Urteile nach der DSGVO

Knowledge Base der Datenbeschützerin

Seit Inkrafttreten der DSGVO sind bereits zahlreiche Urteile seitens der Gerichte ergangen. 

Die Urteile sind aufgrund ihrer Vielzahl thematisch gegliedert. Die Übersicht bezieht sich lediglich auf die deutsche Rechtsprechung. . Sie erhalten eine kurze Zusammenfassung des Themas und was das Urteil für Sie bedeutet und ob Handlungsbedarf besteht.

Wir aktualisieren diese Liste ständig, können jedoch keine Vollständigkeit gewährleisten.

Eine Übersicht über erteilte Bußgelder nach DSGVO durch die Aufsichtsbehörden finden Sie in einem eigenen Beitrag.

Auftragsverarbeitungsverträge / Auftragsverarbeitung

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin

Beschäftigtendatenschutz

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Verwaltungsgericht Lüneburg
19.03.2019
(Un-)Zulässigkeit von Ortungssystemen in FirmenfahrzeugenSpeicherung von gefahrenen Strecken mit Start- und Zielpunkt für 150 Tage. Die Aufzeichnung erfolgte dauerhaft und war nur mit erheblichen Aufwand möglich, dies auszuschalten. Kennzeichen wurden ebenfalls mit erfasst. Private Nutzung war nicht vereinbart, jedoch geduldet. 

Zweck der Ortung war die Planung der Touren, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise ggü. Aufraggeber zu erbringen, Diebstahlschutz, Prüfung von verbotenen privaten Wochenendfahrten. 
Positionsdaten von Mitarbeitern können nicht auf Art. 6 Abs. 1 lit. c und f DSGVO und § 26 BDSG stützen. Außerdem wurden die Einwilligung und Transparenz nicht geachtet und sind nicht für das Beschäftigungsverhältnis erforderlich. 

Erlaubt sind: Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) 

Untersagt: Kontrolle der Privatfahrten, Speicherdauer von 150 Tagen
Abgrenzung und Definition von Daten, die in der Arbeitszeit anfallen
Mitarbeiter über Geo-Ortung transparent informieren
Bundesarbeitsgericht
07.05.2019
Betriebsräte und die DSGVO
In diesem Fall ging es um die Einsicht von Bruttogehaltslisten, bei denen der Klarname der Mitarbeiter ersichtlich ist. Dies ist nötig, um die Einhaltung der Vergütungsgrundsätze zu prüfen. 

Diese Einsicht ist nach Ansicht des Gerichts zulässig. 
Die zentrale Frage dabei war, ob es sich dabei um eine Datenverarbeitung handle. Eine Datenverarbeitung liegt vor. Es spielt in diesem Fall jedoch keine Rolle, ob der Betriebsrat als Dritter anzusehen ist.
Es wurde jedoch nicht die Rolle des Betriebsrats an sich geklärt. Ob der Betriebsrat nun eigener Verantwortlicher ist oder nicht, bleibt weiterhin ungeklärt.
Oberlandesgericht München
03.12.2019
Entschädigung wegen heimlich mitgelesener E-MailsDas heimliche Mitlesen von Mails führt zu einer Persönlichkeitsverletzung und damit zu einer Entschädigung.

Der Inhaber einer Anwaltskanzlei las heimlich die persönlichen Mails seines Geschäftspartners mit. Das Passwort für den Mailaccount hat sich der Beklagte auf unerklärliche und dubiose Weise beschafft.
Das besondere bei diesem Urteil ist, dass es sich dabei um ein „Urteil ohne Sachverhalt“ handelt.

Das Gericht beschreibt den Sachverhalt nicht detailliert nieder. Das bedeutet, dass nur durch die Urteilsbegründungen der Sachverhalt konstruiert werden kann.
Arbeitsgericht Lübeck
20.06.2019
Schmerzensgeldanspruch wegen Fotoveröffentlichung ohne EinwilligungEine Mitarbeiterin verklagte ihren ehemaligen Arbeitgeber, da dieser ihr Mitarbeiterfoto auf der Facebookseite nicht nachkam.

Des Weiteren lag keine Einwilligung zur Veröffentlichung in den sozialen Medien vor. Die Klägerin stimmte lediglich der internen Veröffentlichung zu.

Das Gericht stimmte der Klägerin zu und verpflichtete den ehemaligen Arbeitgeber zur Zahlung eines Schmerzensgelds von 1.000,00 €.
Es ist zu prüfen, für welche Zwecke die Einwilligung seitens der Mitarbeiter eingeholt wird.

Möchte ein Mitarbeiter keine Veröffentlichung seiner Bilder, ist dies zu respektieren und einzuhalten.
Landesarbeitsgericht Berlin Brandenburg
04.06.2020
Biometrische Arbeitszeiterfassung nur mit Einwilligung zulässigDie Zeiterfassung durch biometrische Daten z.B. Fingerabdruck, ist nach Urteil des LArbG nur mit Einwilligung des Mitarbeiters zulässig.

Die Zeiterfassung nach § 26 Abs. 3 BDSG ist nach Ansicht des Gerichts nicht erforderlich.
Seitens der Mitarbeiter ist eine Einwilligung für die Datenerhebung von biometrischen Daten für die Zeiterfassung einzuholen.

Des Weiteren sind die Mitarbeiter über die Datenverarbeitung nach Art. 13 DSGVO zu informieren.
Landesarbeitsgericht Düsseldorf
23.06.2020
Betriebsrat darf ohne Zustimmung des Arbeitnehmers keine Einsicht in die elektronische Personalakte nehmenBei dem Arbeitgeber gibt es neben dem Gesamtbetriebsrat auch noch zwölf örtliche Betriebsräte.

Die Gesamtbetriebsvereinbarung ist vorgesehen, dass die Betriebsratsvorsitzenden permanenten Zugriff auf die elektronische Personalakte der Mitarbeiter (Ausnahme hier leitende Mitarbeiter und Personalmitarbeiter) erhält.

Das Gericht sieht in dieser Klausel einen Verstoß gegen das allgemein Persönlichkeitsrecht nach Art. 1 Abs. 1 GG.
Landesarbeitsgericht Köln
14.09.2020
Schmerzensgeld wegen nicht entfernten Mitarbeiterdaten auf HomepageNach dem Ausscheiden einer Mitarbeiterin hatte der ehemalige Arbeitgeber eine PDF-Datei mit dem Namen des Mitarbeiters, vergessen zu löschen.

Nachdem der Arbeitgeber darauf aufmerksam gemacht wurde, entfernte er die Datei. Die ehemalige Mitarbeiterin reichte dennoch Klage ein.

Das Landesarbeitsgericht sah in diesem Fall einen (geringen) Datenschutzverstoß. Es konnte nicht nachgewiesen werden, wie oft die Datei angeklickt wurde. Des Weiteren gab es auch keinen erkennbaren Mehrwehrt für den Arbeitnehmer, wenn er die Datei weiter auf der Webseite belässt.

Der Klägerin wurden 300,00 € Schmerzensgeld zugesprochen.
Dieser Fall zeigt, dass auch bei nicht entfernten Daten ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen werden dürfen.
Landesarbeitsgericht Baden-Württemberg
17.09.2020
Fristlose Kündigung eine Mitarbeiters bei umfangreicher DatenlöschungIn einem Gespräch teilte der Arbeitgeber dem Arbeitnehmer mit, das Arbeitsverhältnis mittels eines Aufhebungsvertrags zu beenden.
Der Mitarbeiter forderte dabei eine Abfindung, in welche der Arbeitgeber nicht einwilligte.

Zwei Tage nach dem Gespräch löschte der Arbeitnehmer über 3.300 Datensätze (ca. 8 GB) auf den Server des Arbeitgebers, woraufhin die fristlose Kündigung erfolgte.

Das LAG Baden-Württemberg sieht in der Datenlöschung einen wichtigen Grund für die fristlose Kündigung. Des Weiteren ist das Gericht der Auffassung, dass die Löschung nicht ausversehen, sondern mit Vorsatz erfolgte.

Betroffenenrechte

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Europäischer Gerichtshof
20.12.2017
Prüfungsarbeiten enthalten personenbezogene DatenDer EuGH entschied, dass Prüfungsarbeiten personenbezoge Daten enthalten. Somit unterliegen sie auch dem Auskunftsgesuch, d.h. die Herausgabe einer Kopie der Prüfungsantworten an den Prüfling ist möglich (und zwar kostenlos).
Oberlandesgericht Frankfurt am Main
06.09.2018
Unterlassungs- und Löschanspruch nach Art. 17 DSGVO gegen SuchmaschinenbetreiberDer Geschäftsführer einer gemeinnützigen Organisation begehrte die Löschung von negativen Presseberichten. In diesen wurden über die finanziellen Schwierigkeiten der Organisation sowie über den Gesundheitszustands des Klägers berichtet. Der Kläger fordert Google mittels der Klage auf, die Presseberichte zu löschen bzw. dessen Namen nicht mehr in der Suchmaschine finden zu lassen. Das Gericht wies die Klage ab, da keine falschen Tatsachen berichtet wurden. Auch überwiegt das öffentliche Interesse zum persönlichen Interesse des Klägers.Die Revision zum Bundesgerichtshof ist zulässig. Es ist abzuwarten, ob eine höchstrichterliche Entscheidung in Bezug auf den Art. 17 DSGVO erfolgt.
Bundessozialgericht
19.12.2018
Keine dauerhafte Speicherung von VersichertenfotosFotos von Versicherten dürfen nur so lange gespeichert werden, bis die Gesundheitskarte hergestellt und dem Versicherten übermittelt wurde. Somit ist keine dauerhafte Speicherung des Fotos bis zum Ende des Versicherungsverhältnisses möglich.
Landesarbeitsgericht Baden-Württemberg
20.12.2018
Auskunftsanspruch nach der DSGVO – berechtigte Interessen Dritter an einer GeheimhaltungEhemalige Führungskraft von Daimler wollte umfangreiches Auskunftsrecht nach Art. 15 Abs. 3 DSGVO geltend machen. Eine Herausgabe von Kopien der Datensätze kann nur verweigert werden, wenn das schützenswerte Interesse von Dritten besteht. Im vorliegenden Fall konnte Daimler das Schutzinteresse nicht nachweisen. Das Gericht sprach dem ehemaligen Mitarbeiter Recht zu.Vor Informationsübermittlung die anfragende Person identifizieren
prüfen, ob bei Herausgabe von Informationen Rechte von Dritten betroffen sind.
Verwaltungsgerichtshof Berlin
27.01.2019
Personenbezogene Daten am Halsband eines HundesEin Hundebesitzer klagte gegen die Verpflichtung, Namen und Adresse öffentlich sichtbar am Halsband bzw. Geschirr anzubringen, da dies seine Privatsphäre verletzt, weil er seine personenbezogenen Daten offenlegen muss. 
Entscheidung: Die Verpflichtung greift zwar in das Grundrecht ein, jedoch nur im geringen Maße, da die Kennzeichnung auch nicht sofort sichtbar erfolgen kann.
Landgericht Köln
18.03.2019
Umfang des nach Art 15 DSGVO dient nicht als vereinfachte BuchführungEine Versicherungsnehmerin verlangte vollständige Datenauskunft. Die Versicherung beantwortete diese nur teilweise, weshalb die Betroffene vor Gericht ging. Das Gericht entschied, dass sich der Auskunftsanspruch nicht auf alle internen Vorgänge, rechtliche Bewertungen oder Analysen erstreckt. Das Auskunftsgesuch soll demnach nicht der vereinfachten Buchführung des Betroffenen dienen.Prüfung der Betroffenenanfragen und Umfang der Datenherausgabe.
Verwaltungsgericht Lüneburg
19.03.2019
(Un-)Zulässigkeit von Ortungssystemen in FirmenfahrzeugenSpeicherung von gefahrenen Strecken mit Start- und Zielpunkt für 150 Tage. Die Aufzeichnung erfolgte dauerhaft und war nur mit erheblichen Aufwand möglich, dies auszuschalten. Kennzeichen wurden ebenfalls mit erfasst. Private Nutzung war nicht vereinbart, jedoch geduldet. 

Zweck der Ortung war die Planung der Touren, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise ggü. Aufraggeber zu erbringen, Diebstahlschutz, Prüfung von verbotenen privaten Wochenendfahrten. 
Positionsdaten von Mitarbeitern können nicht auf Art. 6 Abs. 1 lit. c und f DSGVO und § 26 BDSG stützen. Außerdem wurden die Einwilligung und Transparenz nicht geachtet und sind nicht für das Beschäftigungsverhältnis erforderlich. 

Erlaubt sind: Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) 

Untersagt: Kontrolle der Privatfahrten, Speicherdauer von 150 Tagen
Abgrenzung und Definition von Daten, die in der Arbeitszeit anfallen
Mitarbeiter über Geo-Ortung transparent informieren.
Verwaltungsgericht Wiesbaden
09.04.2019
Verwaltungsgericht Wiesbaden legt EuGH Fragen zu Datenschutz und richterlicher Unabhängigkeit vorEin Bürger hat eine Auskunftsanfrage bezüglich einer Petition gegenüber dem Hessischen Landtag gestellt. Diese wurde jedoch abgelehnt, da Petitionen den öffentlichen Aufgaben unterliegen.Es soll geklärt werden, ob der Ausschluss der DSGVO so einfach möglich ist, da Petitionsausschuss als Behörde tätig wird.
Oberlandesgericht Dresden
11.06.2019
Schmerzensgeld aufgrund der DSGVO DSGVO
Der Kläger äußerte sich in einem sozialen Netzwerk rassistisch. Das Soziale-Netzwerk löschte daraufhin seinen Post und sperrte seinen Nutzerkonto. 

Der Kläger sah darin einen Datenschutzverstoß und forderte Schmerzensgeld. Das OLG Dresden wies dies jedoch ab, da es keine Persönlichkeitsrechtsverletzung sah und auch keine weitere Schädigung.
Oberlandesgericht Köln 
26.07.2019
Auch Telefonnotizen sind personenbezogene DatenDer Kläger begehrte Auskunft über seine Daten bei seiner Lebensversicherung. Es gab zuvor Auseinandersetzungen, woraufhin er die Auskunftsanfrage stellte. Er forderte die Versicherung auf, auch über Telefonnotizen und Telefonvermerke zu informieren. Die Versicherung meinte, dass diese Forderung sich nicht aus Art. 15 DSGVO ergäbe. 

Das OLG Köln gab dem Kläger bzw. dem Betroffenen Recht. Nicht nur nach außen erkennbare Daten (z.B. Name, Adresse, Geburtsdatum) sondern auch sachliche Informationen (hier die Telefonnotizen) zu den personenbezogenen Daten gehören.
Das Urteil zeigt, dass eine Konkretisierung des Begriffs „personenbezogene Daten“ statt findet.
Landgericht Frankfurt am Main
29.08.2019
Zeitliche Beschränkung der Einwilligung seitens der Eltern zur Bildveröffentlichung des KindesVon der Klägerin wurden im Jugendalter Fotos angefertigt und mit Einwilligung der Eltern veröffentlicht. 
19 Jahre nach der Aufnahme veröffentliche die Beklagte das Fotos nochmals. Die Klägerin verlangte Unterlassung. 
Das Gericht entschied zu Gunsten der Klägerin und gibt an, dass eine Einwilligung seitens der Eltern nach 19 Jahren nicht mehr gültig ist. 
Mit dem Urteil zeigt das Gericht, dass Einwilligungen nicht für immer gültig sind und bei Widerruf der Einwilligung Folge zu leisten ist.
Allgemein sollten Einwilligungen auf DSGVO-Konformität geprüft werden. 

Weiterhin ist es sinnvoll, die vorliegenden Einwilligungserklärungenzu sichten und ggf. eine erneute Einwilligung einzuholen, wenn diese älter sind bzw. nicht mehr DSGVO entsprechen. 
Amtsgericht München
04.09.2019
Anspruch auf Auskunft von personenbezogenen DatenRedaktioneller Leitsatz:“ Von der Auskunftsverpflichtung erfasst sind daher alle Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die eine Identifizierbarkeit eine Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw., nicht jedoch interne Vorgänge wie etwa Vermerke, sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, rechtliche Bewertungen oder Analysen. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“Das bedeutet, dass nicht alle Daten der betroffenen Person herauszugeben sind. Durch die Auskunftsanfrage sollten betriebsinterne Geschäftsgeheimnisse nicht gefährdet werden. Auch den Datenschutz für die Mitarbeiter ist bei einer Auskunft ebenfalls zu wahren.

Update April 2020: Das Landgericht München I hat entgegen diesem Urteil die Kopie von Aktenvermerkten und Notizen zugesagt. Das Urteil selbst ist chronologisch in der Auflistung eingebunden.
Verwaltungsgericht Koblenz
06.09.2019
Veröffentlichung von Lehrerbild im SchuljahrbuchFraglich bei dem Sachverhalt ist, ob eine Einwilligung seitens der Lehrer zur Veröffentlichung der Bilder im Schuljahrbuch nötig ist.

Nach Ansicht des Gerichts ist keine Einwilligung seitens des Lehrers einzuholen mit folgender Begründung:
– Der Lehrer konnte aus seinem Wissen davon ausgehen, dass bei einem Fototermin mit einem externen Fotografen die Bilder schulintern veröffentlicht werden
– Die Bilder sind im dienstlichen Sinne angefertigt worden und verletzt somit nicht seine Intims- und Privatsphäre
– Er gab seine Einwilligung „konkludent“, d.h. handelnd ab, als er sich zu der Schülergruppe dazu stellte, um abgelichtet zu werden
– Des Weiteren wurde das Jahrbuch nur einen begrenzten Personenkreis (Schüler) zugänglich gemacht
Es sollte dennoch der Einzelfall geprüft werden, ob eine Einwilligung benötigt wird. Des Weiteren sind die Lehrkräfte (aber auch Schüler) mittels der Informationspflicht nach Art. 13 ff. DSGVO darüber aufzuklären, wie ihre Daten und Bildern verarbeitet werden.
Europäischer Gerichtshof
24.09.2019
Löschung durch SuchmaschinenStellt eine Person Antrag auf Löschung der Suchergebnisse bei einer Suchmaschine zu seiner eigenen Person, hat diese dem nachzukommen. 
Allerdings müssen die Suchmaschinen die Löschungen nicht in allen Versionen in der Suchmaschine, also weltweit, vornehmen. 
Grund dafür ist, dass die DSGVO nur für europäische Länder gilt und nicht für die Welt. 
Das Recht auf Löschung und Vergessenwerden wird somit nicht weltweit erfolgen bzw. wird auch nicht seitens des EuGH verlangt.
Amtsgericht Wertheim
12.12.2019
Bußgeld wegen nicht ausreichender Auskunft nach Art. 15 DSGVODer Betroffene (Kläger) verlangte von einem Unternehmen Auskunft nach Art. 15 DSGVO.

Das Unternehmen kam jedoch der Auskunftserteilung nicht nach bzw. nur geringfügig. Vor allem die Herkunft der Daten wurden verschwiegen.

Das Amtsgericht sieht einen Verstoß gegen Art. 15 DSGVO begründet und verhängt ein Zwangsgeld von 15.000 €.
Die Prozesse rund um die Betroffenenrechte sollten klar definiert und kommuniziert werden.
Landgericht Köln
23.12.2019
Schmerzensgeld bei Namensnennung des LottogewinnersEin Lotterieveranstalter veröffentlichte den Vor- und Nachnamen des Lottogewinners. Da der Name des Gewinners besonders war, wussten bereits nach kurzer Zeit viele Leute in seinem Umfeld über den Gewinn Bescheid.

Daraufhin forderte der Gewinner die Unterlassung der Veröffentlichung und forderte zugleich Schmerzensgeld.

Das LG Köln gab dem Kläger recht, da dieser erhebliche Nachteile aus der Veröffentlichung seines Namens hatte.
In diesem Falle wäre eine Einwilligung für die Namensveröffentlichung sinnvoll gewesen.
Verwaltungsgericht Berlin
28.02.2020
Schüler kann nicht die „Bereinigung“ seiner Schülerakte bei Schulwechsel verlangenEin 13-jähriger Schüler verlangte die Bereinigung seiner Schulakte, um den Wechsel auf eine Privatschule nicht zu gefährden. In der Schulakte waren diverser Vermerke eingetragen, unter anderem, dass es nach einem gewalttätigen Zwischenfall der Schule verwiesen wurde.

Der Schüler wollte mit seiner Klage vermeiden, dass die staatliche Schulakte an die Privatschule übermittelt wird.

Das Gericht entschied jedoch, dass die Bereinigung nicht zulässig ist und die Schule für die Wahrung der Aufgaben die Schulakte übermitteln darf.
Amtsgericht Hannover
03.02.2020
Veröffentlichung von Fotos des Kindes ohne Zustimmung des Sorgeberechtigten nicht zulässigEin Vater stellte ohne die Zustimmung der sorgeberechtigten Großmutter Bilder seiner Tochter in Facebook online.

Die Erlaubnis der Großmutter ging nur dahingehend, dass Fotos von ihm und seiner Tochter zwar angefertigt werden dürfen, von der Veröffentlichung jedoch abzusehen ist.
Landgericht Heidelberg
21.02.2020
Keine Datenkopie aus Back-Ups bei AuskunftsgesuchDas Recht auf Datenkopie bei einem Auskunftsgesuch kann bei Back-Ups dahingehend verwehrt werden, wenn ein unverhältnismäßiger Aufwand entsteht.
Bundesverfassungsgericht
19.03.2020
Zentrale Speicherung von Patientendaten in anonymisierter Form zulässigDer Kläger, welcher an einer seltene Erbkrankheit leidet, erhob Klage, um gegen die Datenspeicherung für Forschungszwecke vorzugehen. Der Kläger befürchtet, dass seine Daten unsicher verarbeitet werden und er nicht mehr anonym bleibt.

Das Digitale-Versorgung-Gesetz erlaubt die Datenweitergabe in anonymisierter und pseudonymisierter Form durch die Krankenkasse an den Spitzenverband der Krankenkassen. Die Daten sollen vor allem für Forschungszwecke und insbesondere als Grundlage für politische Entscheidungen und zur Überprüfung der Gesundheitsversorgung dienen.

Das BVerfG lehnte den Antrag des Klägers ab. Das Gesetz sieht zwingend die sichere Datenverarbeitung und überwiegt die Interessen der Betroffenen.
Landgericht München 1
06.04.2020
Anspruch auf Kopien personenbezogener DatenIm Beratungsgespräch über Investments zwischen der Klägerin und Beklagten wurden Gesprächsnotizen seitens der Beklagten angefertigt.

Nachdem das Investment fehlschlug, verlangte die Klägerin Auskunft und Herausgabe ihrer Daten. Die Beklagte übermittelte Kopien der Stammdaten, jedoch nicht über die Notizen. Daraufhin wurde Klage erhoben.

Das LG München I bestätigte den Herausgabeanspruch der Klägerin. Die Beklagte habe neben den Daten, die zur Identifikation beitragen, auch die Daten herauszugeben, die Informationen über die Klägerin beinhalten, sprich die Telefon- und Aktennotizen.
Entgegen dem Urteil des AG München (September 2019) sieht das LG München I den Anspruch auf Kopien von sämtlichen Unterlagen (Vermerken, Notizen etc.) vor.

Ob ein immerwährender Anspruch auf Kopien besteht, wird sich ggf. noch durch andere Urteile zeigen.

Dennoch sind die Prozesse intern rund um die Betroffenenrechte klar zu definieren.

Auch sind die Mitarbeiter selbst dahingehend zu schulen, wie mit einer Auskunftsanfrage von intern oder extern umgegangen wird.
Landgericht Dresden
29.05.2020
Auskunftsanspruch von PatientenEine ehemalige Patienten verlangte Auskunftsanspruch nach Art. 15 DSGVO mit Kopien gegenüber einer Klinik.

Die Klinik verlangte die Kostenerstattung der Kopien. Die Patienten war der Auffassung, dass die Kopien kostenfrei zur Verfügung zu stehen sind.

Das Landgericht urteilte, dass die „Erstauskunft“ kostenlos zu erteilen ist. Erst bei wiederholten und weiteren Auskünften können die Kosten in Rechnung gestellt werden.
Bundesverfassungsgericht
23.06.2020
Kein Verpixeln von Fotos notwendigEin Fotograf sandte ein Bild eines vermutlich Ebola-Erkrankten an eine Zeitung.
Der Fotografierte verklagte daraufhin die Zeitung.

Das BVerfG entschied, dass das Foto ohne Unkenntlichmachung bzw. Verpixeln veröffentlicht werden durfte.

Vorhergehende Instanzen haben den Fotograf zu einer Geldstrafe, da dieser das KunstUrhG nicht beachtet habe. Des Weiteren habe der Fotograf die Persönlichkeitsrechte zu wahren, so die Vorinstanz.

Das BVerfG sieht dies anders. Die Zeitungsredaktion ist verantwortlich für die Wahrung der Persönlichkeitsrechte und nicht des Fotografen.
Bitte beachten Sie, dass es sich bei diesem Fall um eine journalistische Angelegenheit handelt.

Grundsätzlich ist die Einwilligung eines Betroffenen für die Fotoveröffentlichung einzuholen (Mitarbeiter, Teilnehmer etc.).

Eine Ausnahme besteht bei öffentlichen Veranstaltungen. Hier sind die Besucher über die Fotoanfertigung auf dem Gelände mittels der Informationspflicht zu informieren.
Oberverwaltungsgericht Lüneburg
22.07.2020
Übermittlung sensibler personenbezogener Daten per TelefaxSofern die Möglichkeit eines alternativen sicheren Übermittlungsweg zur Verfügung stehen, darf eine Behörde keine Bescheid per Fax mit sensiblen personenbezogene Daten übermitteln.

Das Gericht bestätigte, dass die Übermittlung per Fax kein angemessenes Schutzniveau für sensible personenbezogene Daten enthält. Des Weiteren besteht die Möglichkeit eines Eingabefehlers. Die Behörde hätte den Bescheid z.B. per Post übermitteln können.
Bundesgerichtshof
27.07.2020
Das Recht auf Löschung ist im Einzelfall zu prüfenDer Kläger verlangte von Google die Löschung von negativen Artikeln über seine geschäftlichen Tätigkeiten und seine Persönlichkeit.

Im vorliegenden Fall urteilte der BGH, dass das Recht auf Löschung im Einzelfall zu prüfen ist. Nach Ansicht des BGH ist abzuwägen, ob das persönliche Schutzinteresse gegenüber dem öffentlichen Interesse überwiegt. „Die Privatsphäre geht nicht immer vor“ heißt es im Urteil.

Die Entscheidung richtet sich zwar noch nach dem alten Datenschutz-Recht, ist jedoch auch auf neue Rechtslage anzuwenden.
Auch heutzutage ist das Fax noch ein beliebtes Übermittlungsinstrument.

Das Urteil kann auch für weitere Bereiche Auswirkungen haben z.B. für Ärzte, Anwälte, Steuerberater etc.

Im Einzelfall ist zu prüfen, ob die Übermittlung per Fax zulässig ist oder eine anderweitige sichere Kommunikation genutzt wird.
Amtsgericht Bonn
30.07.2020
Auskunftsanspruch nach Art. 15 – gehören auch Kontoauszüge und Bewegungen dazu?Der Kläger forderte von seiner ehemaligen Bank (Beklagte) seine Auskunft über seine Daten. Die Bank kam dem Auskunftsgesuch, verwehrte aber den Abzug seiner Kontoauszüge mit der Begründung, der Kläger führte zum damaligen Zeitpunkt ein Onlinekonto. Die Kontoauszüge konnte er über dieses abrufen und zusätzlich wurden die Auszüge nochmals per Post zugesandt.

Das Gericht entschied zu Gunsten des Klägers. Die Beklagte hat dem Kläger auch die Kontobewegungen zur Verfügung zu stellen, da das Auskunftsrecht als „allumfassend“.
Die Auslegung des Art. 15 DSGVO ist von Gericht von Gericht unterschiedlich (siehe bereits vorhergehende Urteile).

Somit ist immer im Einzelfall zu prüfen, inwieweit Kopien und Abzüge dem Betroffenen zur Verfügung zu stellen sind.

Im Zweifel ist die zuständige Aufsichtsbehörde zur Unterstützung und Einschätzung des Sachverhalts zu kontaktieren.
Bundesverwaltungsgericht
16.09.2020
Auskunftspflicht der FinanzbehördeEin Insolvenzverwalter beantragte den Auszug und damit die Auskunft über das Steuerkonto über den Schuldner.

Das Gericht verweigert zwar dem Insolvenzverwalter die Auskunft, da dieser als Dritter den Anspruch geltend machte.

Das Gericht betont jedoch, dass der Betroffene selbst seinen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der Finanzbehörde geltend machen kann.
In der Vergangenheit haben sich viele Finanzbehörden geweigert, Auskunft gegenüber dem Betroffenen zu erteilen.
Landgericht Lüneburg
05.01.2021
Schmerzensgeld wegen 20,00 € KontoüberziehungDer Kläger erhielt durch seine Bank einen Dispositionskredit, welcher seitens der Bank aus wichtigem Grund gekündigt wurde. Der Kredit wurde durch den Kläger beglichen, lediglich 20,00 € waren noch ausstehend.

Der Kläger zahlte jedoch den fälligen Betrag noch vor Ablauf der Frist.

Allerdings übermittelte die Bank bereits bei Kündigung die Negativ-Meldung an die Schufa.

Das Gericht sah die Mitteilung an die Schufa für rechtswidrig und sprach dem Kläger ein Schmerzensgeld in Höhe von 1.000,00 € zu.
Landgericht Essen
19.01.2021
Klarnamen in Bewertungsportalen zulässigEine Kundin einer Bäckerei hinterließ bei einem großen Suchmaschinendienst eine Bewertung für die Filiale und nannte auch den Namen einer Mitarbeiterin, mit welche sie nicht zufrieden war.

Die Mitarbeiterin verlangte daraufhin die Löschung der Bewertung aus der Suchmaschine. und erhob Klage.

Das LG Essen gab der Klägerin nicht recht. Das Gericht prüfte den Einzelfall und wägte zwischen der Meinungsfreiheit und Betroffenenrechten ab. In diesem Fall ist die Rezension nicht zu löschen, da die Verarbeitung rechtmäßig im Sinne der Ausübung der Meinungsfreiheit erfolgte.
„Ferner besteht auch ein schützenswertes Informationsrecht der Allgemeinheit durch potentielle weiterer Kunden des Cafés sowie ein Informationsrecht des Arbeitsgebers darüber zu erfahren, welcher seiner Mitarbeiter von den Kunden als freundlich oder unfreundlich empfunden werden.“, heißt es noch im Urteil.
Oberverwaltungsgericht Lüneburg
19.01.2021
Veröffentlichung von Gruppenfotos auf Facebook ohne Einwilligung nicht zulässigAuf einer öffentlichen Veranstaltung für den Bau einer neuen Ampelanlage im Jahr 2014 fanden sich unter anderem Anwohner, Mitarbeiter der Kommune und politische Vertreter teil.

Einer der Veranstaltungsteilnehmer nahm dabei ein Foto auf, auf welchem 30 – 40 Personen eindeutig erkennbar sind. Erst im Jahr 2018 wurde das Bild durch die Partei auf Facebook veröffentlicht. Ein Betroffener forderte die Partei dazu auf, das Bild zu löschen, da keine Einwilligung vorliegt. Weiterhin wurde Beschwerde bei der Aufsichtsbehörde eingereicht. Letztendlich wurde Klage beim zuständigen Gericht erhoben.

Mit Beschluss des OVG wurde erstmals seit Inkrafttreten der DSGVO eine klare Entscheidung bezüglich der Veröffentlichung von Fotos definiert. Das Gericht entschied, dass eine Einwilligung vorzuliegen hat.

Ein spannender und interessanter Fall, da die Aufnahme des Bildes und die Veröffentlichung zeitlich auseinanderliegen.

Mit diesem Beschluss wird nochmals eindeutig hervorgehoben, dass auch bei Gruppenbildern eine Einwilligung vorzuliegen hat.
Bundesozialgericht
20.01.2021
Elektronische Gesundheitskarte steht im Einklang mit der DSGVOZwei Kläger hatten die Befürchtung, dass die elektronische Gesundheitskarte und die damit verbundene Telematikinfrastruktur nicht datenschutzkonform sei und verlangten einen Nachweis auf Papier über die Leistungen.

Das Bundesozialgericht ist der Auffassung nicht gefolgt. Die Leistungsnachweise sind mit der elektronischen Gesundheitskarte nachzuweisen. Die Gesetze um die elektronische Gesundheitskarte und die Telematikinfrastruktur stehen im Einklang mit der DSGVO.
Amtsgericht Lehrte
03.02.2021
Anspruch auf Negativauskunft bei Auskunftsanfragen nach Art. 15 DSGVOMit Entscheidung des AG Lehrte erhalten die Betroffenen auch das Recht auf Negativauskunft über seine Daten.

Negativauskunft bedeutet, dass das Unternehmen nur die Daten der Anfrage selbst hat und sonst keine.
In der Praxis kommt es immer wieder vor, dass Betroffene nach ihren Daten anfragen, obwohl keine Daten bei der Institution gespeichert sind.

Das der Betroffene dennoch Anspruch auf eine Negativauskunft haben, wurde jetzt mittels Urteil gestärkt.
Bundesarbeitsgericht
27.04.2021
Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVODer Kläger war bei der Beklagten vom 1. bis 31. Januar 2019 als Wirtschaftsjurist beschäftigt. Mit seiner Klage hat er ua. Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten sowie die Überlassung einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO verlangt.

Die Klage auf Erteilung einer Kopie der personenbezogenen Daten des Klägers hat das
Arbeitsgericht abgewiesen. Das Landesarbeitsgericht hat ihr teilweise entsprochen und sie im Übrigen abgewiesen. Es hat angenommen, der Kläger habe zwar einen Anspruch auf Erteilung einer Kopie seiner personenbezogenen Daten, die Gegenstand der von der Beklagten Auskunft waren, nicht aber auf die darüber hinaus verlangten Kopien seines E-Mail-Verkehrs sowie der E-Mails, die ihn namentlich erwähnen. Die gegen die teilweise Abweisung seiner Klage gerichtete Revision des Klägers hatte vor dem Bundesarbeitsgericht keinen Erfolg.
Mit diesem Urteil wurde erstmals eine konkrete Grenze für den Umfang des Auskunftsrechts definiert.
Verwaltungsgericht Schwerin
29.04.2021
Beweissicherungsgutachten ist personenbezogenes DatumDer Kläger beauftragte einen Gutachter für die Erstellung eines Beweissicherungsgutachtens über den Gebäudezustand. Bei der Begehung des Objekts war auch der Eigentümer des Gebäudes anwesend. Im Anschluss wurde das Gutachten erstellt. Der Eigentümer verlangte anschließend das Gutachten vom Kläger, wie zwischen dem Eigentümer und dem Kläger vereinbart.

Der Kläger kam dieser Aufforderung nicht nach. Der Eigentümer wandte sich an die zuständige Aufsichtsbehörde. Diese erließ einen Bescheid mit der Aufforderung zur Übermittlung des Gutachtens an den Eigentümer. Im Bescheid wird unter anderem argumentiert, dass hier personenbezogene Daten verarbeitet werden und somit die Aufsichtsbehörde auch Befugnis zur Erteilung des Bescheids ist.

Der Kläger reichte anschließend Klage an, da er nicht der Auffassung ist, dass es sich bei einem Gutachten um ein personenbezogenes Datum handelt.

Das Verwaltungsgericht lehnt die Klage ab und sieht bei dem Gutachten sehr wohl einen Personenbezug. Insbesondere die aufgenommen Fotos lassen einen Einblick in die Privatsphäre der Person gewähren.
Weiterhin nimmt das Gericht die Abgrenzung zwischen Personen- und Sachdaten vor.

Sachdaten beziehen sich selbst nur auf eine Sache und stehen in keinem Zusammenhang mit einer Person.

Das Gericht entschied, dass die Aufsichtsbehörden Bescheid zur Übermittlung des Gutachtens an den Eigentümer rechtmäßig erlassen hat.
An dem Urteil ist insbesondere die Unterscheidung zwischen Personen- und Sachdaten sehr interessant. Durch das Urteil wird klar, dass ein Rückschluss auf die Person ausreichend ist, um einen Personenbezug herzustellen.
Oberverwaltungsgericht Nordrhein-Westfalen
08.06.2021
Anspruch auf Prüfungskopie Ein Absolvent begehrte die Kopie seiner Examensklausur mit dem Prüfungsgutachten. Das Prüfungsamt wollte die Kopie nur gegen Bezahlung zur Verfügung stellen. Der Kläger verwehrte dies und berief sich auf sein Auskunftsrecht und reichte Klage ein.

Die Vorinstanzen stimmten dem Kläger zu und forderten die Beklagte dazu auf, die Kopie zur Verfügung zu stellen. Auch das OVG entschied zu Gunsten des Klägers. Das Gericht berief sich ebenfalls auf das EuGH-Urteil vom Dezember 2020 (siehe erster Eintrag).

Somit ist dem Kläger die kostenlose Kopie seines Examens zur Verfügung zu stellen.
Bundesgerichtshof
15.06.2021
Umfang des Auskunftsanspruchs insbesondere DatenkopienDer Kläger verlangte von seiner Versicherung regelmäßig Auskunft und Kopie seiner gespeicherten Daten. Dieser Anfrage kam die Versicherung stets nach, jedoch nicht ausreichend genug.

Der BGH stimmte dem Kläger zu, dass sogar die Korrespondenz zwischen Kläger und Beklagten Teil der Auskunft zu sein hat.
Mit dem Urteil stellt der BGH eindeutig fest, dass Datenverantwortliche umfangreich Auskunft über die gespeicherten Daten zu erteilen haben, sogar über interne Vermerke.
Oberlandesgericht Düsseldorf
20.07.2021
Einwilligungserklärung ist von beiden Sorgeberechtigten zu unterzeichnen Sofern Kinderfotos in sozialen Medien veröffentlicht werden, ist die Unterschrift beider Sorgeberechtigten notwendig.

Die neue Lebensgefährtin des Vaters veröffentlichte mit dessen Einverständnis Bilder der beiden Töchter beim Haareschneiden, um Werbung für ihren Salon zu schalten. Die Mutter erfuhr erst nach der Veröffentlichung davon und forderte die Lebensgefährtin zur Löschung der Daten auf. Diese kam der Forderung nicht nach und lud sogar noch weitere Fotos hoch.

Auch der Vater kam der Aufforderung nicht nach.

Die Mutter ging daher vor Gericht. In erster Instanz wurde zugunsten der Mutter entschieden und die Fotos wurden aus dem sozialen Netzwerk gelöscht.

Der Vater allerdings sah bei dem Vorgehen sein Recht auf rechtliches Gehör verletzt und legte Beschwerde ein. Seiner Argumentation zufolge zeigten die Fotos Alltagssituationen und verletzten somit nicht das Persönlichkeitsrecht der Töchter.

Das OLG Düsseldorf entschied letztendlich, dass es der Einwilligung beider Elternteile bedarf, wenn Fotos in sozialen Netzwerken veröffentlicht werden.
Bundesarbeitsgericht
26.08.2021
Verarbeitung sensibler Daten im Rahmen des Beschäftigungsverhältnisses Der Kläger war langjähriger Mitarbeiter einer Krankenversicherung; zuletzt als IT-Administrator tätig.

Zudem ist der Kläger schwerbehindert und seit Ende 2017 arbeitsunfähig erkrankt.

Daraufhin beauftragte die Krankenkasse des Klägers ein medizinisches Gutachten als medizinischer Dienst beim Arbeitgeber.

Für die Erstellung des Gutachtens erhielten die Mitarbeiter und Kollegen des Beklagten Einsicht in seine sensiblen Daten und wussten somit über seine Erkrankung Bescheid.

Das Bundesarbeitsgericht hat hierzu noch kein abschließendes Urteil gefällt, da Fragen für die Beurteilung eines Bußgeldes offen bleiben. Zentrale Frage ist vor allem auch, inwieweit sensible und ob überhaupt die sensiblen Daten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden dürfen.
Folgende Fragen wurden an EuGH zur Beantwortung vorgelegt:

1. Ist Art. 9 Abs. 2 Buchstabe h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Bei neuen Informationen zum Verfahren wird der Beitrag wieder aktualisiert.
Landgericht München I
02.09.2021
Datenbereitstellung nach Art. 15 DSGVO durch Link möglichDer Kläger legte ein Kundenkonto mit seiner geschäftlichen Mailadresse bei einem sozialen Netzwerk an.

Nach dem dem Kläger Auskunft über seine Daten verlangte, stellte das soziale Netzwerk die Daten mittels Link zur Verfügung.

Daraufhin forderte der Anwalt Schadenersatz bei der Beklagten, da der Link nicht funktionierte und das soziale Netzwerk Opfer eines Datenlecks war und dadurch die E-Mail-Adresse des Klägers gestohlen wurde.

Die Beklagte bestritt den Vorwurf des Datenlecks. Des Weiteren verwies die Beklagte auf die Praxis-Methodik zur Bereitstellung der Daten per Link.

Das LG München I urteilte zugunsten der Beklagten. Dem Kläger steht kein Anspruch auf Schadensersatz zu, da Bereitstellung der Daten per Link in Ordnung ist. Zudem hat die Beklagte noch Screenshots vorlegt, welche beweisen, dass der Link funktioniert.
Damit die Bereitstellung der Daten mittels Link zulässig ist, dass der betroffenen Person jederzeit die personenbezogenen Daten über den versandten Link zur Verfügung stehen.
Oberlandesgericht München
04.10.2021
Recht auf Datenkopien im Rahmen des Auskunftsgesuchs nach Art. 15 DSGVODie Klägerin verlangte Auskunft nach Art. 15 DSGVO über die bei dem Beklagten gespeicherten personenbezogenen Daten inkl. der Datenkopien. Hintergrund war die Prüfung der rechtmäßigen Verarbeitung der Daten durch den Beklagten.

Der Beklagte beantwortete das Auskunftsgesuch, jedoch ohne Kopien der Daten.

Das Landgericht verurteilte den Beklagten zur Herausgabe aller personenbezogener Daten – insbesondere Telefonnotizen, Aktenvermerke, Protokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanalgen.
Der Beklagte legte gegen das Urteil Berufung ein.

Das OLG München wies die Berufungsklage ab und stimmte mit dem Urteil der ersten Instanz zu.

Der Beklagte ist zur Herausgabe der Daten verpflichtet, damit die Klägerin sich über die Rechtmäßigkeit der Verarbeitung einen Überblick verschaffen kann.
Das Urteil des OLG München ist wegweisend im Bezug auf die Herausgabe der Datenkopien.

Im Urteil wird jedoch auch genannt, dass die Herausgabe von Kopien verneint werden kann, wenn es sich um Daten handelt, die Gegenstand der Verarbeitung sind.

Es ist daher immer im Einzelfall zu prüfen, ob und inwieweit die Daten herauszugeben sind. Intern sollte ein Prozess für Betroffenenanfragen integriert sein, so dass alle Mitarbeiter richtig handeln und die weiteren Schritte in die Wege leiten können (Meldung an Vorgesetzten, DSB etc.).

Haftung

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Bundesgerichtshof
26.07.2018
Haftung und Betrieb eines Gäste-WLANsFolgende Punkte sollten bei Betrieb eines Gäste-WLANs beachtet werden: 
– es wird nicht zwischen WLAN und Kabelangebot unterschieden
– technische Trennung des Gäste-WLANs vom Unternehmensnetzwerk
– starkes Zugangspasswort wählen (ca. 12 Zeichen) 

Bei Verstößen ist der WLAN-Betreiber dazu verpflichtet, dies mittels technischen Mitteln zukünftig unterbinden zu können
Wir empfehlen zusätzlich Nutzungsbedingungen für den Nutzer bereit zu stellen, die er, bevor er aktiv das WLAN nutzen kann, akzeptiert. Des Weiteren ist das Verfahren des Gäste-WLANs im Verfahrensverzeichnis zu dokumentieren und auch die Gäste auch mittels der Informationspflicht zu informieren.

Informationspflichten nach Art. 13 und Art. 14 DSGVO

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Kammergericht Berlin
27.12.2018
Veraltete Datenschutzklausen von AppleFall aus dem Jahr 2011: Datenschutzklauseln wurden dennoch anhand der DSGVO gemessen, obwohl diese noch nicht in Kraft getreten war. 
Möglich war dies durch eine Unterlassungsklage für die Zukunft, da davon ausgegangen werden konnte, dass Apple zukünftig auch nochmal gegen den Datenschutz verstoße. 
Apple verlor den Prozess 
Fazit: Alte Datenschutzklauseln müssen sich heute am Maßstab der DSGVO messen lassen, wenn die Gefahr besteht, dass Unternehmen diese nochmals verwenden und damit gegen die DSGVO verstoßen.
„Alte“ Datenschutzklauseln auf Aktualität und DSGVO-Konformität prüfen.
Kammergericht Berlin
21.03.2019
Datenschutzerklärung von Google verstieß gegen DSGVODie Datenschutzerklärung und Nutzungsbedingungen aus dem Jahr 2012 werden heute noch verwendet und diese sind nicht mit der DSGVO vereinbar. 13 Klauseln hielt das KG für unwirksam, u.a. wurde der Eindruck erweckt, dass die Datenverarbeitung ohne Zustimmung des Kunden erlaubt ist. Die DSE war auch teilweise intransparent geschrieben.Revision nicht zulässig; Google hat jedoch beim BGH Nichtzulassungsbeschwerde eingelegt. Verfahrensgang beim BGH verfolgen.

Schadenersatz nach Art. 82 DSGVO / Schmerzensgeld

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Amtsgericht Diez
07.11.2018
Kein Schadenersatz nach der DSGVO bei bloßen BagatellverstößenDer Kläger verlangte 500 € Schmerzensgeld, da er eine unaufgeforderte Mail erhalten hat. Das Gericht wies die Klage zurück, da es durch den Datenschutzverstoß zu keiner erheblichen Beeinträchtigung gekommen ist.
Amtsgericht Bochum
11.03.2019
Schadenersatz ist nicht gleich BußgeldEine Dame wurde durch eine Betreuerin unterstützt. Die Betroffene klagte, dass ihre Betreuerin Daten an den Vermieter weitergegeben hat und verlangte nach Art. 82 DSGVO Schadenersatz. 
Die Klägerin konnte jedoch nicht beweisen, dass ihr ein materieller oder immaterieller Schaden entstanden sei. Daher wies das Gericht den Schadenersatzanspruch zurück. 

Verlangt ein Kläger Schadenersatz, so hat dieser zu beweisen, dass ihm ein Schaden (materiell oder immateriell) entstanden ist. 
Die Aufsichtsbehörden können Bußgeldern verhängen, ohne das ein Schaden eingetreten ist.
Mit dem Urteil wird der Unterschied zwischen Bußgeld und Schadenersatz deutlich abgegrenzt.
Arbeitsgericht Düsseldorf
05.03.2020
Schadenersatz wegen verspäteter und unvollständiger AuskunftsbeantwortungEin Mitarbeiter stellte eine Auskunftsanfrage bei seinem Arbeitgeber.

Der Arbeitgeber erteilte die Auskunft zu spät und auch noch unvollständig. Daraufhin verklagte der Mitarbeiter seinen Arbeitgeber nach Art. 82 DSGVO.

Das Düsseldorfer Gericht stimmte der Klage des Mitarbeiters zu und sprach diesem 5.000 € Schmerzensgeld zu.
Die Prozesse rund um die Betroffenenrechte sollten klar definiert werden.

Auch sind die Mitarbeiter selbst dahingehend zu schulen, wie mit einer Auskunftsanfrage von intern oder extern umgegangen wird.
Amtsgericht Pforzheim
25.03.2020
Schadensersatz wegen unerlaubter Datenweitergabe durch PsychotherapeutenDer Kläger begehrte Schadensersatz seitens des Psychotherapeuten wegen folgendem Sachverhalt. Die damalige Ehefrau des Klägers befand sich in Behandlung beim Beklagten. In den Gesprächen wurden auch die Eheprobleme aufgenommen und dokumentiert. Der Kläger stellte sich auch auf Bitten des Beklagten in der Praxis für ein Gespräch vor. Während des Gesprächs verfasste der Beklagte eine umfangreiche Dokumentation.

Es kam anschließend zur Trennung zwischen dem Kläger und seiner Frau. Bezüglich des Umgangsverfahrens übermittelte der Beklagte dem Rechtsanwalt der Ehefrau eine ausführliche Stellungnahme über den Ehemann (Kläger). Somit erhielten sämtliche Prozessbeteiligte die Informationen.

Daraufhin erhob der Kläger Klage und erhielt Zuspruch. Der beklagte Psychotherapeut übermittelte unzulässigerweise sensible Daten an einen unberechtigten Dritten.
Der Kläger erhielt 4.000 € als Schadenersatz.
Dieses Urteil zeigt deutlich, dass ernste Konsequenzen bei der unberechtigten Übermittlung an Dritte zur Folge hat.

Es ist daher immens wichtig, zuvor zu prüfen, ob die Daten weiter übermittelt werden dürfen oder nicht.
Amtsgericht Frankfurt
10.07.2020
Schadensersatzanspruch nur bei ernsthaften BeeinträchtigungenBei der Speicherung der Buchungsdaten im Registrierungssystem einer Hotelkette kam es zu einer Datenpanne. Dabei waren die Daten der Gäste im Internet frei einsehbar. Ein Gast stellte daraufhin ein Auskunftsgesuch beim Hotel und verlangte auch Information darüber, welche Daten durch Dritte eingesehen werden konnten.

Die Auskunftsanfrage wurde seitens des Hotels verspätet und unvollständig laut dem Kläger übermittelt.

Mit dieser Auffassung wandet sich der Kläger an das Gericht und verlangt Schadensersatz, da er ein Unbehagen habe.

Das Gericht bestätigt den Datenschutzvorfall an sich. Die Daten waren nicht ausreichend geschützt. Den Schadenersatzanspruch wies das Gericht jedoch ab. Die Begründung für den Anspruch reicht nicht aus, da keine konkrete Beeinträchtigungen vorliegen.
Amtsgericht Hildesheim
05.10.2020
Schadensersatz wegen nicht gelöschter Daten auf AltgerätenDer Kläger erwarb einen PC bei der Beklagten und speicherte dort seine privaten Daten ab. Nach einiger Zeit entstanden technische Probleme und der PC wurde zur Reparatur an die Beklagte übergeben. Dem Kunden wurde ein gleichwertiges Produkt übermittelt.

Nach der Reparatur des PCs führte die Beklagte den internen Wiederaufbereitungsvorgang durch. Es wurde dabei übersehen, dass die Daten des Klägers noch auf der Festplatte hinterlegt waren. Der PC wurde dann an einen Dritten veräußert. Dieser konnte dann u.a. die Steuererklärung des Klägers einsehen.

Das AG verurteilte das Unternehmen zur Zahlung von 800,00 € Schmerzensgeld, da die Daten ohne Einwilligung des Klägers an einen Dritten übermittelt wurden.

Die Beklagte hätte die Festplatte vor der Veräußerung prüfen und die darauf befindlichen Daten datenschutzkonform löschen oder überschreiben müssen.
Landgericht Köln
07.10.2020
Kein Schadenersatz bei BagatellverstößenEine Mutter hatte ein Bankkonto bei einer Bank, welches durch einen Rechtsanwalt als bestellter Betreuer verwaltet wurde. Die Kontoauszüge wurden bis zum Tod der Mutter im Jahr 2015 an den Anwalt übermittelt.

Nach dem Tod der Mutter wurde das Konto auf die Tochter umgeschrieben, jedoch die Versandadresse für die Kontoauszüge nicht. Somit erhielt der Anwalt die Kontoauszüge weiterhin. Als er dies bemerkte, sandte er diese an die Tochter weiter.

Aufgrund des Fehlversands erhob die Frau Klage und forderte Schmerzensgeld in Höhe von 25.000,00 € ein, da ihr „schlimme“ Folgen daraus entstanden sind.

Das LG sieht hier keinen schwerwiegenden Datenschutzverstoß, da keine konkreten Nachweise für einen immateriellen Schaden vorliegen und der Fehlversand als Bagatelle anzusehen ist.
Auch das Amtsgericht Diez entschied bereits im Jahr 2018 ebenfalls über einen Bagatellfall.

Ein Bußgeld kann gegen die Bank durch die Aufsichtsbehörde dennoch erlassen werden.

Dieser Fall zeigt, dass nicht jeder Datenschutzverstoß automatisch zu Schadenersatzansprüchen führt, sondern der Einzelfall immer zu betrachten ist.
Arbeitsgericht Dresden
11.2020
Schadenersatz wegen Weitergabe von GesundheitsdatenDie Prokuristin eines Unternehmens hat per E-Mail an die Ausländerbehörde und die Arbeitsagentur mitgeteilt, dass der Arbeitnehmer erkrankt sei und seiner Meldepflicht nicht nachkam.

Seitens der Ausländerbehörde wurde die Wohnanschrift des Beschäftigten erfragt.

Das Gericht sieht darin eine Verletzung der Persönlichkeitsrechte des Arbeitnehmers und sprach diesem Schadenersatz in Höhe von 1.500,00 € zu.

Der Begriff „krank“ ist somit als Gesundheitsdatum einzuordnen.

Das Gericht ist der Ansicht, dass die Adresse ganz einfach bei der Meldehörde erfragt werden hätte können. Des Weiteren wurde wohl ggf. der Eindruck gegenüber der Arbeitsagentur erweckt, der Arbeitnehmer habe Verstöße gegen seine Meldepflicht begangen.

Letztendlich sollte der Arbeitnehmer die Kontrolle über die Datenweitergabe besitzen.
Landgericht Landshut
06.11.2020
Schadenersatz gegenüber externen DatenschutzbeauftragtenDer Kläger ist Eigentümer einer Wohnung und machte einen Schadenersatzanspruch gegen die Hausverwaltung geltend. Er war der Auffassung, dass sein Name in dem Rundschreiben an übrigen Eigentümer bezüglich des Befalls nicht veröffentlicht werden hätte dürfen und forderte Schadenersatz seitens der Hausverwaltung und deren Datenschutzbeauftragten.

Dem Kläger sei dadurch ein immaterieller und materieller Schaden entstanden, welchen er jedoch nicht belegen konnte.

Die Schadenersatzforderung gegen den Datenschutzbeauftragten wurde abgelehnt, da dieser nicht als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO haftet und in Betracht kommt.
Dieses Urteil zeigt klar auf, dass der Verantwortliche stets für Datenschutzvorfälle haftet und nicht der DSB selbst.

Dennoch sollte der DSB eine Vermögensausfallsversicherung oder Berufshaftpflicht besitzen.
Landesarbeitsgericht Baden-Württemberg
25.02.2021
Schadensersatz bei Datenübermittlung in DrittlandDie Klägerin ist Mitarbeiterin einer Zahmedizintechnik-Firma mit Sitz in Deutschland. Der Mutterkonzern hat seinen Sitz in den USA.

Testweise wurden die Personalsoftware „Workday“ eingesetzt. Zuvor wurde mittles Duldungsvereinbarung mit dem Betriebsrat festgelegt, welche Daten übermittelt werden dürfen. In der Testphase wurden jedoch mehr Daten als in der Duldungsvereinbarung festgehalten, unberechtigterweise übermittelt.

Die Klägerin verlangte daraufhin Schmerzensgeld.

Das LAG lehnte jedoch die Klage als unbegründet ab. Die Datenübermittlung an sich war zwar unrechtmäßig, wird sich jedoch nicht auf die rechtmäßige Verarbeitung an sich selbst auswirken.
Zudem gibt es derzeit keinen Anlass, dass der Klägerin ein tatsächlicher Schaden entstanden ist.
In dem Urteil stellt das Gericht klar, wann Schadenersatz verlangt werden kann. Im vorliegenden Fall begründet der Verstoß mit der Duldungsvereinbarung noch keinen Schadenersatzanspruch.
Oberlandesgericht Stuttgart
31.03.2021
Schadenersatz nur bei nachweislich erlittenen Schaden Ein Kunde verklagte die Tochtergesellschaft eines Kartenzahlungsanbieters. Durch einen Hackerangriff Mitte Mai 2019 wurden personenbezogene Daten des Kunden abgegriffen und veröffentlicht.

Daraufhin verlangte der Kläger Schmerzensgeld, weil die Beklagte sein Auskunftsgesuch zu spät beantwortete und die TOMs nicht dem aktuellen Stand der Technik entsprachen.

Das OLG wies die Klage als unbegründet ab. Der Kläger konnte seinen erlittenen Schaden bzw. die daraus entstandenen Nachteile nicht darlegen und nachweisen.
Mit diesem Urteil wurde klargestellt, welche Grundsätze zur Darlegungs- und Beweispflicht zu erbringen sind.
Landesarbeitsgericht Hamm
11.05.2021
Schmerzensgeld für verspätete und unvollständige Auskunft nach Art. 15 DSGVO Die Mitarbeiterin wurde gekündigt und reichte daher Kündigungsschutzklage ein. Zusätzlich reichte sie Klage auf Schmerzensgeld wegen einer verspäteten und unvollständig beantworteten Auskunftsanfrage ihres Arbeitgebers ein.

Der Arbeitgeber beantwortete die Anfrage erst nach 7 Monaten.

Das AG Herne sah die Klage als unbegründet an. Die Klägerin reichte Berufung beim LAG ein und bekam Recht. Das Gericht begründete den Anspruch damit, dass die Beklagte die Pflichten gem. Art. 12 und Art. 15 DSGVO verstoßen hat und somit ein Schmerzensgeld von 1.000,00 € zu zahlen ist.
Landgericht Bonn
01.07.2021
Kein Schadenersatz bei verspäteter AuskunftDie Klägerin verlangte Auskunft gegenüber ihrem ehemaligen Anwalt. Erst nach 8 Monaten übergab der Anwalt die Informationen an die Klägerin.

Das LG Bonn urteilte, dass nicht automatisch ein Schadenersatzanspruch bei einer verspäteten oder unvollständigen Auskunftserteilung entsteht.
Oberlandesgericht Brandenburg
11.08.2021
Schadensersatzanspruch muss schlüssig dargelegt werdenIm Rahmen eines Gerichtsverfahrens reichte der Beklagte einen Entschädigungsanspruch nach Art. 82 DSGVO vor dem Landgericht Potsdam ein. Das Gericht wies den Antrag ab, da der Beklagte den Schaden nicht schlüssig darlegen konnte.

Daraufhin reichte dieser Berufung beim OLG Brandenburg ein. Auch dieses wies die Klage mit derselben Begründung wie die Vorinstanz ab.
Oberlandesgericht Dresden
31.08.2021
Negativauskunft ausreichend Ein Betroffener wollte Auskunft über seine gespeicherten Daten nach Art. 15 DSGVO.

Der Kläger erwarb im Jahr 2018 einen Laptop von der Beklagten. Innerhalb der Garantiezeit wurde die Festplatte des Laptops zur Reparatur an die Beklagte übermittelt.

Der Beklagte wies daraufhin, dass er keine Datensicherung vornehmen kann und der Kläger für die Datensicherung verantwortlich ist.

Zu einem späteren Zeitpunkt verlangte der Kläger Auskunft über seine gespeicherten Daten auf der übermittelten Festplatte und an wen diese ggf. weitergegeben wurden.

Der Beklagte meldete zurück, dass die Festplatte selbst vernichtet wurde und an den Hersteller zurückgesandt wurde und der Beklagte somit auch keine Daten des Klägers gespeichert hat.

Das reichte dem Kläger nicht aus und er reichte Klage ein und verlangte Schadenersatz in Höhe von 10.000,00 € wegen der Datenlöschung.

Das OLG Dresden sieht keine Verletzung in der Erteilung der Negativauskunft und wies die Klage und auch die Schadenersatzforderung ab.
Amtsgericht Pfaffenhofen a.d.Inn
09.09.2021
Schmerzensgeld wegen Zusendung unerlaubter WerbungDer Kläger erhielt Werbemails an sein nicht allgemein zugängliches Anwalts-Postfach. Inhalt dieser Mails waren Sonderangebote für Kinder FFP-2-Masken.

Daraufhin verlangte der Kläger Auskunft, wann seine Mail-Adresse beim Beklagten gespeichert wurden und aus welcher Quelle seine E-Mail-Adresse entstammt. Des Weiteren bat er um eine Unterlassungserklärung, damit sein Postfach nicht mit Werbung überflutet wird.

Die Beklagte hatte seine Mail-Adresse bei der Suche nach einer örtlichen Rechtsberatung entdeckt. Die Unterlassungserklärung wurde unterzeichnet.

Dennoch erhielt der Kläger weiterhin Mails und zweifelte an der Auskunft über die Datenherkunft, da er sich an keinen Anruf oder E-Mail-Verkehr mit der Beklagten erinnern konnte. Er erhob daraufhin Klage und bekam ein Schmerzensgeld in Höhe von 300,00 € zugesprochen.
Die Zusendung von Werbemailst ist aufgrund einer Einwilligung oder im Rahmen des § 7 Abs. 3 UWG zulässig.

Weitere Informationen finden Sie im Blogartikel zum Thema Werbung.
Landgericht Essen
23.09.2021
Schadenersatz wegen unverschlüsselten USB-StickEine Ehepaar fragte wegen einer Immobilienfinanzierung bei der Beklagten an. Für die Durchführung und Berechnung der Finanzierung ist es erforderlich die Identität festzustellen.

Der Kläger warf daraufhin einen unverschlüsselten USB-Stick mit den erforderlichen Unterlagen und Ausweiskopien in den Briefkasten der Beklagten. Es kam allerdings kein Finanzierungsvertrag zustande.

Die Beklagte schickte daraufhin des USB-Stick mit der Post an das Ehepaar zurück, welcher allerdings dort nie ankam.

Im Zuge dessen reichte der Kläger Klage ein und verlangte Schadenersatz in Höhe von 30.000,00 € wegen dem Verlust seiner personenbezogener Daten ein. Er behauptete auch, dass die Beklagte gegen die Verpflichtung nach Art. 24, Art. 25 und Art. 32 DSGVO verstoßen hat.

Das Landgericht sieht keinen Verstoß gegen die oben genannten Artikel. Laut dem Gericht gibt es keinen Grund den USB-Stick nicht per Postweg dem Kläger zukommen zu lassen, zumal auch heutzutage noch wichtige Unterlagen per Post versendet werden. Das Gericht sieht keinen Unterschied zwischen einem unverschlüsselten USB-Stick und wichtigen Papierdokumenten, die ja auch unverschlüsselt sind.

Die Forderung nach dem Schadenersatz wies das Gericht ab, da der Kläger nicht hinreichend seinen Schaden und die Folgen darlegen konnte.

Social-Media

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Europäischer Gerichtshof
05.06.2018
Facebook Unternehmensseiten /Fanpages – wer ist verantwortlich?Der EuGH urteilte, dass der Facebook-Seitenbetreiber und Facebook selbst gemeinsame Verantwortliche in Bezug auf die Insight-Daten sind. Facebook hat eine Vereinbarung gem. Art. 26 DSGVO vorzulegen1.Rechtsgrundlage für den Betrieb einer Facebook-Seite definieren (meist Art. 6 Abs. 1 lit. f DSGVO) 
2. Datenschutzerklärung auf der Webseite um die Social-Media-Aktivität ergänzen
Datenschutzerklärung und das Impressum in Facebook und anderen sozialen Netzwerken verlinken

Update 01.04.2019: Die DSK hält den Betrieb einer Facebook-Page aktuell für rechtswidrig.
Bundesgerichtshof
13.12.2018
Datenübermittlung von Facebook an Betreiber kostenloser ComputerspieleDer Kläger (Dachverband und Verbraucherzentrale) macht geltend, die Einverständniserklärung der Nutzer sei unwirksam, weil die hierzu gegebenen Hinweise zur notwendigen Information der Nutzer ebenso unzureichend seien wie der Link auf die Allgemeinen Geschäfts- und Datenschutzbestimmungen des jeweiligen Spiele-Betreibers. Auch sei der bei einem der Spiele gegebene Hinweis auf die Übermittlung von Daten eine den Verbraucher unangemessen benachteiligende und intransparente Geschäftsbedingung.Das Verfahren ist aktuell beim EuGH anhängig, eine endgültige Entscheidung ist noch ausstehend
Bundesverwaltungsgericht
11.09.2019
Datenschutzbehörden können Betrieb von Facebook-Fanpages untersagenDas BVerwG entschied, dass die Aufsichtsbehörden den Betrieb einer Facebook-Fanpage untersagen dürfen. Allerdings hat das OLG Schleswig-Holstein die endgültige Entscheidungsbefugnis darüber.Die endgültige Entscheidung trifft das OLG Schleswig-Holstein.
Bundesgerichtshof
10.12.2020
YouTube ist nicht zur Datenherausgabe bei Urheberrechtsverstößen verpflichtetNutzer, die urheberrechtlich geschütztes Material bei YouTube hochladen, begehen zwar einen Verstoß. Der BGH urteilte jedoch, dass die Herausgabe der IP-Adresse, E-Mail-Adresse, Telefonnummer etc. gegenüber den Urheberrechtsinhaber im Rahmen einer Auskunft nicht nötig ist.

Damit setzt der BGH dem urheberrechtlichen Auskunftsrecht eine klare Grenze.
KalifornienFacebook muss Schmerzensgeld wegen automatischer Gesichtserkennung zahlenFacebooks automatische Gesichtserkennung führt nun zur Zahlung von 650 Mio. Dollar an die Kläger.

Die automatische Gesichtserkennung war ohne Einwilligung der Nutzer erfolgt und konnte nur durch ein Opt-out unterbunden werden.

Dies wurde durch die Kläger bemängelt und gingen vor Gericht.
Bundesgerichtshof
29.07.2021
Sperren von Benutzerkonten und Löschen von Beiträgen bei FacebookDie Parteien streiten über die Rechtmäßigkeit einer vorübergehenden Teilsperrung der Facebook-Benutzerkonten der Kläger und der Löschung ihrer Kommentare durch die Beklagte.

In dem sozialen Medium wurden Äußerungen in Kommentaren getätigt, die seitens Facebook als „Hassrede“ eingestuft wurde. Daraufhin wurde das Konto der Nutzer einstweilen gesperrt.

Gegen diese Sperrung gingen die Parteien vor.
Der BGH urteilte, dass die Aussagen von der Meinungsfreiheit gedeckt sind und Facebook nun die Beiträge und Kommentare wieder freischalten muss. Hintergrund ist, dass die Nutzungsbedingungen zum Zeitpunkt der Posts noch keine Sperrung kommunizierten oder dies andeuteten.
Das Urteil bedeutet allerdings nicht, dass sämtliche Beiträge oder Kommentare hinzunehmen sind. Der BGH stellt klar, dass Facebook das Recht hat, bei Verstößen Beiträge oder Nutzer zu sperren.

Videoüberwachung / Videokameras / Videoaufzeichnungen / Drohnen

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Oberverwaltungsgericht HamburgGesichtserkennung zulässig oder nicht (G20-Gipfel)?Der Innensensator verklagt Hamburgischen Datenschutzbeauftragten, weil dieser die Löschung der Videoaufnahmen mit Gesichtserkennung um den G20-Gipfel verlangt.Das Verfahren ist weiter zu verfolgen. 

Leider ist kein Aktenzeichen oder Urteil selbst zu finden.
Amtsgericht Riesa
24.04.2019
Drohne darf unter gewissen Umständen abgeschossen werdenEin Mann schoss auf die über seinem Grundstück aufnehmende Drohne. Der Schütze wurde zu einem Schadenersatzanspruch von 1.500,00 € belangt. Dieser ging vor Gericht und erhielt Recht. Der Schütze trug vor, dass sein Persönlichkeitsrecht und das seiner Kinder verletzt worden sei. 
Das Gericht bestätigte dies und berief sich wegen den Abschusses auf § 229 BGB (Selbsthilfe).
Bundesverwaltungsgericht
27.03.2019
Videoüberwachung in Zahnarztpraxis unzulässigVideoüberwachung in einer Zahnarztpraxis, die ungehindert betreten werde kann, unterliegt strengen Anforderungen. 
Hintergrund der Überwachung: Empfangstresen ist nicht besetzt, Zahnärztin kann in Echtzeit auf einem im Behandlungszimmer aufgestellten Monitor den Bereich überwachen. 

Anweisung der Aufsichtsbehörde: Ausrichtung der Videokamera, dass Patienten und sonstige Besucherbereiche, Flur zwischen Tresen und Wartezimmer nicht mehr erfasst werden. 

Entscheidung des Gerichts: DSGVO nicht anwendbar, Kamera-Monitoring-System setzt berechtigtes Interesse voraus, was im vorliegenden Fall nicht ersichtlich ist.
Das Urteil zeigt auf, dass § 4 BDSG-neu somit europarechtswidrig ist. Die DSGVO regelt die Videoüberwachung auch durch private Anwender abschließend. Somit wird durch das Urteil das Videoüberwachungsgesetz gestoppt.
Amtsgericht München
28.05.2019
Videoüberwachung im Gemeinschaftsbereich (Dieser Fall beschäftigt sich zwar mit dem Mietrecht, jedoch aus Sicht der DSGVO ist eine Persönlichkeitsverletzung nach sich)Dieser Fall beschäftigt sich zwar mit dem Mietrecht, jedoch aus Sicht der DSGVO ist eine Persönlichkeitsverletzung nach sich. Es wurde ein Untermietvertrag geschlossen, in welchem auf die Videoüberwachung VOR der Haustüre hingewiesen wurde. In Wirklichkeit wurde jedoch der Gemeinschaftsbereich im Hausflur der WG permanent überwacht. Somit konnte eingesehen werden, wer wann das Badezimmer oder die Küche aufsucht.Eine Videoüberwachung in Hausfluren ist nur für kurze Zeit und zur Aufklärung eines Sachverhalts (z.B. Schließen der Haustüre, ordnungsgemäße Trennung des Hausmülls) gestattet. Eine permanente Überwachung ist somit ausgeschlossen und rechtswidrig. 
Oberlandesgericht Dresden
24.09.2019
Zulässigkeit von heimlichen Videoaufnahmen zur Aufdeckung von Missständen in PflegeheimenIm vorliegenden Sachverhalt klagten zwei Mitarbeiter eines Pflegeheims, welche heimlich gefilmt und aufgenommen wurden. Die Aufnahmen wurden später in einer Sendung Privatfernsehens ausgestrahlt.

Bei heimlich aufgenommen Bild- und Tonmaterial kann grundsätzlich von einer Unzulässigkeit ausgegangen werden.
Allerdings können bei Verfremdung der Stimme und Verpixeln der Beteiligten nach der Interessensabwägung die Aufnahmen zulässig sein.
Landesarbeitsgericht Rostock
24.10.2019
Schadenersatz wegen Videoüberwachung am ArbeitsplatzEin Tankstellenbetreiber überwachte den Kassenarbeitsplatz und nicht-öffentlich zugängliche Räume mittels Videoüberwachung. 
Hintergrund der Videoüberwachung war die Beschäftigten kontrollieren zu können. 
Daraufhin klagte ein Angestellter und bekam Recht. Die Videoüberwachung im nicht-öffentlichen Bereich und im Kassenbereich ist unzulässig bzw. anlasslos.
Bevor eine Videoüberwachung überhaupt angebracht wird, sind einige Voraussetzungen zu prüfen und zu beachten. 
Verwaltungsgericht Regensburg
06.08.2020
Videoüberwachung einer öffentlich zugänglichen Parkanlage / öffentlichen GartensDie Stadt Passau lässt aufgrund wiederkehrenden Vandalismus, BtMG-Verstößen und zur Verhinderung von weiteren Straftaten einen öffentlich zugänglichen Park mittels Videokameras überwachen.

Vor der Anbringung der Videoüberwachung wurde darüber ausführlich in Sitzungen diskutiert und auch die Situation abgewogen. Nach der Einschätzung der Stadt und des Datenschutzbeauftragten ist die Videoüberwachung zulässig.

Auf der Webseite der Stadt sind neben der ausführlichen Stellungnahme auch das Sicherheitskonzept, die Standortübersicht, die Datenschutzhinweise, Datenblätter der Kameras und weitere Dokumente öffentlich zugänglich und abrufbar.

Dennoch erreichte die Stadt eine Unterlassungsklage für die Videoüberwachung. Der Kläger fühlte sich in seinen Persönlichkeitsrechten verletzt, wenn er den Park passierte oder dort verweilte.

Das Gericht wies die Klage ab. Die ausführliche Begründung und Darlegung des Sachverhalts für die Videoüberwachung erkannte das Gericht an. Des Weiteren sieht das Gericht das Recht auf informationelle Selbstbestimmung nur tangiert, aber nicht verletzt.
Landgericht Frankenthal
16.12.2020
Anbringen einer Videoüberwachung am Haus verletzt das PersönlichkeitsrechtEin langjähriger Nachbarschaftsstreit führte dazu, dass ein Nachbar an seinem Haus eine Videokamera über seine Grundstücksgrenzen hinaus, installierte. Er befürchtete, dass der Nachbar unbefugt auf sein Grundstück tritt.

Der andere Nachbar akzeptierte dies nicht und sah darin eine Verletzung seines Persönlichkeitsrechts und Privatsphäre.

Das LG urteilte, dass eine Videoüberwachung nur über das eigene Grundstück zulässig ist. Sofern Nachbargrundstücke erkennbar sind, ist dies nicht zulässig.
Auch wenn die DSGVO nicht für Privatleute gilt, so ist eine Klage auf das allgemeine Persönlichkeitsrecht möglich.

Deshalb sollte auch im privaten Bereich bei Anbringung einer Videokamera die datenschutzrechtlichen Vorgaben beachtet werden.
Verwaltungsgericht Köln
19.01.2021
Videoüberwachung am Breslauer Platz in Köln nicht rechtensIm besagten Raum wurde aus Gründen der dort stattfindenden und anhaltenden Kriminalität eine Videoüberwachung installiert. Nur so sei es möglich diese zu verfolgen und aufzudecken. Die Überwachung wurde im Jahr 2019 auch auf andere Bereiche ausgeweitet (Neumarkt, Breslauer Platz, Wiener Platz, Ebertplatz).

Ein betroffener Bürger begehrte die Unterlassung der Videoüberwachung während des Lock-Downs und reichte einen Eilantrag beim Verwaltungsgericht ein.

Das Verwaltungsgericht gab dem Antrag statt. Beim Breslauer Platz liege kein Kriminalitätsschwerpunkt vor. Eine Videoüberwachung wäre nur zulässig, wenn es dort zu zahlreichen Straftaten kommt. Im Bereich des Breslauer Platzes ging die Kriminalitätsrate seit dem Jahr 2015 um ca. 50 % zurück. Zumal auch die dortige Wache der Bundespolizei eine abschreckende Wirkung hat.

Somit ist die Videoüberwachung erst einmal einzustellen.
Dieser Fall zeigt eindeutig, dass eine Videoüberwachung im öffentlichen Bereich gut vorbereitet und begründet sein muss. Bei einzelnen Vorfällen ist keine Videoüberwachung gerechtfertigt.

Des Weiteren müssen vor einer Videoüberwachung sämtliche Alternativen („mildere Mittel“) ausgeschöpft und erprobt sein.
Oberverwaltungsgericht Rheinland-Pfalz
25.06.2021
Abgeschaltete Videokameras unterliegen nicht der DSGVODie Parteien streiten um einen Abbau einer abgeschalteten Kamera auf einem Parkplatz.

In der Vergangenheit kam es regelmäßig zu Vandalismus auf dem Parkplatz. Daraufhin wurden die Videokameras errichtet und filmten den Parkplatz dauerhaft sowie auch Teile der öffentlichen Straße.

Die zuständige Aufsichtsbehörde untersagte daraufhin die weiteren Aufnahmen und verlangte den Abbau der Kameras. Der Betreiber ging gegen diesen Bescheid gerichtlich vor. Die Erstinstanz entschied, dass Verlangen des Abbaus rechtswidrig ist. Die Behörde akzeptierte diese Entscheidung und stimmte zu, dass die Kameras nicht mehr eingeschaltet werden.

Der Beklagte reichte jedoch daraufhin Berufung ein und forderten den Abbau der Kameras.
Das OVG entschied, dass die abgeschalteten Kameras nicht mehr unter den Anwendungsbereich der DSGVO fallen, da keine Verarbeitung personenbezogener Daten stattfindet.

Weiterhin gab es auch keine Anhaltspunkte, dass der Betreiber die Kameras wieder in Betrieb nimmt und diese weiterhin ausgeschaltet bleiben.

Webseiten / Cookies / Datenschutzerklärung

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Oberlandesgericht Köln 
11.03.2016
Zustimmung zur Datenschutzerklärung beim Kontaktformular mittels CheckboxEine Checkbox für die Zustimmung zur Datenschutzerklärung ist beim Kontaktformular nicht notwendig.Prüfung der Webseite, ob eine Checkbox beim Kontaktformular eingebunden ist. Wenn ja, den Webseitenbetreiber darüber informieren, dass dies nicht nötig ist.
Europäischer Gerichtshof
19.10.2016
IP-Adressen sind personenbezogene DatenIP-Adressen sind personenbezogene Daten, wenn Webseitenbetreiber den User dadurch identifizieren kann.Sofern IP-Adressen eingesehen werden können, sind diese im Verfahrensverzeichnis zu dokumentieren. Die Datenschutzerklärung ist ebenfalls zu ergänzen.
Verwaltungsgericht Bayreuth
08.05.2018
Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten (Facebook Custom Audience)Der Einsatz des Facebook-Custom-Audience (CA) ist ohne vorherige Einwilligung des Betroffenen nicht möglich.DSGVO-konforme Einwilligung einholen. Weitere Hinweise zur Umsetzung werden im Ergebnisbericht der Webseitenprüfung des BayLDA genannt
Verwaltungsgerichthof München
26.09.2018
Übermittlung gehaster E-Mail-Adressen an soziale Netzwerke (Facebook Custom Audiences from File) ohne Einwilligung nicht zulässigUpload von E-Mail-Adressen ohne Einwilligung der Kunden ist kein berechtigtes Interesse am Direktmarketing. Der Betroffene hat bei einem Bestellvorgang nicht damit zu rechnen, dass die angegebene E-Mail-Adresse an Facebook übermittelt wird . Das Facebook-CA stellt keine Auftragsverarbeitung dar. 
Das Urteil betrifft insbesondere Onlineshops, da die Shopbetreiber selbst den Zugang zu den Daten gewähren und einfädeln.
Bei Einsatz von CA: 
1. Prüfung, ob Einwilligung vorliegt ; wenn nicht, Zielgruppe umgehend löschen –> Bußgelder 
2. Einwilligung einholen: 
– keine vorausgefüllte Check-Box (Opt-Out) 
– besser: Opt-In
Erhalt des Newsletter nicht von Einwilligung abhängig machen
– jederzeitiger Widerruf muss möglich sein
Landgericht Würzburg
13.09.2018
Abmahnung bei Webseiten ohne https-Verschlüsselung auf die DSGVO zulässigDas Gericht urteilt, dass http nicht mehr den Stand der Technik entspricht und daher die Abmahnung für gerechtfertigt ist.1. Prüfen, ob Webseite https verschlüsselt ist
2. Prüfen, ob eine automatische Weiterleitung auf https erfolgt, wenn nur http eingegeben wird
Europäischer Gerichtshof
29.07.2019
Mitverantwortung bei Verwendung des Facebook Like-Buttons (Gefällt-mir-Button) und Cookie-HinweiseWebseitenbetreiber, die den Like-Button auf der Webseite mit einbinden sind nach Auffassung des EuGH gemeinsam verantwortlich für die Erhebung und Übermittlung der Webseitenbesucher. Der Webseitenbetreiber stellt Facebook die Daten zur Verfügung. Neben der Facebook-Fanpage ist somit eine weitere gemeinsame Verantwortlichkeit vorliegend. 

Werden Social-Plugins, Videos und Tracking-Tools eingesetzt ist zwingend eine Einwilligung erforderlich. Das bedeutet, dass Cookie-Opt-In verpflichtend werden. 
Weiterhin entschied der EuGH, dass Verbände Datenschutzverstöße abmahnen dürfen.
Nach enger Auslegung des Urteils ist somit die Verwendung des Like-Buttons rechtswidrig, da keine Vereinbarung über die gemeinsame Verantwortlichkeit vorliegt (vgl. Situation mit Facebook-Fanpages). Das LG Düsseldorf hat als Vorinstanz bereits geurteilt, dass die Einbindung von Social-Media-Plugins rechtswidrig ist. Das OLG Düsseldorf hat nun noch die endgültige Entscheidung zu treffen. 
Europäischer Gerichtshof
01.10.2019
Cookies und Cookie- Einwilligungen (Planet 49)Der EuGH hat entschieden, dass eine Einwilligung, beim Setzen von Cookies zum Speichern und Auslesen von Daten, nötig ist. 
Das bedeutet, dass keine Vorauswahl bei den Feldern getroffen werden darf. 
Eine Einwilligung ist nicht nötig, wenn bspw. technisch notwendige Cookies oder Cookies für die Darstellung der Webseite gesetzt werden. 
Sofern jedoch Cookies zu Werbe- und Analysezwecken gesetzt werden, ist eine Einwilligung Pflicht. Die sog. „Einwilligungs-Banner“ müssen gesetzt werden, sofern eine Einwilligung benötigt wird.
Der Datenschutzbeauftragte von Baden-Württemberg hat zum Thema Cookies und Opt-In eine Hilfestellung veröffentlicht. 
Landgericht Rostock
15.09.2020
Aktive Einwilligung des Nutzers bei Analyse- und Trackingtools auf der WebseiteAuf der Webseite von advocado.de wurde durch den Webseitenbetreiber bereits eine Vorauswahl der zustimmungspflichtigen Cookies gesetzt. Auf der Webseite werden folgende Cookie-Kategorien genutzt: „Notwendig“, „Präferenzen“, „Statistiken“, „Marketing“.

Die Verbraucherzentrale forderte den Betreiber dazu auf, diese Vorauswahl zu unterlassen. Des Weiteren bemängelte die Verbraucherzentrale die Gestaltung des Banners selbst. Die Schaltfläche „Cookies zulassen“ war farblicher hervorgehoben als der Schalter „nur notwendige Cookies“.

Das Gericht hielt sich hier an das bereits erlassene EuGH-Urteil. Eine Vorauswahl von einwilligungsbedürftigen Cookies ist nicht zulässig.
Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden.

Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen.
Landgericht Köln
29.10.2020
Einwilligungsbedürftige Cookies dürfen nur mit Einwilligung gesetzt werdenDer EuGH sowie BGH haben bereits über die Tatsache entschieden, dass nicht technisch notwendige Cookies einer Einwilligung bedürfen.

Im vorliegenden Fall beantragt der Kläger eine einstweilige Verfügung gegen den Beklagten, da dieser Cookies ohne vorherige Einwilligung setzte.

Das Gericht gab dem Antrag statt. Weiterhin stellte das Gericht klar, dass Cookie-Banner mit vorausgewählten Häkchen oder lediglich über den Einsatz von (einwilligungsbedürftigen) Cookies informieren, nicht ausreichen.
Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden.

Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen.
Landgericht Köln
23.04.2021
Weiternutzung der Webseite stellt keine Cookie-Einwilligung darEin Webseitenbetreiber setzte Cookies auf der Webseite ein, ohne die aktive Einwilligung der Nutzer einzuholen. Im Cookie-Banner wurde folgender Textbaustein verwendet:

„Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung“.

Der Antragsteller verlangte die Unterlassung beim Gericht.

Das Gericht urteilte zugunsten des Antragstellers. Bei den formulierten Datenschutzhinweise handelt es sich um unzulässige AGB. Weiterhin verstößt die Formulierung auch gegen den § 15 TMG .
Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden.

Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen.

Werbung / Marketing / Gewinnspiele

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Bundesgerichtshof
10.07.2018
Kundenzufriedenheitsbefragung ohne EinwilligungVersand von Kundenzufriedenheitsbefragungen fallen unter (Direkt-)Werbung, wenn die E-Mail mit der Rechnung des Produktes versandt wird.DSGVO-konforme Einwilligung der Betroffenen für den Zweck der Werbung einholen
Landgericht Frankenthal
10.07.2018
Haftung von Unternehmen bei Beauftragung von Dienstleistern für WerbemailBeauftragen Unternehmen für das Versenden von Werbemails einen Dienstleister, müssen sich beide Parteien eventuelle Rechtsverstöße zurechnen lassen. Das kann schnell teuer werden: Unverlangt erhaltene Werbemails sind eine unzumutbare Belästigung, die eine Abmahnung oder Klage zur Folge haben kann.Prüfung sollte erfolgen, ob DSGVO-konforme Einwilligungen für die Werbemails vorliegen
Oberlandesgericht Nürnberg
15.01.2019
Werbebanner / -anzeigen in kostenlosen E-Mail-PostfächernDie Telekom bietet kostenlose E-Mail-Postfächer an. In diesen werden dem Nutzer jedoch Werbeanzeigen in Form von E-Mails angezeigt und übermittelt.

Die Vorinstanz (LG Nürnberg) entschied, dass die Werbeanzeigen innerhalb der Postfächer als unzumutbare Belästigung einzuordnen ist.

Das OLG Nürnberg entschied dagegen. Die Werbeanzeige hebt sich deutlich von den „normalen“ durch Kennzeichnung mit „Anzeige“ und grauer Schattierung hervor. Das Gericht sieht auch den Begriff der „elektronischen Post“ mit dieser Vorgehensweise als nicht erfüllt an, weshalb eine unzumutbare Belästigung nicht gerechtfertigt ist.
Der Sachverhalt wurde mittels Revision an den BGH übergeben.

Sofern das Urteil des BGH vorliegt, erfolgt ein entsprechendes Update.
Oberlandesgericht Hessen
16.05.2019
Bewertungsabgabe als Teilnahmevoraussetzung bei GewinnspielenDas Gericht entschied, dass eine positive Bewertung eines Unternehmens nicht als Teilnahmevoraussetzung für ein Gewinnspiel abgegeben werden darf. 

Auch wenn keine Vorgaben zur Bewertung gemacht werden, sind diese nicht als Teilnahmevoraussetzung zu integrieren.
Was es bei Gewinnspielen rechtlich und datenschutzrechtlich zu beachten gibt, haben wir in einem Blogartikel zusammengefasst:  Facebook-Gewinnspiele – was ist zu beachten? 
Oberlandesgericht Frankfurt
26.06.2019
Gewinnspiele mit irreführender Werbung nicht zulässigEin Händler für Whirlpool veranstaltete ein Gewinnspiel. Für jede Aktion erhielt der Teilnehmer ein Los. Unter anderem konnten die Teilnehmer positive Bewertungen zum Unternehmen abgeben, um ihre Gewinnchance zu erhöhen. Bereits das LG Frankfurt am Main (3-6 O 37/18) untersagte diese Methode, nachdem ein Mitbewerber geklagt hatte. Auch das OLG ist der Auffassung. Die bereits verfassten Rezensionen sind für die Werbemaßnahme nun gesperrt.Veranstaltung von Gewinnspielen im VVZ aufnehmen und deren Ablauf beschreiben; Teilnahmebedingungen prüfen.
Oberlandesgericht Frankfurt
27.06.2019
Teilnahme an einem Gewinnspiel von Einwilligung in zukünftige E-Mail-WerbungDas OLG Frankfurt urteilte, das die Teilnahme an einem Gewinnspiel von der Einwilligung zur E-Mail-Werbung abhängig gemacht werden darf. 

Die Begründung: „Die Einwilligungserklärung ist dann noch ausreichend transparent, wenn sich acht Co-Sponsoren auf der Sponsoren-Liste im Rahmen der Einwilligungsliste finden. Für die hinreichende Bestimmtheit der Einwilligungserklärung reicht aus, wenn die sachliche Reichweite mit „Strom & Gas“ angegeben wird. Die Angabe „Marketing und Werbung“ dürfte eher unwirksam sein, da sie nicht ausreichend bestimmt ist“.
Die Datenbeschützerin ist nicht dieser Ansicht und empfiehlt sich immer die „wirkliche“ Einwilligung, unabhängig des Gewinnspiels für Werbeversand geben zu lassen! Nach unserer Auffassung widerspricht das Urteil dennoch dem Kopplungsverbot!
Oberlandesgericht Düsseldorf
19.09.2019
„Service Calls“ von Versicherungsunternehmen ist als Werbung einzustufenEin Versicherungsmakler rief einen Kunden an, um ihn ein neues Angebot zu unterbreiten.

Es lag für die „Service Calls“ auch keine Einwilligung vor. Der Kunde fühlte von den Anrufen belästigt und gab den Sachverhalt an das Gericht weiter.

Das Gericht sieht die „Service Calls“ als Werbung nach § 7 UWG an. Das bedeutet, dass eine Einwilligung seitens des Kunden einzuholen ist.
In unserem Blogartikel haben wir uns dem Thema Werbung und Datenschutz gewidmet. In diesem können Sie nachlesen, von welchen Zielgruppen Sie eine Einwilligung benötigen oder nicht.
Europäischer Gerichtshof
25.11.2021
E-Mail-Werbung bedarf der Einwilligung des BetroffenenDer Stromanbieter StWL Stätische Werke Lauf an der Pegnitz verklagte den Mitbewerber emprimo auf Nichteinhaltung des UWG.

Hintergrund war, dass eprimo Werbung in den E-Mail-Postfächern von Verbrauchern bzw. Betroffenen mittels Banner oder direkten E-Mails bei kostenfreien Postfächern anzeigen lies. Die Betroffenen wurden jedoch zufällig ausgewählt. Die E-Mail-Werbung konnte man nur anhand dessen erkennen, da statt dem Datum „Anzeige“ dort stand, kein Absender erkennbar war und der Text gräulich eingefärbt war.

Die Klägerin war der Auffassung, dass dieses Vorgehen einer vorherigen Einwilligung der Betroffenen bedarf und daher gegen das UWG verstoße.

In der ersten Instanz (LG Nürnberg-Fürth) wurde die Beklagte zur Unterlassung verurteilt. Die Beklagte reichte hierzu Berufung bei der nächsten Instanz (OLG Nürnberg) ein. Dies entschied, dass es sich dabei um keinen Wettbewerbsverstoß handelt.

Die Klägerin reichte danach Revision beim Bundesgerichtshof (BGH) ein. Der BGH reichte den Sachverhalt an den EuGH weiter.

Dieser entschied, dass die Inbox-Werbung nur mit vorheriger Zustimmung des Postfachinhabers zulässig ist.

Das endgültige Urteil hat der BGH zu treffen.

TOMs

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Verwaltungsgericht Mainz
17.12.2020
Transportverschlüsselung auch bei Berufsgeheimnisträgern ausreichendDie Aufsichtsbehörde verwarnte einen Rechtsanwalt, welcher eine Mail mit personenbezogenen Daten nur mittels Transportverschlüsselung versandte. Der Anwalt klagte jedoch beim VG Mainz.

Das Gericht sieht die Transportverschlüsselung als ausreichend nach Art. 32 DSGVO an, auch bei Berufsgeheimnisträgern.

Einer Ende-zu-Ende-Verschlüsselung bedarf es jedoch bei Anhaltspunkte für die Schutzwürdigkeit der personenbezogenen Daten.
Mit diesem Urteil stellt ein Gericht erstmals klar, wann eine Transportverschlüsselung ausreichend ist und wann nicht.

Jedem Verantwortlichen ist gut geraten, wenn er vor Versand der Mail nochmals prüft, um welche Daten es sich dabei handelt.
Bundesgerichtshof
22.03.2021
Derzeitige Verschlüsselung des elektronischen Anwaltspostfachs (beA) sicherRechtsanwälte forderten von der Bundesrechtsanwaltskammer die Einführung einer Ende-zu-Ende-Verschlüsselung für das beA. Die Anwälte sahen bei derzeitigen Verschlüsselung die Verletzung der Vertraulichkeit der Kommunikation und im Mandantenverhältnis.

Der BGH urteilte, dass kein Anspruch auf eine bevorzugte, hier Ende-zu-Ende-Verschlüsselung, besteht. Die aktuelle Sicherheitsmaßnahmen ist nach Ansicht des BGH ausreichend.

Sonstige Urteile

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Landgericht Hamburg
02.03.2017
Datenschutzverstöße können bei Wettbewerbern abgemahnt werden
Datenschutzverstöße können insoweit abgemahnt werden, wenn die „Marktverhaltensregeln“ (vgl. § § 4, 4a und 28 Abs. 7 BDSG iVm. § 3a UWG) nicht eingehalten werden.
Bundesgerichtshof
12.06.2018
Zugriff auf digitalen NachlassNach dem Tod einer Facebook-Nutzerin möchten die Erben (Eltern) Zugriff auf das Konto und die Nachrichten. Facebook verweigerte den Zugriff. 
Der BGH äußert sich dazu, dass die Gesamtrechtsnachfolge erfasst wird und auch der digitale Nachlass auf die Erben übergeht. 
Facebook hat den Zugriff auf das Nutzerkonto zu gewähren.

Update 09.2020: Facebook hat den Eltern einen USB-Stick mit einem 14.000-seitigen PDF zur Verfügung gestellt. In einem erneuten Beschluss des BGH wird ausdrücklich festgestellt, dass die zur Verfügungstellung per PDF nicht ausreicht. Vor allem der Begriff „Zugang“ wurde hier konkretisiert. „[Zugang][…] bedeute, dass sich die Erben in dem Benutzerkonto so „bewegen“ können müssen wie zuvor die Erblasserin selbst.“, heißt es im Artikel von LTO.

Facebook hat sich bisher noch nicht zum Beschluss geäußert.
Landgericht Bochum
07.08.2018
DSGVO-Abmahnung fehlerhafte Datenschutzerklärung nicht möglichFehlerhafte Datenschutzerklärungen können nicht auf Art. 13 DSGVO abgemahnt werden. Das Gericht stützt sich dabei auf Art. 77 bis 84 DSGVO (abschließende und ausschließende Regelungen für Mitbewerber)Auch das Landgericht Stuttgart ist der gleichen Ansicht. Jedoch ist noch kein höchstrichterliches Urteil (BGH, EuGH) ergangen.
Oberlandesgericht Hamburg
25.10.2018
Datenschutzverstöße können abgemahnt werdenDatenschutzverstöße können insoweit abgemahnt werden, wenn „Markverhaltensregeln“ (vgl. § § 4, 4a und 28 Abs. 7 BDSG iVm. § 3a UWG) nicht eingehalten werden.Seitenbetreiber sollten die datenschutzrechtlichen „Basics“ auf Ihrer Webseite umsetzen. Das bedeutet konkret:
1. eine individuelle und DSGVO-konforme Datenschutzerklärung auf der Seite einstellen,
2. weitere DSGVO Anforderungen wie verschlüsselte Kontaktformulare umsetzen,
3. die eigene Seite auf nicht datenschutzkonforme Plugins und Dienste prüfen,
4. Abläufe wie Bestellprozesse und Newsletter auf DSGVO-Verstöße prüfen,
5. wenn nötig AV-Verträge mit Dienstleistern und/ oder eigenen Kunden abschließen.
Vor allem Webdesigner und Agenturen – die nach Ansicht der Gerichte auch für rechtliche Fehler auf Kundenseiten haften – sollten jetzt handeln.
Bundesverfassungsgericht
18.12.2018
KFZ-Kennzeichenkontrolle
Die automatische Kennzeichenerkennung ist ein Eingriff in den Art. 2 GG. Nur in Ausnahmefällen dürfen KFZ-Kennzeichen gescannt werden.

Die Länder sind dazu angehalten, ihre Landesvorschriften zu überarbeiten.
Januar 2021: Die Planung der bundesweiten Kennzeichenerfassung schreitet aktuell voran. Der neue Gesetzesentwurf fügt den neuen § 163 g StPO ein. Damit soll die Rechtsgrundlage für die Erfassung geebnet sein.

Das weitere Verfahren werden wir weiter beobachten und neue Informationen bekannt geben.
Bundesverfassungsgericht
20.12.2018
„Speichern auf Zuruf“ verfassungsrechtlich abgesegnetE-Mail-Provider haben grds. damit zu rechnen, die IP-Adressen ihrer Nutzer für strafrechtliche Verfolgungen an die Staatsanwaltschaft zu übermitteln. 
Die Verkehrsdaten, insbesondere die IP-Adressen, müssten wenigstens für die Dauer der Kommunikation zwischengespeichert werden, weil andernfalls eine E-Mail nicht einem Empfänger zugeordnet werden können.
Datenoffenlegung jedoch erst nach Vorlage eines richterlichen Beschlusses oder nach Anordnung der Staatsanwaltschaft
Landgericht Stuttgart
09.04.2019
Abmahnfähigkeit von DSGVO-VerstößenDas Gericht positioniert sich hier klar gegen eine Abmahnfähigkeit von Datenschutzverstößen. In seiner Begründung führt es die oben dargestellten Argumente an und vertritt damit eine von zwei sehr gut vertretbaren Meinungen. Hier wäre jedoch eine grundlegendere Auseinandersetzung mit der Abmahnproblematik im Datenschutzrecht wünschenswert gewesen, um im Bereich der Abmahnungen mehr Rechtssicherheit zu begründen. Die Problematik wird wohl erst klarer, wenn ein Fall höchstrichterlich entschieden wird, oder das Gesetz zur „Stärkung des fairen Wettbewerbs“ eine Abmahnung von Datenschutzverstößen abschließend untersagt.Auch das Landgericht Bochum ist der gleichen Ansicht. Jedoch ist noch kein höchstrichterliches Urteil (BGH, EuGH) ergangen.
Europäischer Gerichtshof
13.06.2019
Gmail ist kein TelekommunikationsanbieterDie Bundesnetzagentur wollte, dass Google sich als Telekommunikationsdienstanbieter bei ihnen registriert. Hintergrund: TK-Anbieter haben ggü. der Behörde bei Verdacht Nutzerdaten offenzulegen. Für SMS ist dies per gerichtlichen Beschluss möglich, jedoch für Nachrichten z.B. über WhatsApp nicht. 
Auswirkung: Dem Anbieter steht frei, die Kommunikationsinhalte der Kunden können weiterhin auswerten; da das Fernmeldegeheimnis nicht greift. Knackpunkt dabei ist, dass „traditionelle“ Telekom-Dienste Regulierungsvorgaben einhalten müssen, für Webdienste gilt dies jedoch nicht.
Amtsgericht Frankfurt an der Oder
27.06.2019
KFZ-Kennzeichen-Massenspeicherung in BrandburgDer Kläger sieht in der Massenspeicherung der KFZ-Kennzeichen eine gezielte Maßnahme, Fahrzeuge auf den befahrenen Strecken zu erfassen und festzuhalten. Das Amtsgericht entscheidet nicht über die Zulässigkeit. Es verweist darauf, dass zufällig erfasste Kennzeichen und die damit betroffenen Personen kein „Rechtsschutzbedürfnis“ genießen.Der Kläger geht nun in die nächste Instanz. Bei neuen Informationen, werde diese hier wieder geteilt.
Oberlandesgericht Düsseldorf
26.08.2019
Datensammlung von Facebook durch Kartellamt untersagtDas Bundeskartellamt forderte in einem Beschluss Facebook dazu auf, die Datensammlung der verschiedenen Plattformen (Instagram, WhatsApp etc.) einzuschränken und nicht mehr unternehmensintern auszutauschen. 
Facebook klagte gegen diesen Beschluss und erzielte jetzt einen Teilsieg. Auch wenn die Datensammlung gegen den Datenschutz verstoße, so verstößt diese jedoch nicht zugleich gegen das Wettbewerbsrecht. Facebook merkte zugleich noch an, dass das Kartellamt für sie nicht zuständig seien, sondern die irische Datenschutzbehörde. 
Facebook muss den Beschluss des Kartellamts durch das Gerichtsurteil erst einmal nicht folge leisten.
Die Rechtsbeschwerde ist zulässig. Die nächste Instanz wäre der dann der BGH.
Bundesverwaltungsgericht
25.09.2019
Vorratsdatenspeicherung – vereinbar mit europäischen Recht?Das BVerwG hat entschieden, ob die Regelungen zur Vorratsdatenspeicherung im TKG zulässig sind. Vor allem soll dabei geklärt werden, ob eine anlasslose Vorratsdatenspeicherung möglich ist.Die Frage, um die Vorratsdatenspeicherung auf nationaler Ebene wird vom EuGH geprüft und entschieden.
Europäischer Gerichtshof
16.07.2020
EuGH erklärt Privacy-Shield als ungültig (Schrems II)Der EuGH erklärt das Privacy-Shield für ungültig.

Das bedeutet, dass die auf dem Privacy-Shield beruhende Datenübermittlung in die USA nicht mehr rechtgültig ist.

Die Standardvertragsklauseln wurden seitens des EuGH weiterhin für gültig erklärt.
Weiter Informationen über das weitere Vorgehen und Handlungsempfehlungen finden Sie in unserer Knowledge-Base.
Bundesgerichtshof
27.07.2020
Streit um den Wahrheitsgehalt von BerichtenIn einem zweiten Fall musste der BGH sich mit der Frage auseinandersetzen, ob Suchmaschinen Artikel anzeigen dürfen, deren Wahrheitsgehalt unklar ist.

Über ein deutsches Unternehmen wurde in US-Artikeln negativ berichtet, auch mit Fotos der Geschäftsführer. Die beiden Kläger verlangen, dass die Artikel nicht der Wahrheit entsprechen und zu löschen sind.

Der BGH hat diesen Fall zur Klärung an den EuGH weitergereicht. Die Entscheidung steht somit noch aus.
Europäischer Gerichtshof
06.10.2020
Pauschale Vorratsdatenspeicherung unzulässigDie bereits in der Kritik stehende Vorratsdatenspeicherung ist nicht dem europäischen Recht vereinbar.

Damit ist zunächst die Vorratsdatenspeicherung unzulässig und nicht möglich.

Nur sofern eine „konkrete und ernsthafte Bedrohung der nationalen Sicherheit“ vorliegt, ist die Datenspeicherung zulässig.
Der Datenschutzbeauftragte von Baden-Württemberg Herr Brink bedauert es, dass der EuGH mit seinem Urteil die erneute Debatte um eine situative Datenspeicherung damit entfacht.
Landgericht Bonn
11.11.2020
Bußgeldreduzierung bei TelekommunikationsanbieterIm Mai diesen Jahres verhängt die Aufsichtsbehörde gegen 1&1 ein Bußgeld in Höhe von 10 Mio. Euro wegen einer unzureichender Identifizierung von Anrufern.

Gegen dieses Bußgeld wurde Klage eingereicht und durch das LG Bonn nun auf 900.000,00 Euro reduziert.

Das Gericht sowie auch die Aufsichtsbehörde sehen das Verschulden bei diesem Datenschutzverstoß eher als gering an, da es sich um einen Einzelfall handelt und es nicht zur massenhaften Herausgabe von Daten kam.
Landgericht Erfurt
28.04.2021
Arbeitgeber ist kein Telemedienanbieter bei erlaubter Privatnutzung von geschäftlichen E-Mail-AccountsDas LG hat entschieden, dass der Arbeitgeber kein Telemedienanbieter im Sinne des TKG ist, wenn er die private Nutzung der geschäftlichen E-Mail-Adressen erlaubt.

Das würde in bestimmten Ausnahmefällen den Zugriff auf die Mails ohne Einwilligung des Mitarbeiters erlauben. Ausnahmefälle ergeben sich aus § 26 Abs. 1 BDSG z.B. bei Abwesenheit des Mitarbeiters oder bei Verdacht auf Straftaten. Es ist jedoch eine Interessensabwägung durchzuführen, bevor der Zugriff stattfinden kann.
Auch das LAG Berlin-Brandenburg, VG Karlsruhe, LAG Hamm, LAG Niedersachsen, VGH Hessen, und ArbG Düsseldorf urteilten diesbezüglich ebenfalls in derselben Art.

Auch geht aus dem neu erlassenen TTDSG indirekt hervor, dass Arbeitgeber nicht als Telemedienanbieter gelten und somit dem Fernmeldegeheimnis nicht unterliegen. Das bedeutet letztendlich, dass keine Einwilligung seitens des Mitarbeiters für den Zugriff auf die Mails benötigt wird. Der Zugriff darf jedoch nicht anlasslos erfolgen und bedarf einer vorherigen Interessensabwägung.
Oberverwaltungsgericht Schleswig-Holstein
28.05.2021
Auskunftverweigerung gegenüber AufsichtsbehördeEine Online-Shop-Betreiberin versandte Werbe-E-Mails, um ihre Produkte zu bewerben. Die Empfänger reichten Beschwerde bei der Aufsichtsbehörde ein. Diese wandte sich an die Online-Shop-Betreiberin mit einen Fragenkatalog und Beantwortung der Fragen.

Insbesondere wurde abgefragt, welche Daten zu Werbezwecken verarbeitet werden, welche TOMs ergriffen werden und ob ein Verfahrensverzeichnis vorhanden ist, wie viele Personen von dem Sachverhalt betroffen sind und wie sie ihrer Informationspflicht nach Art. 13 und Art. 14 DSGVO nachkam.

Die Behörde verwies zudem noch darauf, dass bei Nichtbeantwortung der Fragen ein Zwangsgeld angeordnet wird. Die Klägerin berief sich jedoch auf das Auskunftsverweigerungsrecht nach § 40 BDSG, da sie sich nicht selbst belasten wollte.

Daraufhin erging ein Zwangsgeld von 100,00 € seitens der Behörde.

Das Gericht gibt der Klägerin teilweise recht. Vereinzelte Fragen waren zulässig gestellt und konnte, ohne Gefahr zu laufen, dass ein Straf- oder Ordnungswidrigkeitsverfahren daraus resultiert, beantwortet werden.
Bei den weiteren gestellten Fragen durfte die Klägerin die Auskunft verweigern z.B. Umsetzung der Informationspflicht, da hier das Risiko für ein Bußgeld erkennbar ist und die Klägerin sich somit selbst belastet hat.
Das Urteil zeigt zumindest grob auf, wann das Auskunftsverweigerungsrecht zur Geltung kommt, lässt aber noch weitere Fragen offen.

Wann die Auskunft verweigert werden darf, ist immer vom Einzelfall abhängig.
Verwaltungsgericht Hannover
09.11.2021
Online-Versandapotheke darf Geburtsdatum nicht bei jedem Produkt abfragenEine Online-Versandapotheke erhob unabhängig von Art des Medikaments das Geburtsdatum von den Betroffenen. Die Begründung der Apotheke verwies dabei auf die Pflicht zur altersgerechten Beratung.

Die Datenschutzbeauftragte von Niedersachsen forderte mittels Bescheid die Online-Apotheke zur Unterlassung zur Erhebung des Geburtsdatums auf. Gegen den Bescheid wurde Klage erhoben.

Das VerwG Hannover entschied daraufhin zu Gunsten der Aufsichtsbehörde. Die Erhebung des Geburtsdatums bei rezeptfreien erwerbbaren Produkten ist nicht erforderlich, wenn keine altersspezifische Beratung erforderlich ist.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
One Comment on “Urteile nach der DSGVO”

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.