Rechtsurteile rund um Daten-Löschungen
Einfach erklärt mit Link auf die Urteile
Auf dieser Seite habe ich Ihnen alle Urteile rund um Daten-Löschungen zusammengetragen. Denn es ist wichtig, diese Rechtsprechungen im Blick zu behalten, um hohe Strafzahlungen zu umgehen.
Die Gliederung der untenstehenden Urteile ist folgendermaßen:
Klicken Sie einfach unten links auf das „+“ vor dem jeweiligen Urteil, dann öffnet sich der Reiter.
Wenn Sie über neue Urteile, Rechtssprechungen oder Praxiserfahrungen informiert werden möchten, melden Sie sich unverbindlich zu meinem Newsletter an (Ihre E-Mailadresse wird nur für den Zweck der Erbringung des Newsletters verwendet, niemals für Werbezwecke von mir und natürlich nicht an Dritte weitergegeben):
Fehlendes Löschkonzept: Bußgeld von 14,5 Mio. EUR gegen Deutsche Wohnen (24.01.24)
Was war passiert?
Die Berliner Datenschutzbehörde (BlnBDI) warf Deutsche Wohnen vor, nicht mehr benötigte Daten von Mietern weiterhin gespeichert und es versäumt zu haben, angemessene Maßnahmen zur Löschung zu ergreifen. Zu den Daten gehörten unter anderem Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen. Die BlnBDI hatte daraufhin im Oktober 2020 gegen das Unternehmen einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro erlassen, denn die BlnBDI war– wie andere Datenschutzbehörden in Deutschland auch – der Ansicht, dass Geldbußen gegen Unternehmen wegen möglicher Datenschutzverstöße nach der DSGVO unmittelbar und unabhängig von einem nachgewiesenen Verschulden verhängt werden können. Der Nachweis einer Aufsichtspflichtverletzung oder eines sonstigen vorwerfbaren Verhaltens sei nicht nötig. Deutsche Wohnen klagte daraufhin gegen den Bußgeldbescheid beim LG Berlin.
Ablauf der Instanzen
Das LG Berlin hat den Bußgeldbescheid der BlnBDI am 18.02.21 aufgehoben. Dagegen legte die Staatsanwaltschaft Beschwerde ein, so dass als nächst höhere Instanz das Kammergericht Berlin prüfen musste. Das hier anhängige Verfahren wurde ausgesetzt, da das KG Berlin dem EuGH am 06.12.21 rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vorgelegt hat.
Der EuGH sollte zwei Fragen klären:
1.) Kann ein Bußgeldverfahren unmittelbar gegen ein Unternehmen (= juristische Person) durchgeführt werden, ohne das es der Feststellung einer durch eine natürliche oder identifizierte Person begangene Ordnungswidrigkeit bedarf (d..h.: kann man juristische Personen auch direkt belangen).
2.) Muss der Verstoß gegen die DSGVO schuldhaft vom Unternehmen begangen worden sein oder muss das Unternehmen – so die Ansicht der Datenschutzbehörde – verschuldensunabhängig haften (d.h. reicht jeder objekte Pflichtverstoß für ein Bußgeld, ohne dass es auf das Verschulden ankommt).
EuGH-Vorlagenbeschluss
Der EuGH hat die Fragen am 27.04.23 folgendermaßen beantwortet:
1.) Ja. Bei einer juristischen Person kann direkt ein Bußgeldverfahren durchgeführt werden, ohne Feststellung einer durch eine natürliche oder identifizierte Person begangene Ordnungswidrigkeit.
2.) Nein. Der Verstoß kann nicht verschuldensunabhängig sein. Es braucht ein schuldhaftes (mindestens grob fahrlässiges) Vergehen der juristischen Person.
Fazit
Es bleibt weiterhin spannend, wie das Landesgericht Berlin nun vorgehen wird. Die Entscheidung in diesem Verfahren wird im Datenschutz auf jeden Fall eine grundlegende Weichenstellung bedeuten. Denn die Aufsichtsbehörden könnten dann zwar dem Unternehmen direkt ein Bußgeld verhängen, aber nicht mehr nur deshalb, weil personenbezogene Daten nicht gelöscht wurden. Hier müssen Sie nun genau den konkreten Tatvorwurf benennen („weil du dies oder jenes getan/nicht getan hast, bekommst du ein Bußgeld“).
Entscheidung des KG Berlin: https://gesetze.berlin.de/bsbe/document/NJRE001566182 (22.01.24)
Pressemitteilung EuGH mit Link zum Vorlagenbeschluss:https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230184de.pdf (05.12.23)
Schlüssanträge EuGH:https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62021CC0807 (27.04.23)
Beschluss vom LG Berlin: https://gesetze.berlin.de/bsbe/document/NJRE001457043 (18.02.21)
Mitarbeitende: 2.500,- EUR Schadensersatz u.a. wegen unterlassener Löschung einer Abmahnung (LArbG Baden-Württemberg: 28.07.23)
Was war passiert?
Ein Auszubildender wurde von seinem Ausbildungsbetrieb wegen Speicherung von sensiblen Mitarbeitendendaten auf einem USB-Stick abgemahnt. Dies wurde vom Auszubildenden bestritten und kann nicht mehr nachgewiesen werden, da der USB-Stick vom Ausbildungsbetriebs einbehalten wurde. Der Auszubildende ist mittlerweile auch nicht mehr bei dem Unternehmen tätig.
Neben einem Auskunftsanspruch (mit einer zu kurz beantragten Antwortzeit von 9 Tagen) und einem Schadensersatz von 5.000,- EUR forderte der ehemalige Auszubildende darüber hinaus, die Abmahnung aus der Personalakte zu löschen.
Nachdem die Klage des Auszubildenden in der Vorinstanz (Arbeitsgericht Villingen-Schwenningen, Az.: 7 Ca 59/20) noch abgewiesen wurde, hatte die Berufung vor dem Landesarbeitsgericht zumindest teilweise Erfolg.
Das Urteil
Der Auskunftsanspruch des Klägers war teils verspätet und teils gar nicht erfüllt worden. Da das Unternehmen und ihr Alleingesellschafter Art. 15 DSGVO verletzt haben, schulden sie dem Kläger gesamtschuldnerisch einen Betrag von 2.500,- EUR. Erwähnenswert ist die Begründung zu der Abmahnung:
„Nach Ende des Arbeitsverhältnisses sind Abmahnungen für den Zweck, für den sie in der Personalakte gespeichert worden sind grundsätzlich nicht mehr erforderlich. Da das Arbeitsverhältnis beendet ist, haben Abmahnungen, die grundsätzlich zur Rüge eines beanstandenden Verhaltens dienen und gegebenenfalls eine Warnfunktion im Hinblick auf eine drohende Beendigung des Arbeitsverhältnisses enthalten keinerlei Bedeutung mehr. Insbesondere dient die Abmahnung auch nicht mehr der Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen der Beklagten im Sinne des Art. 3 e DSGVO. Hierzu hat die Beklagte insbesondere auch nichts vorgetragen. Gesetzliche Aufbewahrungsfristen für Abmahnungen gibt es nicht.
Der Arbeitnehmer kann nach Art. 17 Abs. 1 DSGVO nach Ende des Arbeitsverhältnisses regelmäßig die Löschung (Entfernung) einer Abmahnung aus der Personalakte verlangen.“
Schadensersatz
2.500,- EUR.
Fazit
Für (zu recht erteilte) Abmahnungen gibt es keine gesetzlichen Aufbewahrungsfristen und diese könnten somit dauerhaft in der Personalakte bleiben. Ein Arbeitgeber kann natürlich eigene Regelungen treffen, die Abmahnung z.B. nach 2 oder 3 Jahren aus der Personalakte zu entfernen. Allerdings kann sich dann bei einem erneuten Vergehen nicht mehr auf die Abmahnung berufen werden, um daraus resultierend eine Kündigung auszusprechen. Der Mitarbeitende hat aber in Einzelfällen die Möglichkeit, einen Antrag zur Löschung seiner Abmahnung zu stellen (z.B. wenn die Abmahnung durch den Zeitablauf unerheblich geworden oder nicht mehr relevant ist).
Mit Beendigung des Arbeitsverhältnisses entfällt die Warnfunktion einer Abmahnung, weshalb arbeitnehmerseitig für die Abmahnung ein Entfernungsanspruch besteht. Hier kommt es allerdings auf den Einzelfall an. Wenn es etwa zur Kündigungsschutzklage kommt, kann der Inhalt der Abmahnung dafür unter Umständen relevant sein. In diesem Fall kann für den Arbeitgeber ein Interesse am Beibehalt der Abmahnung in der Personalakte auch nach Kündigung noch bestehen.
Urteil: https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&Art=en&sid=2f7ae7599e43eb3191640a3cf8991384&nr=39111&pos=0&anz=1 (28.07.23)
Weiteres Urteil vom Landesrecht Sachsen-Anhalt: https://www.landesrecht.sachsen-anhalt.de/bsst/document/JURE190001058 (23.11.18)
Mitarbeitende: Kein Anspruch auf Löschung der Abmahnung (BAG: 19.07.12)
Was war passiert?
Die Mitarbeiterin einer Volkshochschule bzw. des angehörigen Planetariums klagte gegen ihrem Arbeitgeber auf die Rücknahme einer erteilte Abmahnung und Löschung aus der Personalakte.
Das Urteil
Leitsatz des BAG: Der Arbeitnehmer kann die Entfernung einer zu Recht erteilten Abmahnung aus seiner Personalakte nur dann verlangen, wenn das gerügte Verhalten für das Arbeitsverhältnis in jeder Hinsicht bedeutungslos geworden ist. Auszüge:
„Arbeitnehmer können … die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung entweder inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt, und auch dann, wenn selbst bei einer zu Recht erteilten Abmahnung kein schutzwürdiges Interesse des Arbeitgebers mehr an deren Verbleib in der Personalakte besteht.
Personalakten sind eine Sammlung von Urkunden und Vorgängen, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters betreffen und in einem inneren Zusammenhang mit dem Dienstverhältnis stehen. Sie sollen ein möglichst vollständiges, wahrheitsgemäßes und sorgfältiges Bild über diese Verhältnisse geben. Ein Arbeitnehmer kann deshalb nur in Ausnahmefällen die Entfernung auch solcher Aktenvorgänge verlangen, die auf einer richtigen Sachverhaltsdarstellung beruhen. Ein solcher Fall liegt vor, wenn eine Interessenabwägung im Einzelfall ergibt, dass die weitere Aufbewahrung zu unzumutbaren beruflichen Nachteilen für den Arbeitnehmer führen könnte, obwohl der beurkundete Vorgang für das Arbeitsverhältnis rechtlich bedeutungslos geworden ist.
Ein Anspruch auf Entfernung einer zu Recht erteilten Abmahnung setzt demnach nicht nur voraus, dass die Abmahnung ihre Warnfunktion verloren hat. Der Arbeitgeber darf auch kein berechtigtes Interesse mehr an der Dokumentation der gerügten Pflichtverletzung haben. Der Arbeitnehmer kann die Entfernung einer zu Recht erteilten Abmahnung aus seiner Personalakte nur dann verlangen, wenn sie für die Durchführung des Arbeitsverhältnisses unter keinem rechtlichen Aspekt mehr eine Rolle spielen kann. Das durch die Abmahnung gerügte Verhalten muss für das Arbeitsverhältnis in jeder Hinsicht rechtlich bedeutungslos geworden sein. Das ist nicht der Fall, solange eine zu Recht erteilte Abmahnung etwa für eine zukünftige Entscheidung über eine Versetzung oder Beförderung und die entsprechende Eignung des Arbeitnehmers, für die spätere Beurteilung von Führung und Leistung in einem Zeugnis oder für die im Zusammenhang mit einer möglichen späteren Kündigung erforderlich werdende Interessenabwägung von Bedeutung sein kann. Darüber hinaus kann es im berechtigten Interesse des Arbeitgebers liegen, die Erteilung einer Rüge im Sinne einer Klarstellung der arbeitsvertraglichen Pflichten weiterhin dokumentieren zu können. Demgegenüber verlangen die schutzwürdigen Interessen des Arbeitnehmers nicht, einen Anspruch auf Entfernung einer zu Recht erteilten Abmahnung schon dann zu bejahen, wenn diese zwar ihre Warnfunktion verloren hat, ein Dokumentationsinteresse des Arbeitgebers aber fortbesteht. Auch wenn sich eine Abmahnung noch in der Personalakte befindet, ist im Rahmen eines möglichen Kündigungsrechtsstreits stets zu prüfen, ob ihr noch eine hinreichende Warnfunktion zukam“
Schadensersatz
–
Fazit
Arbeitnehmer haben nicht automatisch einen Anspruch auf Löschung einer Abmahnung, nur weil seit der Abmahnung schon viel Zeit verstrichen ist. Löschbegehren von Abmahnungen sind vom Arbeitgeber somit im Einzelfall zu prüfen.
Mitarbeitende: 10.000,- EUR Schadensersatz wegen unterlassener Löschung von Fotos/Video (LArbG Baden-Württemberg: 27.07.23)
Was war passiert?
Der Kläger hat während seiner Zeit bei der Beklagten spezielle Schulungen geleitet. In dieser Funktion wurden zahlreiche Fotos und ein Video von ihm bei der Arbeit gemacht, die von der Beklagten zu Werbezwecken im Internet verwendet wurden. Laut Beklagter war der Kläger mit der Anfertigung von Bildnissen einverstanden und hat diese aktiv gefördert (hierzu gibt es aber nichts Schriftliches). Im April 2019 beendete der Kläger sein Arbeitsverhältnis und wechselte zu einem Wettbewerber.
Nachdem der Kläger das Unternehmen verlassen hatte, wurden die Fotos und des Videos trotz mehrfacher Aufforderungen, sie zu entfernen, weiterhin verwendet. Erst im Februar 2020 kam die Beklagte schließlich der Aufforderung zur Löschung der Fotos und des Videos nach.
Das Urteil
Das LArbG Baden-Württemberg sprach dem Kläger Schadensersatz in Höhe von 10.000,- EUR zu.
„Auch wenn der Kläger im Zeitpunkt des Anfertigens des Bildmaterials hiermit und mit der Verwertung des Bildmaterials zu Werbezwecken für die Beklagte einverstanden war, so bedeutet dies nicht, dass dieses Einverständnis über den Zeitpunkt seines Ausscheidens bei der Beklagten hinaus fortbestand, zumal der Kläger in unmittelbarem zeitlichen Anschluss in vergleichbarer Position bei einem Wettbewerber tätig wurde. Vielmehr hätte die Beklagte sämtliche Bildnisse des Klägers von sich aus spätestens im Zeitpunkt des Ausscheidens des Klägers aus ihren Werbemedien entfernen müssen (…). Dies hat die Beklagte jedoch nicht getan, sondern in der Folgezeit ein das Persönlichkeitsrecht des Klägers in erheblichem Maße beeinträchtigendes Verhalten an den Tag gelegt.“
„Wenn die Beklagte ausführt, dass „zwischen den Parteien abgestimmt gewesen“ sei, dass die Beklagte das Schulungsvideo auch nach Ausscheiden des Klägers vollumfänglich mit dem Bild des Klägers weiter nutzen könne, so ist nicht ansatzweise ersichtlich, wer – bei der Beklagten handelt es sich um eine juristische Person – mit wem wann welche konkrete Regelung vereinbart haben soll. Der Kläger hat eine entsprechende Abrede bestritten.“
Schadensersatz
10.000 EUR.
Fazit
Jedes Unternehmen sollte unbedingt einen Onboarding- und Offboardingprozess sowie ein aktuelles Löschkonzept haben. Darüber hinaus sollten Einwilligungen für die Nutzung der Mitarbeiterdaten IMMER schriftlich erfolgen. Mitarbeitende müssen konkret und klar über die Zwecke der Verwendung aufgeklärt werden. Sollte die Einwilligung auch die Verwendung der Daten in Printprodukten oder Videos enthalten, sollte hier vermerkt werden, dass bereits gedruckten Flyer/Broschüren sowie fertige Videos auch nach Ausscheiden des Mitarbeitenden aus dem Unternehmen weiter verwendet werden. Bei einer Neuauflage/einem Neudreh wird dann berücksichtigt, dass die jeweiligen Daten nicht wieder erscheinen.
Urteil: https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&nr=39091 (27.07.23)
Mitarbeitende: 1.000,- EUR Schadensersatz wegen unterlassener Löschung auf Internetauftritt (ArbG Neuruppin: 14.12.21)
Was war passiert?
Nach Beendigung des Arbeitsverhältnisses schrieb die ehemalige Mitarbeiterin das Unternehmen an und wies darauf hin, dass sie auf der Unternehmens-Webseite immer noch benannt wurde. Auch seien die Angaben zu ihrer Person dort nicht korrekt dargestellt. Da nichts passierte, verlangte sie daraufhin eine Unterlassungserklärung und eine Geldentschädigung in Höhe von 8.000,00 Euro. Das Unternehmen gab die Unterlassungserklärung ab, zahlte aber lediglich 150,00 Euro. Daraufhin klagte die ehemalige Mitarbeiterin vor dem Arbeitsgericht Neuruppin auf Schadensersatz in Höhe von 5.000,00 Euro abzüglich der gezahlten 150,00 Euro.
Das Urteil
Das Arbeitsgericht Neuruppin sprach der ehemaligen Mitarbeiterin einen immateriellen Schadensersatz in Höhe von 1.000,00 Euro abzüglich der gezahlten 150,00 Euro zu. Es bestätigte, dass eine rechtswidrige Datenverarbeitung vorlag, die zu einer Verletzung des Persönlichkeitsrechts führte. Daher stand der Klägerin auch ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zu.
Begründung: Das Arbeitsgericht stellte klar, dass es keiner Lösch-Aufforderung bedarf, sondern die Daten nach Beendigung des Arbeitsverhältnisses umgehend von der Webseite des Verantwortlichen entfernt werden müssen. Als Verantwortlicher sei die Beklagte als Arbeitgeberin schadensersatzpflichtig für den Schaden, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist.
Schadensersatz
1.000 EUR.
Fazit
Erst einmal sollte kein Unternehmen falsche Information über seine Mitarbeiter auf dem Unternehmens-Internetauftritt darstellen. Darüber hinaus sollte ein Unternehmen einen Onboarding- und Offboardingprozess (inkl. sofortiger Löschung von ausgeschiedenen Mitarbeitern auf dem Internetauftritt) sowie ein aktuelles Löschkonzept haben. Auch schien es keinen etablierten Prozess für Betroffenenanfragen zu geben, da sich das Unternehmen nicht bei der ehemaligen Mitarbeiterin meldete.
Urteil: https://openjur.de/u/2393301.html (14.12.21)
Mitarbeitende: 5.000,- EUR Schadensersatz wegen unterlassener Löschung einer Fotoveröffentlichung ohne Einwilligung (ArbG München: 25.03.21)
Was war passiert?
Eine Universität fertigte auf Initiative des Marketings Fotos an, auf denen auch die Klägerin zu sehen ist. Vor der Aufnahme wurde ihr eine Einwilligungserklärung vorgelegt, die sie aber nicht unterzeichnete. Hingegen notierte sie die folgende Anmerkung „Nicht für mein Aussehen“.
Im Jahr 2019 wurde dann eine Werbebroschüre der Universität veröffentlicht, auf der Personen mit verschiedenen ethnischen Hintergründen zu sehen sind. Ziel war es, dadurch auf die Internationalität der Einrichtung aufmerksam zu machen. Nach Kenntnisnahme der Veröffentlichung teilte die Klägerin mit, dass sie mit der Verwendung ihrer Bilder in diesem Kontext unter keinen Umständen einverstanden sei. Daraufhin wurde ihr von der Universität mitgeteilt, dass die streitgegenständlichen Fotos gelöscht wurden. Jedoch sei es nicht möglich, die Druckmaterialien, bei denen es bereits zu einer Verwendung der Fotos gekommen sei, zurückzuziehen.
Das Urteil
Das Arbeitsgericht München hat der Klägerin 5.000,- EUR zugesprochen.
„Die Klägerin sei in dem Bild die zentrale Aussage, nämlich dass bei der Beklagten auch Menschen anderer Ethnie beschäftigt würden. Die Aufgabe der Klägerin habe mit den internationalen Kontakten der Beklagten überhaupt nichts zu tun. Weiterhin sei sowohl nach Kunsturhebergesetz als auch nach der Datenschutzgrundverordnung eine schriftliche Einwilligung erforderlich. Die Klägerin sei gerade nicht damit einverstanden gewesen, wie geschehen in der Broschüre abgebildet zu werden.“
Schadensersatz
5.000 EUR.
Fazit
Einwilligungen über die Nutzung von Fotos sollten IMMER schriftlich erfolgen.
Urteil: https://www.justiz.nrw.de/nrwe/arbgs/hamm/arbg_muenster/j2021/3_Ca_391_20_Urteil_20210325.html (25.03.21)
Videoaufzeichnungen: sind nach 72 Stunden zu löschen (VG Hannover: 13.03.23)
Die Betreiberin einer SB-Tankstelle im ländlichen Raum erhielt von der zuständigen Datenschutzbehörde eine Anordnung, die Video-Aufzeichnungen nach Ablauf von 72 Stunden zu löschen (die Aufzeichnungen wurden bisher für sechs bis acht Wochen gespeichert). Die Betreiberin wehrte sich gegen diese Anordnung und trug der Aufsichtsbehörde schriftlich vor, dass die Videoaufzeichnung verschiedenen Zwecken diene. Diese Zwecke rechtfertigten eine längere Speicherdauer:
Zweck 1: Ungerechtfertigter Bereicherung und Tankbetrug. Erhebliches Risiko, dass Kunden getankten Treibstoff nicht bezahlten. Oftmals behaupten Kunden erst nach Ablauf von drei Tagen, ihre Karte sei zu Unrecht belastet worden und sie hätten ihr Fahrzeug nicht an der klägerischen Tankstelle betankt. Zur Durchsetzung ihrer Kaufpreisansprüche sei sie deshalb auf die Videoaufzeichnungen angewiesen. Zudem akzeptiere sie auch Tankkarten, bei denen eine Abrechnung monatlich über eine SEPA-Lastschrift erfolge. Kunden könnten gegenüber ihren Banken innerhalb von acht Wochen ohne Angabe von Gründen widersprechen. Die Bank buche den Kunden das Geld dann wieder zurück auf ihr Konto und buche den an die Klägerin angewiesenen Betrag teilweise wieder zurück. Die Aufklärbarkeit entsprechender Fälle sei in 72 Stunden nicht zu gewährleisten.
Zweck 2: Beweissicherungen / Vandalismusprävention. Es kämen auch Fälle vor, bei denen Kunden versehentlich zwei Zapfsäulen freischalteten. Hintergrund sei, dass der Kunde über das zentrale Terminal zunächst die falsche Zapfsäule und nach Erkennen dieses Fehlers eine weitere (die richtige) Zapfsäule freischalte. Technisch könne dieser Fehlbedienung nicht begegnet werden. Im Zusammenhang mit solchen Fällen habe sie sich in der Vergangenheit strafrechtlichen Vorwürfen ausgesetzt gesehen, weil Kunden bei späteren Abrechnungen festgestellt hätten, dass ihre Karte für zwei Tankvorgänge (ihren eigenen und den an der versehentlich freigeschalteten Zapfsäule) belastet worden sei. Sie habe sich sodann mittels der Videoaufzeichnungen entlasten können. Im Tankstellenbetrieb seien jährlich Beschädigungen in Höhe von rund 10.000,00 EUR festzustellen. Den Aufzeichnungen komme daher eine wichtige Aufklärungsfunktion zu.
Fazit der Betreiberin: Eine auf 72 Stunden reduzierte Speicherdauer sei unangemessen kurz. Sachgerecht sei eine vierzehntägige Zeitspanne.
Die Aufsichtsbehörde antwortete folgendermaßen auf die jeweiligen Zwecke der Betreiberin:
Zweck 1: Ungerechtfertigter Bereicherung und Tankbetrug. Die Klägerin könn den Beweis für den Tankvorgang nicht nur durch die Videoaufzeichnungen erbringen. Der Umstand, dass die Nutzung der Karte samt PIN-Eingabe zum Start des Tankvorgangs zwingende Voraussetzung sei, zeige, dass ein Beweisantritt durch entsprechende Zahlungs- und Abbuchungsbelege erfolgen könne. Auch in Konstellationen, in denen ein Kunde behaupte, seine Karte samt PIN sei ihm entwendet worden und nicht er selbst, sondern der Dieb habe den Tankvorgang vorgenommen, sei eine längere Speicherdauer nicht gerechtfertigt. Die Beweislast für das treuwidrige Verhalten Dritter liege in solchen Konstellationen nicht bei der Klägerin, sondern dem Kreditinstitut. Sollten Anhaltspunkte für die Begehung einer Straftat vorliegen, so könne die Aufnahme auch über 72 Stunden hinaus gespeichert werden; eine Löschung habe hingegen zu erfolgen, wenn kein relevantes Ereignis habe gesichtet werden können.
Zweck 2: Beweissicherungen. Die von der Klägerin geschilderte Konstellation, dass Kunden aus Versehen zunächst eine falsche Zapfsäule freischalteten, habe die Klägerin erstmals im Klageverfahren geschildert. Dieses Vorbringen sei verspätet und habe im streitgegenständlichen Bescheid nicht berücksichtigt werden können. Außerdem rechtfertigten auch solche Fälle keine längere Speicherdauer. Zum einen könnte diesen Konstellation durch technische Vorkehrungen begegnet werden und zum anderen sei bereits fraglich, wie oft solche Fälle tatsächlich auftreten würden. Es handele sich wohl eher um Ausnahmesituationen, die im Hinblick auf die Interessen und Rechte vom weit überwiegenden Teil der Betroffenen keine längere Speicherdauer rechtfertigten.
Fazit der Aufsichtsbehörde: Für den Einzelfall wird anerkannt, dass feiertagsbedingt auch eine längere als 72-stündige Speicherdauer notwendig sein könne. Abgesehen von diesen Sonderfällen sei jedoch nicht ersichtlich, warum eine längere Speicherung der Videoaufzeichnungen notwendig sein könnte.
Die Argumente der Klägerin überzeugte das VG Hannover nicht, so dass das Gericht die ausgesprochene Anordung der Aufsichtsbehördeals als rechtmäßig bewertete. Die Klage wurde abgewiesen.
Begründung:
Zulässiger Zweck der Videoüberwachung ist die Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen. Zu diesem Zweck ist die Klägerin berechtigt, Bildaufnahmen zu erheben und auch zu speichern. Es ist aber nicht notwendig, diese Aufzeichnungen für die Zweckerreichung sechs bis acht Wochen vorzuhalten. Es ist ohne weiteres möglich, binnen 72 Stunden festzustellen, ob Vandalismus oder Beschädigungen an der klägerischen Tankstelle aufgetreten sind und sollte dem so sein, das Videomaterial daraufhin zu sichten. Sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist die Klägerin zur längeren Speicherung berechtigt.
Soweit die Klägerin überdies vorgetragen hat, die Videoüberwachung diene auch dazu, sich gegen unberechtigte zivilrechtliche Ansprüche schützen und solche gegebenenfalls selbst durchsetzen zu können, so darf sie die Videoüberwachung zu diesem Zweck nicht durchführen. Sie hat ein berechtigtes Interesse zur Datenerhebung zu diesen Zwecken weder substantiiert dargelegt noch belegt. Zur Durchsetzung von Kaufpreisansprüchen nach § 433 BGB bedarf es der Videoaufzeichnung schon deswegen nicht, weil bei der von der Klägerin betriebenen SB-Tankstelle Benzin grundsätzlich erst dann ausgegeben wird, wenn die Tanksäule freigeschaltet wurde. Die Freischaltung erfolgt durch die Einführung der akzeptierten Zahlkarten unter Nutzung einer PIN. Sobald die Zapfpistole wieder eingehängt wird, wird die Abbuchung vom Konto des Kunden direkt veranlasst. Kunden können die Tankstelle ohne Initiierung des Zahlvorgangs also grundsätzlich nicht verlassen.
Soweit die Klägerin dargelegt hat, dass an ihrer Tankstelle auch eigens ausgegebene Tankkarten akzeptiert werden, bei denen eine monatliche Abrechnung über ein SEPA-Lastschrift-Verfahren erfolgt, so berechtigt auch dies nicht zur Videoüberwachung. Die Klägerin hat diesbezüglich zwar ausgeführt, dass Kunden dem Einzug des Rechnungsbetrages ohne Angaben von Gründen gegenüber ihrer Bank widersprechen können und die Banken teilweise nach den vertraglichen Vereinbarungen sodann berechtigt seien, den an die Klägerin ausgezahlten Betrag wieder zurück zu buchen. Zur Durchsetzung des Kaufpreisanspruches ist die Klägerin dennoch nicht auf die Aufzeichnungen der Videoüberwachungsanlage angewiesen. Der Nachweis über den (den Kaufvertrag begründenden) Tankvorgang kann sie schließlich bereits dadurch erbringen, dass die personalisierte Tankkarte unter Nutzung einer PIN an ihrer Selbstbedienungstankstelle verwendet wurde. Dies ist über die Abrechnungsbelege nachweisbar. Schließlich hat die Klägerin keinen einzigen Beleg dafür erbracht, dass es in der Vergangenheit zu einem solchen Fall gekommen ist. Das Gericht hat die Klägerin bereits im Vorfeld zur mündlichen Verhandlung zur Vorlage entsprechender Belege aufgefordert. Dem ist die Klägerin – auch im Rahmen der mündlichen Verhandlung – nicht nachgekommen. Soweit der Geschäftsführer der Klägerin diesbezüglich ausgeführt hat, Belege und Nachweise könnten nicht vorgelegt werden, weil in der Vergangenheit entsprechende Fälle immer dadurch hätten aufgeklärt werden können, dass er allein sich die Videoaufzeichnungen angeschaut habe und seinem Gegenüber am Telefon habe versichern können, dass der Tankvorgang stattgefunden habe, so hält die Kammer dies für fernliegend und nicht überzeugend. Es entspricht nicht der allgemeinen Lebenserfahrung, dass etwaige Rechtsansprüche immer ausschließlich nur telefonisch dargelegt und sodann auch telefonisch abschließend geklärt werden können.
Die Klägerin darf die Videoüberwachung auch nicht zum Zweck der Verteidigung gegen zivilrechtliche Ansprüche nach §§ 812 ff. BGB durchführen. Sie hat diesbezüglich behauptet, in der Vergangenheit sei es zu Fällen gekommen, in denen nach einem Tankvorgang die Karte eines Kunden belastet worden sei und der Kunde sodann behauptet habe, sein Fahrzeug nicht bei der Klägerin betankt und deswegen den Kaufpreis zurückgefordert zu haben. Es stünde demnach im Raum, dass die Klägerin den Kaufpreis durch Leistung des Kunden ohne Rechtsgrund erlangt habe. Selbst wenn es in der Vergangenheit zu solchen Fällen gekommen ist, rechtfertigen sie die Videoüberwachung nach Ansicht der Kammer nicht. Nach den zivilrechtlichen Beweislastregeln wäre zunächst grundsätzlich der vermeintliche Kunde für das Fehlen des Rechtsgrundes, also für den Umstand beweisbelastet, dass zwischen ihm und der Klägerin kein Kaufvertrag zustande gekommen ist – sprich, dass kein Tankvorgang vorgenommen wurde (vgl. beispielsweise Wendehorst, in BeckOK BGB, 65. Ed., § 812, Rn. 281f.). Zudem kann die Klägerin auch in solchen Konstellationen grundsätzlich über die Abrechnungen einen Nachweis für den Tankvorgang und damit das Vorliegen eines Rechtsgrundes erbringen. Soweit die Klägerin diesbezüglich ohne Vorlage entsprechender Nachweise pauschal vorgetragen hat, dass auf den Abrechnungen nicht die volle IBAN des Kunden dargestellt werde, so ist die Kammer davon überzeugt, dass die IBAN und demnach die Identität des jeweiligen Kartennutzers sich anhand der auf der Abrechnung vorhandenen Angaben durch Erforschungsmaßnahmen bei der Bank ermitteln lässt. Die Klägerin hat zudem auch für diese vorgetragene Konstellation keinen einzigen Beleg erbracht, dass es in der Vergangenheit zu entsprechenden Fällen tatsächlich gekommen ist. Auch diesbezüglich hält die Kammer es für fernliegend, dass Kunden versuchen, ihre vermeintlichen Rechtsansprüche mündlich durchzusetzen und sodann wegen einer telefonischen Auskunft, die auf der für den Kunden nicht nachvollziehbaren Sichtung des Videomaterials beruht, von der Weiterverfolgung absehen.
Auch für die von der Klägerin vorgetragene Konstellation, Kunden hätten in der Vergangenheit behauptet, ihre Karte samt PIN sei entwendet und zum Tanken verwendet worden, ist die Klägerin zur Videoüberwachung nicht berechtigt. Die Beweislast für das treuwidrige Verhalten Dritter liegt in solchen Konstellationen nicht bei der Klägerin, sondern in der Regel nach §§ 675 v -675 w BGB bei den Kreditinstituten. Bei § 675 v BGB handelt es sich um die zentrale Haftungsnorm im Rechtsverhältnis von Zahlungsdienstleister und Zahlungsdienstnutzer. Sie regelt, welche Partei bei missbräuchlicher Verwendung von Zahlungsdiensten einen durch unberechtigt verfügende Dritte entstandenen Schaden zu tragen hat. Eine Haftung des Zahlungsempfängers ist hier nicht vorgesehen. § 675 w BGB regelt dahingehend die Beweislasten und bezieht sich ebenfalls nicht auf den Zahlungsempfänger. Zudem besteht bei Nutzung einer EC-Karte/Visa-Karte mit PIN – und nur solche sind bei der Klägerin nach ihrem eigenen Vortrag nutzbar – grundsätzlich eine Zahlungsgarantie des Kreditunternehmens. Schließlich ist es der Klägerin auch hinsichtlich dieser behaupteten Konstellation nicht gelungen, eine Gefährdungslage substantiiert darzulegen. Nachweise dafür, dass es zu solchen Fällen in der Vergangenheit gekommen ist, hat sie trotz gerichtlicher Aufforderung nicht erbracht.
Die Klägerin hat weiter vorgetragen, sie sei auf die Videoüberwachung angewiesen, um Fälle aufklären zu können, bei denen Kunden nach einer Fehlbedienung die doppelte Belastung ihrer Karte rügen würden. In der Vergangenheit sei es zu Fällen gekommen, in denen Kunden durch das zentrale Terminal zunächst eine falsche und sodann die richtige Zapfsäule freigeschaltet hätten. Ein anderer Kunde habe sodann an der versehentlich freigeschalteten Zapfsäule auf Kosten dieses Kunden getankt. Auch dieser Vortrag rechtfertigt eine Videoüberwachung nicht. Zunächst ist die Kammer davon überzeugt, dass solchen Fällen durch technische Vorrichtungen begegnet werden kann, sodass sie gar nicht vorkommen müssten. Zudem hat die Klägerin auch hinsichtlich dieser Fallkonstellation keinerlei belastbaren Nachweise dafür vorgebracht, dass sie in der Vergangenheit tatsächlich vorgekommen wären.
Soweit die Klägerin schließlich noch behauptet hat, sie sei auf die Videoüberwachung angewiesen, weil sie sich wegen der vermeintlich falschen Belastung von Zahlungskarten auch gegen strafrechtliche Vorwürfe verteidigen können müsse, so hat sie auch diesbezüglich nicht substantiiert darlegen können, dass in der Vergangenheit tatsächlich strafrechtlich gegen sie ermittelt oder gar ein Strafverfahren eingeleitet wurde. Dass es auch für solche Konstellationen keinerlei schriftliche Nachweise gibt, hält die Kammer für abwegig.
Es wurde kein Bußgeld festgesetzt. Aber die Aufsichtsbehörde hatte für den Fall der nicht, nicht vollständigen oder nicht fristgemäßen Umsetzung ein Zwangsgeld in Höhe von 1.000,00 EUR angedroht.
Bei der Verarbeitung von personenbezogenen Daten ist der ZWECK der Verarbeitung und der Wegfall des Zwecks unbedingt genau zu durchleuchten. Darüber hinaus sollte ein Unternehmen unbedingt alle Dokumente aufbewahren, auf die sich Begründungen für eine längere Speicherung stützen. Die Klägerin hatte im obrigen Fall für sehr viele von ihr vorgetragenen Konstellationen, warum sie Videoaufzeichnungen länger speichern muss, keinerlei schriftliche Nachweise.
Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920 (13.03.23)
Videoaufzeichnungen: längere Speicherung bei Verdachtsfällen möglich (BAG: 23.08.18)
Was war passiert?
Ein Tabak- und Zeitschriftenhandel mit angeschlossener Lottoannahmestelle kündigte einer Mitarbeiterin fristlos „wegen der begangenen Straftaten“. Bei einer stichprobenartigen Ermittlung der Warenaufschläge in Q3/2016 sei ein Schwund an Tabakprodukten festgestellt worden. Im August 2016 sind für zwei Arbeitstage der Mitarbeiterin die Aufzeichnungen von 02/2016 der in der Filiale installierten öffentlichen (und der Mitarbeiterin bekannten) Videokamera ausgewertet worden. Bei der Auswertung zeigte sich, dass die Klägerin in drei Fällen Verkäufe von Tabakwaren nicht registriert und das vereinnahmte Geld nicht in die Registrier-, sondern in die Lottokasse gelegt habe. Mit dieser ist sie dann für kurze Zeit ins nicht überwachte Büro gegangen. Auch habe sie eine Tabakdose im Wert von 18,50 Euro verkauft, aber nur 1,00 Euro in die Sortimentkasse gelegt und den Restbetrag „für eigene Zwecke vereinnahmt“. Nach der Kündigung klagte die Mitarbeiterin: Sie habe kein Geld für sich vereinnahmt, sondern Warenverkäufe stets in die Registrierkasse eingebucht und das vom Kunden überreichte Geld jeweils in „die Kasse“ gelegt. Die Vorinstanzen haben der Klage stattgegeben und die Widerklage abgewiesen. Mit der Revision verfolgte der Beklagte seine Anträge weiter.
Das Urteil
Das Berufungsgericht hat die Abweisung des Widerklageantrags ua. darauf gestützt, vor der Auswertung der Videoaufzeichnungen habe kein auf Tatsachen beruhender konkreter Verdacht gegen die Klägerin bestanden. Außerdem:
- „Ein Beweisverwertungsverbot folge jedenfalls daraus, dass er „die Videoaufnahmen“ für die betreffenden Tage erst knapp sechs Monate später und damit zu einem Zeitpunkt ausgewertet habe, zu dem er sie gemäß § 6b Abs. 5 BDSG aF längst hätte gelöscht haben müssen. In dem monatelangen Unterbleiben der Löschung liege eine besonders schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin.“
Dies sah das BAG anders: „Diese Ausführungen halten einer rechtlichen Überprüfung nicht stand.“ Auch, da die betreffende Maßnahme (Anmerkung: Videoaufzeichnungen) nach den Vorschriften des BDSG aF zulässig war. Weiterhin urteilte das BAG, dass die Speicherung von Videoaufzeichnungen solange erlaubt ist, bis der Zweck (Straftaten Dritter als auch solche von eigenen Arbeitnehmern zu verhindern oder aufdecken und verfolgen zu können) entweder erreicht oder aufgegeben oder nicht mehr erreichbar ist.
- „… Der Zweck war auch nach wie vor erreichbar. Etwaige Kündigungsrechte waren noch nicht verwirkt und mögliche Schadensersatzansprüche weder verjährt noch – soweit ersichtlich – verfallen. Damit blieb die Speicherung der relevanten Sequenzen erforderlich.
- ….
- Überdies ist zu beachten, dass gedeihliche Arbeitsvertragsbeziehungen von beiderseitigem Vertrauen getragen sein müssen. Dem widerspräche es, wenn der Arbeitgeber gezwungen wäre, die Aufzeichnungen aus einer offenen, vorrangig zu präventiven (Verhinderung von Pflichtverletzungen) und nur bei Verfehlung dieses Primärziels zu repressiven Zwecken (Aufklärung und Verfolgung von Pflichtverletzungen) eingesetzten Videoüberwachung laufend vollumfänglich einzusehen, um relevante Sequenzen weiterverarbeiten zu dürfen. Das hielte ihn zu ständigem Misstrauen an. Zugleich würde durch einen faktischen Zwang zu zeitnaher Aufdeckung und „Sanktionierung“ von Pflichtverletzungen der Arbeitnehmerschutz durch die Vorgaben des Datenschutzrechts in sein Gegenteil verkehrt. Die Speicherung – nach wie vor – erforderlicher Sequenzen kann deshalb nur unangemessen sein, wenn das Verhalten des Arbeitgebers objektiv den Schluss zulässt, er wolle diese Passagen nicht allein zur Rechtsverfolgung verwenden. Es muss die greifbare Gefahr eines Missbrauchs personenbezogener Daten bestehen.
- Allerdings kann der Arbeitgeber – wie der Streitfall illustriert – mit Blick auf mögliche „heimliche“ Verletzungen seines Eigentums durch eigene Beschäftigte nicht darauf verwiesen werden, die gesamten Aufzeichnungen nach kurzer Zeit unbesehen überschreiben zu lassen. Würden die Speicherintervalle so kurz bemessen, dass die Aufzeichnungen bei Bekanntwerden von Vorfällen üblicherweise schon gelöscht sind, wäre die Maßnahme insoweit praktisch wirkungslos und damit jedenfalls unverhältnismäßig. Dementsprechend könnten wochen- oder sogar monatelange Speicherintervalle nicht zu beanstanden sein, wenn Straftaten oder erhebliche Pflichtverletzungen erst bei aufwendigen Überprüfungen oder Abrechnungsmaßnahmen entdeckt werden können. Insofern besteht ein erheblicher Unterschied zu Videoüberwachungen, die – allein – darauf abzielen, als solche bereits festgestellte Taten Dritter (zB Diebstähle, Raubüberfälle oder Sachbeschädigungen) „lediglich“ aufzuklären und zu verfolgen. Da eine zeitnahe, unbesehene Löschung des Bildmaterials nicht in Betracht kommt, stellt sich die Frage, wodurch stärker in die Persönlichkeitsrechte der Gefilmten (Beschäftigte und Kunden) eingegriffen wird: durch eine vollumfängliche Auswertung der Videoaufzeichnungen ohne konkreten Anlass mit anschließender Löschung der irrelevanten Sequenzen oder durch eine rein anlassbezogene Auswertung „ausgewählter“ Passagen bei längerer Speicherung des gesamten Bildmaterials? … Jedenfalls unzulässig dürfte es sein, das gesamte Bildmaterial zunächst über einen längeren Zeitraum vorzuhalten, um es sodann ohne konkreten Anlass in Augenschein zu nehmen. Unter diesen Umständen dürfte sich die – unvermeidliche – Einsichtnahme (auch) in die irrelevanten Aufzeichnungsteile als unverhältnismäßig darstellen. So ist der Beklagte im Streitfall indes nicht vorgegangen.“
Bußgeld/Ordnungsgeld
Das Urteil des Landesarbeitsgerichts Hamm wird aufgehoben. Im Umfang der Aufhebung wird die Sache zur neuen Verhandlung und Entscheidung – auch über die Kosten des Revisionsverfahrens – an das Landesarbeitsgericht zurückverwiesen.
Fazit
Bei Videoaufzeichnungen muss sich genau GENAU der Zweck der Verarbeitung angeschaut werden. Es macht einen großen Unterschied, ob es Videoaufzeichnungen eines öffentlichen Platzes sind oder in einem Geschäft oder Unternehmen stattfinden. So können Videoaufnahmen auch über einen längeren Zeitraum als die üblichen 72 Stunden gespeichert werden. Aber dürfen dann nur gesichtet werden, wenn es erhebliche Verdachtsfälle gibt.
Urteil: https://www.bundesarbeitsgericht.de/entscheidung/2-azr-133-18//
Airbnb: kein Anspruch auf Löschung bei berechtigtem Interesse (OLG Celle: 14.09.23)
2018 bat ein registrierter Airbnb-Host darum, seine persönlichen Daten zu löschen und widerrief gleichzeitig seine Einwilligung zur Datenverarbeitung. Airbnb stimmte der Löschung zu, es sei denn, es gab rechtliche Gründe, die Daten aufzubewahren. Der Host erhielt jedoch keine Updates über den Status seines Löschungsantrags.
Als Reaktion darauf reichte der Host im Dezember 2018 eine Beschwerde bei der Datenschutzbehörde in Zypern ein. Er argumentierte, dass seine Daten unrechtmäßig aufbewahrt wurden und Airbnb nicht ausreichend transparent und datensparsam agierte. Die zyprische Datenschutzbehörde leitete die Beschwerde im März 2019 an die irische Aufsichtsbehörde weiter.
Airbnb erklärte, dass der Beschwerdeführer acht Konten hatte, die aufgrund eines Vorfalls im November 2018 gesperrt wurden. Sie argumentierten mit einem berechtigtem Interesse zur Aufbewahrung der Daten, da diese möglicherweise in rechtlichen Verfahren benötigt würden und dass dies ihre Verpflichtung zur Datenlöschung beeinflussen könnte. Der Beschwerdeführer erwiderte, dass Airbnb immer noch nicht seinem Löschungsantrag nachgekommen war und keine Informationen zum Fortschritt bereitgestellt hatte. Nachdem der Beschwerdeführer sich weigerte, eine gütliche Einigung mit Airbnb anzustreben, übernahm die irische Datenschutzbehörde die Untersuchung.
Die irische Datenschutzbehörde entschied, dass Airbnb eine rechtmäßige Grundlage für die Datenverarbeitung hatte, auch ohne offizielle Aufforderung von Strafverfolgungsbehörden zur Datenbewahrung. Die Datenschutzbehörde wog die Interessen des Betroffenen gegen die Interessen von Airbnb ab und kam zu dem Schluss, dass Airbnb ein berechtigtes Interesse an der Datenbewahrung hatte, um die polizeilichen Ermittlungen zu schützen und die Plattform sicher zu halten. Es gab keine entgegenstehenden Interessen des Betroffenen, weshalb Airbnb das Recht des Betroffenen auf Datenlöschung gemäß der DSGVO rechtmäßig einschränken durfte.
Es wurde kein Schadenersatz verlangt. Die Datenschutzbehörde stellte jedoch fest, dass Airbnb den Betroffenen nicht ausreichend über den Status seines Löschungsantrags und seine Rechte informiert hatte, was gegen die DSGVO verstieß. Als Konsequenz erhielt Airbnb eine Verwarnung.
Nicht immer kann ein Betroffener sich auf seinen Lösch-Anspruch berufen. Aber trotzdem ist eine rechtzeitige Information an den Betroffenen über den Status des Löschantrags wichtig.
Handelsregister: kein Anspruch auf Austausch von Daten (OLG München: 25.04.24)
Der Geschäftsführer einer GmbH forderte am 23.11.2023 die Löschung seiner Straße und Hausnummer aus der notariell bescheinigten Gesellschafterliste vom 02.07.2012 aus dem Handelsregister, da lediglich die Angabe von Name, Vorname, Geburtsdatum und Wohnort, nicht aber die Angabe der kompletten Wohnanschrift gesetzlich vorgeschrieben ist. Unter Löschung verstand er den Austausch der aktuellen im Handelsregister hinterlegten Gesellschafterliste mit einer von ihm übersandten neuen Liste. Auch sein Wohnort „Gemeinde x“ sollte ausgetauscht werden, da er zwischenzeitlich umgezogen war. Die Richterin am Registergericht wies seinen Antrag zurück. Daraufhin beschwerte sich der Geschäftsführer beim OLG München.
Das OLG lehnte die Beschwerde des Geschäftsführers ab. Denn es ist die Einreichung einer notarbescheinigten Liste erforderlich. Ein Austausch könnte daher allenfalls dadurch erfolgen, dass seitens des beurkundenden Notars eine § 40 Abs. 2 GmbHG entsprechende Liste – ohne die gesetzlich nicht zwingend erforderlichen Daten – eingereicht wird. Das Registergericht ist nicht befugt, notarielle Urkunden zu verändern oder veränderte Abschriften hiervon herzustellen. Die vom Beschwerdeführer nunmehr mit seinem Antrag vom 23.11.2023 vorgelegte Liste ist nicht vom beurkundenden Notar bescheinigt und entspricht damit nicht den gesetzlichen Anforderungen. Auch muss eine chronologische Reihenfolge bewahrt werden, so dass Gesellschafterlisten nicht gelöscht oder überschrieben werden dürfen.
Auszüge aus der Begründung des OLG Müchen:
„… Insbesondere bei den Gesellschafterlisten erfordert es die auf ihnen beruhende Legitimationswirkung nach § 16 Abs. 1 GmbHG, chronologisch die dort angegebene Inhaberschaft an den Gesellschaftsanteilen unzweifelhaft nachvollziehen zu können. Wie das Registergericht in dem Beschluss vom 27.12.2023 zu Recht festgestellt hat, ist selbst die Entfernung oder Korrektur einer fehlerhaften Liste daher nicht möglich, sondern lediglich die Aufnahme einer neuen fehlerfreien Liste.
….
Der Europäische Gerichtshof hat ferner zur von der DSGVO abgelösten Datenschutzrichtlinie, die eine mit Art. 17 Abs. 3 lit. b DSGVO vergleichbare Anwendungsausnahme nicht kannte, hervorgehoben, dass die Registerpublizität, gleichsam als Preis für die Verleihung der Rechtspersönlichkeit an Kapitalgesellschaften mit beschränkter Haftung, grundsätzlich Vorrang vor dem Persönlichkeitsschutz genießt. Nichts anderes kann für die Rechtslage seit Inkrafttreten der DSGVO gelten (EuGH ZD 2017, 325/327; OLG Naumburg NZG 2023, 711; Wollenschläger NZG 2023, 690). Eine besondere Schutzbedürftigkeit des Beteiligten ist nicht ersichtlich.“
Es wurde kein Bußgeld bzw. Schadensersatz festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch nach § 17, 18 und 21 DSGVO berufen, wenn es sich um Register für z.B. Kapitalgesellschaften handelt. Oftmals wird der Registerpublizität Vorrang vor dem Persönlichkeitsschutz gegeben.
Zum Urteil: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2024-N-9252?hl=true
Handelsregister: kein Anspruch auf Löschung persönlicher Daten (BGH Karlsruhe: 23.01.24)
Der Geschäftsführer einer GmbH forderte die Löschung seines Wohnorts und Geburtsdatums aus dem Handelsregister, da er um seine persönliche Sicherheit besorgt war. Er arbeitet beruflich mit Sprengstoff und fürchtete, Opfer einer Entführung oder eines Raubes zu werden, um die von ihm gehandhabten Sprengstoffe zu erlangen.
Das OLG entschied, dass der Geschäftsführer die Veröffentlichung dieser Daten hinnehmen muss.
Es konnte keine ausreichende Gefährdung des Geschäftsführers nachgewiesen werden. Ob bei einer tatsächlichen Gefährdung eine Löschung der Angaben möglich sei, hatte das OLG offen gelassen. Denn der Kläger hatte seine vorgebrachte drohende Gefährdung nicht näher konkretisiert. Gegen den Beschluss des Senats wurde eine Rechtsbeschwerde beim Bundesgerichtshof (BGH) in Karlsruhe eingelegt. Auch diese wurde vom BGH abgewiesen.
Auszüge aus der Begründung des OLG Celle:
„Dass das öffentliche Interesse an der Führung des Handelsregisters im Streitfall durch das Interesse des Antragstellers an einer Geheimhaltung seines Geburtsdatums und seines Wohnorts überwogen würde, ist weder hinreichend vorgetragen noch sonst ersichtlich.
…
Des Weiteren ist, eine tatsächliche Gefährdung des Antragstellers – die er über allgemeine Angaben hinaus nicht konkretisiert hat – zu dessen Gunsten unterstellt, auch weder vorgetragen noch ersichtlich, in welcher Weise eine solche Gefährdung durch die Einsehbarkeit von Geburtsdatum und Wohnort im Handelsregister verursacht oder erhöht werden soll. Soweit es die Nennung des Wohnorts betrifft, ist insbesondere zu berücksichtigen, dass eine genaue Adressangabe nicht erfolgt und ein Ansatzpunkt zum Auffinden des Antragstellers auch bereits mit der Nennung der Geschäftsanschrift der betroffenen Gesellschaft gegeben ist, deren Löschung der Antragsteller indes nicht begehrt.“
Leitsätze des BGH Karlsruhe:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.
b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.
c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DSGVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.
Es wurde kein Bußgeld bzw. Schadensersatz festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch nach § 17, 18 und 21 DSGVO berufen, wenn es sich hier um funktionsfähige und verlässliche öffentliche Register handelt, die für die Sicherheit und Leichtigkeit des Rechtsverkehrs unerlässlich sind.
Urteil vom BGH Karlsruhe: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&az=II%20ZB%207/23&nr=137055 (23.01.24)
Urteil vom OLG Celle: https://voris.wolterskluwer-online.de/browse/document/a8345e9c-de93-4969-a9b5-68e69c610d55 (24.02.23)
Auskunftei: muss Daten nicht automatisch bei Forderungsausgleich löschen (OLG Frankfurt: 18.01.23)
Gegen eine Schuldnerin wurde ein Vollstreckungsbescheid über 1.059,99 € wegen rückständiger Beitragszahlungen für eine Krankheitskostenversicherung erlassen. Dies wurde der Auskunftei gemeldet, die diesen Eintrag daraufhin in ihr Register aufnahm. Zwischenzeitlich wurde die Forderung beglichen. In der Auskunftei wurde daraufhin eingetragen, dass der Vorgang am 04.01.2022 seine Erledigung durch Zahlung der offenen Forderung gefunden habe. Die Schuldnerin ist aber der Ansicht, dass der Eintrag zu löschen sei und erhob Klage auf die Löschung des Eintrags sowie klageerweiternd in der Berufungsinstanz auf die Verurteilung der Auskunftei zur Zahlung eines Schmerzensgeldes.
Die Auskunftei als Beklagte hat daraufhin geltend gemacht, dass ein Anspruch auf Löschung aus § 17 DSGVO nicht bestehe. Der Eintrag sei rechtmäßig erfolgt. Denn dem Vollstreckungsbescheid seien monatelange Bemühungen vorangegangen, eine Zahlung durch den Inhaber der Klägerin herbeizuführen. Erst nachdem dessen Konto gesperrt worden sei, sei es zu einem Ausgleich der Forderung gekommen. Dies belege eine erhebliche Unzuverlässigkeit. Sie, die Beklagte, habe auch eine Interessenabwägung durchgeführt. Der streitgegenständliche Eintrag, dessen Richtigkeit die Klägerin nicht in Frage stelle, sei für die Beurteilung der Bonität von Relevanz.
Das OLG Frankfurt wies die Klage zurück. Die Notwendigkeit einer Speicherung von Daten in einer Wirtschaftsauskunftei entfällt nicht allein deswegen, weil die Forderung zwischenzeitlich getilgt worden ist und ein entsprechender Eintrag in das Schuldnerverzeichnis nach § 882e ZPO zu löschen wäre, wenn die Begleichung der Forderung nachgewiesen wird. Die weitere Speicherung ist nicht unverhältnismäßig und erfüllt weiterhin eine zulässige Warnfunktion. Eine vollständige Löschung wegen fehlender Notwendigkeit nach Art. 17 Abs. 1 Buchstabe a DSGVO kann die Klägerin danach nicht verlangen.
Begründung:
Zahle ein Schuldner die offenen Posten, führe dies nicht automatisch zu einem Löschungsanspruch des Negativeintrags.
„Der Umstand, dass der Inhaber der Klägerin durch Vollstreckungsbescheid zu einer Zahlung verurteilt wurde, hat einen unmittelbaren Bezug zu ihrer Zahlungsfähigkeit und/ oder Zahlungsunwilligkeit. Die Klägerin verlangt so gestellt zu werden wie eine Person, gegen die niemals eine Forderung tituliert wurde. Auf diese Weise aber würde der – unzutreffende – Eindruck erweckt, dass über die Klägerin und ihren Inhaber keine Erkenntnisse über Unzuverlässigkeiten bei der Begleichung von Forderungen vorlägen.
Darauf hat sie keinen Anspruch.
Der Umstand, dass die titulierte Forderung aus Sicht der Klägerin gering war, hat keine Auswirkung auf die Rechtmäßigkeit der Verarbeitung durch die Beklagte. Denn das Vorliegen einer zunächst nicht erfüllten Forderung und eines darauf bezogenen Titels lassen unabhängig von ihrer Höhe Rückschlüsse auf Zahlungsfähigkeit, aber auch Zahlungswilligkeit des Schuldners zu und sind von erheblicher Bedeutung für das Kreditsicherungssystem.
Es wurde kein Bußgeld festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch auf Löschung nach § 17 DSGVO berufen. Ergeben vorherige Umstände, dass der Betroffene durch eigenes Verschulden nicht mit anderen Betroffenen gleichgestellt werden kann, so können seine Daten u.U. auch länger gespeichert werden. Dies ist im Einzelfall zu prüfen.
Urteil: https://www.rv.hessenrecht.hessen.de/bshe/document/LARE230004082/part/L (18.01.23)
Siehe hierzu auch das Urteil vom OLG Oldenburg: https://openjur.de/u/2394794.html (23.01.21)
Auskunftei: muss Daten nicht automatisch bei Restschuldbefreiung löschen (KG Berlin: 15.02.22)
Der Kläger hatte ein Insolvenzverfahren mit anschließender Restschuldbefreiung durchlaufen. Er begehrte nun von der Wirtschaftsauskunftei die Löschung eines ihn betreffenden Eintrags im Zusammenhang mit der Erteilung einer Restschuldbefreiung gemäß Art. 17 DSGVO sowie dessen erneute Eintragung und Speicherung zu unterlassen.
Das Landgericht Berlin hatte die Klage abgewiesen. Mit der Berufung vor dem KG Berlin verfolgte der Kläger seinen Anspruch weiter. Aber auch das KG Berlin hat die Klage abgewiesen.
Begründung:
Dem Kläger steht kein Recht auf Löschung nach Art. 17 DSGVO zu, da die Verarbeitung der Daten über die Restschuldbefreiung, die von der Beklagten zutreffend in Übereinstimmung mit den Insolvenzbekanntmachungen gespeichert worden ist, rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) DSGVO erfolgt sei. Die Datenverarbeitung durch die Beklagte sei nach dieser Vorschrift rechtmäßig, weil ein überwiegendes Interesse der Beklagten und ihrer Vertragspartner bestehe. Das berechtigte Interesse der Beklagten bzw. der Dritten (Kreditwirtschaft) bestehe u. a. darin, die Kreditwirtschaft vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen und damit auch zugleich Kreditinteressenten vor einer etwaigen Überschuldung zu bewahren. Das KG Berlin hat sich der Entscheidung des Landgerichts im Wesentlichen angeschlossen. Der Kläger habe keinen Anspruch auf Gleichstellung mit Personen, welche kein Insolvenzverfahren durchlaufen haben:
„Dies gelte insbesondere, wenn – wie hier – unstreitig im Zeitpunkt der Restschuldbefreiung noch Forderungen in Höhe von über 51.000,00 EUR offen gewesen seien. Die Daten zur Restschuldbefreiung des Klägers würden durch die Beklagte genau drei Jahre nach der Eintragung gelöscht werden, was durch die Verhaltensregeln [der Wirtschaftsauskunfteien] verbindlich festgelegt worden sei.“
Es wurde kein Bußgeld festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch auf Löschung nach § 17 DSGVO berufen. Ergeben vorherige Umstände, dass der Betroffene durch eigenes Verschulden nicht mit anderen Betroffenen gleichgestellt werden kann, so können seine Daten u.U. auch länger gespeichert werden. Dies ist im Einzelfall zu prüfen.
Urteil: https://openjur.de/u/2394622.html (15.02.22)
Siehe hierzu auch das Urteil vom OLG Oldenburg: https://openjur.de/u/2394794.html (23.01.21)
Auskunftei: muss Daten automatisch ohne Restschuldbefreiung löschen (LG Münster: 04.07.23)
Zu dem Kläger wurde zwar im August 2019 ein Insolvenzverfahren eröffnet, dieses wurde aber nicht – wie bei vielen Betroffenen – nach mehreren Jahren per Restschuldbefreiung erledigt. Der unternehmerisch tätige Kläger konnte sich mit den vielen Gläubigern auf einen sog. Insolvenzplan einigen. Damit sorgte er dafür, dass die Forderungen im Einverständnis mit den Gläubigern bedient wurden. Die Bestätigung des Insolvenzplans erfolgte knapp zwei Jahre nach Eröffnung des Verfahrens. In der Folge leistete der Kläger unstrittig die vereinbarten Zahlungen. Nun forderte er Creditreform mehrfach auf, seine Negativeinträge zu löschen, was Creditreform aber ablehnte.
Das Landgericht Münster hat der Klage stattgegeben. Der Eintrag des Klägers sowie seine drei Negativeinträge sind bei Creditreform zu löschen.
Begründung:
Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung des bei der Beklagten eingetragenen, öffentlichen Negativmerkmals hinsichtlich des durch das Amtsgericht Münster aufgehobenen Insolvenzverfahrens … sowie einen Anspruch auf Löschung der Negativeinträge hinsichtlich der drei abgeschlossenen kaufm. Mahnverfahren aus Art. 17 Abs. 1 lit. d DSGVO, da die Datenverarbeitung durch die Beklagte nicht rechtmäßig erfolgte. Eine Speicherung von öffentlich gewonnenen Daten im Zuge von Insolvenzbekanntmachungen ist über den Ablauf der sechsmonatigen Löschfrist des § 3 InsBekV hinaus nicht zulässig.
„… Vielmehr lässt die Aufhebung des Insolvenzverfahrens ohne Restschuldbefreiung auf eine positive Vermögensentwicklung des Klägers schließen, sodass der Kläger im Vergleich zu einem Insolvenzschuldner, der ein Insolvenzverfahren mit Restschuldbefreiung abgeschlossen hat, ein nochmal gesteigertes Interesse an der Löschung der Negativeintragungen hat. Gleichzeitig ist er auch schutzbedürftiger, da von ihm vergleichsweise ein noch geringeres Risiko für den allgemeinen Rechtsverkehr ausgeht. Die von zitierten Rechtsprechung des OLG Schleswig und des OLG München herausgearbeiteten Argumente, denen sich die Kammer anschließt, müssen somit „erst recht“ für solche Betroffene gelten, deren Insolvenzverfahren – wie beim Kläger des vorliegenden Verfahrens – durch Aufhebung endete.“
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes in Höhe von höchstens 250.000,00 Euro oder für den Fall, dass dieses nicht beigetrieben werden kann, ersatzweise Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, zu vollstrecken gegen eines der Mitglieder der Geschäftsführung der Beklagten, zu unterlassen, die unter Ziff. 1. und 2. des Tenors genannten Eintrag erneut zu speichern. Die Beklagte wird verurteilt, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 579,17 Euro nebst fünf Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. Die Kosten des Rechtsstreits trägt die Beklagte.
Es kommt beim Löschbegehren der Betroffenendaten bei Auskunfteien immer auf den Einzelfall an.
Urteil: https://www.justiz.nrw.de/nrwe/lgs/muenster/lg_muenster/j2023/16_O_238_22_Urteil_20230704.html (04.07.23)
Auskunftei: muss Daten automatisch bei Restschuldbefreiung löschen (OLG Schleswig: 02.07.21)
Der Kläger hatte ein Insolvenzverfahren mit anschließender Restschuldbefreiung durchlaufen. Er begehrte nun von der Wirtschaftsauskunftei Schufa die Löschung eines ihn betreffenden Eintrags im Zusammenhang mit der Erteilung einer Restschuldbefreiung gemäß Art. 17 DSGVO sowie dessen erneute Eintragung und Speicherung zu unterlassen.
Die 2. Zivilkammer des Landgerichts Kiel vom 12. Februar 2021 hatte die Klage abgewiesen. Mit der Berufung vor dem OLG Schleswig verfolgte der Kläger seinen Anspruch weiter. Diese wurde nun vom OLG Schleswig stattgegeben.
Begründung:
Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung der Information über seine Restschuldbefreiung im Privatinsolvenzverfahren aus Art. 17 Abs. 1 lit d) DSGVO, da die Datenverarbeitung durch die Beklagte nicht rechtmäßig erfolgt. Die Daten werden von der Beklagten spätestens mit Ablauf von sechs Monaten nach der Rechtskraft der Restschuldbefreiung nicht mehr rechtmäßig verarbeitet, da die Voraussetzungen für eine rechtmäßige Verarbeitung im Sinne von § 6 DSGVO spätestens ab diesem Zeitpunkt nicht mehr vorliegen.
„… Zudem entspricht es marktwirtschaftlichen Grundsätzen, dass nicht alle Betriebsgründungen erfolgreich verlaufen können, sondern es laufend zu Marktbereinigungen kommt. Eine soziale Marktwirtschaft baut also auch stets darauf auf, dass Betriebsgründungen wirtschaftlich scheitern. So mussten in den Jahren 2000 bis 2008 durchschnittlich etwa 72.000 junge Unternehmen den Markt verlassen und etwa 15 % dieser Unternehmen stellten einen Insolvenzantrag.“
Bei Zuwiderhandlung wurde ein Ordnungsgeld in Höhe von höchstens 25.000,00 Euro oder für den Fall, dass dieses nicht beigetrieben werden kann, ersatzweise Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, zu vollstrecken gegen eines der Mitglieder des Vorstandes der Beklagten, festgelegt, zu unterlassen, den unter Ziffer 1. des Tenors genannten Eintrag erneut zu speichern. Zahlung der vorgerichtliche Rechtsanwaltskosten in Höhe von € 887,03 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 12. März 2020 an den Kläger. Tragen der Kosten beider Rechtszüg mit Ausnahme der aufgrund der Säumnis des Klägers erstinstanzlich entstandenen Kosten, die dem Kläger zur Last fallen.
Entgegen allen anderen Urteilen rund um die Auskunfteien entschied hier das OLG Schleswig zugunsten des Klägers. Somit zeigt sich, dass es aktuell noch keine einheitlichen Rechtssprechungen gibt (siehe hier auch die anderen Urteile rund um Auskunfteien).
Urteil: https://openjur.de/u/2345121.html (02.07.21)
Internetbewertung (negativ): Kein Anspruch auf Löschung eines Namens (OLG Hamm: 29.06.21)
Was war passiert?
Bei einer Online-Bewertung von Google schrieb ein User über die Bäckerei, bei der die Klägerin angestellt war:
„Ich bin hier immer zum fruhstücken und sonst auch immer zufrieden und finde das Team sehr nett. Aber wurde heute so unfreudlich „bedient“ von Frau S (…)“.
Statt S war hier der volle Nachname der Klägerin angegeben. Sie war die einzige Beschäftigte mit diesem Namen bei der Bäckerei.
Die Klägerin forderte Google zur Löschung ihres Namens unter Hinweis auf die DSGVO auf, Google reagierte aber nicht. Deshalb erhob sie Klage und verlangte u.a. die Löschung und außerdem die Zahlung eines Schmerzensgeldes nach Art. 82 DSGVO in Höhe von 500,- EUR.
Das Urteil
Die Klage wurde abgewiesen. Begründung: Die Namensnennung sei durch das Recht auf freie Meinungsäußerung gerechtfertigt (Art. 17 Abs.3a) DSGVO). Maßgeblich für das OLG Hamm war, dass die Bewertung inhaltlich zulässig war und zudem ein sachlicher Grund für die Namensnennung bestand, nämlich die unfreundliche Bedienung gegenüber dem anderen Personal hervorzuheben.
Bußgeld
–
Fazit
Je nach Ihrer jeweiligen Branche können Sie prüfen, ob Sie sich bei einer Betroffenenanfrage zum Löschen von Daten auf dieses Urteil beziehen können.
Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920/ (29.06.21)
Internetbewertung: Arbeitgeber-Bewertungsplattform muss negative Bewertungen löschen (OLG Hamburg: 08.02.24)
Was war passiert?
Eine Unternehmerin mit etwa 22 Mitarbeitenden forderte die Arbeitgeber-Bewertungsplattform Kununu mit zwei kurz aufeinander folgenden Schreiben auf, zwei negativen Bewertungen über ihr Unternehmen zu löschen, da sie deren Echtheit anzweifelte. Auf der Bewertungsplattform befinden sich über 5,3 Mio. Bewertungen zu über 1 Mio. Unternehmen, täglich kommen rund 1.000 neuen Bewertungen zu etwa 500 Unternehmen hinzu.
Kununu forderte von der Unternehmerin den Nachweis, dass tatsächlich eine Rechtsverletzung vorliegt, die zu löschen sei. Da dieser Nachweis nicht erbracht wurde, löschte Kununu die negativen Bewertungen nicht. Daraufhin folgte von der Unternehmerin ein Antrag auf Erlass einer einstweiligen Verfügung. Kununu wandte sich nun an die beiden Nutzer, die die beanstandeten Bewertungen abgegeben hatten. Die von diesen erhaltenen Beschäftigungsnachweise anonymisierte eine Kununu-Mitarbeiterin und übersandte sie der Unternehmerin zum Beleg, dass die Urheber der Bewertungen bei dieser beschäftigt gewesen seien.
Das erstinstanzlich zuständige Landgericht (LG) Hamburg wies daraufhin den Antrag der Unternehmerin auf Erlass einer einstweiligen Verfügung, wonach Kununu die Bewertung löschen müsse, zurück (Beschl. v. 08.01.2024, Az. 324 O 559/23). Das Gericht war überzeugt, dass die anonymisierten Nachweise ausreichen, um die Echtheit der Bewertung zu belegen. Auf die hiergegen gerichtete sofortige Beschwerde der Unternehmerin hat das OLG den Beschluss abgeändert und die begehrte einstweilige Verfügung erlassen.
Das Urteil
Das OLG Hamburg entschied, dass die Anonymität der bewertenden Person aufgehoben werden könne und bei Zweifeln an der Echtheit die Bewertung dauerhaft gelöscht werden müsse. Das Gericht begründete seine Entscheidung damit, dass die Unternehmerin sich nicht einer schlechten Bewertung einfach ausgeliefert sehen müsse. Wenn es eine schlechte Bewertung gibt, dann müsse es für sie auch möglich sein, nachzuvollziehen, ob die bewertende Person auch tatsächlich jemals in irgendeiner Weise im geschäftlichen Kontakt mit ihr stand. Mitarbeiterkritik auf Bewertungsplattformen beziehe sich immer auf konkrete Fälle, so das Gericht weiter. Solche tatsächlichen Gegebenheiten könnten nur dann vom Arbeitgeber überprüft werden, wenn die Person, die Kritik ausübt, dem Arbeitgeber bekannt ist, so das OLG nun. Interessant ist auch folgender Punkt des OLG:
- „… Zu einem abweichenden Beurteilungsmaßstab führt auch nicht der Umstand, dass es für den Betreiber eines Arbeitgeber-Bewertungsportals schwieriger sein mag, nach der Beanstandung einer Eintragung einzelne Bewerter dazu zu bewegen, sich zu erkennen zu geben, weil sie im Gegensatz zu Nutzern, die einmalige Geschäftskontakte wie einen Hotelaufenthalt, einen singulären Arztbesuch oder den Ankauf einer Ware bewertet haben, häufig befürchten werden, nach ihrer Kenntlichmachung Repressalien ihres negativ bewerteten Arbeitgebers ausgesetzt zu sein. Auch dies aber vermag nicht zu rechtfertigen, dass ein Arbeitgeber, der einer über das Internet verbreiteten Kritik einer Person, die behauptet, für ihn gearbeitet zu haben oder zu arbeiten, ausgesetzt wird, diese öffentliche Kritik hinnehmen muss, ohne die Möglichkeit zu erhalten, sie auf das Vorliegen einer tatsächlichen Grundlage zu prüfen und sich ggf. dazu in der Sache zu positionieren.“
Bußgeld/Ordnungsgeld
Bei weiterer Veröffentlichung der beiden Bewertungen ein Ordnungsgeld im Einzelfall höchstens 250.000,- EUR oder einer Ordnungshaft bis zu sechs Monaten.
Fazit
Bisher hatten Arbeitgeber ungerechtfertigte negative Bewertungen, die möglicherweise aus unlauteren Motiven stammen, widerstandslos hinnehmen müssen. Angesichts des Fachkräftemangels könnten solche Fake-Bewertungen die Reputation und Attraktivität eines Unternehmens erheblich beeinträchtigen. Mit diesem Urteil gibt es nun aber eine Möglichkeit, dagegen vorzugehen. Wer jetzt einfach nur mit einer anonymen, aber unwahren Online-Bewertung über seinen Arbeitgeber Frust ablassen möchte, sollte sich das künftig gut überlegen.
Urteil: https://www.landesrecht-hamburg.de/bsha/document/NJRE001565500/ (08.02.24)
Internetbewertung: Bewertungsplattform muss Daten löschen (OLG Köln: 14.11.19)
Was war passiert?
Auf dem Online-Bewertungsportal für Ärzte „Jameda“ werden sogenannte Basis-Profile von Ärzten ohne deren Einwilligung angelegt. Jameda stützt sich hierbei auf das Medienprivileg Art. 85 Abs. 2 DSGVO als „neutrale Informationsvermittlerin“. Zwei Ärzte hatten Jameda nun auf Löschung des – ohne ihre Einwilligung angelegten – Basis-Profils verklagt. Denn an Jameda zahlende Ärzte (Premium-Profile) erhalten eine wesentliche bessere Darstellung Ihrer Leistungen während diese Zahlung in der Ärzte-Darstellung auf Jameda aber nicht ersichtlich ist.
Das Urteil
Das OLG Köln hat entschieden, dass mehrere frühere bzw. aktuelle Ausgestaltungen der Plattform unzulässig sind (Urteile vom 14.11.2019 (15 U 89/19 und 15 U 126/19). Das Gericht hat den Anspruch der Kläger auf Löschung des ohne Einwilligung eingerichteten Profils gestützt. Jameda könne sich nicht auf das Medienprivileg der Datenschutzgrundverordnung (Art. 85 Abs. 2 DSGVO) stützen. Jameda wurde verurteilt, sämtliche zu den Klägern gespeicherten Daten – Name, Fachrichtung, Anschrift und Telefonnummer der Praxis sowie die zu den Klägern abgegebenen Bewertungen – zu löschen.
Begründung: Jameda hat die Rolle eines „neutralen Informationsmittlers“ verlassen und den an die Plattform zahlenden Ärzten auf unzulässige Weise „verdeckte Vorteile“ gewährt. Zwar werde der Begriff weit ausgelegt und gelte nicht nur für Medienunternehmen, sondern für jeden, der journalistisch tätig sei. Allerdings sei das Geschäftsmodell von Jameda nicht als eigene meinungsbildende Tätigkeit aufzufassen. Denn dafür müsse sie Informationen, Meinungen oder Ideen in der Öffentlichkeit verbreiten. Dies treffe auf Jameda aber gerade nicht zu. Sie biete vielmehr einen Hilfsdienst zur besseren Verbreitung von (Dritt-)Informationen an. Denn die ohne ihre Einwilligung aufgenommenen Basiskunden auf dem Portal werden als „Werbeplattform“ für Premiumkunden benutzt und letzteren wird durch die Form der Darstellung ein Vorteil gewährt. Darum diene das Portal nicht mehr allein dem Informationsaustausch zwischen und mit (potentiellen) Patienten. In diesem Fall müssten Ärzte nicht hinnehmen, ohne ihre Einwilligung als Basiskunden aufgeführt zu werden. Andere Funktionen des Portals, wie etwa die Möglichkeit von Premiumkunden, auf dem Profil in größerem Umfang die angebotenen ärztlichen Leistungen anzugeben als bei Basiskunden, hat das Gericht indes nicht beanstandet und insoweit die Klagen abgewiesen.
Bußgeld
–
Aber bei Zuwiderhandlung droht ein Ordnungsgeld von bis zu 250.000 Euro, ersatzweise Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu vollstrecken an die Jameda Geschäftsführer.
Fazit
Bewertungsportale an sich dienen dem Interesse der Allgemeinheit und dürfen grundsätzlich Daten von gewerbsmäßig agierenden Marktteilnehmern auch ohne Einwilligung gemäß Art. 6 Abs. 1 lit f. DSGVO nutzen und verbreiten, wenn sie diese aus anderen öffentlich zugänglichen Quellen erlangen. Gilt das Nutzungsinteresse an den Daten aber nicht mehr überwiegend dem öffentlichen Interesse, verliert es die Eigenschaft eines neutralen Informationsvermittlers. Z.B. indem das Portal zahlenden Mitgliedern Vorteile gewährt, die für den Nutzer nicht klar erkennbar sind. Dann können die betroffenen Mitglieder die Löschung ihrer Daten verlangen.
Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920 (14.11.19)
Aufsichtsbehörde darf unrechtmäßige Löschung auch ohne Betroffenenantrag anweisen (EuGH: 14.03.2024)
Was war passiert?
2020 beschloss eine ungarische Kommunalverwaltung, Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Hierzu erhielt Sie von Regierungsbehörden die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten.
Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde fest, dass sowohl die Kommunalverwaltung als auch die Regierungsbehörden gegen Regelungen der DSGVO verstoßen hatten, da diese die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatten. Zudem wies sie die Kommunalverwaltung an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen. Es wurden entsprechende Geldbußen verhängt.
Die ungarische Kommunalverwaltung hat diese Entscheidung angefochten und stützte sich hierbei auf ein Urteil der Kúria, dem obersten Gericht Ungarns. Sie machte geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe. Das Verfassungsgericht Ungarns, welches nachfolgend im Wege einer Klage der ungarischen Datenschutzaufsichtsbehörde eingeschaltet wurde, hob wiederum das vorgenannte Urteil der Kúria auf und entschied, dass die ungarische Datenschutzaufsichtsbehörde sehr wohl auch dann zur Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten befugt sei, wenn kein entsprechender Antrag der betroffenen Person vorliege. Da das Verfassungsgericht aber besorgt über die Folgen eines solchen Urteils war, wandte es sich im Rahmen eines Vorabentscheidungsverfahrens an den EuGH.
Das EuGH-Urteil
Mit seinem Urteil antwortet der EuGH, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.
Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.
Bußgeld
–
Fazit
Das Urteil des EuGH hat hierzulande kaum für Überraschung gesorgt. Bereits davor wurde die nun vom EuGH kundgetane Ansicht wohl weit überwiegend in der einschlägigen deutschen Kommentarliteratur vertreten.
EuGH Vorabentscheid: https://curia.europa.eu/juris/document/document.jsf;jsessionid=CF1DACAA65B4C99705889EB5C2D5F9BF?text=&docid=283833&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=997540/ (29.06.21)
Fehlendes Löschkonzept: Bußgeld von 1,3 Mio. EUR (Dänische Aufsichtsbehörde: 04.04.22)
Was war passiert?
Die Danske Bank hatte sich bei der dänischen Aufsichtsbehörde gemeldet, dass sie ein Problem bei der Löschung von personenbezogenen Daten festgestellt hat. Während der Untersuchung der dänischen Aufsichtsbehörde wurde deutlich, dass die Danske Bank in mehr als 400 Systemen nicht dokumentieren konnte, ob Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder ob eine manuelle Löschung personenbezogener Daten durchgeführt wurde. Diese Systeme verarbeiten personenbezogene Daten von Millionen Menschen.
Bußgeld
Die dänische Aufsichtsbehörde hat die Danske Bank bei der Polizei angezeigt und eine Geldstrafe von 10 Mio. DKK (ca. 1,3 Mio. EUR) wegen Verstoßes gegen Artikel 5 Absatz 2 der DSGVO vorgeschlagen.
Fazit
Durch dieses sehr hohe Bußgeld wird ersichtlich, wie schwerwiegend es für Unternehmen sein kann, kein Löschkonzept für die Löschung von personenbezogenen Daten erstellt und natürlich auch umgesetzt zu haben.
Urteil: https://edpb.europa.eu/news/national-news/2022/danish-sa-fine-proposed-danske-bank_en (04.04.22)
Löschanträge nicht durchgeführt: 6.000,- EUR Bußgeld (Niederlande: 06.06.2024)
Was war passiert?
Bußgeld
6.000 EUR.
Fazit
Dies kann ich aus meiner Praxis nur bestätigen: überprüfen Sie immer einmal wieder die Prozesse rund um die Betroffenenrechte bzw. Löschanfragen, um hier auf der sicheren Seite zu sein.
Bußgeldbescheid: https://autoriteitpersoonsgegevens.nl/system/files?file=2024-06/Besluit%20boete%20APG.pdf
Löschantrag nicht durchgeführt: 172.341,- EUR Bußgeld, auch wegen weiterer Mängel (Belgien: 03.06.24)
Was war passiert?
Eine Privatperson beantragte die Löschung aller seiner persönlichen Daten bei einem Unternehmen. Das Unternehmen nahm den Eingang des Antrags zur Kenntnis und bestätigte eine schnelle Bearbeitung. Trotz der Zusicherung erhielt die Privatperson aber weiterhin monatelang Werbemitteilungen und Telefonanrufe (Direktmarketing). Auch eine Schlichtung (2 Versuche) der Datenschutzbehörde brachten keinen Erfolg.
Begründung des Unternehmens: Überlastung des damaligen DSB (in Teilzeit beschäftigt an drei Tagen in der Woche) und aus diesem Grund keine Weitergabe der Briefe/Beschwerden/Löschanträge an die zuständigen Fachbereiche und Subunternehmer sowie Verwirrung rund um Datenlokalisierungen und Lösch-Codes. Desweiteren keine Bearbeitung der Betroffenenanfragen bei krankheits- oder urlaubsbedingten Abwesenheiten.
Und: Der vom DSB an den Subunternehmer genannte „Code 43“ zur Löschung der Daten führte nicht zur vollständigen Entfernung der Daten, sondern nur dazu, die Verarbeitung einzuschränken. Trotz der Umsetzung von „Code 43“ zur Einschränkung der Datenverarbeitung wurden kommerzielle Anrufe durch das Unternehmen sowie der Versand von Newslettern fortgesetzt. Auch am Tag der Verhandlung konnte das Unternehmen nicht garantieren, dass die Daten tatsächlich gelöscht wurden, da keine schriftliche Bestätigung des deutschen Subunternehmers vorliegt.
Mehr als ein Jahr und fünf Monate nach der Beschwerde hat das Unternehmen immer noch keine konkreten Maßnahmen ergriffen, um auf die Löschanfrage zu reagieren und auch dem Betroffenen nicht geantwortet. Zwar wurden die Daten im System beschränkt, aber nicht gelöscht. Auch der Newsletter wurde weiter versendet. Die Begründung der Nichtlöschung von Daten aufgrund steuerrechtlichen Aspekten wurde nie an den Betroffenen weiter gegeben.
Auszüge aus dem Urteil
Die Prozesskammer stellte eine Inkonsistenz in der Chronologie der Ereignisse fest. Es deutet alles darauf hin, dass die Daten des Betroffenen mindestens bis April 2023 und nicht bis Dezember 2022 zugänglich waren. Auch nach Dezember 2022 erhielt der Betroffene weiterhin Anrufe und E-Mails. Somit wurden Daten für Direktmarketingzwecke ohne Rechtsgrundlage verarbeitet und verstoßen gegen die Grundsatz der Rechtmäßigkeit gemäß Artikel 5.1.a) der DSGVO.
Auch hätte das Unternehmen bezüglich der Aufbewahrung von Daten (Nichtlöschung) zu steuerlichen Zwecken informieren müssen. Diese Ausnahme kann die weitere Verarbeitung der Daten des Betroffenen nicht rechtfertigen für Direktmarketingzwecke, sei es per Telefonakquise oder per elektronischer Post.
„Die Beklagte schiebt die Verantwortung dem ehemaligen Datenschutzbeauftragten zu, was in keinem Fall weder eine längere Nichteinhaltung einer Löschungsaufforderung, noch die Nichteinhaltung der Bestimmungen der DSGVO rechtfertigt. Diese Haltung wirft ernsthafte Fragen über das Management auf Verantwortlichkeiten und interne Governance des Beklagten.“
„Mit der Verwendung des „Codes 43“ wies der Beklagte einen Mangel der Beherrschung der eigenen Codes und Nomenklaturen auf... Ein solcher Mangel an Kontrolle ist besorgniserregend. Diese Verwirrung über die Rolle des Subunternehmers und die Unmöglichkeit festzustellen, ob die Daten gelöscht wurden, wirft Fragen auf.“
Bußgeld
172.341,-EUR.
Fazit
Dies ist leider kein Einzelfall. Hier kommen viele Dinge zusammen, die ich aber auch oft in Unternehmen sehe. Fazit bzw. Abhilfemöglichkeiten:
Urteil: https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-87-2024.pdf (10.02.24)
Löschantrag nicht durchgeführt: 11.000,- EUR Bußgeld nach Verwarnung Datenschutzbehörde (Österreich: 17.05.2024)
Was war passiert?
Die österreichische Datenschutzbehörde untersuchte eine Fußballvereinigung. Eine Privatperson beschwerte sich, nachdem ihre personenbezogenen Daten nach dem Versenden einer Löschungsanfrage nicht ordentlich gelöscht worden waren. Die Informationen des Betroffenen waren auch nach dem Erhalt der Löschungsanfrage weiterhin offen auf einer Webseite zugänglich.
Der Fußballverein kam der Aufforderung mit dem Verweis auf Statistikgründe nicht nach. Auch, nachdem die Datenschutzbehörde dem Beschwerdeführer Recht gab, wurden die Daten nicht vollständig, sondern nur teilweise, entfernt.
Bußgeld
11.000 EUR.
Fazit
Für einen Löschantrag des Betroffenen gibt es keine Ausreden außer rechtliche Aufbewahrungsfristen. Somit muss dieser Prozess in jedem Unternehmen gut funktionieren, sonst sind Bußgelder vorprogrammiert.
Kundenkonto: 856.000,- Euro Bußgeld wegen fehlender Löschfrist (Finnische Aufsichtsbehörde: 06.03.24)
Was war passiert?
Die finnische Aufsichtsbehörde (SA) untersuchte die Aktivitäten des Online-Händlers Verkkokauppa.com aufgrund einer Beschwerde eines Kunden. Der Verantwortliche hatte u.a. die Speicherdauer der erhobenen Daten für die Kundenkonten seines Online-Shops nicht angegeben. Die finnische Aufsichtsbehörde stellte fest, dass die Daten von Kundenkonten auf unbestimmte Zeit gespeichert wurden. Nach Angaben des Verantwortlichen bestimmen die Kunden selbst die Speicherdauer ihrer Daten, da sie auf Wunsch die Schließung ihres Kontos und die Löschung ihrer Daten verlangen können. Aus diesem Grund werden die Daten einzelner Einkäufe sehr lange gespeichert.
Bußgeld
Die finnische Aufsichtsbehörde verhängte gegen den für die Verarbeitung Verantwortlichen eine Verwaltungsstrafe in Höhe von 856.000 Euro, weil er die Speicherdauer der Kundenkontodaten nicht festgelegt hatte. Der Verantwortliche wurde angewiesen, eine angemessene Speicherfrist für Kundenkontodaten festzulegen und seine Praxis der obligatorischen Registrierung zu korrigieren (Hinweis: hier ging es darum, dass kein Gastzugang zur Verfügung gestellt wurde). Das Unternehmen wurde außerdem wegen datenschutzwidriger Praktiken gerügt.
Fazit
Auch wenn der Zweck eines Kundenkontos bei Inaktivität weiterhin besteht, sollten Unternehmen eine maximale Aufbewahrungsfrist festlegen. Siehe hierzu auch mein Blogartikel.
Kundenkonto: 6.000,- EUR Bußgeld wegen Werbe-E-Mails trotz Löschbestätigung (Spanien: 10.02.24)
Was war passiert?
Eine Privatperson hatte die Löschung seines Kundenkontos bei der Kleidungsmarke GRIMEY WEAR, SL und aller ihrer damit verbundenen personenbezogenen Daten angefordert. Das Unternehmen kam dem nicht in der gesetzlichen Frist nach. Nachdem Grimey Wear die Löschung der Daten bestätigt hatte, bekam der Betroffene zwei Newsletter der Marke per E-Mail. Daraufhin wandte die Privatperson sich an die Datenschutzbehörde, welche eine Untersuchung des Vorfalls einleitete.
Das Urteil
Aufgrund von freiwilliger Zahlung und Schuldanerkennung wurde das Bußgeld reduziert.
Bußgeld
6.000 EUR.
Fazit
Hier zeigt sich wieder, wie wichtig es ist, die internen Prozesse zwischen Kundendaten-Löschungen und Newsletter-Abmeldungen im Griff zu haben. Denn oftmals sind diese beiden Prozesse in unterschiedlichen Abteilungen eines Unternehmens eingegliedert, die keine Schnittstellen untereinander haben.
Urteil: https://www.aepd.es/documento/ps-00522-2023.pdf (10.02.24)
Sie wissen nicht genau, wie Sie ein Löschkonzept für Ihr Unternehmen erstellen sollen und worauf Sie achten müssen? Oder Sie haben einfach im Tagesgeschäft keine Zeit dafür? Dann besuchen Sie doch einfach mein Webinar. In kürzester Zeit zeige ich Ihnen, wie Sie ein Löschkonzept praxisorientiert für Ihr Unternehmen realisieren. Profitieren Sie von zahlreichen Beispielen und bewährten Methoden zur konkreten Umsetzung der Löschung. Nutzen Sie meine digitalen Vorlagen, Checklisten und Guidelines – allesamt geformt durch jahrelange Erfahrung in der Erstellung von Löschkonzepten nach DSGVO. So haben Sie bereits bewährte Beispiele parat, die Ihnen den Einstieg erleichtern.