Der Internetanbieter Google darf bestimmte vorformulierte Vertragsklauseln aus den Nutzungsbedingungen für Dienste, der Datenschutzerklärung sowie den Vereinbarungen über die Nutzung eines Marktplatzes im Internet nicht weiterverwenden oder sich darauf berufen. Dies hat das Landgericht Berlin in einem am 19. November 2013 verkündeten Urteil entschieden und Google auf Antrag des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände zu einer entsprechenden Unterlassung verurteilt.
Landgericht Berlin, Urteil vom 19.11.2013, 15 O 402/12
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren.
Zu diesem Ergebnis ist das Schleswig-Holsteinische Verwaltungsgericht nach mündlicher Verhandlung vom heutigen Tage gekommen. Drei schleswig-holsteinische Unternehmen, die bei Facebook eine Fanpage betreiben, hatten gegen die Anordnung des ULD, diese zu deaktivieren, geklagt.
Das ULD hatte diese Anordnung damit begründet, dass die Erfassung von Daten der Besucher der Seite durch Facebook gegen Vorschriften des Datenschutzes verstoße, weil über diese Datenerfassung von Facebook nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege. Außerdem sei eine Widerspruchsmöglichkeit nicht vorgesehen. Die Kläger als Betreiber einer Facebook-Fanpage seien hierfür mitverantwortlich.
Das Gericht folgte dieser Argumentation nicht. Es ließ offen, ob und in welchem Umfang die Erfassung von Daten der Nutzer der Fanpage zur Verletzung von Datenschutzrechten führt. Jedenfalls sei der Betreiber einer Fanpage hierfür datenschutzrechtlich nicht verantwortlich. Die Verantwortlichkeit ergebe sich aus dem Bundesdatenschutzgesetz und der Europäischen Datenschutzrichtlinie (von 1995). Danach sei nicht verantwortlich, wer weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung habe. Dementsprechend fehle es an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe aber auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss.
Das Gericht hat daher die streitigen Anordnungen des ULD aufgehoben. Wegen der grundsätzlichen Bedeutung der Rechtssache ist die Berufung zugelassen worden (Aktenzeichen 8 A 218/11, 8 A 14/12, 8 A 37/12).
Pressemitteilung des Schleswig-Holsteinischen Verwaltungsgerichtes vom 09.10.2013
Das Anordnungs- und Untersagungsrecht der Aufsichtsbehörde aus § 38 Abs.5 BDSG umfasst nicht die Beseitigung von Videoüberwachungskameras.
Wenn Treppenaufgänge zu Praxen und Büros nur zeitlich beschränkt öffentlich zugänglich sind, kann die Aufsichtsbehörde die Videoüberwachung nicht uneingeschränkt untersagen.
VG Oldenburg, Urteil vom 12.03.2013, 1 A 3850/12
Auszug aus dem Urteil:
Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ist gemäß § 4 BDSG nur unter den im Gesetz aufgeführten Voraussetzungen zulässig, die für private Datenverarbeitung in §§ 27 ff BDSG im Allgemeinen und für die Videoüberwachung in § 6b BDSG im Besonderen aufgeführt sind. Ob diese Systematik als „Verbot mit Erlaubnisvorbehalt" bezeichnet werden kann (so Gola/Schomerus, BDSG Kommentar, 11.Aufl. Anm.3 zu § 4 BDSG) erscheint zweifelhaft. Das BDSG stellt für die Datenverarbeitung durch private Videoüberwachung zwar Voraussetzungen auf, enthält aber kein formalisiertes Erlaubnisverfahren. Es ist kein begünstigender Verwaltungsakt in Form der Genehmigung vorgesehen, der die präventive Zulässigkeitsschranke aufheben könnte. Deshalb kann allein das Fehlen einer Genehmigung nicht zur Grundlage eines behördlichen Eingriffs wegen formeller Illegalität gemacht werden. Nicht auf das Fehlen der Genehmigung, sondern nur auf das Fehlen der Voraussetzungen für die Datenverarbeitung kann eine behördliche Maßnahme gestützt werden. Das Verbot der Datenverarbeitung ohne die erforderlichen Voraussetzungen ist materiell rechtlicher Natur. Auf den Begriff des Verbots mit Erlaubnisvorbehalt ist aber nicht weiter einzugehen, weil der Beklagte das Verbot mit Erlaubnisvorbehalt zwar in die Auseinandersetzung um die Rechtmäßigkeit seiner Verfügungen eingebracht hat, den Verwaltungsakt aber nicht auf die formelle Illegalität, sondern auf das Fehlen der Erlaubnisvoraussetzungen gestützt hat. Damit kann er aber seine Entscheidungen nicht begründen. Die Beseitigung der Kameras ist von der einzig in Betracht kommenden und vom Beklagten angeführten Rechtsgrundlage aus § 38 Abs.5 BDSG nicht als Rechtsfolge vorgesehen. Für die vollständige Untersagung der Videoüberwachung liegen die Voraussetzungen nicht vor.
1. Für die Einschaltung privater Stellen in die Abrechnung ärztlicher Leistungen im Rahmen der hausärztlichen Versorgung steht eine datenschutzrechtlich erforderliche Rechtsgrundlage nur bei Einhaltung der gesetzlichen Anforderungen an die Zulässigkeit einer Beauftragung Privater sowie an die Ausgestaltung als Auftragsdatenverarbeitung zur Verfügung.
2. Ein Auftragsdatenverarbeitungsverhältnis liegt nur vor, wenn dem Auftraggeber eine Auswahl des Auftragnehmers möglich bleibt. Daran fehlt es, wenn der datenschutzrechtlich verantwortliche Arzt lediglich insgesamt einem vorgestalteten Vertragswerk über die Teilnahme an einer besonderen Versorgungsform und der Verarbeitung von Patientendaten durch einen privaten Dritten beitreten kann.
3. Auftragsdatenverarbeitung setzt die vollständige Transparenz der durchzuführenden Datenverarbeitung unmittelbar im Verhältnis zwichen Auftraggeber und Auftragnehmer voraus.
Oberverwaltungsgericht für das Land Schleswig-Holstein, Beschluss vom 12.01.2011, 4 MB 56/10
Auszug aus dem Beschluss:
Nach § 80 Abs 5 SGB X ist eine Datenverarbeitung im Auftrag durch nicht-öffentliche Stellen nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden könnten und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst, wobei der überwiegende Teil der Speicherung des gesamten Datenbestandes beim Auftraggeber verbleiben muss. § 80 Abs.5 SGB X bewirkt eine erhebliche Einschränkung für die Beauftragung einer nicht-öffentlichen Stelle und ist als Ausnahmeregelung grundsätzlich eng auszulegen (vgl. Rombach, in: Hauck/Noftz, a.a.O., § 80 SGB X Rdnr.34; Von Wulffen, a.a.O., § 80 SGB X Rdnr.13).
1. Die INPOL-A-Datei "Visa-KzB-Verfahren" ist rechtswidrig.
2. Die Art der Daten, die in polizeilichen Informationssystemen des BKA gespeichert werden dürfen, sind durch Rechtsverordnung zu regeln.
3. Die Verarbeitung von Visa-Daten erfolgt nach allgemeinen datenschutzrechtlichen Grundsätzen, dies mit der Folge, dass eine Meldung vorliegen und eine Vorabkontrolle durch den behördlichen Datenschutzbeauftragten erfolgen muss.
4. Sind Daten rechtswidrig gespeichert, so sind sie zu löschen.
5. Rechtswidrig gespeicherte Daten unterliegen einem Verwertungsverbot.
VG Wiesbaden, Urteil vom 04.04.2013, 6 K 910/12.WI.A
Auszug aus dem Urteil:
Die INPOL-A-Datei "Visa-KzB-Verfahren" ist rechtswidrig, soweit diese Datei ihre Rechtsgrundlage in § 7 BKA-Gesetz hat.
Soweit sich das BKA als Rechtsgrundlage auf § 7 BKA-Gesetz (Führung kriminalpolizeilicher personenbezogener Sammlung der Zentralstelle) beruft, kann das BKA zur Erfüllung seiner Aufgaben nach § 2 Abs.1 bis 3 BKA-Gesetz zur Unterstützung der Verhütung und Verfolgung von Straftaten der Strafverfolgungsbehörden und als Zentralstelle ein polizeiliches Informationssystem nach Maßgabe des Gesetzes führen. Insoweit regelt § 7 Abs.1 BKA-Gesetz, dass das BKA personenbezogene Daten speichern, verändern und nutzen kann, soweit dies zur Erfüllung seiner jeweiligen Aufgaben als Zentralstelle erforderlich ist.
Soweit das BKA Dateien als Zentralstelle im polizeilichen Informationssystem nach § 11 BKA-Gesetz führt, sind gemäß § 7 Abs.6 BKA-Gesetz durch Rechtsverordnung des Bundesministeriums des Innern, welche mit Zustimmung des Bundesrates zu ergehen hat, dass Nähere über die Art der Daten, die gespeichert werden dürfen, zu regeln (vgl. VG Gießen, Urteil vom 29.04.2002, Az. 10 E 141/01, OVG Lüneburg, Urteil vom 16.12.2008, Az. 11 LC 229/08).
Auskunftsansprüche aus § 34 BDSG müssen hinreichend bestimmt im Sinne des § 253 Abs.2 Nr.2 ZPO sein. Dazu reicht die Formulierung eines Auskunftsbegehrens "aus vorgelagerten Dateien und Datenbanken" nicht.
Auskunftsansprüche aus § 34 BDSG können nicht "ins Blaue" geltend gemacht werden. Es muss vielmehr ausreichend dargelegt werden, dass tatsächlich personenbezogene Daten gespeichert sein könnten.
Können personenbezogene Daten durch Einblick in den eigenen E-Mail-Account selbst ermittelt werden, ist das Verlangen einer entsprechenden Auskunft in Textform rechtsmißbräuchlich.
Hessisches Landesarbeitsgericht, Urteil vom 29.01.2013
Auszug aus dem Urteil:
Gemäß § 34 BDSG ist der Arbeitgeber auf ein entsprechendes Ersuchen des betroffenen Arbeitnehmers hin verpflichtet, kostenlos (§ 34 Abs.8 S.1 BDSG) und grundsätzlich schriftlich bzw. in Textform (§ 34 Abs.6 BDSG) mitzuteilen, welche personenbezogenen Daten gespeichert sind, zu welchem Zweck die Speicherung erfolgt und an welche Personen und Stellen seine Daten weitergegeben werden. Auch gesperrte Daten unterliegen der Auskunftspflicht. Werden Angaben über die Herkunft der Daten gespeichert, sind diese im Hinblick auf externe Stellen oder Personen mitzuteilen (Gola/Schomerus, BDSG, 11.Auflage 2012, § 34 Rn.10), sowie auch die Empfänger der Daten. Empfänger der Daten sind hier Dritte, interne Stellen, denen die Daten zur Verfügung gestellt werden und auch Datenverarbeiter im Auftrag. Das Auskunftsrecht gehört zu den unabdingbaren Rechten des Betroffenen (§ 6 Abs.1 BDSG). Adressat des Auskunftsverlangens ist der Arbeitgeber (ErfKom- Franzen, 13.Auflage 2013, § 34 BDSG Rn.1). In bestimmten Fällen (§ 34 Abs.7 BDSG) besteht ein Auskunftsverweigerungsrecht.
Der Kläger begehrt die Löschung von Daten aus einer Datenbank. Er erlitt unverschuldet einen Verkehrsunfall. An seinem Pkw entstand ein wirtschaftlicher Totalschaden. Die Beklagte regulierte diesen für ihren Versicherungsnehmer, den Unfallgegner des Klägers. Mit Schreiben informierte sie den Kläger darüber, die Daten seines Fahrzeuges, nämlich Kfz-Kennzeichen und Fahrzeugidentifizierungsnummer an das Hinweis- und Informationssystem (HIS) zu melden, welches von Firma XYZ betrieben werde und Unternehmen der Versicherungsbranche zur Verfügung stehe. Der Kläger willigte hierin nicht ein. Mit der Klage verfolgt der Kläger das Ziel, im Ergebnis die Löschung dieser Daten zu erreichen.
Der Kläger hat keinen datenschutzrechtlichen Anspruch auf Löschung der genannten Daten. Jedenfalls hat die Beklagte ein überwiegendes Interesse an der Speicherung dieser Daten. Insbesondere steht dem Kläger kein Löschungsanspruch aus § 35 Abs.2 S.2 Nr.1 BDSG zu. Nach dieser Vorschrift sind personenbezogene Daten dann zu löschen, wenn es sich um eine unzulässige Speicherung handelt.
Besteht über personenbezogene, bei einer Auskunftei gespeicherte Daten Streit und müssen diese bis zur Klärung gesperrt werden, darf über die Tatsache der Sperrung Dritten gegenüber weder direkt noch indirekt Mitteilung gemacht werden. In solchen Fällen ist die dem Dritten gegebene Auskunft, eine Auskunft über den Betroffenen sei nicht möglich, unzulässig, da sie als versteckte Mitteilung einer Datensperrung verstanden werden kann.
Die grundsätzlich bestehende Freiheit einer Auskunftei zu entscheiden, mit wem sie eine Geschäftsbeziehung eingehen und Auskünfte über Dritte, auch im Einzelfall, erteilen will, entbindet sie nicht davon, deutlich zu machen, dass eine etwaige Auskunftsverweigerung auf Umständen beruht, die nicht in der Sphäre der angefragten Person liegen.
Schriftliche Benachrichtigungen des Betroffenen über erteilte Auskünfte nach § 33 Abs.1 S.2 BDSG können, wenn die Auskunftei Kaufmann i.S.d. HGB ist, Handelsbriefe i.S.v. § 257 Abs.2 HGB sein, von denen die Auskunftei bereits nach dem HGB Kopien zu erstellen und aufzubewahren hat. Durch eine entsprechende Verpflichtung des Datenschutzbeauftragten zur Aufbewahrung solcher Benachrichtigungen wird sie nicht zusätzlich beschwert.
Ob der Benachrichtigungspflicht nach § 33 Abs.1 S.2 BDSG durch telefonische Hinweise genügt wird, bleibt im Eilverfahren ausdrücklich offen. Im Eilverfahren bestehen jedenfalls keine Bedenken, die Auskunftei zu verpflichten, Aktenvermerke über Uhrzeit und Gesprächspartner der telefonischen Benachrichtigung für Prüfzwecke anzufertigen und aufzubewahren.
Gegen die Entscheidung ist Beschwerde zum Hessischen VGH eingelegt worden.
VG Darmstadt, Beschluss vom 21.05.2013, 5 L 304/13.DA
Weitere Beiträge …
- Betriebsübergang - kein Übergang des Amts des Datenschutzbeauftragten
- Unbegründete Verfassungsbeschwerde: Übermittlung eines kriminalprognostischen Gutachtens von Strafvollstreckungskammer an Justizvollzugsanstalt verletzt nicht das Grundrecht auf informationelle Selbstbestimmung (Art. 33 VvB)
- Auskunftsanspruch des Betriebsrats - betriebliches Eingliederungsmanagement - Datenschutz
- Persönlichkeitsrechtsverletzung im Internet: Anspruch gegen einen Suchmaschinenbetreiber wegen der Suchergebnisse einer Internetsuchmaschine