Urteile nach der DSGVO

Knowledge Base der Datenbeschützerin

Seit Inkrafttreten der DSGVO sind bereits zahlreiche Urteile seitens der Gerichte ergangen. 

Die Urteile sind aufgrund ihrer Vielzahl thematisch gegliedert. Die Übersicht bezieht sich lediglich auf die deutsche Rechtsprechung. . Sie erhalten eine kurze Zusammenfassung des Themas und was das Urteil für Sie bedeutet und ob Handlungsbedarf besteht.

Wir aktualisieren diese Liste ständig, können jedoch keine Vollständigkeit gewährleisten.

Eine Übersicht über erteilte Bußgelder nach DSGVO durch die Aufsichtsbehörden finden Sie in einem eigenen Beitrag.

Auftragsverarbeitungsverträge / Auftragsverarbeitung

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin

Beschäftigtendatenschutz

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Verwaltungsgericht Lüneburg
19.03.2019
(Un-)Zulässigkeit von Ortungssystemen in FirmenfahrzeugenSpeicherung von gefahrenen Strecken mit Start- und Zielpunkt für 150 Tage. Die Aufzeichnung erfolgte dauerhaft und war nur mit erheblichen Aufwand möglich, dies auszuschalten. Kennzeichen wurden ebenfalls mit erfasst. Private Nutzung war nicht vereinbart, jedoch geduldet. 

Zweck der Ortung war die Planung der Touren, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise ggü. Aufraggeber zu erbringen, Diebstahlschutz, Prüfung von verbotenen privaten Wochenendfahrten. 
Positionsdaten von Mitarbeitern können nicht auf Art. 6 Abs. 1 lit. c und f DSGVO und § 26 BDSG stützen. Außerdem wurden die Einwilligung und Transparenz nicht geachtet und sind nicht für das Beschäftigungsverhältnis erforderlich. 

Erlaubt sind: Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) 

Untersagt: Kontrolle der Privatfahrten, Speicherdauer von 150 Tagen
Abgrenzung und Definition von Daten, die in der Arbeitszeit anfallen
Mitarbeiter über Geo-Ortung transparent informieren
Bundesarbeitsgericht
07.05.2019
Betriebsräte und die DSGVO
In diesem Fall ging es um die Einsicht von Bruttogehaltslisten, bei denen der Klarname der Mitarbeiter ersichtlich ist. Dies ist nötig, um die Einhaltung der Vergütungsgrundsätze zu prüfen. 

Diese Einsicht ist nach Ansicht des Gerichts zulässig. 
Die zentrale Frage dabei war, ob es sich dabei um eine Datenverarbeitung handle. Eine Datenverarbeitung liegt vor. Es spielt in diesem Fall jedoch keine Rolle, ob der Betriebsrat als Dritter anzusehen ist.
Es wurde jedoch nicht die Rolle des Betriebsrats an sich geklärt. Ob der Betriebsrat nun eigener Verantwortlicher ist oder nicht, bleibt weiterhin ungeklärt.
Oberlandesgericht München
03.12.2019
Entschädigung wegen heimlich mitgelesener E-MailsDas heimliche Mitlesen von Mails führt zu einer Persönlichkeitsverletzung und damit zu einer Entschädigung.

Der Inhaber einer Anwaltskanzlei las heimlich die persönlichen Mails seines Geschäftspartners mit. Das Passwort für den Mailaccount hat sich der Beklagte auf unerklärliche und dubiose Weise beschafft.
Das besondere bei diesem Urteil ist, dass es sich dabei um ein „Urteil ohne Sachverhalt“ handelt.

Das Gericht beschreibt den Sachverhalt nicht detailliert nieder. Das bedeutet, dass nur durch die Urteilsbegründungen der Sachverhalt konstruiert werden kann.
Arbeitsgericht Lübeck
20.06.2019
Schmerzensgeldanspruch wegen Fotoveröffentlichung ohne EinwilligungEine Mitarbeiterin verklagte ihren ehemaligen Arbeitgeber, da dieser ihr Mitarbeiterfoto auf der Facebookseite nicht nachkam.

Des Weiteren lag keine Einwilligung zur Veröffentlichung in den sozialen Medien vor. Die Klägerin stimmte lediglich der internen Veröffentlichung zu.

Das Gericht stimmte der Klägerin zu und verpflichtete den ehemaligen Arbeitgeber zur Zahlung eines Schmerzensgelds von 1.000,00 €.
Es ist zu prüfen, für welche Zwecke die Einwilligung seitens der Mitarbeiter eingeholt wird.

Möchte ein Mitarbeiter keine Veröffentlichung seiner Bilder, ist dies zu respektieren und einzuhalten.
Landesarbeitsgericht Berlin Brandenburg
04.06.2020
Biometrische Arbeitszeiterfassung nur mit Einwilligung zulässigDie Zeiterfassung durch biometrische Daten z.B. Fingerabdruck, ist nach Urteil des LArbG nur mit Einwilligung des Mitarbeiters zulässig.

Die Zeiterfassung nach § 26 Abs. 3 BDSG ist nach Ansicht des Gerichts nicht erforderlich.
Seitens der Mitarbeiter ist eine Einwilligung für die Datenerhebung von biometrischen Daten für die Zeiterfassung einzuholen.

Des Weiteren sind die Mitarbeiter über die Datenverarbeitung nach Art. 13 DSGVO zu informieren.
Landesarbeitsgericht Düsseldorf
23.06.2020
Betriebsrat darf ohne Zustimmung des Arbeitnehmers keine Einsicht in die elektronische Personalakte nehmenBei dem Arbeitgeber gibt es neben dem Gesamtbetriebsrat auch noch zwölf örtliche Betriebsräte.

Die Gesamtbetriebsvereinbarung ist vorgesehen, dass die Betriebsratsvorsitzenden permanenten Zugriff auf die elektronische Personalakte der Mitarbeiter (Ausnahme hier leitende Mitarbeiter und Personalmitarbeiter) erhält.

Das Gericht sieht in dieser Klausel einen Verstoß gegen das allgemein Persönlichkeitsrecht nach Art. 1 Abs. 1 GG.
Landesarbeitsgericht Köln
14.09.2020
Schmerzensgeld wegen nicht entfernten Mitarbeiterdaten auf HomepageNach dem Ausscheiden einer Mitarbeiterin hatte der ehemalige Arbeitgeber eine PDF-Datei mit dem Namen des Mitarbeiters, vergessen zu löschen.

Nachdem der Arbeitgeber darauf aufmerksam gemacht wurde, entfernte er die Datei. Die ehemalige Mitarbeiterin reichte dennoch Klage ein.

Das Landesarbeitsgericht sah in diesem Fall einen (geringen) Datenschutzverstoß. Es konnte nicht nachgewiesen werden, wie oft die Datei angeklickt wurde. Des Weiteren gab es auch keinen erkennbaren Mehrwehrt für den Arbeitnehmer, wenn er die Datei weiter auf der Webseite belässt.

Der Klägerin wurden 300,00 € Schmerzensgeld zugesprochen.
Dieser Fall zeigt, dass auch bei nicht entfernten Daten ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen werden dürfen.
Landesarbeitsgericht Baden-Württemberg
17.09.2020
Fristlose Kündigung eine Mitarbeiters bei umfangreicher DatenlöschungIn einem Gespräch teilte der Arbeitgeber dem Arbeitnehmer mit, das Arbeitsverhältnis mittels eines Aufhebungsvertrags zu beenden.
Der Mitarbeiter forderte dabei eine Abfindung, in welche der Arbeitgeber nicht einwilligte.

Zwei Tage nach dem Gespräch löschte der Arbeitnehmer über 3.300 Datensätze (ca. 8 GB) auf den Server des Arbeitgebers, woraufhin die fristlose Kündigung erfolgte.

Das LAG Baden-Württemberg sieht in der Datenlöschung einen wichtigen Grund für die fristlose Kündigung. Des Weiteren ist das Gericht der Auffassung, dass die Löschung nicht ausversehen, sondern mit Vorsatz erfolgte.

Betroffenenrechte

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Europäischer Gerichtshof
20.12.2017
Prüfungsarbeiten enthalten personenbezogene DatenDer EuGH entschied, dass Prüfungsarbeiten personenbezoge Daten enthalten. Somit unterliegen sie auch dem Auskunftsgesuch, d.h. die Herausgabe einer Kopie der Prüfungsantworten an den Prüfling ist möglich (und zwar kostenlos).
Oberlandesgericht Frankfurt am Main
06.09.2018
Unterlassungs- und Löschanspruch nach Art. 17 DSGVO gegen SuchmaschinenbetreiberDer Geschäftsführer einer gemeinnützigen Organisation begehrte die Löschung von negativen Presseberichten. In diesen wurden über die finanziellen Schwierigkeiten der Organisation sowie über den Gesundheitszustands des Klägers berichtet. Der Kläger fordert Google mittels der Klage auf, die Presseberichte zu löschen bzw. dessen Namen nicht mehr in der Suchmaschine finden zu lassen. Das Gericht wies die Klage ab, da keine falschen Tatsachen berichtet wurden. Auch überwiegt das öffentliche Interesse zum persönlichen Interesse des Klägers.Die Revision zum Bundesgerichtshof ist zulässig. Es ist abzuwarten, ob eine höchstrichterliche Entscheidung in Bezug auf den Art. 17 DSGVO erfolgt.
Bundessozialgericht
19.12.2018
Keine dauerhafte Speicherung von VersichertenfotosFotos von Versicherten dürfen nur so lange gespeichert werden, bis die Gesundheitskarte hergestellt und dem Versicherten übermittelt wurde. Somit ist keine dauerhafte Speicherung des Fotos bis zum Ende des Versicherungsverhältnisses möglich.
Landesarbeitsgericht Baden-Württemberg
20.12.2018
Auskunftsanspruch nach der DSGVO – berechtigte Interessen Dritter an einer GeheimhaltungEhemalige Führungskraft von Daimler wollte umfangreiches Auskunftsrecht nach Art. 15 Abs. 3 DSGVO geltend machen. Eine Herausgabe von Kopien der Datensätze kann nur verweigert werden, wenn das schützenswerte Interesse von Dritten besteht. Im vorliegenden Fall konnte Daimler das Schutzinteresse nicht nachweisen. Das Gericht sprach dem ehemaligen Mitarbeiter Recht zu.Vor Informationsübermittlung die anfragende Person identifizieren
prüfen, ob bei Herausgabe von Informationen Rechte von Dritten betroffen sind.
Verwaltungsgerichtshof Berlin
27.01.2019
Personenbezogene Daten am Halsband eines HundesEin Hundebesitzer klagte gegen die Verpflichtung, Namen und Adresse öffentlich sichtbar am Halsband bzw. Geschirr anzubringen, da dies seine Privatsphäre verletzt, weil er seine personenbezogenen Daten offenlegen muss. 
Entscheidung: Die Verpflichtung greift zwar in das Grundrecht ein, jedoch nur im geringen Maße, da die Kennzeichnung auch nicht sofort sichtbar erfolgen kann.
Landgericht Köln
18.03.2019
Umfang des nach Art 15 DSGVO dient nicht als vereinfachte BuchführungEine Versicherungsnehmerin verlangte vollständige Datenauskunft. Die Versicherung beantwortete diese nur teilweise, weshalb die Betroffene vor Gericht ging. Das Gericht entschied, dass sich der Auskunftsanspruch nicht auf alle internen Vorgänge, rechtliche Bewertungen oder Analysen erstreckt. Das Auskunftsgesuch soll demnach nicht der vereinfachten Buchführung des Betroffenen dienen.Prüfung der Betroffenenanfragen und Umfang der Datenherausgabe.
Verwaltungsgericht Lüneburg
19.03.2019
(Un-)Zulässigkeit von Ortungssystemen in FirmenfahrzeugenSpeicherung von gefahrenen Strecken mit Start- und Zielpunkt für 150 Tage. Die Aufzeichnung erfolgte dauerhaft und war nur mit erheblichen Aufwand möglich, dies auszuschalten. Kennzeichen wurden ebenfalls mit erfasst. Private Nutzung war nicht vereinbart, jedoch geduldet. 

Zweck der Ortung war die Planung der Touren, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise ggü. Aufraggeber zu erbringen, Diebstahlschutz, Prüfung von verbotenen privaten Wochenendfahrten. 
Positionsdaten von Mitarbeitern können nicht auf Art. 6 Abs. 1 lit. c und f DSGVO und § 26 BDSG stützen. Außerdem wurden die Einwilligung und Transparenz nicht geachtet und sind nicht für das Beschäftigungsverhältnis erforderlich. 

Erlaubt sind: Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) 

Untersagt: Kontrolle der Privatfahrten, Speicherdauer von 150 Tagen
Abgrenzung und Definition von Daten, die in der Arbeitszeit anfallen
Mitarbeiter über Geo-Ortung transparent informieren.
Verwaltungsgericht Wiesbaden
09.04.2019
Verwaltungsgericht Wiesbaden legt EuGH Fragen zu Datenschutz und richterlicher Unabhängigkeit vorEin Bürger hat eine Auskunftsanfrage bezüglich einer Petition gegenüber dem Hessischen Landtag gestellt. Diese wurde jedoch abgelehnt, da Petitionen den öffentlichen Aufgaben unterliegen.Es soll geklärt werden, ob der Ausschluss der DSGVO so einfach möglich ist, da Petitionsausschuss als Behörde tätig wird.
Oberlandesgericht Dresden
11.06.2019
Schmerzensgeld aufgrund der DSGVO DSGVO
Der Kläger äußerte sich in einem sozialen Netzwerk rassistisch. Das Soziale-Netzwerk löschte daraufhin seinen Post und sperrte seinen Nutzerkonto. 

Der Kläger sah darin einen Datenschutzverstoß und forderte Schmerzensgeld. Das OLG Dresden wies dies jedoch ab, da es keine Persönlichkeitsrechtsverletzung sah und auch keine weitere Schädigung.
Oberlandesgericht Köln 
26.07.2019
Auch Telefonnotizen sind personenbezogene DatenDer Kläger begehrte Auskunft über seine Daten bei seiner Lebensversicherung. Es gab zuvor Auseinandersetzungen, woraufhin er die Auskunftsanfrage stellte. Er forderte die Versicherung auf, auch über Telefonnotizen und Telefonvermerke zu informieren. Die Versicherung meinte, dass diese Forderung sich nicht aus Art. 15 DSGVO ergäbe. 

Das OLG Köln gab dem Kläger bzw. dem Betroffenen Recht. Nicht nur nach außen erkennbare Daten (z.B. Name, Adresse, Geburtsdatum) sondern auch sachliche Informationen (hier die Telefonnotizen) zu den personenbezogenen Daten gehören.
Das Urteil zeigt, dass eine Konkretisierung des Begriffs „personenbezogene Daten“ statt findet.
Landgericht Frankfurt am Main
29.08.2019
Zeitliche Beschränkung der Einwilligung seitens der Eltern zur Bildveröffentlichung des KindesVon der Klägerin wurden im Jugendalter Fotos angefertigt und mit Einwilligung der Eltern veröffentlicht. 
19 Jahre nach der Aufnahme veröffentliche die Beklagte das Fotos nochmals. Die Klägerin verlangte Unterlassung. 
Das Gericht entschied zu Gunsten der Klägerin und gibt an, dass eine Einwilligung seitens der Eltern nach 19 Jahren nicht mehr gültig ist. 
Mit dem Urteil zeigt das Gericht, dass Einwilligungen nicht für immer gültig sind und bei Widerruf der Einwilligung Folge zu leisten ist.
Allgemein sollten Einwilligungen auf DSGVO-Konformität geprüft werden. 

Weiterhin ist es sinnvoll, die vorliegenden Einwilligungserklärungenzu sichten und ggf. eine erneute Einwilligung einzuholen, wenn diese älter sind bzw. nicht mehr DSGVO entsprechen. 
Amtsgericht München
04.09.2019
Anspruch auf Auskunft von personenbezogenen DatenRedaktioneller Leitsatz:“ Von der Auskunftsverpflichtung erfasst sind daher alle Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die eine Identifizierbarkeit eine Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw., nicht jedoch interne Vorgänge wie etwa Vermerke, sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, rechtliche Bewertungen oder Analysen. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“Das bedeutet, dass nicht alle Daten der betroffenen Person herauszugeben sind. Durch die Auskunftsanfrage sollten betriebsinterne Geschäftsgeheimnisse nicht gefährdet werden. Auch den Datenschutz für die Mitarbeiter ist bei einer Auskunft ebenfalls zu wahren.

Update April 2020: Das Landgericht München I hat entgegen diesem Urteil die Kopie von Aktenvermerkten und Notizen zugesagt. Das Urteil selbst ist chronologisch in der Auflistung eingebunden.
Verwaltungsgericht Koblenz
06.09.2019
Veröffentlichung von Lehrerbild im SchuljahrbuchFraglich bei dem Sachverhalt ist, ob eine Einwilligung seitens der Lehrer zur Veröffentlichung der Bilder im Schuljahrbuch nötig ist.

Nach Ansicht des Gerichts ist keine Einwilligung seitens des Lehrers einzuholen mit folgender Begründung:
– Der Lehrer konnte aus seinem Wissen davon ausgehen, dass bei einem Fototermin mit einem externen Fotografen die Bilder schulintern veröffentlicht werden
– Die Bilder sind im dienstlichen Sinne angefertigt worden und verletzt somit nicht seine Intims- und Privatsphäre
– Er gab seine Einwilligung „konkludent“, d.h. handelnd ab, als er sich zu der Schülergruppe dazu stellte, um abgelichtet zu werden
– Des Weiteren wurde das Jahrbuch nur einen begrenzten Personenkreis (Schüler) zugänglich gemacht
Es sollte dennoch der Einzelfall geprüft werden, ob eine Einwilligung benötigt wird. Des Weiteren sind die Lehrkräfte (aber auch Schüler) mittels der Informationspflicht nach Art. 13 ff. DSGVO darüber aufzuklären, wie ihre Daten und Bildern verarbeitet werden.
Europäischer Gerichtshof
24.09.2019
Löschung durch SuchmaschinenStellt eine Person Antrag auf Löschung der Suchergebnisse bei einer Suchmaschine zu seiner eigenen Person, hat diese dem nachzukommen. 
Allerdings müssen die Suchmaschinen die Löschungen nicht in allen Versionen in der Suchmaschine, also weltweit, vornehmen. 
Grund dafür ist, dass die DSGVO nur für europäische Länder gilt und nicht für die Welt. 
Das Recht auf Löschung und Vergessenwerden wird somit nicht weltweit erfolgen bzw. wird auch nicht seitens des EuGH verlangt.
Amtsgericht Wertheim
12.12.2019
Bußgeld wegen nicht ausreichender Auskunft nach Art. 15 DSGVODer Betroffene (Kläger) verlangte von einem Unternehmen Auskunft nach Art. 15 DSGVO.

Das Unternehmen kam jedoch der Auskunftserteilung nicht nach bzw. nur geringfügig. Vor allem die Herkunft der Daten wurden verschwiegen.

Das Amtsgericht sieht einen Verstoß gegen Art. 15 DSGVO begründet und verhängt ein Zwangsgeld von 15.000 €.
Die Prozesse rund um die Betroffenenrechte sollten klar definiert und kommuniziert werden.
Landgericht Köln
23.12.2019
Schmerzensgeld bei Namensnennung des LottogewinnersEin Lotterieveranstalter veröffentlichte den Vor- und Nachnamen des Lottogewinners. Da der Name des Gewinners besonders war, wussten bereits nach kurzer Zeit viele Leute in seinem Umfeld über den Gewinn Bescheid.

Daraufhin forderte der Gewinner die Unterlassung der Veröffentlichung und forderte zugleich Schmerzensgeld.

Das LG Köln gab dem Kläger recht, da dieser erhebliche Nachteile aus der Veröffentlichung seines Namens hatte.
In diesem Falle wäre eine Einwilligung für die Namensveröffentlichung sinnvoll gewesen.
Verwaltungsgericht Berlin
28.02.2020
Schüler kann nicht die „Bereinigung“ seiner Schülerakte bei Schulwechsel verlangenEin 13-jähriger Schüler verlangte die Bereinigung seiner Schulakte, um den Wechsel auf eine Privatschule nicht zu gefährden. In der Schulakte waren diverser Vermerke eingetragen, unter anderem, dass es nach einem gewalttätigen Zwischenfall der Schule verwiesen wurde.

Der Schüler wollte mit seiner Klage vermeiden, dass die staatliche Schulakte an die Privatschule übermittelt wird.

Das Gericht entschied jedoch, dass die Bereinigung nicht zulässig ist und die Schule für die Wahrung der Aufgaben die Schulakte übermitteln darf.
Amtsgericht Hannover
03.02.2020
Veröffentlichung von Fotos des Kindes ohne Zustimmung des Sorgeberechtigten nicht zulässigEin Vater stellte ohne die Zustimmung der sorgeberechtigten Großmutter Bilder seiner Tochter in Facebook online.

Die Erlaubnis der Großmutter ging nur dahingehend, dass Fotos von ihm und seiner Tochter zwar angefertigt werden dürfen, von der Veröffentlichung jedoch abzusehen ist.
Landgericht Heidelberg
21.02.2020
Keine Datenkopie aus Back-Ups bei AuskunftsgesuchDas Recht auf Datenkopie bei einem Auskunftsgesuch kann bei Back-Ups dahingehend verwehrt werden, wenn ein unverhältnismäßiger Aufwand entsteht.
Bundesverfassungsgericht
19.03.2020
Zentrale Speicherung von Patientendaten in anonymisierter Form zulässigDer Kläger, welcher an einer seltene Erbkrankheit leidet, erhob Klage, um gegen die Datenspeicherung für Forschungszwecke vorzugehen. Der Kläger befürchtet, dass seine Daten unsicher verarbeitet werden und er nicht mehr anonym bleibt.

Das Digitale-Versorgung-Gesetz erlaubt die Datenweitergabe in anonymisierter und pseudonymisierter Form durch die Krankenkasse an den Spitzenverband der Krankenkassen. Die Daten sollen vor allem für Forschungszwecke und insbesondere als Grundlage für politische Entscheidungen und zur Überprüfung der Gesundheitsversorgung dienen.

Das BVerfG lehnte den Antrag des Klägers ab. Das Gesetz sieht zwingend die sichere Datenverarbeitung und überwiegt die Interessen der Betroffenen.
Landgericht München 1
06.04.2020
Anspruch auf Kopien personenbezogener DatenIm Beratungsgespräch über Investments zwischen der Klägerin und Beklagten wurden Gesprächsnotizen seitens der Beklagten angefertigt.

Nachdem das Investment fehlschlug, verlangte die Klägerin Auskunft und Herausgabe ihrer Daten. Die Beklagte übermittelte Kopien der Stammdaten, jedoch nicht über die Notizen. Daraufhin wurde Klage erhoben.

Das LG München I bestätigte den Herausgabeanspruch der Klägerin. Die Beklagte habe neben den Daten, die zur Identifikation beitragen, auch die Daten herauszugeben, die Informationen über die Klägerin beinhalten, sprich die Telefon- und Aktennotizen.
Entgegen dem Urteil des AG München (September 2019) sieht das LG München I den Anspruch auf Kopien von sämtlichen Unterlagen (Vermerken, Notizen etc.) vor.

Ob ein immerwährender Anspruch auf Kopien besteht, wird sich ggf. noch durch andere Urteile zeigen.

Dennoch sind die Prozesse intern rund um die Betroffenenrechte klar zu definieren.

Auch sind die Mitarbeiter selbst dahingehend zu schulen, wie mit einer Auskunftsanfrage von intern oder extern umgegangen wird.
Landgericht Dresden
29.05.2020
Auskunftsanspruch von PatientenEine ehemalige Patienten verlangte Auskunftsanspruch nach Art. 15 DSGVO mit Kopien gegenüber einer Klinik.

Die Klinik verlangte die Kostenerstattung der Kopien. Die Patienten war der Auffassung, dass die Kopien kostenfrei zur Verfügung zu stehen sind.

Das Landgericht urteilte, dass die „Erstauskunft“ kostenlos zu erteilen ist. Erst bei wiederholten und weiteren Auskünften können die Kosten in Rechnung gestellt werden.
Bundesverfassungsgericht
23.06.2020
Kein Verpixeln von Fotos notwendigEin Fotograf sandte ein Bild eines vermutlich Ebola-Erkrankten an eine Zeitung.
Der Fotografierte verklagte daraufhin die Zeitung.

Das BVerfG entschied, dass das Foto ohne Unkenntlichmachung bzw. Verpixeln veröffentlicht werden durfte.

Vorhergehende Instanzen haben den Fotograf zu einer Geldstrafe, da dieser das KunstUrhG nicht beachtet habe. Des Weiteren habe der Fotograf die Persönlichkeitsrechte zu wahren, so die Vorinstanz.

Das BVerfG sieht dies anders. Die Zeitungsredaktion ist verantwortlich für die Wahrung der Persönlichkeitsrechte und nicht des Fotografen.
Bitte beachten Sie, dass es sich bei diesem Fall um eine journalistische Angelegenheit handelt.

Grundsätzlich ist die Einwilligung eines Betroffenen für die Fotoveröffentlichung einzuholen (Mitarbeiter, Teilnehmer etc.).

Eine Ausnahme besteht bei öffentlichen Veranstaltungen. Hier sind die Besucher über die Fotoanfertigung auf dem Gelände mittels der Informationspflicht zu informieren.
Oberverwaltungsgericht Lüneburg
22.07.2020
Übermittlung sensibler personenbezogener Daten per TelefaxSofern die Möglichkeit eines alternativen sicheren Übermittlungsweg zur Verfügung stehen, darf eine Behörde keine Bescheid per Fax mit sensiblen personenbezogene Daten übermitteln.

Das Gericht bestätigte, dass die Übermittlung per Fax kein angemessenes Schutzniveau für sensible personenbezogene Daten enthält. Des Weiteren besteht die Möglichkeit eines Eingabefehlers. Die Behörde hätte den Bescheid z.B. per Post übermitteln können.
Bundesgerichtshof
27.07.2020
Das Recht auf Löschung ist im Einzelfall zu prüfenDer Kläger verlangte von Google die Löschung von negativen Artikeln über seine geschäftlichen Tätigkeiten und seine Persönlichkeit.

Im vorliegenden Fall urteilte der BGH, dass das Recht auf Löschung im Einzelfall zu prüfen ist. Nach Ansicht des BGH ist abzuwägen, ob das persönliche Schutzinteresse gegenüber dem öffentlichen Interesse überwiegt. „Die Privatsphäre geht nicht immer vor“ heißt es im Urteil.

Die Entscheidung richtet sich zwar noch nach dem alten Datenschutz-Recht, ist jedoch auch auf neue Rechtslage anzuwenden.
Auch heutzutage ist das Fax noch ein beliebtes Übermittlungsinstrument.

Das Urteil kann auch für weitere Bereiche Auswirkungen haben z.B. für Ärzte, Anwälte, Steuerberater etc.

Im Einzelfall ist zu prüfen, ob die Übermittlung per Fax zulässig ist oder eine anderweitige sichere Kommunikation genutzt wird.
Amtsgericht Bonn
30.07.2020
Auskunftsanspruch nach Art. 15 – gehören auch Kontoauszüge und Bewegungen dazu?Der Kläger forderte von seiner ehemaligen Bank (Beklagte) seine Auskunft über seine Daten. Die Bank kam dem Auskunftsgesuch, verwehrte aber den Abzug seiner Kontoauszüge mit der Begründung, der Kläger führte zum damaligen Zeitpunkt ein Onlinekonto. Die Kontoauszüge konnte er über dieses abrufen und zusätzlich wurden die Auszüge nochmals per Post zugesandt.

Das Gericht entschied zu Gunsten des Klägers. Die Beklagte hat dem Kläger auch die Kontobewegungen zur Verfügung zu stellen, da das Auskunftsrecht als „allumfassend“.
Die Auslegung des Art. 15 DSGVO ist von Gericht von Gericht unterschiedlich (siehe bereits vorhergehende Urteile).

Somit ist immer im Einzelfall zu prüfen, inwieweit Kopien und Abzüge dem Betroffenen zur Verfügung zu stellen sind.

Im Zweifel ist die zuständige Aufsichtsbehörde zur Unterstützung und Einschätzung des Sachverhalts zu kontaktieren.
Bundesverwaltungsgericht
16.09.2020
Auskunftspflicht der FinanzbehördeEin Insolvenzverwalter beantragte den Auszug und damit die Auskunft über das Steuerkonto über den Schuldner.

Das Gericht verweigert zwar dem Insolvenzverwalter die Auskunft, da dieser als Dritter den Anspruch geltend machte.

Das Gericht betont jedoch, dass der Betroffene selbst seinen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der Finanzbehörde geltend machen kann.
In der Vergangenheit haben sich viele Finanzbehörden geweigert, Auskunft gegenüber dem Betroffenen zu erteilen.
Landgericht Lüneburg
05.01.2021
Schmerzensgeld wegen 20,00 € KontoüberziehungDer Kläger erhielt durch seine Bank einen Dispositionskredit, welcher seitens der Bank aus wichtigem Grund gekündigt wurde. Der Kredit wurde durch den Kläger beglichen, lediglich 20,00 € waren noch ausstehend.

Der Kläger zahlte jedoch den fälligen Betrag noch vor Ablauf der Frist.

Allerdings übermittelte die Bank bereits bei Kündigung die Negativ-Meldung an die Schufa.

Das Gericht sah die Mitteilung an die Schufa für rechtswidrig und sprach dem Kläger ein Schmerzensgeld in Höhe von 1.000,00 € zu.
Landgericht Essen
19.01.2021
Klarnamen in Bewertungsportalen zulässigEine Kundin einer Bäckerei hinterließ bei einem großen Suchmaschinendienst eine Bewertung für die Filiale und nannte auch den Namen einer Mitarbeiterin, mit welche sie nicht zufrieden war.

Die Mitarbeiterin verlangte daraufhin die Löschung der Bewertung aus der Suchmaschine. und erhob Klage.

Das LG Essen gab der Klägerin nicht recht. Das Gericht prüfte den Einzelfall und wägte zwischen der Meinungsfreiheit und Betroffenenrechten ab. In diesem Fall ist die Rezension nicht zu löschen, da die Verarbeitung rechtmäßig im Sinne der Ausübung der Meinungsfreiheit erfolgte.
„Ferner besteht auch ein schützenswertes Informationsrecht der Allgemeinheit durch potentielle weiterer Kunden des Cafés sowie ein Informationsrecht des Arbeitsgebers darüber zu erfahren, welcher seiner Mitarbeiter von den Kunden als freundlich oder unfreundlich empfunden werden.“, heißt es noch im Urteil.
Oberverwaltungsgericht Lüneburg
19.01.2021
Veröffentlichung von Gruppenfotos auf Facebook ohne Einwilligung nicht zulässigAuf einer öffentlichen Veranstaltung für den Bau einer neuen Ampelanlage im Jahr 2014 fanden sich unter anderem Anwohner, Mitarbeiter der Kommune und politische Vertreter teil.

Einer der Veranstaltungsteilnehmer nahm dabei ein Foto auf, auf welchem 30 – 40 Personen eindeutig erkennbar sind. Erst im Jahr 2018 wurde das Bild durch die Partei auf Facebook veröffentlicht. Ein Betroffener forderte die Partei dazu auf, das Bild zu löschen, da keine Einwilligung vorliegt. Weiterhin wurde Beschwerde bei der Aufsichtsbehörde eingereicht. Letztendlich wurde Klage beim zuständigen Gericht erhoben.

Mit Beschluss des OVG wurde erstmals seit Inkrafttreten der DSGVO eine klare Entscheidung bezüglich der Veröffentlichung von Fotos definiert. Das Gericht entschied, dass eine Einwilligung vorzuliegen hat.

Ein spannender und interessanter Fall, da die Aufnahme des Bildes und die Veröffentlichung zeitlich auseinanderliegen.

Mit diesem Beschluss wird nochmals eindeutig hervorgehoben, dass auch bei Gruppenbildern eine Einwilligung vorzuliegen hat.
Bundesozialgericht
20.01.2021
Elektronische Gesundheitskarte steht im Einklang mit der DSGVOZwei Kläger hatten die Befürchtung, dass die elektronische Gesundheitskarte und die damit verbundene Telematikinfrastruktur nicht datenschutzkonform sei und verlangten einen Nachweis auf Papier über die Leistungen.

Das Bundesozialgericht ist der Auffassung nicht gefolgt. Die Leistungsnachweise sind mit der elektronischen Gesundheitskarte nachzuweisen. Die Gesetze um die elektronische Gesundheitskarte und die Telematikinfrastruktur stehen im Einklang mit der DSGVO.
Amtsgericht Lehrte
03.02.2021
Anspruch auf Negativauskunft bei Auskunftsanfragen nach Art. 15 DSGVOMit Entscheidung des AG Lehrte erhalten die Betroffenen auch das Recht auf Negativauskunft über seine Daten.

Negativauskunft bedeutet, dass das Unternehmen nur die Daten der Anfrage selbst hat und sonst keine.
In der Praxis kommt es immer wieder vor, dass Betroffene nach ihren Daten anfragen, obwohl keine Daten bei der Institution gespeichert sind.

Das der Betroffene dennoch Anspruch auf eine Negativauskunft haben, wurde jetzt mittels Urteil gestärkt.
Bundesarbeitsgericht
27.04.2021
Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVODer Kläger war bei der Beklagten vom 1. bis 31. Januar 2019 als Wirtschaftsjurist beschäftigt. Mit seiner Klage hat er ua. Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten sowie die Überlassung einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO verlangt.

Die Klage auf Erteilung einer Kopie der personenbezogenen Daten des Klägers hat das
Arbeitsgericht abgewiesen. Das Landesarbeitsgericht hat ihr teilweise entsprochen und sie im Übrigen abgewiesen. Es hat angenommen, der Kläger habe zwar einen Anspruch auf Erteilung einer Kopie seiner personenbezogenen Daten, die Gegenstand der von der Beklagten Auskunft waren, nicht aber auf die darüber hinaus verlangten Kopien seines E-Mail-Verkehrs sowie der E-Mails, die ihn namentlich erwähnen. Die gegen die teilweise Abweisung seiner Klage gerichtete Revision des Klägers hatte vor dem Bundesarbeitsgericht keinen Erfolg.
Mit diesem Urteil wurde erstmals eine konkrete Grenze für den Umfang des Auskunftsrechts definiert.

Haftung

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Bundesgerichtshof
26.07.2018
Haftung und Betrieb eines Gäste-WLANsFolgende Punkte sollten bei Betrieb eines Gäste-WLANs beachtet werden: 
– es wird nicht zwischen WLAN und Kabelangebot unterschieden
– technische Trennung des Gäste-WLANs vom Unternehmensnetzwerk
– starkes Zugangspasswort wählen (ca. 12 Zeichen) 

Bei Verstößen ist der WLAN-Betreiber dazu verpflichtet, dies mittels technischen Mitteln zukünftig unterbinden zu können
Wir empfehlen zusätzlich Nutzungsbedingungen für den Nutzer bereit zu stellen, die er, bevor er aktiv das WLAN nutzen kann, akzeptiert. Des Weiteren ist das Verfahren des Gäste-WLANs im Verfahrensverzeichnis zu dokumentieren und auch die Gäste auch mittels der Informationspflicht zu informieren.

Informationspflichten nach Art. 13 und Art. 14 DSGVO

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Kammergericht Berlin
27.12.2018
Veraltete Datenschutzklausen von AppleFall aus dem Jahr 2011: Datenschutzklauseln wurden dennoch anhand der DSGVO gemessen, obwohl diese noch nicht in Kraft getreten war. 
Möglich war dies durch eine Unterlassungsklage für die Zukunft, da davon ausgegangen werden konnte, dass Apple zukünftig auch nochmal gegen den Datenschutz verstoße. 
Apple verlor den Prozess 
Fazit: Alte Datenschutzklauseln müssen sich heute am Maßstab der DSGVO messen lassen, wenn die Gefahr besteht, dass Unternehmen diese nochmals verwenden und damit gegen die DSGVO verstoßen.
„Alte“ Datenschutzklauseln auf Aktualität und DSGVO-Konformität prüfen.
Kammergericht Berlin
21.03.2019
Datenschutzerklärung von Google verstieß gegen DSGVODie Datenschutzerklärung und Nutzungsbedingungen aus dem Jahr 2012 werden heute noch verwendet und diese sind nicht mit der DSGVO vereinbar. 13 Klauseln hielt das KG für unwirksam, u.a. wurde der Eindruck erweckt, dass die Datenverarbeitung ohne Zustimmung des Kunden erlaubt ist. Die DSE war auch teilweise intransparent geschrieben.Revision nicht zulässig; Google hat jedoch beim BGH Nichtzulassungsbeschwerde eingelegt. Verfahrensgang beim BGH verfolgen.

Schadenersatz nach Art. 82 DSGVO / Schmerzensgeld

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Amtsgericht Diez
07.11.2018
Kein Schadenersatz nach der DSGVO bei bloßen BagatellverstößenDer Kläger verlangte 500 € Schmerzensgeld, da er eine unaufgeforderte Mail erhalten hat. Das Gericht wies die Klage zurück, da es durch den Datenschutzverstoß zu keiner erheblichen Beeinträchtigung gekommen ist.
Amtsgericht Bochum
11.03.2019
Schadenersatz ist nicht gleich BußgeldEine Dame wurde durch eine Betreuerin unterstützt. Die Betroffene klagte, dass ihre Betreuerin Daten an den Vermieter weitergegeben hat und verlangte nach Art. 82 DSGVO Schadenersatz. 
Die Klägerin konnte jedoch nicht beweisen, dass ihr ein materieller oder immaterieller Schaden entstanden sei. Daher wies das Gericht den Schadenersatzanspruch zurück. 

Verlangt ein Kläger Schadenersatz, so hat dieser zu beweisen, dass ihm ein Schaden (materiell oder immateriell) entstanden ist. 
Die Aufsichtsbehörden können Bußgeldern verhängen, ohne das ein Schaden eingetreten ist.
Mit dem Urteil wird der Unterschied zwischen Bußgeld und Schadenersatz deutlich abgegrenzt.
Arbeitsgericht Düsseldorf
05.03.2020
Schadenersatz wegen verspäteter und unvollständiger AuskunftsbeantwortungEin Mitarbeiter stellte eine Auskunftsanfrage bei seinem Arbeitgeber.

Der Arbeitgeber erteilte die Auskunft zu spät und auch noch unvollständig. Daraufhin verklagte der Mitarbeiter seinen Arbeitgeber nach Art. 82 DSGVO.

Das Düsseldorfer Gericht stimmte der Klage des Mitarbeiters zu und sprach diesem 5.000 € Schmerzensgeld zu.
Die Prozesse rund um die Betroffenenrechte sollten klar definiert werden.

Auch sind die Mitarbeiter selbst dahingehend zu schulen, wie mit einer Auskunftsanfrage von intern oder extern umgegangen wird.
Amtsgericht Pforzheim
25.03.2020
Schadensersatz wegen unerlaubter Datenweitergabe durch PsychotherapeutenDer Kläger begehrte Schadensersatz seitens des Psychotherapeuten wegen folgendem Sachverhalt. Die damalige Ehefrau des Klägers befand sich in Behandlung beim Beklagten. In den Gesprächen wurden auch die Eheprobleme aufgenommen und dokumentiert. Der Kläger stellte sich auch auf Bitten des Beklagten in der Praxis für ein Gespräch vor. Während des Gesprächs verfasste der Beklagte eine umfangreiche Dokumentation.

Es kam anschließend zur Trennung zwischen dem Kläger und seiner Frau. Bezüglich des Umgangsverfahrens übermittelte der Beklagte dem Rechtsanwalt der Ehefrau eine ausführliche Stellungnahme über den Ehemann (Kläger). Somit erhielten sämtliche Prozessbeteiligte die Informationen.

Daraufhin erhob der Kläger Klage und erhielt Zuspruch. Der beklagte Psychotherapeut übermittelte unzulässigerweise sensible Daten an einen unberechtigten Dritten.
Der Kläger erhielt 4.000 € als Schadenersatz.
Dieses Urteil zeigt deutlich, dass ernste Konsequenzen bei der unberechtigten Übermittlung an Dritte zur Folge hat.

Es ist daher immens wichtig, zuvor zu prüfen, ob die Daten weiter übermittelt werden dürfen oder nicht.
Amtsgericht Frankfurt
10.07.2020
Schadensersatzanspruch nur bei ernsthaften BeeinträchtigungenBei der Speicherung der Buchungsdaten im Registrierungssystem einer Hotelkette kam es zu einer Datenpanne. Dabei waren die Daten der Gäste im Internet frei einsehbar. Ein Gast stellte daraufhin ein Auskunftsgesuch beim Hotel und verlangte auch Information darüber, welche Daten durch Dritte eingesehen werden konnten.

Die Auskunftsanfrage wurde seitens des Hotels verspätet und unvollständig laut dem Kläger übermittelt.

Mit dieser Auffassung wandet sich der Kläger an das Gericht und verlangt Schadensersatz, da er ein Unbehagen habe.

Das Gericht bestätigt den Datenschutzvorfall an sich. Die Daten waren nicht ausreichend geschützt. Den Schadenersatzanspruch wies das Gericht jedoch ab. Die Begründung für den Anspruch reicht nicht aus, da keine konkrete Beeinträchtigungen vorliegen.
Amtsgericht Hildesheim
05.10.2020
Schadensersatz wegen nicht gelöschter Daten auf AltgerätenDer Kläger erwarb einen PC bei der Beklagten und speicherte dort seine privaten Daten ab. Nach einiger Zeit entstanden technische Probleme und der PC wurde zur Reparatur an die Beklagte übergeben. Dem Kunden wurde ein gleichwertiges Produkt übermittelt.

Nach der Reparatur des PCs führte die Beklagte den internen Wiederaufbereitungsvorgang durch. Es wurde dabei übersehen, dass die Daten des Klägers noch auf der Festplatte hinterlegt waren. Der PC wurde dann an einen Dritten veräußert. Dieser konnte dann u.a. die Steuererklärung des Klägers einsehen.

Das AG verurteilte das Unternehmen zur Zahlung von 800,00 € Schmerzensgeld, da die Daten ohne Einwilligung des Klägers an einen Dritten übermittelt wurden.

Die Beklagte hätte die Festplatte vor der Veräußerung prüfen und die darauf befindlichen Daten datenschutzkonform löschen oder überschreiben müssen.
Landgericht Köln
07.10.2020
Kein Schadenersatz bei BagatellverstößenEine Mutter hatte ein Bankkonto bei einer Bank, welches durch einen Rechtsanwalt als bestellter Betreuer verwaltet wurde. Die Kontoauszüge wurden bis zum Tod der Mutter im Jahr 2015 an den Anwalt übermittelt.

Nach dem Tod der Mutter wurde das Konto auf die Tochter umgeschrieben, jedoch die Versandadresse für die Kontoauszüge nicht. Somit erhielt der Anwalt die Kontoauszüge weiterhin. Als er dies bemerkte, sandte er diese an die Tochter weiter.

Aufgrund des Fehlversands erhob die Frau Klage und forderte Schmerzensgeld in Höhe von 25.000,00 € ein, da ihr „schlimme“ Folgen daraus entstanden sind.

Das LG sieht hier keinen schwerwiegenden Datenschutzverstoß, da keine konkreten Nachweise für einen immateriellen Schaden vorliegen und der Fehlversand als Bagatelle anzusehen ist.
Auch das Amtsgericht Diez entschied bereits im Jahr 2018 ebenfalls über einen Bagatellfall.

Ein Bußgeld kann gegen die Bank durch die Aufsichtsbehörde dennoch erlassen werden.

Dieser Fall zeigt, dass nicht jeder Datenschutzverstoß automatisch zu Schadenersatzansprüchen führt, sondern der Einzelfall immer zu betrachten ist.
Arbeitsgericht Dresden
11.2020
Schadenersatz wegen Weitergabe von GesundheitsdatenDie Prokuristin eines Unternehmens hat per E-Mail an die Ausländerbehörde und die Arbeitsagentur mitgeteilt, dass der Arbeitnehmer erkrankt sei und seiner Meldepflicht nicht nachkam.

Seitens der Ausländerbehörde wurde die Wohnanschrift des Beschäftigten erfragt.

Das Gericht sieht darin eine Verletzung der Persönlichkeitsrechte des Arbeitnehmers und sprach diesem Schadenersatz in Höhe von 1.500,00 € zu.

Der Begriff „krank“ ist somit als Gesundheitsdatum einzuordnen.

Das Gericht ist der Ansicht, dass die Adresse ganz einfach bei der Meldehörde erfragt werden hätte können. Des Weiteren wurde wohl ggf. der Eindruck gegenüber der Arbeitsagentur erweckt, der Arbeitnehmer habe Verstöße gegen seine Meldepflicht begangen.

Letztendlich sollte der Arbeitnehmer die Kontrolle über die Datenweitergabe besitzen.
Landgericht Landshut
06.11.2020
Schadenersatz gegenüber externen DatenschutzbeauftragtenDer Kläger ist Eigentümer einer Wohnung und machte einen Schadenersatzanspruch gegen die Hausverwaltung geltend. Er war der Auffassung, dass sein Name in dem Rundschreiben an übrigen Eigentümer bezüglich des Befalls nicht veröffentlicht werden hätte dürfen und forderte Schadenersatz seitens der Hausverwaltung und deren Datenschutzbeauftragten.

Dem Kläger sei dadurch ein immaterieller und materieller Schaden entstanden, welchen er jedoch nicht belegen konnte.

Die Schadenersatzforderung gegen den Datenschutzbeauftragten wurde abgelehnt, da dieser nicht als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO haftet und in Betracht kommt.
Dieses Urteil zeigt klar auf, dass der Verantwortliche stets für Datenschutzvorfälle haftet und nicht der DSB selbst.

Dennoch sollte der DSB eine Vermögensausfallsversicherung oder Berufshaftpflicht besitzen.
Oberlandesgericht Stuttgart
31.03.2021
Schadenersatz nur bei nachweislich erlittenen Schaden Ein Kunde verklagte die Tochtergesellschaft eines Kartenzahlungsanbieters. Durch einen Hackerangriff Mitte Mai 2019 wurden personenbezogene Daten des Kunden abgegriffen und veröffentlicht.

Daraufhin verlangte der Kläger Schmerzensgeld, weil die Beklagte sein Auskunftsgesuch zu spät beantwortete und die TOMs nicht dem aktuellen Stand der Technik entsprachen.

Das OLG wies die Klage als unbegründet ab. Der Kläger konnte seinen erlittenen Schaden bzw. die daraus entstandenen Nachteile nicht darlegen und nachweisen.
Mit diesem Urteil wurde klargestellt, welche Grundsätze zur Darlegungs- und Beweispflicht zu erbringen sind.

Social-Media

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Europäischer Gerichtshof
05.06.2018
Facebook Unternehmensseiten /Fanpages – wer ist verantwortlich?Der EuGH urteilte, dass der Facebook-Seitenbetreiber und Facebook selbst gemeinsame Verantwortliche in Bezug auf die Insight-Daten sind. Facebook hat eine Vereinbarung gem. Art. 26 DSGVO vorzulegen1.Rechtsgrundlage für den Betrieb einer Facebook-Seite definieren (meist Art. 6 Abs. 1 lit. f DSGVO) 
2. Datenschutzerklärung auf der Webseite um die Social-Media-Aktivität ergänzen
Datenschutzerklärung und das Impressum in Facebook und anderen sozialen Netzwerken verlinken

Update 01.04.2019: Die DSK hält den Betrieb einer Facebook-Page aktuell für rechtswidrig.
Bundesgerichtshof
13.12.2018
Datenübermittlung von Facebook an Betreiber kostenloser ComputerspieleDer Kläger (Dachverband und Verbraucherzentrale) macht geltend, die Einverständniserklärung der Nutzer sei unwirksam, weil die hierzu gegebenen Hinweise zur notwendigen Information der Nutzer ebenso unzureichend seien wie der Link auf die Allgemeinen Geschäfts- und Datenschutzbestimmungen des jeweiligen Spiele-Betreibers. Auch sei der bei einem der Spiele gegebene Hinweis auf die Übermittlung von Daten eine den Verbraucher unangemessen benachteiligende und intransparente Geschäftsbedingung.Das Verfahren ist aktuell beim EuGH anhängig, eine endgültige Entscheidung ist noch ausstehend
Bundesverwaltungsgericht
11.09.2019
Datenschutzbehörden können Betrieb von Facebook-Fanpages untersagenDas BVerwG entschied, dass die Aufsichtsbehörden den Betrieb einer Facebook-Fanpage untersagen dürfen. Allerdings hat das OLG Schleswig-Holstein die endgültige Entscheidungsbefugnis darüber.Die endgültige Entscheidung trifft das OLG Schleswig-Holstein.
Bundesgerichtshof
10.12.2020
YouTube ist nicht zur Datenherausgabe bei Urheberrechtsverstößen verpflichtetNutzer, die urheberrechtlich geschütztes Material bei YouTube hochladen, begehen zwar einen Verstoß. Der BGH urteilte jedoch, dass die Herausgabe der IP-Adresse, E-Mail-Adresse, Telefonnummer etc. gegenüber den Urheberrechtsinhaber im Rahmen einer Auskunft nicht nötig ist.

Damit setzt der BGH dem urheberrechtlichen Auskunftsrecht eine klare Grenze.
KalifornienFacebook muss Schmerzensgeld wegen automatischer Gesichtserkennung zahlenFacebooks automatische Gesichtserkennung führt nun zur Zahlung von 650 Mio. Dollar an die Kläger.

Die automatische Gesichtserkennung war ohne Einwilligung der Nutzer erfolgt und konnte nur durch ein Opt-out unterbunden werden.

Dies wurde durch die Kläger bemängelt und gingen vor Gericht.

Videoüberwachung / Videokameras / Videoaufzeichnungen / Drohnen

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Oberverwaltungsgericht HamburgGesichtserkennung zulässig oder nicht (G20-Gipfel)?Der Innensensator verklagt Hamburgischen Datenschutzbeauftragten, weil dieser die Löschung der Videoaufnahmen mit Gesichtserkennung um den G20-Gipfel verlangt.Das Verfahren ist weiter zu verfolgen. 

Leider ist kein Aktenzeichen oder Urteil selbst zu finden.
Amtsgericht Riesa
24.04.2019
Drohne darf unter gewissen Umständen abgeschossen werdenEin Mann schoss auf die über seinem Grundstück aufnehmende Drohne. Der Schütze wurde zu einem Schadenersatzanspruch von 1.500,00 € belangt. Dieser ging vor Gericht und erhielt Recht. Der Schütze trug vor, dass sein Persönlichkeitsrecht und das seiner Kinder verletzt worden sei. 
Das Gericht bestätigte dies und berief sich wegen den Abschusses auf § 229 BGB (Selbsthilfe).
Bundesverwaltungsgericht
27.03.2019
Videoüberwachung in Zahnarztpraxis unzulässigVideoüberwachung in einer Zahnarztpraxis, die ungehindert betreten werde kann, unterliegt strengen Anforderungen. 
Hintergrund der Überwachung: Empfangstresen ist nicht besetzt, Zahnärztin kann in Echtzeit auf einem im Behandlungszimmer aufgestellten Monitor den Bereich überwachen. 

Anweisung der Aufsichtsbehörde: Ausrichtung der Videokamera, dass Patienten und sonstige Besucherbereiche, Flur zwischen Tresen und Wartezimmer nicht mehr erfasst werden. 

Entscheidung des Gerichts: DSGVO nicht anwendbar, Kamera-Monitoring-System setzt berechtigtes Interesse voraus, was im vorliegenden Fall nicht ersichtlich ist.
Das Urteil zeigt auf, dass § 4 BDSG-neu somit europarechtswidrig ist. Die DSGVO regelt die Videoüberwachung auch durch private Anwender abschließend. Somit wird durch das Urteil das Videoüberwachungsgesetz gestoppt.
Amtsgericht München
28.05.2019
Videoüberwachung im Gemeinschaftsbereich (Dieser Fall beschäftigt sich zwar mit dem Mietrecht, jedoch aus Sicht der DSGVO ist eine Persönlichkeitsverletzung nach sich)Dieser Fall beschäftigt sich zwar mit dem Mietrecht, jedoch aus Sicht der DSGVO ist eine Persönlichkeitsverletzung nach sich. Es wurde ein Untermietvertrag geschlossen, in welchem auf die Videoüberwachung VOR der Haustüre hingewiesen wurde. In Wirklichkeit wurde jedoch der Gemeinschaftsbereich im Hausflur der WG permanent überwacht. Somit konnte eingesehen werden, wer wann das Badezimmer oder die Küche aufsucht.Eine Videoüberwachung in Hausfluren ist nur für kurze Zeit und zur Aufklärung eines Sachverhalts (z.B. Schließen der Haustüre, ordnungsgemäße Trennung des Hausmülls) gestattet. Eine permanente Überwachung ist somit ausgeschlossen und rechtswidrig. 
Oberlandesgericht Dresden
24.09.2019
Zulässigkeit von heimlichen Videoaufnahmen zur Aufdeckung von Missständen in PflegeheimenIm vorliegenden Sachverhalt klagten zwei Mitarbeiter eines Pflegeheims, welche heimlich gefilmt und aufgenommen wurden. Die Aufnahmen wurden später in einer Sendung Privatfernsehens ausgestrahlt.

Bei heimlich aufgenommen Bild- und Tonmaterial kann grundsätzlich von einer Unzulässigkeit ausgegangen werden.
Allerdings können bei Verfremdung der Stimme und Verpixeln der Beteiligten nach der Interessensabwägung die Aufnahmen zulässig sein.
Landesarbeitsgericht Rostock
24.10.2019
Schadenersatz wegen Videoüberwachung am ArbeitsplatzEin Tankstellenbetreiber überwachte den Kassenarbeitsplatz und nicht-öffentlich zugängliche Räume mittels Videoüberwachung. 
Hintergrund der Videoüberwachung war die Beschäftigten kontrollieren zu können. 
Daraufhin klagte ein Angestellter und bekam Recht. Die Videoüberwachung im nicht-öffentlichen Bereich und im Kassenbereich ist unzulässig bzw. anlasslos.
Bevor eine Videoüberwachung überhaupt angebracht wird, sind einige Voraussetzungen zu prüfen und zu beachten. 
Verwaltungsgericht Regensburg
06.08.2020
Videoüberwachung einer öffentlich zugänglichen Parkanlage / öffentlichen GartensDie Stadt Passau lässt aufgrund wiederkehrenden Vandalismus, BtMG-Verstößen und zur Verhinderung von weiteren Straftaten einen öffentlich zugänglichen Park mittels Videokameras überwachen.

Vor der Anbringung der Videoüberwachung wurde darüber ausführlich in Sitzungen diskutiert und auch die Situation abgewogen. Nach der Einschätzung der Stadt und des Datenschutzbeauftragten ist die Videoüberwachung zulässig.

Auf der Webseite der Stadt sind neben der ausführlichen Stellungnahme auch das Sicherheitskonzept, die Standortübersicht, die Datenschutzhinweise, Datenblätter der Kameras und weitere Dokumente öffentlich zugänglich und abrufbar.

Dennoch erreichte die Stadt eine Unterlassungsklage für die Videoüberwachung. Der Kläger fühlte sich in seinen Persönlichkeitsrechten verletzt, wenn er den Park passierte oder dort verweilte.

Das Gericht wies die Klage ab. Die ausführliche Begründung und Darlegung des Sachverhalts für die Videoüberwachung erkannte das Gericht an. Des Weiteren sieht das Gericht das Recht auf informationelle Selbstbestimmung nur tangiert, aber nicht verletzt.
Landgericht Frankenthal
16.12.2020
Anbringen einer Videoüberwachung am Haus verletzt das PersönlichkeitsrechtEin langjähriger Nachbarschaftsstreit führte dazu, dass ein Nachbar an seinem Haus eine Videokamera über seine Grundstücksgrenzen hinaus, installierte. Er befürchtete, dass der Nachbar unbefugt auf sein Grundstück tritt.

Der andere Nachbar akzeptierte dies nicht und sah darin eine Verletzung seines Persönlichkeitsrechts und Privatsphäre.

Das LG urteilte, dass eine Videoüberwachung nur über das eigene Grundstück zulässig ist. Sofern Nachbargrundstücke erkennbar sind, ist dies nicht zulässig.
Auch wenn die DSGVO nicht für Privatleute gilt, so ist eine Klage auf das allgemeine Persönlichkeitsrecht möglich.

Deshalb sollte auch im privaten Bereich bei Anbringung einer Videokamera die datenschutzrechtlichen Vorgaben beachtet werden.
Verwaltungsgericht Köln
19.01.2021
Videoüberwachung am Breslauer Platz in Köln nicht rechtensIm besagten Raum wurde aus Gründen der dort stattfindenden und anhaltenden Kriminalität eine Videoüberwachung installiert. Nur so sei es möglich diese zu verfolgen und aufzudecken. Die Überwachung wurde im Jahr 2019 auch auf andere Bereiche ausgeweitet (Neumarkt, Breslauer Platz, Wiener Platz, Ebertplatz).

Ein betroffener Bürger begehrte die Unterlassung der Videoüberwachung während des Lock-Downs und reichte einen Eilantrag beim Verwaltungsgericht ein.

Das Verwaltungsgericht gab dem Antrag statt. Beim Breslauer Platz liege kein Kriminalitätsschwerpunkt vor. Eine Videoüberwachung wäre nur zulässig, wenn es dort zu zahlreichen Straftaten kommt. Im Bereich des Breslauer Platzes ging die Kriminalitätsrate seit dem Jahr 2015 um ca. 50 % zurück. Zumal auch die dortige Wache der Bundespolizei eine abschreckende Wirkung hat.

Somit ist die Videoüberwachung erst einmal einzustellen.
Dieser Fall zeigt eindeutig, dass eine Videoüberwachung im öffentlichen Bereich gut vorbereitet und begründet sein muss. Bei einzelnen Vorfällen ist keine Videoüberwachung gerechtfertigt.

Des Weiteren müssen vor einer Videoüberwachung sämtliche Alternativen („mildere Mittel“) ausgeschöpft und erprobt sein.

Webseiten / Cookies / Datenschutzerklärung

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Oberlandesgericht Köln 
11.03.2016
Zustimmung zur Datenschutzerklärung beim Kontaktformular mittels CheckboxEine Checkbox für die Zustimmung zur Datenschutzerklärung ist beim Kontaktformular nicht notwendig.Prüfung der Webseite, ob eine Checkbox beim Kontaktformular eingebunden ist. Wenn ja, den Webseitenbetreiber darüber informieren, dass dies nicht nötig ist.
Europäischer Gerichtshof
19.10.2016
IP-Adressen sind personenbezogene DatenIP-Adressen sind personenbezogene Daten, wenn Webseitenbetreiber den User dadurch identifizieren kann.Sofern IP-Adressen eingesehen werden können, sind diese im Verfahrensverzeichnis zu dokumentieren. Die Datenschutzerklärung ist ebenfalls zu ergänzen.
Verwaltungsgericht Bayreuth
08.05.2018
Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten (Facebook Custom Audience)Der Einsatz des Facebook-Custom-Audience (CA) ist ohne vorherige Einwilligung des Betroffenen nicht möglich.DSGVO-konforme Einwilligung einholen. Weitere Hinweise zur Umsetzung werden im Ergebnisbericht der Webseitenprüfung des BayLDA genannt
Verwaltungsgerichthof München
26.09.2018
Übermittlung gehaster E-Mail-Adressen an soziale Netzwerke (Facebook Custom Audiences from File) ohne Einwilligung nicht zulässigUpload von E-Mail-Adressen ohne Einwilligung der Kunden ist kein berechtigtes Interesse am Direktmarketing. Der Betroffene hat bei einem Bestellvorgang nicht damit zu rechnen, dass die angegebene E-Mail-Adresse an Facebook übermittelt wird . Das Facebook-CA stellt keine Auftragsverarbeitung dar. 
Das Urteil betrifft insbesondere Onlineshops, da die Shopbetreiber selbst den Zugang zu den Daten gewähren und einfädeln.
Bei Einsatz von CA: 
1. Prüfung, ob Einwilligung vorliegt ; wenn nicht, Zielgruppe umgehend löschen –> Bußgelder 
2. Einwilligung einholen: 
– keine vorausgefüllte Check-Box (Opt-Out) 
– besser: Opt-In
Erhalt des Newsletter nicht von Einwilligung abhängig machen
– jederzeitiger Widerruf muss möglich sein
Landgericht Würzburg
13.09.2018
Abmahnung bei Webseiten ohne https-Verschlüsselung auf die DSGVO zulässigDas Gericht urteilt, dass http nicht mehr den Stand der Technik entspricht und daher die Abmahnung für gerechtfertigt ist.1. Prüfen, ob Webseite https verschlüsselt ist
2. Prüfen, ob eine automatische Weiterleitung auf https erfolgt, wenn nur http eingegeben wird
Europäischer Gerichtshof
29.07.2019
Mitverantwortung bei Verwendung des Facebook Like-Buttons (Gefällt-mir-Button) und Cookie-HinweiseWebseitenbetreiber, die den Like-Button auf der Webseite mit einbinden sind nach Auffassung des EuGH gemeinsam verantwortlich für die Erhebung und Übermittlung der Webseitenbesucher. Der Webseitenbetreiber stellt Facebook die Daten zur Verfügung. Neben der Facebook-Fanpage ist somit eine weitere gemeinsame Verantwortlichkeit vorliegend. 

Werden Social-Plugins, Videos und Tracking-Tools eingesetzt ist zwingend eine Einwilligung erforderlich. Das bedeutet, dass Cookie-Opt-In verpflichtend werden. 
Weiterhin entschied der EuGH, dass Verbände Datenschutzverstöße abmahnen dürfen.
Nach enger Auslegung des Urteils ist somit die Verwendung des Like-Buttons rechtswidrig, da keine Vereinbarung über die gemeinsame Verantwortlichkeit vorliegt (vgl. Situation mit Facebook-Fanpages). Das LG Düsseldorf hat als Vorinstanz bereits geurteilt, dass die Einbindung von Social-Media-Plugins rechtswidrig ist. Das OLG Düsseldorf hat nun noch die endgültige Entscheidung zu treffen. 
Europäischer Gerichtshof
01.10.2019
Cookies und Cookie- Einwilligungen (Planet 49)Der EuGH hat entschieden, dass eine Einwilligung, beim Setzen von Cookies zum Speichern und Auslesen von Daten, nötig ist. 
Das bedeutet, dass keine Vorauswahl bei den Feldern getroffen werden darf. 
Eine Einwilligung ist nicht nötig, wenn bspw. technisch notwendige Cookies oder Cookies für die Darstellung der Webseite gesetzt werden. 
Sofern jedoch Cookies zu Werbe- und Analysezwecken gesetzt werden, ist eine Einwilligung Pflicht. Die sog. „Einwilligungs-Banner“ müssen gesetzt werden, sofern eine Einwilligung benötigt wird.
Der Datenschutzbeauftragte von Baden-Württemberg hat zum Thema Cookies und Opt-In eine Hilfestellung veröffentlicht. 
Landgericht Rostock
15.09.2020
Aktive Einwilligung des Nutzers bei Analyse- und Trackingtools auf der WebseiteAuf der Webseite von advocado.de wurde durch den Webseitenbetreiber bereits eine Vorauswahl der zustimmungspflichtigen Cookies gesetzt. Auf der Webseite werden folgende Cookie-Kategorien genutzt: „Notwendig“, „Präferenzen“, „Statistiken“, „Marketing“.

Die Verbraucherzentrale forderte den Betreiber dazu auf, diese Vorauswahl zu unterlassen. Des Weiteren bemängelte die Verbraucherzentrale die Gestaltung des Banners selbst. Die Schaltfläche „Cookies zulassen“ war farblicher hervorgehoben als der Schalter „nur notwendige Cookies“.

Das Gericht hielt sich hier an das bereits erlassene EuGH-Urteil. Eine Vorauswahl von einwilligungsbedürftigen Cookies ist nicht zulässig.
Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden.

Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen.
Landgericht Köln
29.10.2020
Einwilligungsbedürftige Cookies dürfen nur mit Einwilligung gesetzt werdenDer EuGH sowie BGH haben bereits über die Tatsache entschieden, dass nicht technisch notwendige Cookies einer Einwilligung bedürfen.

Im vorliegenden Fall beantragt der Kläger eine einstweilige Verfügung gegen den Beklagten, da dieser Cookies ohne vorherige Einwilligung setzte.

Das Gericht gab dem Antrag statt. Weiterhin stellte das Gericht klar, dass Cookie-Banner mit vorausgewählten Häkchen oder lediglich über den Einsatz von (einwilligungsbedürftigen) Cookies informieren, nicht ausreichen.
Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden.

Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen.

Werbung / Marketing / Gewinnspiele

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Bundesgerichtshof
10.07.2018
Kundenzufriedenheitsbefragung ohne EinwilligungVersand von Kundenzufriedenheitsbefragungen fallen unter (Direkt-)Werbung, wenn die E-Mail mit der Rechnung des Produktes versandt wird.DSGVO-konforme Einwilligung der Betroffenen für den Zweck der Werbung einholen
Landgericht Frankenthal
10.07.2018
Haftung von Unternehmen bei Beauftragung von Dienstleistern für WerbemailBeauftragen Unternehmen für das Versenden von Werbemails einen Dienstleister, müssen sich beide Parteien eventuelle Rechtsverstöße zurechnen lassen. Das kann schnell teuer werden: Unverlangt erhaltene Werbemails sind eine unzumutbare Belästigung, die eine Abmahnung oder Klage zur Folge haben kann.Prüfung sollte erfolgen, ob DSGVO-konforme Einwilligungen für die Werbemails vorliegen
Oberlandesgericht Nürnberg
15.01.2019
Werbebanner / -anzeigen in kostenlosen E-Mail-PostfächernDie Telekom bietet kostenlose E-Mail-Postfächer an. In diesen werden dem Nutzer jedoch Werbeanzeigen in Form von E-Mails angezeigt und übermittelt.

Die Vorinstanz (LG Nürnberg) entschied, dass die Werbeanzeigen innerhalb der Postfächer als unzumutbare Belästigung einzuordnen ist.

Das OLG Nürnberg entschied dagegen. Die Werbeanzeige hebt sich deutlich von den „normalen“ durch Kennzeichnung mit „Anzeige“ und grauer Schattierung hervor. Das Gericht sieht auch den Begriff der „elektronischen Post“ mit dieser Vorgehensweise als nicht erfüllt an, weshalb eine unzumutbare Belästigung nicht gerechtfertigt ist.
Der Sachverhalt wurde mittels Revision an den BGH übergeben.

Sofern das Urteil des BGH vorliegt, erfolgt ein entsprechendes Update.
Oberlandesgericht Hessen
16.05.2019
Bewertungsabgabe als Teilnahmevoraussetzung bei GewinnspielenDas Gericht entschied, dass eine positive Bewertung eines Unternehmens nicht als Teilnahmevoraussetzung für ein Gewinnspiel abgegeben werden darf. 

Auch wenn keine Vorgaben zur Bewertung gemacht werden, sind diese nicht als Teilnahmevoraussetzung zu integrieren.
Was es bei Gewinnspielen rechtlich und datenschutzrechtlich zu beachten gibt, haben wir in einem Blogartikel zusammengefasst:  Facebook-Gewinnspiele – was ist zu beachten? 
Oberlandesgericht Frankfurt
26.06.2019
Gewinnspiele mit irreführender Werbung nicht zulässigEin Händler für Whirlpool veranstaltete ein Gewinnspiel. Für jede Aktion erhielt der Teilnehmer ein Los. Unter anderem konnten die Teilnehmer positive Bewertungen zum Unternehmen abgeben, um ihre Gewinnchance zu erhöhen. Bereits das LG Frankfurt am Main (3-6 O 37/18) untersagte diese Methode, nachdem ein Mitbewerber geklagt hatte. Auch das OLG ist der Auffassung. Die bereits verfassten Rezensionen sind für die Werbemaßnahme nun gesperrt.Veranstaltung von Gewinnspielen im VVZ aufnehmen und deren Ablauf beschreiben; Teilnahmebedingungen prüfen.
Oberlandesgericht Frankfurt
27.06.2019
Teilnahme an einem Gewinnspiel von Einwilligung in zukünftige E-Mail-WerbungDas OLG Frankfurt urteilte, das die Teilnahme an einem Gewinnspiel von der Einwilligung zur E-Mail-Werbung abhängig gemacht werden darf. 

Die Begründung: „Die Einwilligungserklärung ist dann noch ausreichend transparent, wenn sich acht Co-Sponsoren auf der Sponsoren-Liste im Rahmen der Einwilligungsliste finden. Für die hinreichende Bestimmtheit der Einwilligungserklärung reicht aus, wenn die sachliche Reichweite mit „Strom & Gas“ angegeben wird. Die Angabe „Marketing und Werbung“ dürfte eher unwirksam sein, da sie nicht ausreichend bestimmt ist“.
Die Datenbeschützerin ist nicht dieser Ansicht und empfiehlt sich immer die „wirkliche“ Einwilligung, unabhängig des Gewinnspiels für Werbeversand geben zu lassen! Nach unserer Auffassung widerspricht das Urteil dennoch dem Kopplungsverbot!
Oberlandesgericht Düsseldorf
19.09.2019
„Service Calls“ von Versicherungsunternehmen ist als Werbung einzustufenEin Versicherungsmakler rief einen Kunden an, um ihn ein neues Angebot zu unterbreiten.

Es lag für die „Service Calls“ auch keine Einwilligung vor. Der Kunde fühlte von den Anrufen belästigt und gab den Sachverhalt an das Gericht weiter.

Das Gericht sieht die „Service Calls“ als Werbung nach § 7 UWG an. Das bedeutet, dass eine Einwilligung seitens des Kunden einzuholen ist.
In unserem Blogartikel haben wir uns dem Thema Werbung und Datenschutz gewidmet. In diesem können Sie nachlesen, von welchen Zielgruppen Sie eine Einwilligung benötigen oder nicht.

TOMs

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Verwaltungsgericht Mainz
17.12.2020
Transportverschlüsselung auch bei Berufsgeheimnisträgern ausreichendDie Aufsichtsbehörde verwarnte einen Rechtsanwalt, welcher eine Mail mit personenbezogenen Daten nur mittels Transportverschlüsselung versandte. Der Anwalt klagte jedoch beim VG Mainz.

Das Gericht sieht die Transportverschlüsselung als ausreichend nach Art. 32 DSGVO an, auch bei Berufsgeheimnisträgern.

Einer Ende-zu-Ende-Verschlüsselung bedarf es jedoch bei Anhaltspunkte für die Schutzwürdigkeit der personenbezogenen Daten.
Mit diesem Urteil stellt ein Gericht erstmals klar, wann eine Transportverschlüsselung ausreichend ist und wann nicht.

Jedem Verantwortlichen ist gut geraten, wenn er vor Versand der Mail nochmals prüft, um welche Daten es sich dabei handelt.
Bundesgerichtshof
22.03.2021
Derzeitige Verschlüsselung des elektronischen Anwaltspostfachs (beA) sicherRechtsanwälte forderten von der Bundesrechtsanwaltskammer die Einführung einer Ende-zu-Ende-Verschlüsselung für das beA. Die Anwälte sahen bei derzeitigen Verschlüsselung die Verletzung der Vertraulichkeit der Kommunikation und im Mandantenverhältnis.

Der BGH urteilte, dass kein Anspruch auf eine bevorzugte, hier Ende-zu-Ende-Verschlüsselung, besteht. Die aktuelle Sicherheitsmaßnahmen ist nach Ansicht des BGH ausreichend.

Sonstige Urteile

Gericht und Datum des UrteilsThemaZusammenfassungHinweise / Empfehlungen der Datenbeschützerin
Landgericht Hamburg
02.03.2017
Datenschutzverstöße können bei Wettbewerbern abgemahnt werden
Datenschutzverstöße können insoweit abgemahnt werden, wenn die „Marktverhaltensregeln“ (vgl. § § 4, 4a und 28 Abs. 7 BDSG iVm. § 3a UWG) nicht eingehalten werden.
Bundesgerichtshof
12.06.2018
Zugriff auf digitalen NachlassNach dem Tod einer Facebook-Nutzerin möchten die Erben (Eltern) Zugriff auf das Konto und die Nachrichten. Facebook verweigerte den Zugriff. 
Der BGH äußert sich dazu, dass die Gesamtrechtsnachfolge erfasst wird und auch der digitale Nachlass auf die Erben übergeht. 
Facebook hat den Zugriff auf das Nutzerkonto zu gewähren.

Update 09.2020: Facebook hat den Eltern einen USB-Stick mit einem 14.000-seitigen PDF zur Verfügung gestellt. In einem erneuten Beschluss des BGH wird ausdrücklich festgestellt, dass die zur Verfügungstellung per PDF nicht ausreicht. Vor allem der Begriff „Zugang“ wurde hier konkretisiert. „[Zugang][…] bedeute, dass sich die Erben in dem Benutzerkonto so „bewegen“ können müssen wie zuvor die Erblasserin selbst.“, heißt es im Artikel von LTO.

Facebook hat sich bisher noch nicht zum Beschluss geäußert.
Landgericht Bochum
07.08.2018
DSGVO-Abmahnung fehlerhafte Datenschutzerklärung nicht möglichFehlerhafte Datenschutzerklärungen können nicht auf Art. 13 DSGVO abgemahnt werden. Das Gericht stützt sich dabei auf Art. 77 bis 84 DSGVO (abschließende und ausschließende Regelungen für Mitbewerber)Auch das Landgericht Stuttgart ist der gleichen Ansicht. Jedoch ist noch kein höchstrichterliches Urteil (BGH, EuGH) ergangen.
Oberlandesgericht Hamburg
25.10.2018
Datenschutzverstöße können abgemahnt werdenDatenschutzverstöße können insoweit abgemahnt werden, wenn „Markverhaltensregeln“ (vgl. § § 4, 4a und 28 Abs. 7 BDSG iVm. § 3a UWG) nicht eingehalten werden.Seitenbetreiber sollten die datenschutzrechtlichen „Basics“ auf Ihrer Webseite umsetzen. Das bedeutet konkret:
1. eine individuelle und DSGVO-konforme Datenschutzerklärung auf der Seite einstellen,
2. weitere DSGVO Anforderungen wie verschlüsselte Kontaktformulare umsetzen,
3. die eigene Seite auf nicht datenschutzkonforme Plugins und Dienste prüfen,
4. Abläufe wie Bestellprozesse und Newsletter auf DSGVO-Verstöße prüfen,
5. wenn nötig AV-Verträge mit Dienstleistern und/ oder eigenen Kunden abschließen.
Vor allem Webdesigner und Agenturen – die nach Ansicht der Gerichte auch für rechtliche Fehler auf Kundenseiten haften – sollten jetzt handeln.
Bundesverfassungsgericht
18.12.2018
KFZ-Kennzeichenkontrolle
Die automatische Kennzeichenerkennung ist ein Eingriff in den Art. 2 GG. Nur in Ausnahmefällen dürfen KFZ-Kennzeichen gescannt werden.

Die Länder sind dazu angehalten, ihre Landesvorschriften zu überarbeiten.
Januar 2021: Die Planung der bundesweiten Kennzeichenerfassung schreitet aktuell voran. Der neue Gesetzesentwurf fügt den neuen § 163 g StPO ein. Damit soll die Rechtsgrundlage für die Erfassung geebnet sein.

Das weitere Verfahren werden wir weiter beobachten und neue Informationen bekannt geben.
Bundesverfassungsgericht
20.12.2018
„Speichern auf Zuruf“ verfassungsrechtlich abgesegnetE-Mail-Provider haben grds. damit zu rechnen, die IP-Adressen ihrer Nutzer für strafrechtliche Verfolgungen an die Staatsanwaltschaft zu übermitteln. 
Die Verkehrsdaten, insbesondere die IP-Adressen, müssten wenigstens für die Dauer der Kommunikation zwischengespeichert werden, weil andernfalls eine E-Mail nicht einem Empfänger zugeordnet werden können.
Datenoffenlegung jedoch erst nach Vorlage eines richterlichen Beschlusses oder nach Anordnung der Staatsanwaltschaft
Landgericht Stuttgart
09.04.2019
Abmahnfähigkeit von DSGVO-VerstößenDas Gericht positioniert sich hier klar gegen eine Abmahnfähigkeit von Datenschutzverstößen. In seiner Begründung führt es die oben dargestellten Argumente an und vertritt damit eine von zwei sehr gut vertretbaren Meinungen. Hier wäre jedoch eine grundlegendere Auseinandersetzung mit der Abmahnproblematik im Datenschutzrecht wünschenswert gewesen, um im Bereich der Abmahnungen mehr Rechtssicherheit zu begründen. Die Problematik wird wohl erst klarer, wenn ein Fall höchstrichterlich entschieden wird, oder das Gesetz zur „Stärkung des fairen Wettbewerbs“ eine Abmahnung von Datenschutzverstößen abschließend untersagt.Auch das Landgericht Bochum ist der gleichen Ansicht. Jedoch ist noch kein höchstrichterliches Urteil (BGH, EuGH) ergangen.
Europäischer Gerichtshof
13.06.2019
Gmail ist kein TelekommunikationsanbieterDie Bundesnetzagentur wollte, dass Google sich als Telekommunikationsdienstanbieter bei ihnen registriert. Hintergrund: TK-Anbieter haben ggü. der Behörde bei Verdacht Nutzerdaten offenzulegen. Für SMS ist dies per gerichtlichen Beschluss möglich, jedoch für Nachrichten z.B. über WhatsApp nicht. 
Auswirkung: Dem Anbieter steht frei, die Kommunikationsinhalte der Kunden können weiterhin auswerten; da das Fernmeldegeheimnis nicht greift. Knackpunkt dabei ist, dass „traditionelle“ Telekom-Dienste Regulierungsvorgaben einhalten müssen, für Webdienste gilt dies jedoch nicht.
Amtsgericht Frankfurt an der Oder
27.06.2019
KFZ-Kennzeichen-Massenspeicherung in BrandburgDer Kläger sieht in der Massenspeicherung der KFZ-Kennzeichen eine gezielte Maßnahme, Fahrzeuge auf den befahrenen Strecken zu erfassen und festzuhalten. Das Amtsgericht entscheidet nicht über die Zulässigkeit. Es verweist darauf, dass zufällig erfasste Kennzeichen und die damit betroffenen Personen kein „Rechtsschutzbedürfnis“ genießen.Der Kläger geht nun in die nächste Instanz. Bei neuen Informationen, werde diese hier wieder geteilt.
Oberlandesgericht Düsseldorf
26.08.2019
Datensammlung von Facebook durch Kartellamt untersagtDas Bundeskartellamt forderte in einem Beschluss Facebook dazu auf, die Datensammlung der verschiedenen Plattformen (Instagram, WhatsApp etc.) einzuschränken und nicht mehr unternehmensintern auszutauschen. 
Facebook klagte gegen diesen Beschluss und erzielte jetzt einen Teilsieg. Auch wenn die Datensammlung gegen den Datenschutz verstoße, so verstößt diese jedoch nicht zugleich gegen das Wettbewerbsrecht. Facebook merkte zugleich noch an, dass das Kartellamt für sie nicht zuständig seien, sondern die irische Datenschutzbehörde. 
Facebook muss den Beschluss des Kartellamts durch das Gerichtsurteil erst einmal nicht folge leisten.
Die Rechtsbeschwerde ist zulässig. Die nächste Instanz wäre der dann der BGH.
Bundesverwaltungsgericht
25.09.2019
Vorratsdatenspeicherung – vereinbar mit europäischen Recht?Das BVerwG hat entschieden, ob die Regelungen zur Vorratsdatenspeicherung im TKG zulässig sind. Vor allem soll dabei geklärt werden, ob eine anlasslose Vorratsdatenspeicherung möglich ist.Die Frage, um die Vorratsdatenspeicherung auf nationaler Ebene wird vom EuGH geprüft und entschieden.
Europäischer Gerichtshof
16.07.2020
EuGH erklärt Privacy-Shield als ungültig (Schrems II)Der EuGH erklärt das Privacy-Shield für ungültig.

Das bedeutet, dass die auf dem Privacy-Shield beruhende Datenübermittlung in die USA nicht mehr rechtgültig ist.

Die Standardvertragsklauseln wurden seitens des EuGH weiterhin für gültig erklärt.
Weiter Informationen über das weitere Vorgehen und Handlungsempfehlungen finden Sie in unserer Knowledge-Base.
Bundesgerichtshof
27.07.2020
Streit um den Wahrheitsgehalt von BerichtenIn einem zweiten Fall musste der BGH sich mit der Frage auseinandersetzen, ob Suchmaschinen Artikel anzeigen dürfen, deren Wahrheitsgehalt unklar ist.

Über ein deutsches Unternehmen wurde in US-Artikeln negativ berichtet, auch mit Fotos der Geschäftsführer. Die beiden Kläger verlangen, dass die Artikel nicht der Wahrheit entsprechen und zu löschen sind.

Der BGH hat diesen Fall zur Klärung an den EuGH weitergereicht. Die Entscheidung steht somit noch aus.
Europäischer Gerichtshof
06.10.2020
Pauschale Vorratsdatenspeicherung unzulässigDie bereits in der Kritik stehende Vorratsdatenspeicherung ist nicht dem europäischen Recht vereinbar.

Damit ist zunächst die Vorratsdatenspeicherung unzulässig und nicht möglich.

Nur sofern eine „konkrete und ernsthafte Bedrohung der nationalen Sicherheit“ vorliegt, ist die Datenspeicherung zulässig.
Der Datenschutzbeauftragte von Baden-Württemberg Herr Brink bedauert es, dass der EuGH mit seinem Urteil die erneute Debatte um eine situative Datenspeicherung damit entfacht.
Landgericht Bonn
11.11.2020
Bußgeldreduzierung bei TelekommunikationsanbieterIm Mai diesen Jahres verhängt die Aufsichtsbehörde gegen 1&1 ein Bußgeld in Höhe von 10 Mio. Euro wegen einer unzureichender Identifizierung von Anrufern.

Gegen dieses Bußgeld wurde Klage eingereicht und durch das LG Bonn nun auf 900.000,00 Euro reduziert.

Das Gericht sowie auch die Aufsichtsbehörde sehen das Verschulden bei diesem Datenschutzverstoß eher als gering an, da es sich um einen Einzelfall handelt und es nicht zur massenhaften Herausgabe von Daten kam.
Landgericht Erfurt
28.04.2021
Arbeitgeber ist kein Telemedienanbieter bei erlaubter Privatnutzung von geschäftlichen E-Mail-AccountsDas LG hat entschieden, dass der Arbeitgeber kein Telemedienanbieter im Sinne des TKG ist, wenn er die private Nutzung der geschäftlichen E-Mail-Adressen erlaubt.

Das würde in bestimmten Ausnahmefällen den Zugriff auf die Mails ohne Einwilligung des Mitarbeiters erlauben. Ausnahmefälle ergeben sich aus § 26 Abs. 1 BDSG z.B. bei Abwesenheit des Mitarbeiters oder bei Verdacht auf Straftaten. Es ist jedoch eine Interessensabwägung durchzuführen, bevor der Zugriff stattfinden kann.
Auch das LAG Berlin-Brandenburg, VG Karlsruhe, LAG Hamm, LAG Niedersachsen, VGH Hessen, und ArbG Düsseldorf urteilten diesbezüglich ebenfalls in derselben Art.

Auch geht aus dem neu erlassenen TTDSG indirekt hervor, dass Arbeitgeber nicht als Telemedienanbieter gelten und somit dem Fernmeldegeheimnis nicht unterliegen. Das bedeutet letztendlich, dass keine Einwilligung seitens des Mitarbeiters für den Zugriff auf die Mails benötigt wird. Der Zugriff darf jedoch nicht anlasslos erfolgen und bedarf einer vorherigen Interessensabwägung.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
One Comment on “Urteile nach der DSGVO”

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.