Rechtsurteile rund um Daten-Löschungen
Einfach erklärt mit Link auf die Urteile
Auf dieser Seite habe ich Ihnen alle Urteile rund um Daten-Löschungen zusammengetragen. Denn es ist wichtig, diese Rechtsprechungen im Blick zu behalten, um hohe Strafzahlungen zu umgehen.
Die Gliederung der untenstehenden Urteile ist folgendermaßen:
Klicken Sie einfach unten links auf das „+“ vor dem jeweiligen Urteil, dann öffnet sich der Reiter.
Wenn Sie über neue Urteile, Rechtssprechungen oder Praxiserfahrungen informiert werden möchten, melden Sie sich unverbindlich zu meinem Newsletter an (Ihre E-Mailadresse wird nur für den Zweck der Erbringung des Newsletters verwendet, niemals für Werbezwecke von mir und natürlich nicht an Dritte weitergegeben):
Aufsichtsbehörde darf unrechtmäßige Löschung auch ohne Betroffenenantrag anweisen (EuGH: 14.03.2024)
Was war passiert?
2020 beschloss eine ungarische Kommunalverwaltung, Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Hierzu erhielt Sie von Regierungsbehörden die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten.
Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde fest, dass sowohl die Kommunalverwaltung als auch die Regierungsbehörden gegen Regelungen der DSGVO verstoßen hatten, da diese die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatten. Zudem wies sie die Kommunalverwaltung an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen. Es wurden entsprechende Geldbußen verhängt.
Die ungarische Kommunalverwaltung hat diese Entscheidung angefochten und stützte sich hierbei auf ein Urteil der Kúria, dem obersten Gericht Ungarns. Sie machte geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe. Das Verfassungsgericht Ungarns, welches nachfolgend im Wege einer Klage der ungarischen Datenschutzaufsichtsbehörde eingeschaltet wurde, hob wiederum das vorgenannte Urteil der Kúria auf und entschied, dass die ungarische Datenschutzaufsichtsbehörde sehr wohl auch dann zur Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten befugt sei, wenn kein entsprechender Antrag der betroffenen Person vorliege. Da das Verfassungsgericht aber besorgt über die Folgen eines solchen Urteils war, wandte es sich im Rahmen eines Vorabentscheidungsverfahrens an den EuGH.
Das EuGH-Urteil
Mit seinem Urteil antwortet der EuGH, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.
Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.
Bußgeld
–
Fazit
Das Urteil des EuGH hat hierzulande kaum für Überraschung gesorgt. Bereits davor wurde die nun vom EuGH kundgetane Ansicht wohl weit überwiegend in der einschlägigen deutschen Kommentarliteratur vertreten.
EuGH Vorabentscheid: https://curia.europa.eu/juris/document/document.jsf;jsessionid=CF1DACAA65B4C99705889EB5C2D5F9BF?text=&docid=283833&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=997540/ (29.06.21)
Fehlendes Löschkonzept: Bußgeld von 14,5 Mio. EUR gegen Deutsche Wohnen (24.01.24)
Was war passiert?
Die Berliner Datenschutzbehörde (BlnBDI) warf Deutsche Wohnen vor, nicht mehr benötigte Daten von Mietern weiterhin gespeichert und es versäumt zu haben, angemessene Maßnahmen zur Löschung zu ergreifen. Zu den Daten gehörten unter anderem Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen. Die BlnBDI hatte daraufhin im Oktober 2020 gegen das Unternehmen einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro erlassen, denn die BlnBDI war– wie andere Datenschutzbehörden in Deutschland auch – der Ansicht, dass Geldbußen gegen Unternehmen wegen möglicher Datenschutzverstöße nach der DSGVO unmittelbar und unabhängig von einem nachgewiesenen Verschulden verhängt werden können. Der Nachweis einer Aufsichtspflichtverletzung oder eines sonstigen vorwerfbaren Verhaltens sei nicht nötig. Deutsche Wohnen klagte daraufhin gegen den Bußgeldbescheid beim LG Berlin.
Ablauf der Instanzen
Das LG Berlin hat den Bußgeldbescheid der BlnBDI am 18.02.21 aufgehoben. Dagegen legte die Staatsanwaltschaft Beschwerde ein, so dass als nächst höhere Instanz das Kammergericht Berlin prüfen musste. Das hier anhängige Verfahren wurde ausgesetzt, da das KG Berlin dem EuGH am 06.12.21 rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vorgelegt hat.
Der EuGH sollte zwei Fragen klären:
1.) Kann ein Bußgeldverfahren unmittelbar gegen ein Unternehmen (= juristische Person) durchgeführt werden, ohne das es der Feststellung einer durch eine natürliche oder identifizierte Person begangene Ordnungswidrigkeit bedarf (d..h.: kann man juristische Personen auch direkt belangen).
2.) Muss der Verstoß gegen die DSGVO schuldhaft vom Unternehmen begangen worden sein oder muss das Unternehmen – so die Ansicht der Datenschutzbehörde – verschuldensunabhängig haften (d.h. reicht jeder objekte Pflichtverstoß für ein Bußgeld, ohne dass es auf das Verschulden ankommt).
EuGH-Vorlagenbeschluss
Der EuGH hat die Fragen am 27.04.23 folgendermaßen beantwortet:
1.) Ja. Bei einer juristischen Person kann direkt ein Bußgeldverfahren durchgeführt werden, ohne Feststellung einer durch eine natürliche oder identifizierte Person begangene Ordnungswidrigkeit.
2.) Nein. Der Verstoß kann nicht verschuldensunabhängig sein. Es braucht ein schuldhaftes (mindestens grob fahrlässiges) Vergehen der juristischen Person.
Fazit
Es bleibt weiterhin spannend, wie das Landesgericht Berlin nun vorgehen wird. Die Entscheidung in diesem Verfahren wird im Datenschutz auf jeden Fall eine grundlegende Weichenstellung bedeuten. Denn die Aufsichtsbehörden könnten dann zwar dem Unternehmen direkt ein Bußgeld verhängen, aber nicht mehr nur deshalb, weil personenbezogene Daten nicht gelöscht wurden. Hier müssen Sie nun genau den konkreten Tatvorwurf benennen („weil du dies oder jenes getan/nicht getan hast, bekommst du ein Bußgeld“).
Entscheidung des KG Berlin: https://gesetze.berlin.de/bsbe/document/NJRE001566182 (22.01.24)
Pressemitteilung EuGH mit Link zum Vorlagenbeschluss:https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230184de.pdf (05.12.23)
Schlüssanträge EuGH:https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62021CC0807 (27.04.23)
Beschluss vom LG Berlin: https://gesetze.berlin.de/bsbe/document/NJRE001457043 (18.02.21)
Fehlendes Löschkonzept: Bußgeld von 1,3 Mio. EUR (Dänische Aufsichtsbehörde: 04.04.22)
Was war passiert?
Die Danske Bank hatte sich bei der dänischen Aufsichtsbehörde gemeldet, dass sie ein Problem bei der Löschung von personenbezogenen Daten festgestellt hat. Während der Untersuchung der dänischen Aufsichtsbehörde wurde deutlich, dass die Danske Bank in mehr als 400 Systemen nicht dokumentieren konnte, ob Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder ob eine manuelle Löschung personenbezogener Daten durchgeführt wurde. Diese Systeme verarbeiten personenbezogene Daten von Millionen Menschen.
Bußgeld
Die dänische Aufsichtsbehörde hat die Danske Bank bei der Polizei angezeigt und eine Geldstrafe von 10 Mio. DKK (ca. 1,3 Mio. EUR) wegen Verstoßes gegen Artikel 5 Absatz 2 der DSGVO vorgeschlagen.
Fazit
Durch dieses sehr hohe Bußgeld wird ersichtlich, wie schwerwiegend es für Unternehmen sein kann, kein Löschkonzept für die Löschung von personenbezogenen Daten erstellt und natürlich auch umgesetzt zu haben.
Urteil: https://edpb.europa.eu/news/national-news/2022/danish-sa-fine-proposed-danske-bank_en (04.04.22)
Mitarbeitende: 2.500,- EUR Schadensersatz u.a. wegen unterlassener Löschung einer Abmahnung (LArbG Baden-Württemberg: 28.07.23)
Was war passiert?
Ein Auszubildender wurde von seinem Ausbildungsbetrieb wegen Speicherung von sensiblen Mitarbeitendendaten auf einem USB-Stick abgemahnt. Dies wurde vom Auszubildenden bestritten und kann nicht mehr nachgewiesen werden, da der USB-Stick vom Ausbildungsbetriebs einbehalten wurde. Der Auszubildende ist mittlerweile auch nicht mehr bei dem Unternehmen tätig.
Neben einem Auskunftsanspruch (mit einer zu kurz beantragten Antwortzeit von 9 Tagen) und einem Schadensersatz von 5.000,- EUR forderte der ehemalige Auszubildende darüber hinaus, die Abmahnung aus der Personalakte zu löschen.
Nachdem die Klage des Auszubildenden in der Vorinstanz (Arbeitsgericht Villingen-Schwenningen, Az.: 7 Ca 59/20) noch abgewiesen wurde, hatte die Berufung vor dem Landesarbeitsgericht zumindest teilweise Erfolg.
Das Urteil
Der Auskunftsanspruch des Klägers war teils verspätet und teils gar nicht erfüllt worden. Da das Unternehmen und ihr Alleingesellschafter Art. 15 DSGVO verletzt haben, schulden sie dem Kläger gesamtschuldnerisch einen Betrag von 2.500,- EUR. Erwähnenswert ist die Begründung zu der Abmahnung:
„Nach Ende des Arbeitsverhältnisses sind Abmahnungen für den Zweck, für den sie in der Personalakte gespeichert worden sind grundsätzlich nicht mehr erforderlich. Da das Arbeitsverhältnis beendet ist, haben Abmahnungen, die grundsätzlich zur Rüge eines beanstandenden Verhaltens dienen und gegebenenfalls eine Warnfunktion im Hinblick auf eine drohende Beendigung des Arbeitsverhältnisses enthalten keinerlei Bedeutung mehr. Insbesondere dient die Abmahnung auch nicht mehr der Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen der Beklagten im Sinne des Art. 3 e DSGVO. Hierzu hat die Beklagte insbesondere auch nichts vorgetragen. Gesetzliche Aufbewahrungsfristen für Abmahnungen gibt es nicht.
Der Arbeitnehmer kann nach Art. 17 Abs. 1 DSGVO nach Ende des Arbeitsverhältnisses regelmäßig die Löschung (Entfernung) einer Abmahnung aus der Personalakte verlangen.“
Schadensersatz
2.500,- EUR.
Fazit
Für (zu recht erteilte) Abmahnungen gibt es keine gesetzlichen Aufbewahrungsfristen und diese könnten somit dauerhaft in der Personalakte bleiben. Ein Arbeitgeber kann natürlich eigene Regelungen treffen, die Abmahnung z.B. nach 2 oder 3 Jahren aus der Personalakte zu entfernen. Allerdings kann sich dann bei einem erneuten Vergehen nicht mehr auf die Abmahnung berufen werden, um daraus resultierend eine Kündigung auszusprechen. Der Mitarbeitende hat aber in Einzelfällen die Möglichkeit, einen Antrag zur Löschung seiner Abmahnung zu stellen (z.B. wenn die Abmahnung durch den Zeitablauf unerheblich geworden oder nicht mehr relevant ist).
Mit Beendigung des Arbeitsverhältnisses entfällt die Warnfunktion einer Abmahnung, weshalb arbeitnehmerseitig für die Abmahnung ein Entfernungsanspruch besteht. Hier kommt es allerdings auf den Einzelfall an. Wenn es etwa zur Kündigungsschutzklage kommt, kann der Inhalt der Abmahnung dafür unter Umständen relevant sein. In diesem Fall kann für den Arbeitgeber ein Interesse am Beibehalt der Abmahnung in der Personalakte auch nach Kündigung noch bestehen.
Urteil: https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&Art=en&sid=2f7ae7599e43eb3191640a3cf8991384&nr=39111&pos=0&anz=1 (28.07.23)
Weiteres Urteil vom Landesrecht Sachsen-Anhalt: https://www.landesrecht.sachsen-anhalt.de/bsst/document/JURE190001058 (23.11.18)
Mitarbeitende: 10.000,- EUR Schadensersatz wegen unterlassener Löschung von Fotos/Video (LArbG Baden-Württemberg: 27.07.23)
Was war passiert?
Der Kläger hat während seiner Zeit bei der Beklagten spezielle Schulungen geleitet. In dieser Funktion wurden zahlreiche Fotos und ein Video von ihm bei der Arbeit gemacht, die von der Beklagten zu Werbezwecken im Internet verwendet wurden. Laut Beklagter war der Kläger mit der Anfertigung von Bildnissen einverstanden und hat diese aktiv gefördert (hierzu gibt es aber nichts Schriftliches). Im April 2019 beendete der Kläger sein Arbeitsverhältnis und wechselte zu einem Wettbewerber.
Nachdem der Kläger das Unternehmen verlassen hatte, wurden die Fotos und des Videos trotz mehrfacher Aufforderungen, sie zu entfernen, weiterhin verwendet. Erst im Februar 2020 kam die Beklagte schließlich der Aufforderung zur Löschung der Fotos und des Videos nach.
Das Urteil
Das LArbG Baden-Württemberg sprach dem Kläger Schadensersatz in Höhe von 10.000,- EUR zu.
„Auch wenn der Kläger im Zeitpunkt des Anfertigens des Bildmaterials hiermit und mit der Verwertung des Bildmaterials zu Werbezwecken für die Beklagte einverstanden war, so bedeutet dies nicht, dass dieses Einverständnis über den Zeitpunkt seines Ausscheidens bei der Beklagten hinaus fortbestand, zumal der Kläger in unmittelbarem zeitlichen Anschluss in vergleichbarer Position bei einem Wettbewerber tätig wurde. Vielmehr hätte die Beklagte sämtliche Bildnisse des Klägers von sich aus spätestens im Zeitpunkt des Ausscheidens des Klägers aus ihren Werbemedien entfernen müssen (…). Dies hat die Beklagte jedoch nicht getan, sondern in der Folgezeit ein das Persönlichkeitsrecht des Klägers in erheblichem Maße beeinträchtigendes Verhalten an den Tag gelegt.“
„Wenn die Beklagte ausführt, dass „zwischen den Parteien abgestimmt gewesen“ sei, dass die Beklagte das Schulungsvideo auch nach Ausscheiden des Klägers vollumfänglich mit dem Bild des Klägers weiter nutzen könne, so ist nicht ansatzweise ersichtlich, wer – bei der Beklagten handelt es sich um eine juristische Person – mit wem wann welche konkrete Regelung vereinbart haben soll. Der Kläger hat eine entsprechende Abrede bestritten.“
Schadensersatz
10.000 EUR.
Fazit
Jedes Unternehmen sollte unbedingt einen Onboarding- und Offboardingprozess sowie ein aktuelles Löschkonzept haben. Darüber hinaus sollten Einwilligungen für die Nutzung der Mitarbeiterdaten IMMER schriftlich erfolgen. Mitarbeitende müssen konkret und klar über die Zwecke der Verwendung aufgeklärt werden. Sollte die Einwilligung auch die Verwendung der Daten in Printprodukten oder Videos enthalten, sollte hier vermerkt werden, dass bereits gedruckten Flyer/Broschüren sowie fertige Videos auch nach Ausscheiden des Mitarbeitenden aus dem Unternehmen weiter verwendet werden. Bei einer Neuauflage/einem Neudreh wird dann berücksichtigt, dass die jeweiligen Daten nicht wieder erscheinen.
Urteil: https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&nr=39091 (27.07.23)
Mitarbeitende: 1.000,- EUR Schadensersatz wegen unterlassener Löschung auf Internetauftritt (ArbG Neuruppin: 14.12.21)
Was war passiert?
Nach Beendigung des Arbeitsverhältnisses schrieb die ehemalige Mitarbeiterin das Unternehmen an und wies darauf hin, dass sie auf der Unternehmens-Webseite immer noch benannt wurde. Auch seien die Angaben zu ihrer Person dort nicht korrekt dargestellt. Da nichts passierte, verlangte sie daraufhin eine Unterlassungserklärung und eine Geldentschädigung in Höhe von 8.000,00 Euro. Das Unternehmen gab die Unterlassungserklärung ab, zahlte aber lediglich 150,00 Euro. Daraufhin klagte die ehemalige Mitarbeiterin vor dem Arbeitsgericht Neuruppin auf Schadensersatz in Höhe von 5.000,00 Euro abzüglich der gezahlten 150,00 Euro.
Das Urteil
Das Arbeitsgericht Neuruppin sprach der ehemaligen Mitarbeiterin einen immateriellen Schadensersatz in Höhe von 1.000,00 Euro abzüglich der gezahlten 150,00 Euro zu. Es bestätigte, dass eine rechtswidrige Datenverarbeitung vorlag, die zu einer Verletzung des Persönlichkeitsrechts führte. Daher stand der Klägerin auch ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zu.
Begründung: Das Arbeitsgericht stellte klar, dass es keiner Lösch-Aufforderung bedarf, sondern die Daten nach Beendigung des Arbeitsverhältnisses umgehend von der Webseite des Verantwortlichen entfernt werden müssen. Als Verantwortlicher sei die Beklagte als Arbeitgeberin schadensersatzpflichtig für den Schaden, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist.
Schadensersatz
1.000 EUR.
Fazit
Erst einmal sollte kein Unternehmen falsche Information über seine Mitarbeiter auf dem Unternehmens-Internetauftritt darstellen. Darüber hinaus sollte ein Unternehmen einen Onboarding- und Offboardingprozess (inkl. sofortiger Löschung von ausgeschiedenen Mitarbeitern auf dem Internetauftritt) sowie ein aktuelles Löschkonzept haben. Auch schien es keinen etablierten Prozess für Betroffenenanfragen zu geben, da sich das Unternehmen nicht bei der ehemaligen Mitarbeiterin meldete.
Urteil: https://openjur.de/u/2393301.html (14.12.21)
Mitarbeitende: 5.000,- EUR Schadensersatz wegen unterlassener Löschung einer Fotoveröffentlichung ohne Einwilligung (ArbG München: 25.03.21)
Was war passiert?
Eine Universität fertigte auf Initiative des Marketings Fotos an, auf denen auch die Klägerin zu sehen ist. Vor der Aufnahme wurde ihr eine Einwilligungserklärung vorgelegt, die sie aber nicht unterzeichnete. Hingegen notierte sie die folgende Anmerkung „Nicht für mein Aussehen“.
Im Jahr 2019 wurde dann eine Werbebroschüre der Universität veröffentlicht, auf der Personen mit verschiedenen ethnischen Hintergründen zu sehen sind. Ziel war es, dadurch auf die Internationalität der Einrichtung aufmerksam zu machen. Nach Kenntnisnahme der Veröffentlichung teilte die Klägerin mit, dass sie mit der Verwendung ihrer Bilder in diesem Kontext unter keinen Umständen einverstanden sei. Daraufhin wurde ihr von der Universität mitgeteilt, dass die streitgegenständlichen Fotos gelöscht wurden. Jedoch sei es nicht möglich, die Druckmaterialien, bei denen es bereits zu einer Verwendung der Fotos gekommen sei, zurückzuziehen.
Das Urteil
Das Arbeitsgericht München hat der Klägerin 5.000,- EUR zugesprochen.
„Die Klägerin sei in dem Bild die zentrale Aussage, nämlich dass bei der Beklagten auch Menschen anderer Ethnie beschäftigt würden. Die Aufgabe der Klägerin habe mit den internationalen Kontakten der Beklagten überhaupt nichts zu tun. Weiterhin sei sowohl nach Kunsturhebergesetz als auch nach der Datenschutzgrundverordnung eine schriftliche Einwilligung erforderlich. Die Klägerin sei gerade nicht damit einverstanden gewesen, wie geschehen in der Broschüre abgebildet zu werden.“
Schadensersatz
5.000 EUR.
Fazit
Einwilligungen über die Nutzung von Fotos sollten IMMER schriftlich erfolgen.
Urteil: https://www.justiz.nrw.de/nrwe/arbgs/hamm/arbg_muenster/j2021/3_Ca_391_20_Urteil_20210325.html (25.03.21)
Videoaufzeichnungen: sind nach 72 Stunden zu löschen (VG Hannover: 13.03.23)
Die Betreiberin einer SB-Tankstelle im ländlichen Raum erhielt von der zuständigen Datenschutzbehörde eine Anordnung, die Video-Aufzeichnungen nach Ablauf von 72 Stunden zu löschen (die Aufzeichnungen wurden bisher für sechs bis acht Wochen gespeichert). Die Betreiberin wehrte sich gegen diese Anordnung und trug der Aufsichtsbehörde schriftlich vor, dass die Videoaufzeichnung verschiedenen Zwecken diene. Diese Zwecke rechtfertigten eine längere Speicherdauer:
Zweck 1: Ungerechtfertigter Bereicherung und Tankbetrug. Erhebliches Risiko, dass Kunden getankten Treibstoff nicht bezahlten. Oftmals behaupten Kunden erst nach Ablauf von drei Tagen, ihre Karte sei zu Unrecht belastet worden und sie hätten ihr Fahrzeug nicht an der klägerischen Tankstelle betankt. Zur Durchsetzung ihrer Kaufpreisansprüche sei sie deshalb auf die Videoaufzeichnungen angewiesen. Zudem akzeptiere sie auch Tankkarten, bei denen eine Abrechnung monatlich über eine SEPA-Lastschrift erfolge. Kunden könnten gegenüber ihren Banken innerhalb von acht Wochen ohne Angabe von Gründen widersprechen. Die Bank buche den Kunden das Geld dann wieder zurück auf ihr Konto und buche den an die Klägerin angewiesenen Betrag teilweise wieder zurück. Die Aufklärbarkeit entsprechender Fälle sei in 72 Stunden nicht zu gewährleisten.
Zweck 2: Beweissicherungen / Vandalismusprävention. Es kämen auch Fälle vor, bei denen Kunden versehentlich zwei Zapfsäulen freischalteten. Hintergrund sei, dass der Kunde über das zentrale Terminal zunächst die falsche Zapfsäule und nach Erkennen dieses Fehlers eine weitere (die richtige) Zapfsäule freischalte. Technisch könne dieser Fehlbedienung nicht begegnet werden. Im Zusammenhang mit solchen Fällen habe sie sich in der Vergangenheit strafrechtlichen Vorwürfen ausgesetzt gesehen, weil Kunden bei späteren Abrechnungen festgestellt hätten, dass ihre Karte für zwei Tankvorgänge (ihren eigenen und den an der versehentlich freigeschalteten Zapfsäule) belastet worden sei. Sie habe sich sodann mittels der Videoaufzeichnungen entlasten können. Im Tankstellenbetrieb seien jährlich Beschädigungen in Höhe von rund 10.000,00 EUR festzustellen. Den Aufzeichnungen komme daher eine wichtige Aufklärungsfunktion zu.
Fazit der Betreiberin: Eine auf 72 Stunden reduzierte Speicherdauer sei unangemessen kurz. Sachgerecht sei eine vierzehntägige Zeitspanne.
Die Aufsichtsbehörde antwortete folgendermaßen auf die jeweiligen Zwecke der Betreiberin:
Zweck 1: Ungerechtfertigter Bereicherung und Tankbetrug. Die Klägerin könn den Beweis für den Tankvorgang nicht nur durch die Videoaufzeichnungen erbringen. Der Umstand, dass die Nutzung der Karte samt PIN-Eingabe zum Start des Tankvorgangs zwingende Voraussetzung sei, zeige, dass ein Beweisantritt durch entsprechende Zahlungs- und Abbuchungsbelege erfolgen könne. Auch in Konstellationen, in denen ein Kunde behaupte, seine Karte samt PIN sei ihm entwendet worden und nicht er selbst, sondern der Dieb habe den Tankvorgang vorgenommen, sei eine längere Speicherdauer nicht gerechtfertigt. Die Beweislast für das treuwidrige Verhalten Dritter liege in solchen Konstellationen nicht bei der Klägerin, sondern dem Kreditinstitut. Sollten Anhaltspunkte für die Begehung einer Straftat vorliegen, so könne die Aufnahme auch über 72 Stunden hinaus gespeichert werden; eine Löschung habe hingegen zu erfolgen, wenn kein relevantes Ereignis habe gesichtet werden können.
Zweck 2: Beweissicherungen. Die von der Klägerin geschilderte Konstellation, dass Kunden aus Versehen zunächst eine falsche Zapfsäule freischalteten, habe die Klägerin erstmals im Klageverfahren geschildert. Dieses Vorbringen sei verspätet und habe im streitgegenständlichen Bescheid nicht berücksichtigt werden können. Außerdem rechtfertigten auch solche Fälle keine längere Speicherdauer. Zum einen könnte diesen Konstellation durch technische Vorkehrungen begegnet werden und zum anderen sei bereits fraglich, wie oft solche Fälle tatsächlich auftreten würden. Es handele sich wohl eher um Ausnahmesituationen, die im Hinblick auf die Interessen und Rechte vom weit überwiegenden Teil der Betroffenen keine längere Speicherdauer rechtfertigten.
Fazit der Aufsichtsbehörde: Für den Einzelfall wird anerkannt, dass feiertagsbedingt auch eine längere als 72-stündige Speicherdauer notwendig sein könne. Abgesehen von diesen Sonderfällen sei jedoch nicht ersichtlich, warum eine längere Speicherung der Videoaufzeichnungen notwendig sein könnte.
Die Argumente der Klägerin überzeugte das VG Hannover nicht, so dass das Gericht die ausgesprochene Anordung der Aufsichtsbehördeals als rechtmäßig bewertete. Die Klage wurde abgewiesen.
Begründung:
Zulässiger Zweck der Videoüberwachung ist die Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen. Zu diesem Zweck ist die Klägerin berechtigt, Bildaufnahmen zu erheben und auch zu speichern. Es ist aber nicht notwendig, diese Aufzeichnungen für die Zweckerreichung sechs bis acht Wochen vorzuhalten. Es ist ohne weiteres möglich, binnen 72 Stunden festzustellen, ob Vandalismus oder Beschädigungen an der klägerischen Tankstelle aufgetreten sind und sollte dem so sein, das Videomaterial daraufhin zu sichten. Sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist die Klägerin zur längeren Speicherung berechtigt.
Soweit die Klägerin überdies vorgetragen hat, die Videoüberwachung diene auch dazu, sich gegen unberechtigte zivilrechtliche Ansprüche schützen und solche gegebenenfalls selbst durchsetzen zu können, so darf sie die Videoüberwachung zu diesem Zweck nicht durchführen. Sie hat ein berechtigtes Interesse zur Datenerhebung zu diesen Zwecken weder substantiiert dargelegt noch belegt. Zur Durchsetzung von Kaufpreisansprüchen nach § 433 BGB bedarf es der Videoaufzeichnung schon deswegen nicht, weil bei der von der Klägerin betriebenen SB-Tankstelle Benzin grundsätzlich erst dann ausgegeben wird, wenn die Tanksäule freigeschaltet wurde. Die Freischaltung erfolgt durch die Einführung der akzeptierten Zahlkarten unter Nutzung einer PIN. Sobald die Zapfpistole wieder eingehängt wird, wird die Abbuchung vom Konto des Kunden direkt veranlasst. Kunden können die Tankstelle ohne Initiierung des Zahlvorgangs also grundsätzlich nicht verlassen.
Soweit die Klägerin dargelegt hat, dass an ihrer Tankstelle auch eigens ausgegebene Tankkarten akzeptiert werden, bei denen eine monatliche Abrechnung über ein SEPA-Lastschrift-Verfahren erfolgt, so berechtigt auch dies nicht zur Videoüberwachung. Die Klägerin hat diesbezüglich zwar ausgeführt, dass Kunden dem Einzug des Rechnungsbetrages ohne Angaben von Gründen gegenüber ihrer Bank widersprechen können und die Banken teilweise nach den vertraglichen Vereinbarungen sodann berechtigt seien, den an die Klägerin ausgezahlten Betrag wieder zurück zu buchen. Zur Durchsetzung des Kaufpreisanspruches ist die Klägerin dennoch nicht auf die Aufzeichnungen der Videoüberwachungsanlage angewiesen. Der Nachweis über den (den Kaufvertrag begründenden) Tankvorgang kann sie schließlich bereits dadurch erbringen, dass die personalisierte Tankkarte unter Nutzung einer PIN an ihrer Selbstbedienungstankstelle verwendet wurde. Dies ist über die Abrechnungsbelege nachweisbar. Schließlich hat die Klägerin keinen einzigen Beleg dafür erbracht, dass es in der Vergangenheit zu einem solchen Fall gekommen ist. Das Gericht hat die Klägerin bereits im Vorfeld zur mündlichen Verhandlung zur Vorlage entsprechender Belege aufgefordert. Dem ist die Klägerin – auch im Rahmen der mündlichen Verhandlung – nicht nachgekommen. Soweit der Geschäftsführer der Klägerin diesbezüglich ausgeführt hat, Belege und Nachweise könnten nicht vorgelegt werden, weil in der Vergangenheit entsprechende Fälle immer dadurch hätten aufgeklärt werden können, dass er allein sich die Videoaufzeichnungen angeschaut habe und seinem Gegenüber am Telefon habe versichern können, dass der Tankvorgang stattgefunden habe, so hält die Kammer dies für fernliegend und nicht überzeugend. Es entspricht nicht der allgemeinen Lebenserfahrung, dass etwaige Rechtsansprüche immer ausschließlich nur telefonisch dargelegt und sodann auch telefonisch abschließend geklärt werden können.
Die Klägerin darf die Videoüberwachung auch nicht zum Zweck der Verteidigung gegen zivilrechtliche Ansprüche nach §§ 812 ff. BGB durchführen. Sie hat diesbezüglich behauptet, in der Vergangenheit sei es zu Fällen gekommen, in denen nach einem Tankvorgang die Karte eines Kunden belastet worden sei und der Kunde sodann behauptet habe, sein Fahrzeug nicht bei der Klägerin betankt und deswegen den Kaufpreis zurückgefordert zu haben. Es stünde demnach im Raum, dass die Klägerin den Kaufpreis durch Leistung des Kunden ohne Rechtsgrund erlangt habe. Selbst wenn es in der Vergangenheit zu solchen Fällen gekommen ist, rechtfertigen sie die Videoüberwachung nach Ansicht der Kammer nicht. Nach den zivilrechtlichen Beweislastregeln wäre zunächst grundsätzlich der vermeintliche Kunde für das Fehlen des Rechtsgrundes, also für den Umstand beweisbelastet, dass zwischen ihm und der Klägerin kein Kaufvertrag zustande gekommen ist – sprich, dass kein Tankvorgang vorgenommen wurde (vgl. beispielsweise Wendehorst, in BeckOK BGB, 65. Ed., § 812, Rn. 281f.). Zudem kann die Klägerin auch in solchen Konstellationen grundsätzlich über die Abrechnungen einen Nachweis für den Tankvorgang und damit das Vorliegen eines Rechtsgrundes erbringen. Soweit die Klägerin diesbezüglich ohne Vorlage entsprechender Nachweise pauschal vorgetragen hat, dass auf den Abrechnungen nicht die volle IBAN des Kunden dargestellt werde, so ist die Kammer davon überzeugt, dass die IBAN und demnach die Identität des jeweiligen Kartennutzers sich anhand der auf der Abrechnung vorhandenen Angaben durch Erforschungsmaßnahmen bei der Bank ermitteln lässt. Die Klägerin hat zudem auch für diese vorgetragene Konstellation keinen einzigen Beleg erbracht, dass es in der Vergangenheit zu entsprechenden Fällen tatsächlich gekommen ist. Auch diesbezüglich hält die Kammer es für fernliegend, dass Kunden versuchen, ihre vermeintlichen Rechtsansprüche mündlich durchzusetzen und sodann wegen einer telefonischen Auskunft, die auf der für den Kunden nicht nachvollziehbaren Sichtung des Videomaterials beruht, von der Weiterverfolgung absehen.
Auch für die von der Klägerin vorgetragene Konstellation, Kunden hätten in der Vergangenheit behauptet, ihre Karte samt PIN sei entwendet und zum Tanken verwendet worden, ist die Klägerin zur Videoüberwachung nicht berechtigt. Die Beweislast für das treuwidrige Verhalten Dritter liegt in solchen Konstellationen nicht bei der Klägerin, sondern in der Regel nach §§ 675 v -675 w BGB bei den Kreditinstituten. Bei § 675 v BGB handelt es sich um die zentrale Haftungsnorm im Rechtsverhältnis von Zahlungsdienstleister und Zahlungsdienstnutzer. Sie regelt, welche Partei bei missbräuchlicher Verwendung von Zahlungsdiensten einen durch unberechtigt verfügende Dritte entstandenen Schaden zu tragen hat. Eine Haftung des Zahlungsempfängers ist hier nicht vorgesehen. § 675 w BGB regelt dahingehend die Beweislasten und bezieht sich ebenfalls nicht auf den Zahlungsempfänger. Zudem besteht bei Nutzung einer EC-Karte/Visa-Karte mit PIN – und nur solche sind bei der Klägerin nach ihrem eigenen Vortrag nutzbar – grundsätzlich eine Zahlungsgarantie des Kreditunternehmens. Schließlich ist es der Klägerin auch hinsichtlich dieser behaupteten Konstellation nicht gelungen, eine Gefährdungslage substantiiert darzulegen. Nachweise dafür, dass es zu solchen Fällen in der Vergangenheit gekommen ist, hat sie trotz gerichtlicher Aufforderung nicht erbracht.
Die Klägerin hat weiter vorgetragen, sie sei auf die Videoüberwachung angewiesen, um Fälle aufklären zu können, bei denen Kunden nach einer Fehlbedienung die doppelte Belastung ihrer Karte rügen würden. In der Vergangenheit sei es zu Fällen gekommen, in denen Kunden durch das zentrale Terminal zunächst eine falsche und sodann die richtige Zapfsäule freigeschaltet hätten. Ein anderer Kunde habe sodann an der versehentlich freigeschalteten Zapfsäule auf Kosten dieses Kunden getankt. Auch dieser Vortrag rechtfertigt eine Videoüberwachung nicht. Zunächst ist die Kammer davon überzeugt, dass solchen Fällen durch technische Vorrichtungen begegnet werden kann, sodass sie gar nicht vorkommen müssten. Zudem hat die Klägerin auch hinsichtlich dieser Fallkonstellation keinerlei belastbaren Nachweise dafür vorgebracht, dass sie in der Vergangenheit tatsächlich vorgekommen wären.
Soweit die Klägerin schließlich noch behauptet hat, sie sei auf die Videoüberwachung angewiesen, weil sie sich wegen der vermeintlich falschen Belastung von Zahlungskarten auch gegen strafrechtliche Vorwürfe verteidigen können müsse, so hat sie auch diesbezüglich nicht substantiiert darlegen können, dass in der Vergangenheit tatsächlich strafrechtlich gegen sie ermittelt oder gar ein Strafverfahren eingeleitet wurde. Dass es auch für solche Konstellationen keinerlei schriftliche Nachweise gibt, hält die Kammer für abwegig.
Es wurde kein Bußgeld festgesetzt. Aber die Aufsichtsbehörde hatte für den Fall der nicht, nicht vollständigen oder nicht fristgemäßen Umsetzung ein Zwangsgeld in Höhe von 1.000,00 EUR angedroht.
Bei der Verarbeitung von personenbezogenen Daten ist der ZWECK der Verarbeitung und der Wegfall des Zwecks unbedingt genau zu durchleuchten. Darüber hinaus sollte ein Unternehmen unbedingt alle Dokumente aufbewahren, auf die sich Begründungen für eine längere Speicherung stützen. Die Klägerin hatte im obrigen Fall für sehr viele von ihr vorgetragenen Konstellationen, warum sie Videoaufzeichnungen länger speichern muss, keinerlei schriftliche Nachweise.
Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920 (13.03.23)
Airbnb: kein Anspruch auf Löschung bei berechtigtem Interesse (OLG Celle: 14.09.23)
2018 bat ein registrierter Airbnb-Host darum, seine persönlichen Daten zu löschen und widerrief gleichzeitig seine Einwilligung zur Datenverarbeitung. Airbnb stimmte der Löschung zu, es sei denn, es gab rechtliche Gründe, die Daten aufzubewahren. Der Host erhielt jedoch keine Updates über den Status seines Löschungsantrags.
Als Reaktion darauf reichte der Host im Dezember 2018 eine Beschwerde bei der Datenschutzbehörde in Zypern ein. Er argumentierte, dass seine Daten unrechtmäßig aufbewahrt wurden und Airbnb nicht ausreichend transparent und datensparsam agierte. Die zyprische Datenschutzbehörde leitete die Beschwerde im März 2019 an die irische Aufsichtsbehörde weiter.
Airbnb erklärte, dass der Beschwerdeführer acht Konten hatte, die aufgrund eines Vorfalls im November 2018 gesperrt wurden. Sie argumentierten mit einem berechtigtem Interesse zur Aufbewahrung der Daten, da diese möglicherweise in rechtlichen Verfahren benötigt würden und dass dies ihre Verpflichtung zur Datenlöschung beeinflussen könnte. Der Beschwerdeführer erwiderte, dass Airbnb immer noch nicht seinem Löschungsantrag nachgekommen war und keine Informationen zum Fortschritt bereitgestellt hatte. Nachdem der Beschwerdeführer sich weigerte, eine gütliche Einigung mit Airbnb anzustreben, übernahm die irische Datenschutzbehörde die Untersuchung.
Die irische Datenschutzbehörde entschied, dass Airbnb eine rechtmäßige Grundlage für die Datenverarbeitung hatte, auch ohne offizielle Aufforderung von Strafverfolgungsbehörden zur Datenbewahrung. Die Datenschutzbehörde wog die Interessen des Betroffenen gegen die Interessen von Airbnb ab und kam zu dem Schluss, dass Airbnb ein berechtigtes Interesse an der Datenbewahrung hatte, um die polizeilichen Ermittlungen zu schützen und die Plattform sicher zu halten. Es gab keine entgegenstehenden Interessen des Betroffenen, weshalb Airbnb das Recht des Betroffenen auf Datenlöschung gemäß der DSGVO rechtmäßig einschränken durfte.
Es wurde kein Schadenersatz verlangt. Die Datenschutzbehörde stellte jedoch fest, dass Airbnb den Betroffenen nicht ausreichend über den Status seines Löschungsantrags und seine Rechte informiert hatte, was gegen die DSGVO verstieß. Als Konsequenz erhielt Airbnb eine Verwarnung.
Nicht immer kann ein Betroffener sich auf seinen Lösch-Anspruch berufen. Aber trotzdem ist eine rechtzeitige Information an den Betroffenen über den Status des Löschantrags wichtig.
Handelsregister: kein Anspruch auf Löschung persönlicher Daten (BGH Karlsruhe: 23.01.24)
Der Geschäftsführer einer GmbH forderte die Löschung seines Wohnorts und Geburtsdatums aus dem Handelsregister, da er um seine persönliche Sicherheit besorgt war. Er arbeitet beruflich mit Sprengstoff und fürchtete, Opfer einer Entführung oder eines Raubes zu werden, um die von ihm gehandhabten Sprengstoffe zu erlangen.
Das OLG entschied, dass der Geschäftsführer die Veröffentlichung dieser Daten hinnehmen muss.
Es konnte keine ausreichende Gefährdung des Geschäftsführers nachgewiesen werden. Ob bei einer tatsächlichen Gefährdung eine Löschung der Angaben möglich sei, hatte das OLG offen gelassen. Denn der Kläger hatte seine vorgebrachte drohende Gefährdung nicht näher konkretisiert. Gegen den Beschluss des Senats wurde eine Rechtsbeschwerde beim Bundesgerichtshof (BGH) in Karlsruhe eingelegt. Auch diese wurde vom BGH abgewiesen.
Auszüge aus der Begründung des OLG Celle:
„Dass das öffentliche Interesse an der Führung des Handelsregisters im Streitfall durch das Interesse des Antragstellers an einer Geheimhaltung seines Geburtsdatums und seines Wohnorts überwogen würde, ist weder hinreichend vorgetragen noch sonst ersichtlich.
…
Des Weiteren ist, eine tatsächliche Gefährdung des Antragstellers – die er über allgemeine Angaben hinaus nicht konkretisiert hat – zu dessen Gunsten unterstellt, auch weder vorgetragen noch ersichtlich, in welcher Weise eine solche Gefährdung durch die Einsehbarkeit von Geburtsdatum und Wohnort im Handelsregister verursacht oder erhöht werden soll. Soweit es die Nennung des Wohnorts betrifft, ist insbesondere zu berücksichtigen, dass eine genaue Adressangabe nicht erfolgt und ein Ansatzpunkt zum Auffinden des Antragstellers auch bereits mit der Nennung der Geschäftsanschrift der betroffenen Gesellschaft gegeben ist, deren Löschung der Antragsteller indes nicht begehrt.“
Leitsätze des BGH Karlsruhe:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.
b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.
c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DSGVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.
Es wurde kein Bußgeld bzw. Schadensersatz festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch nach § 17, 18 und 21 DSGVO berufen, wenn es sich hier um funktionsfähige und verlässliche öffentliche Register handelt, die für die Sicherheit und Leichtigkeit des Rechtsverkehrs unerlässlich sind.
Urteil vom BGH Karlsruhe: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&az=II%20ZB%207/23&nr=137055 (23.01.24)
Urteil vom OLG Celle: https://voris.wolterskluwer-online.de/browse/document/a8345e9c-de93-4969-a9b5-68e69c610d55 (24.02.23)
Auskunftei: muss Daten nicht automatisch bei Forderungsausgleich löschen (OLG Frankfurt: 18.01.23)
Gegen eine Schuldnerin wurde ein Vollstreckungsbescheid über 1.059,99 € wegen rückständiger Beitragszahlungen für eine Krankheitskostenversicherung erlassen. Dies wurde der Auskunftei gemeldet, die diesen Eintrag daraufhin in ihr Register aufnahm. Zwischenzeitlich wurde die Forderung beglichen. In der Auskunftei wurde daraufhin eingetragen, dass der Vorgang am 04.01.2022 seine Erledigung durch Zahlung der offenen Forderung gefunden habe. Die Schuldnerin ist aber der Ansicht, dass der Eintrag zu löschen sei und erhob Klage auf die Löschung des Eintrags sowie klageerweiternd in der Berufungsinstanz auf die Verurteilung der Auskunftei zur Zahlung eines Schmerzensgeldes.
Die Auskunftei als Beklagte hat daraufhin geltend gemacht, dass ein Anspruch auf Löschung aus § 17 DSGVO nicht bestehe. Der Eintrag sei rechtmäßig erfolgt. Denn dem Vollstreckungsbescheid seien monatelange Bemühungen vorangegangen, eine Zahlung durch den Inhaber der Klägerin herbeizuführen. Erst nachdem dessen Konto gesperrt worden sei, sei es zu einem Ausgleich der Forderung gekommen. Dies belege eine erhebliche Unzuverlässigkeit. Sie, die Beklagte, habe auch eine Interessenabwägung durchgeführt. Der streitgegenständliche Eintrag, dessen Richtigkeit die Klägerin nicht in Frage stelle, sei für die Beurteilung der Bonität von Relevanz.
Das OLG Frankfurt wies die Klage zurück. Die Notwendigkeit einer Speicherung von Daten in einer Wirtschaftsauskunftei entfällt nicht allein deswegen, weil die Forderung zwischenzeitlich getilgt worden ist und ein entsprechender Eintrag in das Schuldnerverzeichnis nach § 882e ZPO zu löschen wäre, wenn die Begleichung der Forderung nachgewiesen wird. Die weitere Speicherung ist nicht unverhältnismäßig und erfüllt weiterhin eine zulässige Warnfunktion. Eine vollständige Löschung wegen fehlender Notwendigkeit nach Art. 17 Abs. 1 Buchstabe a DSGVO kann die Klägerin danach nicht verlangen.
Begründung:
Zahle ein Schuldner die offenen Posten, führe dies nicht automatisch zu einem Löschungsanspruch des Negativeintrags.
„Der Umstand, dass der Inhaber der Klägerin durch Vollstreckungsbescheid zu einer Zahlung verurteilt wurde, hat einen unmittelbaren Bezug zu ihrer Zahlungsfähigkeit und/ oder Zahlungsunwilligkeit. Die Klägerin verlangt so gestellt zu werden wie eine Person, gegen die niemals eine Forderung tituliert wurde. Auf diese Weise aber würde der – unzutreffende – Eindruck erweckt, dass über die Klägerin und ihren Inhaber keine Erkenntnisse über Unzuverlässigkeiten bei der Begleichung von Forderungen vorlägen.
Darauf hat sie keinen Anspruch.
Der Umstand, dass die titulierte Forderung aus Sicht der Klägerin gering war, hat keine Auswirkung auf die Rechtmäßigkeit der Verarbeitung durch die Beklagte. Denn das Vorliegen einer zunächst nicht erfüllten Forderung und eines darauf bezogenen Titels lassen unabhängig von ihrer Höhe Rückschlüsse auf Zahlungsfähigkeit, aber auch Zahlungswilligkeit des Schuldners zu und sind von erheblicher Bedeutung für das Kreditsicherungssystem.
Es wurde kein Bußgeld festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch auf Löschung nach § 17 DSGVO berufen. Ergeben vorherige Umstände, dass der Betroffene durch eigenes Verschulden nicht mit anderen Betroffenen gleichgestellt werden kann, so können seine Daten u.U. auch länger gespeichert werden. Dies ist im Einzelfall zu prüfen.
Urteil: https://www.rv.hessenrecht.hessen.de/bshe/document/LARE230004082/part/L (18.01.23)
Siehe hierzu auch das Urteil vom OLG Oldenburg: https://openjur.de/u/2394794.html (23.01.21)
Auskunftei: muss Daten nicht automatisch bei Restschuldbefreiung löschen (KG Berlin: 15.02.22)
Der Kläger hatte ein Insolvenzverfahren mit anschließender Restschuldbefreiung durchlaufen. Er begehrte nun von der Wirtschaftsauskunftei die Löschung eines ihn betreffenden Eintrags im Zusammenhang mit der Erteilung einer Restschuldbefreiung gemäß Art. 17 DSGVO sowie dessen erneute Eintragung und Speicherung zu unterlassen.
Das Landgericht Berlin hatte die Klage abgewiesen. Mit der Berufung vor dem KG Berlin verfolgte der Kläger seinen Anspruch weiter. Aber auch das KG Berlin hat die Klage abgewiesen.
Begründung:
Dem Kläger steht kein Recht auf Löschung nach Art. 17 DSGVO zu, da die Verarbeitung der Daten über die Restschuldbefreiung, die von der Beklagten zutreffend in Übereinstimmung mit den Insolvenzbekanntmachungen gespeichert worden ist, rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) DSGVO erfolgt sei. Die Datenverarbeitung durch die Beklagte sei nach dieser Vorschrift rechtmäßig, weil ein überwiegendes Interesse der Beklagten und ihrer Vertragspartner bestehe. Das berechtigte Interesse der Beklagten bzw. der Dritten (Kreditwirtschaft) bestehe u. a. darin, die Kreditwirtschaft vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen und damit auch zugleich Kreditinteressenten vor einer etwaigen Überschuldung zu bewahren. Das KG Berlin hat sich der Entscheidung des Landgerichts im Wesentlichen angeschlossen. Der Kläger habe keinen Anspruch auf Gleichstellung mit Personen, welche kein Insolvenzverfahren durchlaufen haben:
„Dies gelte insbesondere, wenn – wie hier – unstreitig im Zeitpunkt der Restschuldbefreiung noch Forderungen in Höhe von über 51.000,00 EUR offen gewesen seien. Die Daten zur Restschuldbefreiung des Klägers würden durch die Beklagte genau drei Jahre nach der Eintragung gelöscht werden, was durch die Verhaltensregeln [der Wirtschaftsauskunfteien] verbindlich festgelegt worden sei.“
Es wurde kein Bußgeld festgesetzt.
Nicht immer kann ein Betroffener sich auf seinen Anspruch auf Löschung nach § 17 DSGVO berufen. Ergeben vorherige Umstände, dass der Betroffene durch eigenes Verschulden nicht mit anderen Betroffenen gleichgestellt werden kann, so können seine Daten u.U. auch länger gespeichert werden. Dies ist im Einzelfall zu prüfen.
Urteil: https://openjur.de/u/2394622.html (15.02.22)
Siehe hierzu auch das Urteil vom OLG Oldenburg: https://openjur.de/u/2394794.html (23.01.21)
Auskunftei: muss Daten automatisch bei Restschuldbefreiung löschen (OLG Schleswig: 02.07.21)
Der Kläger hatte ein Insolvenzverfahren mit anschließender Restschuldbefreiung durchlaufen. Er begehrte nun von der Wirtschaftsauskunftei Schufa die Löschung eines ihn betreffenden Eintrags im Zusammenhang mit der Erteilung einer Restschuldbefreiung gemäß Art. 17 DSGVO sowie dessen erneute Eintragung und Speicherung zu unterlassen.
Die 2. Zivilkammer des Landgerichts Kiel vom 12. Februar 2021 hatte die Klage abgewiesen. Mit der Berufung vor dem OLG Schleswig verfolgte der Kläger seinen Anspruch weiter. Diese wurde nun vom OLG Schleswig stattgegeben.
Begründung:
Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung der Information über seine Restschuldbefreiung im Privatinsolvenzverfahren aus Art. 17 Abs. 1 lit d) DSGVO, da die Datenverarbeitung durch die Beklagte nicht rechtmäßig erfolgt. Die Daten werden von der Beklagten spätestens mit Ablauf von sechs Monaten nach der Rechtskraft der Restschuldbefreiung nicht mehr rechtmäßig verarbeitet, da die Voraussetzungen für eine rechtmäßige Verarbeitung im Sinne von § 6 DSGVO spätestens ab diesem Zeitpunkt nicht mehr vorliegen.
„… Zudem entspricht es marktwirtschaftlichen Grundsätzen, dass nicht alle Betriebsgründungen erfolgreich verlaufen können, sondern es laufend zu Marktbereinigungen kommt. Eine soziale Marktwirtschaft baut also auch stets darauf auf, dass Betriebsgründungen wirtschaftlich scheitern. So mussten in den Jahren 2000 bis 2008 durchschnittlich etwa 72.000 junge Unternehmen den Markt verlassen und etwa 15 % dieser Unternehmen stellten einen Insolvenzantrag.“
Bei Zuwiderhandlung wurde ein Ordnungsgeld in Höhe von höchstens 25.000,00 Euro oder für den Fall, dass dieses nicht beigetrieben werden kann, ersatzweise Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, zu vollstrecken gegen eines der Mitglieder des Vorstandes der Beklagten, festgelegt, zu unterlassen, den unter Ziffer 1. des Tenors genannten Eintrag erneut zu speichern. Zahlung der vorgerichtliche Rechtsanwaltskosten in Höhe von € 887,03 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 12. März 2020 an den Kläger. Tragen der Kosten beider Rechtszüg mit Ausnahme der aufgrund der Säumnis des Klägers erstinstanzlich entstandenen Kosten, die dem Kläger zur Last fallen.
Entgegen allen anderen Urteilen rund um die Auskunfteien entschied hier das OLG Schleswig zugunsten des Klägers. Somit zeigt sich, dass es aktuell noch keine einheitlichen Rechtssprechungen gibt (siehe hier auch die anderen Urteile rund um Auskunfteien).
Urteil: https://openjur.de/u/2345121.html (02.07.21)
Internetbewertung (negativ): Kein Anspruch auf Löschung eines Namens (OLG Hamm: 29.06.21)
Was war passiert?
Bei einer Online-Bewertung von Google schrieb ein User über die Bäckerei, bei der die Klägerin angestellt war:
„Ich bin hier immer zum fruhstücken und sonst auch immer zufrieden und finde das Team sehr nett. Aber wurde heute so unfreudlich „bedient“ von Frau S (…)“.
Statt S war hier der volle Nachname der Klägerin angegeben. Sie war die einzige Beschäftigte mit diesem Namen bei der Bäckerei.
Die Klägerin forderte Google zur Löschung ihres Namens unter Hinweis auf die DSGVO auf, Google reagierte aber nicht. Deshalb erhob sie Klage und verlangte u.a. die Löschung und außerdem die Zahlung eines Schmerzensgeldes nach Art. 82 DSGVO in Höhe von 500,- EUR.
Das Urteil
Die Klage wurde abgewiesen. Begründung: Die Namensnennung sei durch das Recht auf freie Meinungsäußerung gerechtfertigt (Art. 17 Abs.3a) DSGVO). Maßgeblich für das OLG Hamm war, dass die Bewertung inhaltlich zulässig war und zudem ein sachlicher Grund für die Namensnennung bestand, nämlich die unfreundliche Bedienung gegenüber dem anderen Personal hervorzuheben.
Bußgeld
–
Fazit
Je nach Ihrer jeweiligen Branche können Sie prüfen, ob Sie sich bei einer Betroffenenanfrage zum Löschen von Daten auf dieses Urteil beziehen können.
Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920/ (29.06.21)
Internetbewertung: Arbeitgeber-Bewertungsplattform muss negative Bewertungen löschen (OLG Hamburg: 08.02.24)
Was war passiert?
Eine Unternehmerin mit etwa 22 Mitarbeitenden forderte die Arbeitgeber-Bewertungsplattform Kununu mit zwei kurz aufeinander folgenden Schreiben auf, zwei negativen Bewertungen über ihr Unternehmen zu löschen, da sie deren Echtheit anzweifelte. Auf der Bewertungsplattform befinden sich über 5,3 Mio. Bewertungen zu über 1 Mio. Unternehmen, täglich kommen rund 1.000 neuen Bewertungen zu etwa 500 Unternehmen hinzu.
Kununu forderte von der Unternehmerin den Nachweis, dass tatsächlich eine Rechtsverletzung vorliegt, die zu löschen sei. Da dieser Nachweis nicht erbracht wurde, löschte Kununu die negativen Bewertungen nicht. Daraufhin folgte von der Unternehmerin ein Antrag auf Erlass einer einstweiligen Verfügung. Kununu wandte sich nun an die beiden Nutzer, die die beanstandeten Bewertungen abgegeben hatten. Die von diesen erhaltenen Beschäftigungsnachweise anonymisierte eine Kununu-Mitarbeiterin und übersandte sie der Unternehmerin zum Beleg, dass die Urheber der Bewertungen bei dieser beschäftigt gewesen seien.
Das erstinstanzlich zuständige Landgericht (LG) Hamburg wies daraufhin den Antrag der Unternehmerin auf Erlass einer einstweiligen Verfügung, wonach Kununu die Bewertung löschen müsse, zurück (Beschl. v. 08.01.2024, Az. 324 O 559/23). Das Gericht war überzeugt, dass die anonymisierten Nachweise ausreichen, um die Echtheit der Bewertung zu belegen. Auf die hiergegen gerichtete sofortige Beschwerde der Unternehmerin hat das OLG den Beschluss abgeändert und die begehrte einstweilige Verfügung erlassen.
Das Urteil
Das OLG Hamburg entschied, dass die Anonymität der bewertenden Person aufgehoben werden könne und bei Zweifeln an der Echtheit die Bewertung dauerhaft gelöscht werden müsse. Das Gericht begründete seine Entscheidung damit, dass die Unternehmerin sich nicht einer schlechten Bewertung einfach ausgeliefert sehen müsse. Wenn es eine schlechte Bewertung gibt, dann müsse es für sie auch möglich sein, nachzuvollziehen, ob die bewertende Person auch tatsächlich jemals in irgendeiner Weise im geschäftlichen Kontakt mit ihr stand. Mitarbeiterkritik auf Bewertungsplattformen beziehe sich immer auf konkrete Fälle, so das Gericht weiter. Solche tatsächlichen Gegebenheiten könnten nur dann vom Arbeitgeber überprüft werden, wenn die Person, die Kritik ausübt, dem Arbeitgeber bekannt ist, so das OLG nun. Interessant ist auch folgender Punkt des OLG:
- „… Zu einem abweichenden Beurteilungsmaßstab führt auch nicht der Umstand, dass es für den Betreiber eines Arbeitgeber-Bewertungsportals schwieriger sein mag, nach der Beanstandung einer Eintragung einzelne Bewerter dazu zu bewegen, sich zu erkennen zu geben, weil sie im Gegensatz zu Nutzern, die einmalige Geschäftskontakte wie einen Hotelaufenthalt, einen singulären Arztbesuch oder den Ankauf einer Ware bewertet haben, häufig befürchten werden, nach ihrer Kenntlichmachung Repressalien ihres negativ bewerteten Arbeitgebers ausgesetzt zu sein. Auch dies aber vermag nicht zu rechtfertigen, dass ein Arbeitgeber, der einer über das Internet verbreiteten Kritik einer Person, die behauptet, für ihn gearbeitet zu haben oder zu arbeiten, ausgesetzt wird, diese öffentliche Kritik hinnehmen muss, ohne die Möglichkeit zu erhalten, sie auf das Vorliegen einer tatsächlichen Grundlage zu prüfen und sich ggf. dazu in der Sache zu positionieren.“
Bußgeld/Ordnungsgeld
Bei weiterer Veröffentlichung der beiden Bewertungen ein Ordnungsgeld im Einzelfall höchstens 250.000,- EUR oder einer Ordnungshaft bis zu sechs Monaten.
Fazit
Bisher hatten Arbeitgeber ungerechtfertigte negative Bewertungen, die möglicherweise aus unlauteren Motiven stammen, widerstandslos hinnehmen müssen. Angesichts des Fachkräftemangels könnten solche Fake-Bewertungen die Reputation und Attraktivität eines Unternehmens erheblich beeinträchtigen. Mit diesem Urteil gibt es nun aber eine Möglichkeit, dagegen vorzugehen. Wer jetzt einfach nur mit einer anonymen, aber unwahren Online-Bewertung über seinen Arbeitgeber Frust ablassen möchte, sollte sich das künftig gut überlegen.
Urteil: https://www.landesrecht-hamburg.de/bsha/document/NJRE001565500/ (08.02.24)
Internetbewertung: Bewertungsplattform muss Daten löschen (OLG Köln: 14.11.19)
Was war passiert?
Auf dem Online-Bewertungsportal für Ärzte „Jameda“ werden sogenannte Basis-Profile von Ärzten ohne deren Einwilligung angelegt. Jameda stützt sich hierbei auf das Medienprivileg Art. 85 Abs. 2 DSGVO als „neutrale Informationsvermittlerin“. Zwei Ärzte hatten Jameda nun auf Löschung des – ohne ihre Einwilligung angelegten – Basis-Profils verklagt. Denn an Jameda zahlende Ärzte (Premium-Profile) erhalten eine wesentliche bessere Darstellung Ihrer Leistungen während diese Zahlung in der Ärzte-Darstellung auf Jameda aber nicht ersichtlich ist.
Das Urteil
Das OLG Köln hat entschieden, dass mehrere frühere bzw. aktuelle Ausgestaltungen der Plattform unzulässig sind (Urteile vom 14.11.2019 (15 U 89/19 und 15 U 126/19). Das Gericht hat den Anspruch der Kläger auf Löschung des ohne Einwilligung eingerichteten Profils gestützt. Jameda könne sich nicht auf das Medienprivileg der Datenschutzgrundverordnung (Art. 85 Abs. 2 DSGVO) stützen. Jameda wurde verurteilt, sämtliche zu den Klägern gespeicherten Daten – Name, Fachrichtung, Anschrift und Telefonnummer der Praxis sowie die zu den Klägern abgegebenen Bewertungen – zu löschen.
Begründung: Jameda hat die Rolle eines „neutralen Informationsmittlers“ verlassen und den an die Plattform zahlenden Ärzten auf unzulässige Weise „verdeckte Vorteile“ gewährt. Zwar werde der Begriff weit ausgelegt und gelte nicht nur für Medienunternehmen, sondern für jeden, der journalistisch tätig sei. Allerdings sei das Geschäftsmodell von Jameda nicht als eigene meinungsbildende Tätigkeit aufzufassen. Denn dafür müsse sie Informationen, Meinungen oder Ideen in der Öffentlichkeit verbreiten. Dies treffe auf Jameda aber gerade nicht zu. Sie biete vielmehr einen Hilfsdienst zur besseren Verbreitung von (Dritt-)Informationen an. Denn die ohne ihre Einwilligung aufgenommenen Basiskunden auf dem Portal werden als „Werbeplattform“ für Premiumkunden benutzt und letzteren wird durch die Form der Darstellung ein Vorteil gewährt. Darum diene das Portal nicht mehr allein dem Informationsaustausch zwischen und mit (potentiellen) Patienten. In diesem Fall müssten Ärzte nicht hinnehmen, ohne ihre Einwilligung als Basiskunden aufgeführt zu werden. Andere Funktionen des Portals, wie etwa die Möglichkeit von Premiumkunden, auf dem Profil in größerem Umfang die angebotenen ärztlichen Leistungen anzugeben als bei Basiskunden, hat das Gericht indes nicht beanstandet und insoweit die Klagen abgewiesen.
Bußgeld
–
Aber bei Zuwiderhandlung droht ein Ordnungsgeld von bis zu 250.000 Euro, ersatzweise Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu vollstrecken an die Jameda Geschäftsführer.
Fazit
Bewertungsportale an sich dienen dem Interesse der Allgemeinheit und dürfen grundsätzlich Daten von gewerbsmäßig agierenden Marktteilnehmern auch ohne Einwilligung gemäß Art. 6 Abs. 1 lit f. DSGVO nutzen und verbreiten, wenn sie diese aus anderen öffentlich zugänglichen Quellen erlangen. Gilt das Nutzungsinteresse an den Daten aber nicht mehr überwiegend dem öffentlichen Interesse, verliert es die Eigenschaft eines neutralen Informationsvermittlers. Z.B. indem das Portal zahlenden Mitgliedern Vorteile gewährt, die für den Nutzer nicht klar erkennbar sind. Dann können die betroffenen Mitglieder die Löschung ihrer Daten verlangen.
Urteil: https://rewis.io/urteile/urteil/zzl-29-06-2021-i-4-u-18920 (14.11.19)
Sie wissen nicht genau, wie Sie ein Löschkonzept für Ihr Unternehmen erstellen sollen und worauf Sie achten müssen? Oder Sie haben einfach im Tagesgeschäft keine Zeit dafür? Dann besuchen Sie doch einfach mein Webinar. In kürzester Zeit zeige ich Ihnen, wie Sie ein Löschkonzept praxisorientiert für Ihr Unternehmen realisieren. Profitieren Sie von zahlreichen Beispielen und bewährten Methoden zur konkreten Umsetzung der Löschung. Nutzen Sie meine digitalen Vorlagen, Checklisten und Guidelines – allesamt geformt durch jahrelange Erfahrung in der Erstellung von Löschkonzepten nach DSGVO. So haben Sie bereits bewährte Beispiele parat, die Ihnen den Einstieg erleichtern.