eine Verarbeitung erfasst ist, die sich nicht nur auf ihrem Wesen nach sensible Daten bezieht, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben (EuGH, Urteil vom 1.8.2022 – C-184/20).

 

Die Veröffentlichung personenbezogener Daten, die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, auf der Website der Behörde, die für die Entgegennahme und die inhaltliche Kontrolle von Erklärungen über private Interessen zuständig ist, stellt eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (EuGH, Urteil vom 1.8.2022 – C-184/20).

 

Teilnahme an Sommerfest kann von Einhaltung des Hygienekonzepts abhängig gemacht werden: "Das Sommerfest ist ... lediglich für Beschäftigte der Antragsgegnerin eröffnet. Als Zugangsregelungen legte die Antragsgegnerin fest, es sei eine gültige, vollständige Impfung und/oder Genesung inklusive einer Auffrischungsimpfung, falls sechs Monate seit Genesung/Grundimmunisierung vergangen sind, sowie ein tagesaktueller, negativer Antigen-Schnelltest erforderlich...

Nach Art. 9 Abs. 2 der Norm gilt das Verarbeitungsverbot unter anderem dann nicht, wenn die betroffene Person ihr aus dem Arbeitsrecht erwachsene Rechte nur durch die Verarbeitung ausüben kann (b) sowie dann nicht, wenn die Verarbeitung aus Gründen öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wozu explizit der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren zählt, erforderlich ist (i).
Auf beide Alternativen kann sich die Antragsgegnerin vorliegend stützen."
(LArbG Berlin-Brandenburg, Beschluss vom 1.7.2022 – 6 Ta 673/22)

 

Art. 9 Abs. 2 DSGVO

Die Inhalte von Prozessakten (insbesondere Schriftsätze der Parteien) sind nach der gesetzlichen Regelung in § 299 ZPO weder öffentlich noch betriebsöffentlich. Veröffentlicht ein Arbeitnehmer in der Betriebsöffentlichkeit solche Schriftsätze (vorliegend durch das Teilen eines sog. "Dropbox" -Links per E-Mail), in denen Daten, insbesondere auch besondere Kategorien personenbezogener Daten (Gesundheitsdaten), verarbeitet werden, muss er dafür einen rechtfertigenden Grund haben (ArbG Stuttgart, Urteil vom 4. August 2021 – 25 Ca 1048/19)

 

 Art. 9 Abs. 2 lit. f) DS-GVO dient der Sicherung des Justizgewährleistungsanspruchs. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung von Gesundheitsdaten durchsetzen, so dürfen diese auch genutzt werden. Der Schutz dieser Daten soll nicht so weit gehen, dass die legitime Durchsetzung von Rechten unmöglich ist. Dasselbe muss vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen gelten (VG Wiesbaden, Urteil vom 19. Januar 2022 – 6 K 361/21.WI)

 

Art. 12 DSGVO. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

 

Art. 12 Abs. 1 DSGVO

Gemäß Art. 12 Abs. 1 DSGVO muss ein Verantwortlicher „geeignete Maßnahmen“ treffen, damit die Mitteilungspflicht gem. Art. 15 DSGVO erfüllt wird. Zur ERfüllung dieser Verpflichtung kann sich der Verantwortliche auch Erfüllungsgehilfen bedienen. Ein Datenschutzbeauftragter ist ein geeigneter Erfüllungsgehilfe
(Landesarbeitsgericht Baden-Württemberg, Urteil vom 10.8.2022 – 2 Sa 20/21s).

 

Gemäß Art. 12 Abs. 1 S. 2 DSGVO hat die Übermittlung der Information schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen. Eine Formbindung besteht nicht. Wird nahezu die gesamte Korrespondenz in einem Arbeitsverhältnis elektronisch per E-Mail durchgeführt, ist die Auskunftserteilung per E-Mail angemessen (Landesarbeitsgericht Baden-Württemberg, Urteil vom 10. 8.2022 – 2 Sa 20/21)

 

Art. 12 Abs. 5 DSGVO

Ein geringes bzw. fehlendes Informationsinteresse im Vergleich zum Aufwand kann den Auskunftsanspruch nach Art. 15 DSGVO ausschließen: »Er ließ sich selbst dahingehend ein, dass es keinen Fall von Rechtsmissbrauch darstellt, wenn ein Arbeitnehmer mit der Geltendmachung einer Datenkopie Druck auf seinen Arbeitgeber ausüben will. Des Weiteren blieb der Kläger trotz Anordnung des persönlichen Erscheinens in der Terminsverfügung vom 04.09.2019 der mündlichen Verhandlung am 06.02.2020 unentschuldigt fern. Dies kann das Gericht würdigen und für den Kläger nachteilige Schlüsse, vorliegend sein fehlendes bzw. geringes Informationsinteresse, ziehen.« (LG Heidelberg, Urteil vom 21.02.2020 – 4 O 6/19)

 

Art. 15 DSGVO. Auskunftsrecht der betroffenen Person

Eine Stufenklage, mit der der Versicherungsnehmer gegen seinem privaten Krankenversicherer letztlich erst in Erfahrung bringen will, ob die ihm gegenüber erfolgten Beitragserhöhungen aus formellen Gründen unwirksam sind, ist unzulässig und in eine im Wege der Klagehäufung geltend gemachte Auskunftsklage umzudeuten. Ein solcher Auskunftsanspruch kann nicht auf Vorschriften der Datenschutzgrundverordnung gestützt werden .
Ein auf Treu und Glauben gestützter Auskunftsanspruch setzt jedenfalls Vortrag dazu voraus, wieso dem Versicherungsnehmer eine Auswertung der ihm zugegangenen Unterlagen nicht selbst möglich ist (OLG Dresden, Urteil vom 29. März 2022 – 4 U 1905/21).

 

Der Geltendmachung eines auf Art. 15 DSGVO gestützten Auskunftsanspruchs  durch einen Versicherungsnehmer steht es nicht entgegen, wenn es der betroffenen Person nicht primär um den Schutz ihrer Daten, sondern um die Vorbereitung vermögensrechtlicher Ansprüche geht (OLG Köln, Urteil vom 13.5.2022 – 20 U 198/21).

 

Es kann Beauskunftung der beim online Glücksspiel einem Spieler zugeordneten Einzahlungen und Auszahlungen geltend gemacht werden zur Vorbereitung einer Klage auf Rückzahlung (z.B.LG Bielefeld, Urteil vom 3.2.2022 – 6 O 231/20).

 

Aus Art. 15 DSGVO ergibt sich nicht, dass die Auskunft zwingend in einem einzigen Dokument zu erteilen ist (AG Wiesbaden, Urteil vom 3.3.2022 – 93 C 2338/20 (22))

 

Art. 15 Abs. 3 DSGVO: Die Partei eines Zivilverfahrens hat nach Abschluss des Rechtsstreits einen Anspruch auf Akteneinsicht und Zurverfügungstellung von Kopien unter den Voraussetzungen des § 299 ZPO; weiterführende Rechte kann sie aus Art. 15 Abs. 3 DSGVO nicht herleiten.
"Art. 15 Abs. 3 DSGVO kann nicht herangezogen werden, um eine komplette Aktenübersendung oder Aktenkopie einer Gerichtsakte zu verlangen. Nach dieser Vorschrift ist der für die Datenverarbeitung Verantwortliche nämlich nur verpflichtet, eine Kopie "der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung zu stellen. Dieser Verpflichtung ist der Antragsgegner - soweit ersichtlich - bereits nachgekommen, indem er dem Antragsteller die verarbeiteten Stammdaten in Kopie übersandt hat. Die Gerichtsakte enthält entgegen der Vorstellung des Antragstellers keineswegs ausschließlich und abschließend seine eigenen personenbezogenen Daten, sondern auch diejenigen seines Prozessgegners. Insoweit gehen die Regeln der Zivilprozessordnung über die Akteneinsicht vor."
(OLG Köln, Beschluss vom 14.1.2022 – 7 VA 20/21)

 

Art. 15 Abs. 4: In die  Abwägung zwischen den Interessen des Auskunftsberechtigten und des Hinweisgebers sind zugunsten des Auskunftsberechtigten Bedeutung, Gewicht und Zweck des Auskunftsrechts über die Herkunft der Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO einzubeziehen. Das Recht jeder Person, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken, ist in Art. 8 Abs. 2 Satz 2 der Charta im Rahmen des Rechts auf Schutz personenbezogener Daten verbürgt. Es dient dem Zweck, dass sich die betroffene Person der Verarbeitung der sie betreffenden Daten bewusst wird und deren Rechtmäßigkeit überprüfen kann (BGH, Urteil vom 22.2.2022 - VI ZR 14/21).

Das Interesse an der Geheimhaltung des Hinweisgebers hat gegenüber dem Auskunftsinteresse regelmäßig dann zurückzutreten, wenn der Hinweisgeber wider besseres Wissen oder leichtfertig unrichtige Angaben zu personenbezogenen Daten der betroffenen Person gemacht hat (BGH, Urteil vom 22.2.2022 - VI ZR 14/21).

 

Vergleich über Datenauskunft

Zum anderen war Gegenstand des Vergleichs gerade die Erledigung des Auskunftsersuchens, welches erkennbar auf die Beseitigung etwaiger Ungewissheiten über den Inhalt und Umfang über die Beklagte gespeicherten Daten gerichtet war. Der Beklagten war sowohl bei Einleitung des Verfahrens als auch bei Abschluss des Vergleichs der Klägerin bewusst, dass ihr gerade nicht der genaue Inhalt und Umfang bekannt war.
(OLG Dresden, Urteil vom 26.7.2022 – 18 U 24/22 –, Rn. 18, juris)

 

Streitwert einer Datenauskunftsklage

»Da vorliegend nur ein Auskunftsanspruch geltend gemacht wird und das Auskunftsinteresse der Klägerin bereits im Vorfeld der Klage, wie ausgeführt, als ohnehin nicht mehr besonders werthaltig anzusehen ist, erscheint für den vorliegenden Fall die Streitwertbemessung mit 1.000,00 € angemessen. Dass hinter dem Schutz von immateriellen Grundrechtspositionen auch ein besonderes wirtschaftliches Interesse dem Auskunftsanspruch der Klägerin zugrunde lag, ist nicht dargetan. Die Klageschrift als solche verhält sich überhaupt nicht dazu, inwieweit der Auskunftsanspruch der Vorbereitung einer Schadensersatzklage in einem Arzthaftungsverfahren dient.«
(OLG Brandenburg, Beschluss vom 1.82022 – 12 W 23/22: 1.000 Euro Streitwert)

 

5.000 Euro hat das OLG Köln bei Beanspruchung einer kostenlosen Kopie einer Gerichtsakte angesetzt ( (OLG Köln, Beschluss vom 14.1.2022 – 7 VA 20/21).

Das OLG Dresden hat den Streitwert für eine Auskunftsklage 5000 € bewertet, insbesondere wegen Finanzfragen ( OLG Dresden, Urteil vom 26.7.2022 – 18 U v4 20/22).

 

 

Art. 16 DSGVO. Recht auf Berichtigung

Bei Geltendmachung eines Berichtigungsanspruchs nach Art. 16 Satz 1 DSGVO trägt der Betroffene die Beweislast für die Richtigkeit des von ihm angegebenen Datums (BVerwG, Urteil vom 2.3.2022 – 6 C 7/20).

 

Art. 17 DSGVO. Recht auf Löschung ("Recht auf Vergessenwerden")

Der Anspruch auf Löschung personenbezogener Daten gemäß Art. 17 Abs. 1 DS-GVO schließt den Anspruch darauf ein, dass die gelöschten Daten nicht erneut verarbeitet werden. Art. 17 DS-GVO kann dem Betroffenen deshalb im Einzelfall auch einen entsprechenden Unterlassungsanspruch gewähren (OLG München, Urteil vom 22.3-2022 – 18 U 1697/21).

 

Mit den Voraussetzungen eines Auslistungsanspruchs (eines wegen Mordes verurteilten Mannes) gegen den Verantwortlichen eines Internet-Suchdienstes nach Art. 17 DS-GVO befasst sich BGH, Urteil vom 3. 5.2022 – VI ZR 832/20.

 

Die Notwendigkeit der Aufbewahrungim Sinne von Art. 17 Abs. 1a) DSGVO von Personendaten kann sich aus der Notwendigkeit ergeben, auf behördliche bzw. gerichtliche Ahndungen (noch) reagieren zu müssen (Bayerischer Verwaltungsgerichtshof, Beschluss vom 22.7.2022 – 11 ZB 22.895, hier: Fahrtenbuchauflage gegenüber Kfz-Händler).

 

Streitwert: 40.000 EUR (Löschung eines Suchmaschinenbetreibers, LG Köln, Beschluss vom 4.7.2022 - 28 O 168/22)

 

Art. 17 Abs. 3 DSGVO

Bei der für den Anspruch auf Löschung vorzunehmenden Abwägung aus dem Arzt-Bewertungsportal nach Art. 6 Abs. 1 Satz 1 Buchst. f. DSGVO sind zugunsten des Arztes außer dem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh die nicht unerheblichen Gefahren für seinen sozialen und beruflichen Geltungsanspruch (Art. 7 GRCh) sowie den wirtschaftlichen Erfolg seiner selbständigen Tätigkeit (Art. 16 GRCh) zu berücksichtigen, die seine Aufnahme in das Arzt-Bewertungsportal (hier: jameda) und die damit verbundene Verarbeitung seiner personenbezogenen Daten mit sich bringen kann. Die - durch die Aufnahme in das Portal ermöglichten - Bewertungen können die Arztwahl  behandlungsbedürftiger Personen beeinflussen, sich dadurch unmittelbar auf den Wettbewerb mit anderen Ärzten auswirken und damit im Falle von negativen Bewertungen sogar die berufliche Existenz des Bewerteten gefährden. Schließlich ist bei der Abwägung auch zu berücksichtigen, inwieweit das Arzt-Bewertungsportal im Portalbetrieb als "neutraler Informationsmittler" agiert. Verlässt er diese Stellung, kann sich dies zu seinem Nachteil auswirken.
(BGH, Urteil vom 15.2.2022 – VI ZR 692/20)

 

Art. 32 DSGVO. Sicherheit der Verarbeitung

Art. 32 DSGVO dient der Sicherheit der Verarbeitung personenbezogener Daten (BGH, Urteil vom 13.5.2022 – V ZR 7/21).

 

Aus Art. 32 DSGVO ergibt sich nicht die Befugnis, gegen den Willen des Netzbetreibers auf sein Mobilfunknetz zuzugreifen, um Dritten eine Sicherheitslücke vorzuführen, die den Schutz personenbezogener Daten gefährden könnte. (BGH, Urteil vom 13.5.2022 – V ZR 7/21)

 
 

 

Art. 38 DSGVO. Stellung des Datenschutzbeauftragten

Art. 38 Abs. 3 S. 2 DSGVO steht einer nationalen Regelung nicht entgegen, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt (EuGH, Urteil vom 22.6.2022 – C-534/20)

 

Art. 44 DSGVO Allgemeine Grundsätze der Datenübermittlung

 

****Daten-Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem
Dritten ankommt (Vergabekammer Baden-Württemberg, Beschluss vom 13.7.2022 – 1 VK 23/22). Eine berücksichtigungsfähige Offenlegung ist bereits
dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine
Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und
zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt (Vergabekammer Baden-Württemberg, Beschluss vom 13.7.2022 – 1 VK 23/22).

Das OLG Karlsruhe,Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22 hat die vorhergehende Entscheidung der Vergabekammervom 13.7.2022 aufgehoben. Inhaltlich wurde diese Entscheidung der Vergabekammer dahingehend beanstandet, dass bei eindeutiger Zusicherung eines Leistungsversprechens, personenbezogene Daten nicht in die USA zu übermitteln, und dem Fehlen konkreter Anhaltspunkte für Zweifel an dieser Zusicherung davon ausgegangen werden darf, dass es nicht zu rechtswidrigen und vertragswidrigen Datenverarbeitungen außerhalb von Deutschland kommen wird <Pressemitteilung des Oberlandesgerichts Karlsruhe, abrufbar unter https://oberlandesgericht-karlsruhe.justiz-bw.de/pb/,Lde/10537397/?LISTPAGE=7373457>***

 

Art. 82 DSGVO Haftung und Recht auf Schadenersatz

_Für die Geltendmachung von Schadenersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DSGVO ist der Finanzrechtsweg gegeben. Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S.d. Art. 34 GG (BFH, Beschluss vom 28.6.2022 – II B 92/21).

 

_Der Anspruch aus Art. 82 DSGVO erfasst nach dem Schutzzweck der Norm nur solche Sachverhalte, in denen die Art der Informationserlangung gerügt wird und der Vorwurf einer intransparenten Datenverarbeitung im Raum steht, es also um das Recht auf informationelle Selbstbestimmung geht. Knüpft die Beeinträchtigung dagegen an das Ergebnis des Kommunikationsprozesses, nämlich die Veröffentlichung und Verbreitung der personenrelevanten Daten, an, so ist allein der Schutzbereich des allgemeinen Persönlichkeitsrechts betroffen, und eine Anwendung des Art. 82 DSGVO kommt nicht in Betracht (OLG Düsseldorf, Beschluss vom 16.2.2021 – 16 U 269/20).

 

_Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht.
Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. 

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden. Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben. Letztlich können - wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist  - für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen. Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum, den sie nach billigem Ermessen füllen müssen .(OLG Düsseldorf, Urteil vom 28.10.2021 – I-16 U 275/20).

 

_Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor . Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen (AG Pforzheim, Urteil vom 27.1.2022 – 2 C 381/21).

 

_ Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (Landesarbeitsgericht Schleswig-Holstein, Beschluss vom 1.6.2022 – 6 Ta 49/22).

 

_Konnte aufgrund des Umfangs entwendeter Daten versucht werden, die betroffene Person zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, und bestand die Gefahr, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde, ist ein Schaden gegeben
(LG Köln, Urteil vom 18.5.2022 – 28 O 328/21)

 

 

 

Gericht

Sachverhalt in Stichworten

Schadensersatz

 

 

Landgericht Köln, Urteil vom 18.5.2022 – 28 O 328/21

unterlassene Überprüfung der Löschung von Kundendaten

1.200 Euro

 

 

Landesarbeitsgericht Niedersachsen, Urteil vom 22.10.2021 – 16 Sa 761/20

Verspätete und unvollständige Auskunftserteilung

1.250 Euro

 

 

AG Pforzheim, Urteil vom 27.1.2022 – 2 C 381/21

Übermittlung von Personendaten an ein Abrechnungszentrum ohne Einwilligung

1500 Euro

(zzgl. 4 Euro Mahnkosten)

 

 

Landesarbeitsgericht Schleswig-Holstein, Beschluss vom 1.6.2022 – 6 Ta 49/22

Fehlende Einwilligung des Arbeitnehmers in Veröffentlichung eines Videos auf YouTube

Bis zu 2.000 Euro

 

 

OLG Düsseldorf, Urteil vom 28. Oktober 2021 – I-16 U 275/20

Gesundheitsakte an falsche Email-Adresse

2000 Euro

 

ArbG Münster, Urteil vom 25. 3.2021 – 3 Ca 391/20

Marketing-Foto ohne Zustimmung der Arbeitnehmerin

5000 Euro

 

LG Hannover, Urteil vom 14.2.2022 – 13 O 129/21

Unzulässiger Schufa-Eintrag (Schmerzensgeld)

5.000 Euro

 

Arbeitsgericht Berlin, Teilurteil vom 15.6.2022 – 55 Ca 456/21

Nicht-Erteilung einer datenschutzrechtlichen Auskunft; Weiterleiten von Personendaten an Vertragspartner und Behörden (Schadensersatz)

5.000 Euro

 

 

 

„Die Daten zur Bonität des Klägers sind schützenswerte und sensible Daten, die sowohl seine berufliche Tätigkeit als auch seine Kreditwürdigkeit im privaten Rahmen betreffen. Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr in diesen Bereichen haben, indem Kredite versagt oder vom Kläger angestrebte Verträge mit ihm nicht abgeschlossen werden. Dass die Beklagte als Warnsystem der Kreditwirtschaft mit ihren Auskünften und dem ersichtlich zu diesem Zweck und auf der Grundlage der Einträge ja errechneten Basisscore…auf derartiges keinen Einfluss ausübt, wird man nicht ernsthaft annehmen können." (LG Hannover, Urteil vom 14.2.2022 – 13 O 129/21: Schufa, 5.000 Euro)

 

Exkurs:

 EGMR, Urteil vom 8.9.2022 - 3153/16

Datenerhebung auf der Grundlage von bloßen Vermutungen oder Spekulationen über sexuelle Praktiken oder sexuelle Orientierung ohne Aktualisierung; nicht erforderliche zeitliche Dauer der Datenspeicherung;

12.000 Euro

 

 

 Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen

Aufsichtsbehörde

Sachverhalt in Stichworten

Regelung

Betrag

Quelle

LfD

Auswertung von Online-Nutze-verhalten

Art. 6 Abs. 1f) DSGVO

900.000 Euro

 

<Rechtskraft nicht bekannt>

https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken-213925.html

 

 

 

 

 BDSG

§ 40 BDSG. Aufsichtsbehörden der Länder

a)Auskunftsverweigerungsrecht: "Zwar hat sich die Antragstellerin auf das in § 40 Abs. 4 Satz 2 BDSG normierte Auskunftsverweigerungsrecht berufen. Dabei kann dahinstehen, ob sie tatsächlich bereits in ihrem Schreiben vom 28. Januar 2021 von diesem Recht Gebrauch machte. Zweifel daran bestehen bei objektiver Auslegung des Inhalts dieses Schreibens, der zwar erkennen lässt, dass bestimmte Auskünfte nicht erteilt werden sollen, nicht jedoch deutlich macht, aus welchem Grund von der Auskunftserteilung abgesehen wird. Zwar muss die Entscheidung, von dem Auskunftsverweigerungsrecht Gebrauch zu machen, nicht im Einzelnen begründet werden. Derartige Anforderungen könnten zur Aushöhlung des Auskunftsverweigerungsrechts führen (vgl. zu § 55 StPO Maier, in: MüKO zur StPO, 1. Aufl. 2014, StPO § 55, Rn. 72). Es ist aber jedenfalls zu fordern, dass die Inanspruchnahme des Rechts aus § 40 Abs. 4 Satz 2 BDSG ausdrücklich erklärt wird, sodass eine Abgrenzung zur reinen Auskunftsverweigerung möglich ist (vgl. zum gleichlautenden § 40 Abs. 4 KrW-/AbfG, VGH Bad.-Württ., Beschluss vom 30. März 2001 – 10 S 1184/00). <Oberverwaltungsgericht für das Land Schleswig-Holstein, Beschluss vom 28. Mai 2021 – 4 MB 14/21>