Rechtsurteile rund um Daten-Löschungen

Was war passiert?

Das Unternehmen „Deutsche Wohnen“ soll laut der Berliner Datenschutzbehörde (BlnBDI) personenbezogene Daten der Mieter der Immobilien fehlerhaft verwaltet haben. Zu den Daten gehörten unter anderem Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen. Die BlnBDI wirft dem Unternehmen vor, nicht mehr benötigte Daten weiterhin gespeichert zu haben und es versäumt zu haben, angemessene Maßnahmen zur Löschung zu ergreifen. Die BlnBDI hatte daraufhin im Oktober 2020 gegen das Unternehmen einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro erlassen, denn die BlnBDI ist – wie andere Datenschutzbehörden in Deutschland – der Ansicht, dass Geldbußen gegen Unternehmen wegen möglicher Datenschutzverstöße nach der DSGVO unmittelbar und unabhängig von einem nachgewiesenen Verschulden verhängt werden könnten. Der Nachweis einer Aufsichtspflichtverletzung oder eines sonstigen vorwerfbaren Verhaltens sei nicht nötig.  Deutsche Wohnen klagte gegen den Bußgeldbescheid beim LG Berlin.

Ablauf der Instanzen

Das LG Berlin hat den Bußgeldbescheid der BlnBDI aufgehoben (LG Berlin, Beschluss vom 18.02.2021, Az.: (526 OWi LG) 212 Js-OWi 1/20 (1/20)). Dagegen legte die Staatsanwaltschaft Beschwerde ein, so dass als nächst höhere Instanz das Kammergericht Berlin prüfen muss. Das hier anhängige Verfahren (Az. 3 Ws 250/21) ist derzeit ausgesetzt, da das KG Berlin dem EuGH rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vorgelegt hat.

Zum einen soll der EuGH klären, ob nach dem Unionsrecht eine Sanktion gegen eine juristische Person wegen eines Verstoßes gegen die DSGVO verhängt werden kann, ohne dass dieser Verstoß zuvor einer natürlichen Person zugerechnet werden muss. Mit der zweiten Frage wollte das KG wissen, ob der Verstoß gegen die DSGVO schuldhaft begangen worden sein muss oder ob das Unternehmen – so die Ansicht der Datenschutzbehörde – verschuldensunabhängig haften muss.

EuGH-Schlussanträge

Generalanwalt Sánchez-Bordon kam in seinen Schlussanträgen zu dem Ergebnis, dass die Behörden DSGVO-Bußgelder zwar direkt gegen Unternehmen verhängen könnten. Allerdings setze dies den Nachweis eines vorsätzlichen oder fahrlässigen Handelns eines Mitarbeiters voraus. „Strict liability“ – also eine verschuldensunabhängige Haftung – bestehe nach EU-Recht in solchen Fällen nicht.

Es ist derzeit unbekannt, wann der EuGH sein endgültiges Urteil fällen wird. Obwohl der EuGH nicht an die Schlussanträge des Generalanwalts gebunden ist, folgt er in vielen Fällen der entsprechenden Rechtsauffassung. Wann eine Entscheidung fallen wird, ist noch offen.

Fazit

Die Entscheidung in diesem Verfahren wird im Datenschutz eine grundlegende Weichenstellung bedeuten. Aber auch ohne die EuGH-Entscheidung sind Unternehmen gut beraten, wenn Sie sich um die Etablierung eines Löschkonzeptes kümmern.

Vorlagenbeschluss: https://gesetze.berlin.de/bsbe/document/KORE240662021 (06.12.21)
Schlüssanträge EuGH:https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62021CC0807 (27.04.23)

Was war passiert?

Die Danske Bank hatte sich bei der dänischen Aufsichtsbehörde gemeldet, dass sie ein Problem bei der Löschung von personenbezogenen Daten festgestellt hat. Während der Untersuchung der dänischen Aufsichtsbehörde wurde deutlich, dass die Danske Bank in mehr als 400 Systemen nicht dokumentieren konnte, ob Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder ob eine manuelle Löschung personenbezogener Daten durchgeführt wurde. Diese Systeme verarbeiten personenbezogene Daten von Millionen Menschen.

Bußgeld

Die dänische Aufsichtsbehörde hat die Danske Bank bei der Polizei angezeigt und eine Geldstrafe von 10 Mio. DKK (ca. 1,3 Mio. EUR) wegen Verstoßes gegen Artikel 5 Absatz 2 der DSGVO vorgeschlagen.

Fazit

Durch dieses sehr hohe Bußgeld wird ersichtlich, wie schwerwiegend es für Unternehmen sein kann, kein Löschkonzept für die Löschung von personenbezogenen Daten erstellt und natürlich auch umgesetzt zu haben.

Urteil: https://edpb.europa.eu/news/national-news/2022/danish-sa-fine-proposed-danske-bank_en (04.04.22)

Was war passiert?

Die Betreiberin einer SB-Tankstelle im ländlichen Raum erhielt von der zuständigen Datenschutzbehörde eine Anordnung, die Video-Aufzeichnungen nach Ablauf von 72 Stunden zu löschen (die Aufzeichnungen wurden bisher für sechs bis acht Wochen gespeichert). Die Betreiberin wehrte sich gegen diese Anordnung und trug der Aufsichtsbehörde schriftlich vor, dass die Videoaufzeichnung verschiedenen Zwecken diene. Diese Zwecke rechtfertigten eine längere Speicherdauer:

Zweck 1: Ungerechtfertigter Bereicherung und Tankbetrug. Erheblichen Risiko, dass Kunden getankten Treibstoff nicht bezahlten. Oftmals behaupten Kundn erst nach Ablauf von drei Tagen, ihre Karte sei zu Unrecht belastet worden und sie hätten ihr Fahrzeug nicht an der klägerischen Tankstelle betankt. Zur Durchsetzung ihrer Kaufpreisansprüche sei sie deshalb auf die Videoaufzeichnungen angewiesen. Zudem akzeptiere sie auch Tankkarten, bei denen eine Abrechnung monatlich über eine SEPA-Lastschrift erfolge. Kunden könnten gegenüber ihren Banken innerhalb von acht Wochen ohne Angabe von Gründen widersprechen. Die Bank buche den Kunden das Geld dann wieder zurück auf ihr Konto und buche den an die Klägerin angewiesenen Betrag teilweise wieder zurück. Die Aufklärbarkeit entsprechender Fälle sei in 72 Stunden nicht zu gewährleisten.

Zweck 2: Beweissicherungen / Vandalismusprävention. Es kämen auch Fälle vor, bei denen Kunden versehentlich zwei Zapfsäulen freischalteten. Hintergrund sei, dass der Kunde über das zentrale Terminal zunächst die falsche Zapfsäule und nach Erkennen dieses Fehlers eine weitere (die richtige) Zapfsäule freischalte. Technisch könne dieser Fehlbedienung nicht begegnet werden. Im Zusammenhang mit solchen Fällen habe sie sich in der Vergangenheit strafrechtlichen Vorwürfen ausgesetzt gesehen, weil Kunden bei späteren Abrechnungen festgestellt hätten, dass ihre Karte für zwei Tankvorgänge (ihren eigenen und den an der versehentlich freigeschalteten Zapfsäule) belastet worden sei. Sie habe sich sodann mittels der Videoaufzeichnungen entlasten können. Im Tankstellenbetrieb seien jährlich Beschädigungen in Höhe von rund 10.000,00 EUR festzustellen. Den Aufzeichnungen komme daher eine wichtige Aufklärungsfunktion zu.

Fazit der Betreiberin: Eine auf 72 Stunden reduzierte Speicherdauer sei unangemessen kurz. Sachgerecht sei eine vierzehntägige Zeitspanne.

Die Aufsichtsbehörde antwortete folgendermaßen auf die jeweiligen Zwecke der Betreiberin:

Zweck 1: Ungerechtfertigter Bereicherung und Tankbetrug. Die Klägerin könn den Beweis für den Tankvorgang nicht nur durch die Videoaufzeichnungen erbringen. Der Umstand, dass die Nutzung der Karte samt PIN-Eingabe zum Start des Tankvorgangs zwingende Voraussetzung sei, zeige, dass ein Beweisantritt durch entsprechende Zahlungs- und Abbuchungsbelege erfolgen könne. Auch in Konstellationen, in denen ein Kunde behaupte, seine Karte samt PIN sei ihm entwendet worden und nicht er selbst, sondern der Dieb habe den Tankvorgang vorgenommen, sei eine längere Speicherdauer nicht gerechtfertigt. Die Beweislast für das treuwidrige Verhalten Dritter liege in solchen Konstellationen nicht bei der Klägerin, sondern dem Kreditinstitut. Sollten Anhaltspunkte für die Begehung einer Straftat vorliegen, so könne die Aufnahme auch über 72 Stunden hinaus gespeichert werden; eine Löschung habe hingegen zu erfolgen, wenn kein relevantes Ereignis habe gesichtet werden können.

Zweck 2: Beweissicherungen. Die von der Klägerin geschilderte Konstellation, dass Kunden aus Versehen zunächst eine falsche Zapfsäule freischalteten, habe die Klägerin erstmals im Klageverfahren geschildert. Dieses Vorbringen sei verspätet und habe im streitgegenständlichen Bescheid nicht berücksichtigt werden können. Außerdem rechtfertigten auch solche Fälle keine längere Speicherdauer. Zum einen könnte diesen Konstellation durch technische Vorkehrungen begegnet werden und zum anderen sei bereits fraglich, wie oft solche Fälle tatsächlich auftreten würden. Es handele sich wohl eher um Ausnahmesituationen, die im Hinblick auf die Interessen und Rechte vom weit überwiegenden Teil der Betroffenen keine längere Speicherdauer rechtfertigten.

Fazit der Aufsichtsbehörde: Für den Einzelfall wird anerkannt, dass feiertagsbedingt auch eine längere als 72-stündige Speicherdauer notwendig sein könne. Abgesehen von diesen Sonderfällen sei jedoch nicht ersichtlich, warum eine längere Speicherung der Videoaufzeichnungen notwendig sein könnte.

Das Urteil

Die Argumente der Klägerin überzeugte das VG Hannover nicht, so dass das Gericht die ausgesprochene Anordung der Aufsichtsbehördeals als rechtmäßig bewertete. Die Klage wurde abgewiesen.

Begründung:

Zulässiger Zweck der Videoüberwachung ist die Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen. Zu diesem Zweck ist die Klägerin berechtigt, Bildaufnahmen zu erheben und auch zu speichern. Es ist aber nicht notwendig, diese Aufzeichnungen für die Zweckerreichung sechs bis acht Wochen vorzuhalten. Es ist ohne weiteres möglich, binnen 72 Stunden festzustellen, ob Vandalismus oder Beschädigungen an der klägerischen Tankstelle aufgetreten sind und sollte dem so sein, das Videomaterial daraufhin zu sichten. Sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist die Klägerin zur längeren Speicherung berechtigt.

Soweit die Klägerin überdies vorgetragen hat, die Videoüberwachung diene auch dazu, sich gegen unberechtigte zivilrechtliche Ansprüche schützen und solche gegebenenfalls selbst durchsetzen zu können, so darf sie die Videoüberwachung zu diesem Zweck nicht durchführen. Sie hat ein berechtigtes Interesse zur Datenerhebung zu diesen Zwecken weder substantiiert dargelegt noch belegt. Zur Durchsetzung von Kaufpreisansprüchen nach § 433 BGB bedarf es der Videoaufzeichnung schon deswegen nicht, weil bei der von der Klägerin betriebenen SB-Tankstelle Benzin grundsätzlich erst dann ausgegeben wird, wenn die Tanksäule freigeschaltet wurde. Die Freischaltung erfolgt durch die Einführung der akzeptierten Zahlkarten unter Nutzung einer PIN. Sobald die Zapfpistole wieder eingehängt wird, wird die Abbuchung vom Konto des Kunden direkt veranlasst. Kunden können die Tankstelle ohne Initiierung des Zahlvorgangs also grundsätzlich nicht verlassen.

Soweit die Klägerin dargelegt hat, dass an ihrer Tankstelle auch eigens ausgegebene Tankkarten akzeptiert werden, bei denen eine monatliche Abrechnung über ein SEPA-Lastschrift-Verfahren erfolgt, so berechtigt auch dies nicht zur Videoüberwachung. Die Klägerin hat diesbezüglich zwar ausgeführt, dass Kunden dem Einzug des Rechnungsbetrages ohne Angaben von Gründen gegenüber ihrer Bank widersprechen können und die Banken teilweise nach den vertraglichen Vereinbarungen sodann berechtigt seien, den an die Klägerin ausgezahlten Betrag wieder zurück zu buchen. Zur Durchsetzung des Kaufpreisanspruches ist die Klägerin dennoch nicht auf die Aufzeichnungen der Videoüberwachungsanlage angewiesen. Der Nachweis über den (den Kaufvertrag begründenden) Tankvorgang kann sie schließlich bereits dadurch erbringen, dass die personalisierte Tankkarte unter Nutzung einer PIN an ihrer Selbstbedienungstankstelle verwendet wurde. Dies ist über die Abrechnungsbelege nachweisbar. Schließlich hat die Klägerin keinen einzigen Beleg dafür erbracht, dass es in der Vergangenheit zu einem solchen Fall gekommen ist. Das Gericht hat die Klägerin bereits im Vorfeld zur mündlichen Verhandlung zur Vorlage entsprechender Belege aufgefordert. Dem ist die Klägerin – auch im Rahmen der mündlichen Verhandlung – nicht nachgekommen. Soweit der Geschäftsführer der Klägerin diesbezüglich ausgeführt hat, Belege und Nachweise könnten nicht vorgelegt werden, weil in der Vergangenheit entsprechende Fälle immer dadurch hätten aufgeklärt werden können, dass er allein sich die Videoaufzeichnungen angeschaut habe und seinem Gegenüber am Telefon habe versichern können, dass der Tankvorgang stattgefunden habe, so hält die Kammer dies für fernliegend und nicht überzeugend. Es entspricht nicht der allgemeinen Lebenserfahrung, dass etwaige Rechtsansprüche immer ausschließlich nur telefonisch dargelegt und sodann auch telefonisch abschließend geklärt werden können.

Die Klägerin darf die Videoüberwachung auch nicht zum Zweck der Verteidigung gegen zivilrechtliche Ansprüche nach §§ 812 ff. BGB durchführen. Sie hat diesbezüglich behauptet, in der Vergangenheit sei es zu Fällen gekommen, in denen nach einem Tankvorgang die Karte eines Kunden belastet worden sei und der Kunde sodann behauptet habe, sein Fahrzeug nicht bei der Klägerin betankt und deswegen den Kaufpreis zurückgefordert zu haben. Es stünde demnach im Raum, dass die Klägerin den Kaufpreis durch Leistung des Kunden ohne Rechtsgrund erlangt habe. Selbst wenn es in der Vergangenheit zu solchen Fällen gekommen ist, rechtfertigen sie die Videoüberwachung nach Ansicht der Kammer nicht. Nach den zivilrechtlichen Beweislastregeln wäre zunächst grundsätzlich der vermeintliche Kunde für das Fehlen des Rechtsgrundes, also für den Umstand beweisbelastet, dass zwischen ihm und der Klägerin kein Kaufvertrag zustande gekommen ist – sprich, dass kein Tankvorgang vorgenommen wurde (vgl. beispielsweise Wendehorst, in BeckOK BGB, 65. Ed., § 812, Rn. 281f.). Zudem kann die Klägerin auch in solchen Konstellationen grundsätzlich über die Abrechnungen einen Nachweis für den Tankvorgang und damit das Vorliegen eines Rechtsgrundes erbringen. Soweit die Klägerin diesbezüglich ohne Vorlage entsprechender Nachweise pauschal vorgetragen hat, dass auf den Abrechnungen nicht die volle IBAN des Kunden dargestellt werde, so ist die Kammer davon überzeugt, dass die IBAN und demnach die Identität des jeweiligen Kartennutzers sich anhand der auf der Abrechnung vorhandenen Angaben durch Erforschungsmaßnahmen bei der Bank ermitteln lässt. Die Klägerin hat zudem auch für diese vorgetragene Konstellation keinen einzigen Beleg erbracht, dass es in der Vergangenheit zu entsprechenden Fällen tatsächlich gekommen ist. Auch diesbezüglich hält die Kammer es für fernliegend, dass Kunden versuchen, ihre vermeintlichen Rechtsansprüche mündlich durchzusetzen und sodann wegen einer telefonischen Auskunft, die auf der für den Kunden nicht nachvollziehbaren Sichtung des Videomaterials beruht, von der Weiterverfolgung absehen.

Auch für die von der Klägerin vorgetragene Konstellation, Kunden hätten in der Vergangenheit behauptet, ihre Karte samt PIN sei entwendet und zum Tanken verwendet worden, ist die Klägerin zur Videoüberwachung nicht berechtigt. Die Beweislast für das treuwidrige Verhalten Dritter liegt in solchen Konstellationen nicht bei der Klägerin, sondern in der Regel nach §§ 675 v -675 w BGB bei den Kreditinstituten. Bei § 675 v BGB handelt es sich um die zentrale Haftungsnorm im Rechtsverhältnis von Zahlungsdienstleister und Zahlungsdienstnutzer. Sie regelt, welche Partei bei missbräuchlicher Verwendung von Zahlungsdiensten einen durch unberechtigt verfügende Dritte entstandenen Schaden zu tragen hat. Eine Haftung des Zahlungsempfängers ist hier nicht vorgesehen. § 675 w BGB regelt dahingehend die Beweislasten und bezieht sich ebenfalls nicht auf den Zahlungsempfänger. Zudem besteht bei Nutzung einer EC-Karte/Visa-Karte mit PIN – und nur solche sind bei der Klägerin nach ihrem eigenen Vortrag nutzbar – grundsätzlich eine Zahlungsgarantie des Kreditunternehmens. Schließlich ist es der Klägerin auch hinsichtlich dieser behaupteten Konstellation nicht gelungen, eine Gefährdungslage substantiiert darzulegen. Nachweise dafür, dass es zu solchen Fällen in der Vergangenheit gekommen ist, hat sie trotz gerichtlicher Aufforderung nicht erbracht.

Die Klägerin hat weiter vorgetragen, sie sei auf die Videoüberwachung angewiesen, um Fälle aufklären zu können, bei denen Kunden nach einer Fehlbedienung die doppelte Belastung ihrer Karte rügen würden. In der Vergangenheit sei es zu Fällen gekommen, in denen Kunden durch das zentrale Terminal zunächst eine falsche und sodann die richtige Zapfsäule freigeschaltet hätten. Ein anderer Kunde habe sodann an der versehentlich freigeschalteten Zapfsäule auf Kosten dieses Kunden getankt. Auch dieser Vortrag rechtfertigt eine Videoüberwachung nicht. Zunächst ist die Kammer davon überzeugt, dass solchen Fällen durch technische Vorrichtungen begegnet werden kann, sodass sie gar nicht vorkommen müssten. Zudem hat die Klägerin auch hinsichtlich dieser Fallkonstellation keinerlei belastbaren Nachweise dafür vorgebracht, dass sie in der Vergangenheit tatsächlich vorgekommen wären.

Soweit die Klägerin schließlich noch behauptet hat, sie sei auf die Videoüberwachung angewiesen, weil sie sich wegen der vermeintlich falschen Belastung von Zahlungskarten auch gegen strafrechtliche Vorwürfe verteidigen können müsse, so hat sie auch diesbezüglich nicht substantiiert darlegen können, dass in der Vergangenheit tatsächlich strafrechtlich gegen sie ermittelt oder gar ein Strafverfahren eingeleitet wurde. Dass es auch für solche Konstellationen keinerlei schriftliche Nachweise gibt, hält die Kammer für abwegig.

Bußgeld

Es wurde kein Bußgeld festgesetzt. Aber die Aufsichtsbehörde hatte für den Fall der nicht, nicht vollständigen oder nicht fristgemäßen Umsetzung ein Zwangsgeld in Höhe von 1.000,00 EUR angedroht.

Fazit

Bei der Verarbeitung von personenbezogenen Daten ist der ZWECK der Verarbeitung und der Wegfall des Zwecks unbedingt genau zu durchleuchten. Darüber hinaus sollte ein Unternehmen unbedingt alle Dokumente aufbewahren, auf die sich Begründungen für eine längere Speicherung stützen. Die Klägerin hatte im obrigen Fall für sehr viele von ihr vorgetragenen Konstellationen, warum sie Videoaufzeichnungen länger speichern muss, keinerlei schriftliche Nachweise.

Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920 (13.03.23)

Was war passiert?

Gegen eine Schuldnerin wurde ein Vollstreckungsbescheid über 1.059,99 € wegen rückständiger Beitragszahlungen für eine Krankheitskostenversicherung erlassen. Dies wurde der Auskunftei gemeldet, die diesen Eintrag daraufhin in ihr Register aufnahm. Zwischenzeitlich wurde die Forderung beglichen. In der Auskunftei wurde daraufhin eingetragen, dass der Vorgang am 04.01.2022 seine Erledigung durch Zahlung der offenen Forderung gefunden habe. Die Schuldnerin ist aber der Ansicht, dass der Eintrag zu löschen sei und erhob Klage auf die Löschung des Eintrags sowie klageerweiternd in der Berufungsinstanz auf die Verurteilung der Auskunftei zur Zahlung eines Schmerzensgeldes.

Die Auskunftei als Beklagte hat daraufhin geltend gemacht, dass ein Anspruch auf Löschung aus § 17 DSGVO nicht bestehe. Der Eintrag sei rechtmäßig erfolgt. Denn dem Vollstreckungsbescheid seien monatelange Bemühungen vorangegangen, eine Zahlung durch den Inhaber der Klägerin herbeizuführen. Erst nachdem dessen Konto gesperrt worden sei, sei es zu einem Ausgleich der Forderung gekommen. Dies belege eine erhebliche Unzuverlässigkeit. Sie, die Beklagte, habe auch eine Interessenabwägung durchgeführt. Der streitgegenständliche Eintrag, dessen Richtigkeit die Klägerin nicht in Frage stelle, sei für die Beurteilung der Bonität von Relevanz.

Das Urteil

Das OLG Frankfurt wies die Klage zurück. Die Notwendigkeit einer Speicherung von Daten in einer Wirtschaftsauskunftei entfällt nicht allein deswegen, weil die Forderung zwischenzeitlich getilgt worden ist und ein entsprechender Eintrag in das Schuldnerverzeichnis nach § 882e ZPO zu löschen wäre, wenn die Begleichung der Forderung nachgewiesen wird. Die weitere Speicherung ist nicht unverhältnismäßig und erfüllt weiterhin eine zulässige Warnfunktion. Eine vollständige Löschung wegen fehlender Notwendigkeit nach Art. 17 Abs. 1 Buchstabe a DSGVO kann die Klägerin danach nicht verlangen.

Begründung:

Zahle ein Schuldner die offenen Posten, führe dies nicht automatisch zu einem Löschungsanspruch des Negativeintrags.

„Der Umstand, dass der Inhaber der Klägerin durch Vollstreckungsbescheid zu einer Zahlung verurteilt wurde, hat einen unmittelbaren Bezug zu ihrer Zahlungsfähigkeit und/ oder Zahlungsunwilligkeit. Die Klägerin verlangt so gestellt zu werden wie eine Person, gegen die niemals eine Forderung tituliert wurde. Auf diese Weise aber würde der – unzutreffende – Eindruck erweckt, dass über die Klägerin und ihren Inhaber keine Erkenntnisse über Unzuverlässigkeiten bei der Begleichung von Forderungen vorlägen.

Darauf hat sie keinen Anspruch.

Der Umstand, dass die titulierte Forderung aus Sicht der Klägerin gering war, hat keine Auswirkung auf die Rechtmäßigkeit der Verarbeitung durch die Beklagte. Denn das Vorliegen einer zunächst nicht erfüllten Forderung und eines darauf bezogenen Titels lassen unabhängig von ihrer Höhe Rückschlüsse auf Zahlungsfähigkeit, aber auch Zahlungswilligkeit des Schuldners zu und sind von erheblicher Bedeutung für das Kreditsicherungssystem.

Bußgeld

Es wurde kein Bußgeld festgesetzt.

Fazit

Nicht immer kann ein Betroffener sich auf seinen Anspruch auf Löschung nach § 17 DSGVO berufen. Ergeben vorherige Umstände, dass der Betroffene durch eigenes Verschulden nicht mit anderen Betroffenen gleichgestellt werden kann, so können seine Daten u.U. auch länger gespeichert werden. Dies ist im Einzelfall zu prüfen.

Urteil: https://www.rv.hessenrecht.hessen.de/bshe/document/LARE230004082/part/L (18.01.23)

Siehe hierzu auch das Urteil vom OLG Oldenburg: https://openjur.de/u/2394794.html (23.01.21)

Was war passiert?

Der Kläger hatte ein Insolvenzverfahren mit anschließender Restschuldbefreiung durchlaufen. Er begehrte nun von der Wirtschaftsauskunftei die Löschung eines ihn betreffenden Eintrags im Zusammenhang mit der Erteilung einer Restschuldbefreiung gemäß Art. 17 DSGVO sowie dessen erneute Eintragung und Speicherung zu unterlassen.

Das Urteil

Das Landgericht Berlin hatte die Klage abgewiesen. Mit der Berufung vor dem KG Berlin verfolgte der Kläger seinen Anspruch weiter. Aber auch das KG Berlin hat die Klage abgewiesen.

Begründung:

Dem Kläger steht kein Recht auf Löschung nach Art. 17 DSGVO zu, da die Verarbeitung der Daten über die Restschuldbefreiung, die von der Beklagten zutreffend in Übereinstimmung mit den Insolvenzbekanntmachungen gespeichert worden ist, rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) DSGVO erfolgt sei. Die Datenverarbeitung durch die Beklagte sei nach dieser Vorschrift rechtmäßig, weil ein überwiegendes Interesse der Beklagten und ihrer Vertragspartner bestehe. Das berechtigte Interesse der Beklagten bzw. der Dritten (Kreditwirtschaft) bestehe u. a. darin, die Kreditwirtschaft vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen und damit auch zugleich Kreditinteressenten vor einer etwaigen Überschuldung zu bewahren. Das KG Berlin hat sich der Entscheidung des Landgerichts im Wesentlichen angeschlossen. Der Kläger habe keinen Anspruch auf Gleichstellung mit Personen, welche kein Insolvenzverfahren durchlaufen haben:

„Dies gelte insbesondere, wenn – wie hier – unstreitig im Zeitpunkt der Restschuldbefreiung noch Forderungen in Höhe von über 51.000,00 EUR offen gewesen seien. Die Daten zur Restschuldbefreiung des Klägers würden durch die Beklagte genau drei Jahre nach der Eintragung gelöscht werden, was durch die Verhaltensregeln [der Wirtschaftsauskunfteien] verbindlich festgelegt worden sei.“

Bußgeld

Es wurde kein Bußgeld festgesetzt.

Fazit

Nicht immer kann ein Betroffener sich auf seinen Anspruch auf Löschung nach § 17 DSGVO berufen. Ergeben vorherige Umstände, dass der Betroffene durch eigenes Verschulden nicht mit anderen Betroffenen gleichgestellt werden kann, so können seine Daten u.U. auch länger gespeichert werden. Dies ist im Einzelfall zu prüfen.

Urteil: https://openjur.de/u/2394622.html (15.02.22)

Siehe hierzu auch das Urteil vom OLG Oldenburg: https://openjur.de/u/2394794.html (23.01.21)

Was war passiert?

Der Kläger hatte ein Insolvenzverfahren mit anschließender Restschuldbefreiung durchlaufen. Er begehrte nun von der Wirtschaftsauskunftei die Löschung eines ihn betreffenden Eintrags im Zusammenhang mit der Erteilung einer Restschuldbefreiung gemäß Art. 17 DSGVO sowie dessen erneute Eintragung und Speicherung zu unterlassen.

Das Urteil

Die  2. Zivilkammer des Landgerichts Kiel vom 12. Februar 2021 hatte die Klage abgewiesen. Mit der Berufung vor dem OLG Schleswig verfolgte der Kläger seinen Anspruch weiter. Diese wurde nun vom OLG Schleswig stattgegeben.

Begründung:

Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung der Information über seine Restschuldbefreiung im Privatinsolvenzverfahren aus Art. 17 Abs. 1 lit d) DSGVO, da die Datenverarbeitung durch die Beklagte nicht rechtmäßig erfolgt.  Die Daten werden von der Beklagten spätestens mit Ablauf von sechs Monaten nach der Rechtskraft der Restschuldbefreiung nicht mehr rechtmäßig verarbeitet, da die Voraussetzungen für eine rechtmäßige Verarbeitung im Sinne von § 6 DSGVO spätestens ab diesem Zeitpunkt nicht mehr vorliegen.

„… Zudem entspricht es marktwirtschaftlichen Grundsätzen, dass nicht alle Betriebsgründungen erfolgreich verlaufen können, sondern es laufend zu Marktbereinigungen kommt. Eine soziale Marktwirtschaft baut also auch stets darauf auf, dass Betriebsgründungen wirtschaftlich scheitern. So mussten in den Jahren 2000 bis 2008 durchschnittlich etwa 72.000 junge Unternehmen den Markt verlassen und etwa 15 % dieser Unternehmen stellten einen Insolvenzantrag.“

Bußgeld/Ordnungsgeld

Bei Zuwiderhandlung wurde ein Ordnungsgeld in Höhe von höchstens 25.000,00 Euro oder für den Fall, dass dieses nicht beigetrieben werden kann, ersatzweise Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, zu vollstrecken gegen eines der Mitglieder des Vorstandes der Beklagten, festgelegt, zu unterlassen, den unter Ziffer 1. des Tenors genannten Eintrag erneut zu speichern. Zahlung der vorgerichtliche Rechtsanwaltskosten in Höhe von € 887,03 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 12. März 2020 an den Kläger. Tragen der Kosten beider Rechtszüg mit Ausnahme der aufgrund der Säumnis des Klägers erstinstanzlich entstandenen Kosten, die dem Kläger zur Last fallen.

Fazit

Entgegen allen anderen Urteilen rund um die Auskunfteien entschied hier das OLG Schleswig zugunsten des Klägers. Somit zeigt sich, dass es aktuell noch keine einheitlichen Rechtssprechungen gibt (siehe hier auch die anderen Urteile rund um Auskunfteien).

Urteil: https://openjur.de/u/2345121.html (02.07.21)

Was war passiert?

Nach Beendigung des Arbeitsverhältnisses schrieb die ehemalige Mitarbeiterin das Unternehmen an und wies darauf hin, dass sie auf der Unternehmens-Webseite immer noch benannt wurde. Auch seien die Angaben zu ihrer Person dort nicht korrekt dargestellt. Da nichts passierte, verlangte sie daraufhin eine Unterlassungserklärung und eine Geldentschädigung in Höhe von 8.000,00 Euro. Das Unternehmen gab die Unterlassungserklärung ab, zahlte aber lediglich 150,00 Euro. Daraufhin klagte die ehemalige Mitarbeiterin vor dem Arbeitsgericht Neuruppin auf Schadensersatz in Höhe von 5.000,00 Euro abzüglich der gezahlten 150,00 Euro.

Das Urteil

Das Arbeitsgericht Neuruppin sprach der ehemaligen Mitarbeiterin einen immateriellen Schadensersatz in Höhe von 1.000,00 Euro abzüglich der gezahlten 150,00 Euro zu. Es bestätigte, dass eine rechtswidrige Datenverarbeitung vorlag, die zu einer Verletzung des Persönlichkeitsrechts führte. Daher stand der Klägerin auch ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zu.

Begründung: Das Arbeitsgericht stellte klar, dass es keiner Lösch-Aufforderung bedarf, sondern die Daten nach Beendigung des Arbeitsverhältnisses umgehend von der Webseite des Verantwortlichen entfernt werden müssen. Als Verantwortlicher sei die Beklagte als Arbeitgeberin schadensersatzpflichtig für den Schaden, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist.

Bußgeld

1.000 EUR.

Fazit

Erst einmal sollte kein Unternehmen falsche Information über seine Mitarbeiter auf dem Unternehmens-Internetauftritt darstellen. Darüber hinaus sollte ein Unternehmen einen Onboarding- und Offboardingprozess (inkl. sofortiger Löschung von ausgeschiedenen Mitarbeitern auf dem Internetauftritt) sowie ein aktuelles Löschkonzept haben. Auch schien es keinen etablierten Prozess für Betroffenenanfragen zu geben, da sich das Unternehmen nicht bei der ehemaligen Mitarbeiterin meldete.

Urteil: https://openjur.de/u/2393301.html (14.12.21)

Was war passiert?

Bei einer Online-Bewertung von Google schrieb ein User über die Bäckerei, bei der die Klägerin angestellt war:

„Ich bin hier immer zum fruhstücken und sonst auch immer zufrieden und finde das Team sehr nett. Aber wurde heute so unfreudlich „bedient“ von Frau S (…)“.

Statt S war hier der volle Nachname der Klägerin angegeben. Sie war die einzige Beschäftigte mit diesem Namen bei der Bäckerei.

Die Klägerin forderte Google  zur Löschung ihres Namens unter Hinweis auf die DSGVO auf, Google reagierte aber nicht. Deshalb erhob sie Klage und verlangte u.a. die Löschung und außerdem die Zahlung eines Schmerzensgeldes nach Art. 82 DSGVO in Höhe von 500,- EUR.

Das Urteil

Die Klage wurde abgewiesen. Begründung: Die Namensnennung sei durch das Recht auf freie Meinungsäußerung gerechtfertigt (Art. 17 Abs.3a) DSGVO). Maßgeblich für das OLG Hamm war, dass die Bewertung inhaltlich zulässig war und zudem ein sachlicher Grund für die Namensnennung bestand, nämlich die unfreundliche Bedienung gegenüber dem anderen Personal hervorzuheben.

Bußgeld

–

Fazit

Je nach Ihrer jeweiligen Branche können Sie prüfen, ob Sie sich bei einer Betroffenenanfrage zum Löschen von Daten auf dieses Urteil beziehen können.

Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920/ (29.06.21)

Was war passiert?

Auf dem Online-Bewertungsportal für Ärzte „Jameda“ werden sogenannte Basis-Profile von Ärzten ohne deren Einwilligung angelegt. Jameda stützt sich hierbei auf das Medienprivileg Art. 85 Abs. 2 DSGVO als „neutrale Informationsvermittlerin“. Zwei Ärzte hatten Jameda nun auf Löschung des – ohne ihre Einwilligung  angelegten – Basis-Profils verklagt. Denn an Jameda zahlende Ärzte (Premium-Profile) erhalten eine wesentliche bessere Darstellung Ihrer Leistungen während diese Zahlung in der Ärzte-Darstellung auf Jameda aber nicht ersichtlich ist.

Das Urteil

Das OLG Köln hat entschieden, dass mehrere frühere bzw. aktuelle Ausgestaltungen der Plattform unzulässig sind (Urteile vom 14.11.2019 (15 U 89/19 und 15 U 126/19). Das Gericht hat den Anspruch der Kläger auf Löschung des ohne Einwilligung eingerichteten Profils gestützt. Jameda könne sich nicht auf das Medienprivileg der Datenschutzgrundverordnung (Art. 85 Abs. 2 DSGVO) stützen. Jameda wurde verurteilt, sämtliche zu den Klägern gespeicherten Daten – Name, Fachrichtung, Anschrift und Telefonnummer der Praxis sowie die zu den Klägern abgegebenen Bewertungen – zu löschen.

Begründung: Jameda hat die Rolle eines „neutralen Informationsmittlers“ verlassen und den an die Plattform zahlenden Ärzten auf unzulässige Weise „verdeckte Vorteile“ gewährt. Zwar werde der Begriff weit ausgelegt und gelte nicht nur für Medienunternehmen, sondern für jeden, der journalistisch tätig sei. Allerdings sei das Geschäftsmodell von Jameda nicht als eigene meinungsbildende Tätigkeit aufzufassen. Denn dafür müsse sie Informationen, Meinungen oder Ideen in der Öffentlichkeit verbreiten. Dies treffe auf Jameda aber gerade nicht zu. Sie biete vielmehr einen Hilfsdienst zur besseren Verbreitung von (Dritt-)Informationen an. Denn die ohne ihre Einwilligung aufgenommenen Basiskunden auf dem Portal werden als „Werbeplattform“ für Premiumkunden benutzt und letzteren wird durch die Form der Darstellung ein Vorteil gewährt. Darum diene das Portal nicht mehr allein dem Informationsaustausch zwischen und mit (potentiellen) Patienten. In diesem Fall müssten Ärzte nicht hinnehmen, ohne ihre Einwilligung als Basiskunden aufgeführt zu werden. Andere Funktionen des Portals, wie etwa die Möglichkeit von Premiumkunden, auf dem Profil in größerem Umfang die angebotenen ärztlichen Leistungen anzugeben als bei Basiskunden, hat das Gericht indes nicht beanstandet und insoweit die Klagen abgewiesen.

Bußgeld

–
Aber bei  Zuwiderhandlung droht ein Ordnungsgeld von bis zu 250.000 Euro, ersatzweise Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu vollstrecken an die Jameda Geschäftsführer.

Fazit

Bewertungsportale an sich dienen dem Interesse der Allgemeinheit und dürfen grundsätzlich Daten von gewerbsmäßig agierenden Marktteilnehmern auch ohne Einwilligung gemäß Art. 6 Abs. 1 lit f. DSGVO nutzen und verbreiten, wenn sie diese aus anderen öffentlich zugänglichen Quellen erlangen. Gilt das Nutzungsinteresse an den Daten aber nicht mehr überwirgend dem öffentlichen Interesse, verliert es die Eigenschaft eines neutralen Informationsvermittlers. Z.B. indem das Portal zahlenden Mitgliedern Vorteile gewährt, die für den Nutzer nicht klar erkennbar sind. Dann können die betroffenen Mitglieder die Löschung ihrer Daten verlangen.

Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920 (14.11.19)