Die Klägerin hat gegen die beklagte Wirtschaftsauskunftei SCHUFA einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht.
Die Beklagte sammelt und speichert im Rahmen ihrer Tätigkeit personenbezogene Daten, die für die Beurteilung der Kreditwürdigkeit der Betroffenen relevant sein können. Darüber hinaus erstellt sie, u.a. auch unter Berücksichtigung der hinsichtlich des jeweiligen Betroffenen vorliegenden Daten, sog. Scorewerte. Ein Score stellt einen Wahrscheinlichkeitswert über das künftige Verhalten von Personengruppen dar, der auf der Grundlage statistisch-mathematischer Analyseverfahren berechnet wird. Die von der Beklagten ermittelten Scores sollen aussagen, mit welcher Wahrscheinlichkeit der Betroffene seine Verbindlichkeiten vertragsgemäß erfüllen wird. Ihren Vertragspartnern stellt die Beklagte diese Scorewerte zur Verfügung, um ihnen die Beurteilung der Bonität ihrer Kunden zu ermöglichen.
Nachdem die Finanzierung eines Automobilkaufs der Klägerin zunächst aufgrund einer unrichtigen Auskunft der Beklagten gescheitert war, wandte sich die Klägerin an die Beklagte. Diese übersandte ihr nachfolgend eine Bonitätsauskunft sowie mehrfach eine "Datenübersicht nach § 34 Bundesdatenschutzgesetz". Die Klägerin ist der Ansicht, die von der Beklagten erteilte Auskunft genüge nicht den gesetzlichen Anforderungen.
Das Amtsgericht hat die Klage im Wesentlichen abgewiesen. Die Berufung der Klägerin beim Landgericht blieb ohne Erfolg. Die Revision war ebenfalls erfolglos.
Bundesgerichtshof, Urteil vom 28.01.2014, VI ZR 156/13
Die Richtlinie über die Vorratsspeicherung von Daten (Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG) beinhaltet einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht auf das absolut Notwendige beschränkt
Europäischer Gerichtshof, Urteil vom 08.04.2014, C-293/12 und C-594/12
Mit der Richtlinie über die Vorratsspeicherung von Daten sollen in erster Linie die Vorschriften der Mitgliedstaaten über die Vorratsspeicherung bestimmter von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes erzeugter oder verarbeiteter Daten harmonisiert werden. Sie soll damit sicherstellen, dass die Daten zwecks Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten wie organisierter Kriminalität und Terrorismus zur Verfügung stehen. Die Richtlinie sieht daher vor, dass die genannten Anbieter und Betreiber die Verkehrs- und Standortdaten sowie alle damit in Zusammenhang stehenden Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind, auf Vorrat speichern müssen. Dagegen gestattet sie keine Vorratsspeicherung des Inhalts einer Nachricht und der abgerufenen Informationen.
Der irische High Court und der österreichische Verfassungsgerichtshof ersuchen den Gerichtshof um Prüfung der Gültigkeit der Richtlinie, insbesondere im Licht von zwei durch die Charta der Grundrechte der Europäischen Union gewährleisteten Grundrechten, und zwar des Grundrechts auf Achtung des Privatlebens sowie des Grundrechts auf Schutz personenbezogener Daten.
Der High Court hat über einen Rechtsstreit zwischen der irischen Gesellschaft Digital Rights und irischen Behörden wegen der Rechtmäßigkeit nationaler Maßnahmen zur Vorratsspeicherung von Daten elektronischer Kommunikationsvorgänge zu entscheiden. Der Verfassungsgerichtshof ist mit mehreren verfassungsrechtlichen Verfahren befasst, die von der Kärntner Landesregierung sowie von Herrn Seitlinger, Herrn Tschohl und 11 128 weiteren Antragstellern anhängig gemacht wurden und auf die Nichtigerklärung der nationalen Bestimmung zur Umsetzung der Richtlinie in österreichisches Recht gerichtet sind.
Mit seinem Urteil vom 08.04.2014 erklärt der Gerichtshof die Richtlinie für ungültig.
Der Internetanbieter Google darf bestimmte vorformulierte Vertragsklauseln aus den Nutzungsbedingungen für Dienste, der Datenschutzerklärung sowie den Vereinbarungen über die Nutzung eines Marktplatzes im Internet nicht weiterverwenden oder sich darauf berufen. Dies hat das Landgericht Berlin in einem am 19. November 2013 verkündeten Urteil entschieden und Google auf Antrag des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände zu einer entsprechenden Unterlassung verurteilt.
Landgericht Berlin, Urteil vom 19.11.2013, 15 O 402/12
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren.
Zu diesem Ergebnis ist das Schleswig-Holsteinische Verwaltungsgericht nach mündlicher Verhandlung vom heutigen Tage gekommen. Drei schleswig-holsteinische Unternehmen, die bei Facebook eine Fanpage betreiben, hatten gegen die Anordnung des ULD, diese zu deaktivieren, geklagt.
Das ULD hatte diese Anordnung damit begründet, dass die Erfassung von Daten der Besucher der Seite durch Facebook gegen Vorschriften des Datenschutzes verstoße, weil über diese Datenerfassung von Facebook nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege. Außerdem sei eine Widerspruchsmöglichkeit nicht vorgesehen. Die Kläger als Betreiber einer Facebook-Fanpage seien hierfür mitverantwortlich.
Das Gericht folgte dieser Argumentation nicht. Es ließ offen, ob und in welchem Umfang die Erfassung von Daten der Nutzer der Fanpage zur Verletzung von Datenschutzrechten führt. Jedenfalls sei der Betreiber einer Fanpage hierfür datenschutzrechtlich nicht verantwortlich. Die Verantwortlichkeit ergebe sich aus dem Bundesdatenschutzgesetz und der Europäischen Datenschutzrichtlinie (von 1995). Danach sei nicht verantwortlich, wer weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung habe. Dementsprechend fehle es an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe aber auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss.
Das Gericht hat daher die streitigen Anordnungen des ULD aufgehoben. Wegen der grundsätzlichen Bedeutung der Rechtssache ist die Berufung zugelassen worden (Aktenzeichen 8 A 218/11, 8 A 14/12, 8 A 37/12).
Pressemitteilung des Schleswig-Holsteinischen Verwaltungsgerichtes vom 09.10.2013
Das Anordnungs- und Untersagungsrecht der Aufsichtsbehörde aus § 38 Abs.5 BDSG umfasst nicht die Beseitigung von Videoüberwachungskameras.
Wenn Treppenaufgänge zu Praxen und Büros nur zeitlich beschränkt öffentlich zugänglich sind, kann die Aufsichtsbehörde die Videoüberwachung nicht uneingeschränkt untersagen.
VG Oldenburg, Urteil vom 12.03.2013, 1 A 3850/12
Auszug aus dem Urteil:
Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ist gemäß § 4 BDSG nur unter den im Gesetz aufgeführten Voraussetzungen zulässig, die für private Datenverarbeitung in §§ 27 ff BDSG im Allgemeinen und für die Videoüberwachung in § 6b BDSG im Besonderen aufgeführt sind. Ob diese Systematik als „Verbot mit Erlaubnisvorbehalt" bezeichnet werden kann (so Gola/Schomerus, BDSG Kommentar, 11.Aufl. Anm.3 zu § 4 BDSG) erscheint zweifelhaft. Das BDSG stellt für die Datenverarbeitung durch private Videoüberwachung zwar Voraussetzungen auf, enthält aber kein formalisiertes Erlaubnisverfahren. Es ist kein begünstigender Verwaltungsakt in Form der Genehmigung vorgesehen, der die präventive Zulässigkeitsschranke aufheben könnte. Deshalb kann allein das Fehlen einer Genehmigung nicht zur Grundlage eines behördlichen Eingriffs wegen formeller Illegalität gemacht werden. Nicht auf das Fehlen der Genehmigung, sondern nur auf das Fehlen der Voraussetzungen für die Datenverarbeitung kann eine behördliche Maßnahme gestützt werden. Das Verbot der Datenverarbeitung ohne die erforderlichen Voraussetzungen ist materiell rechtlicher Natur. Auf den Begriff des Verbots mit Erlaubnisvorbehalt ist aber nicht weiter einzugehen, weil der Beklagte das Verbot mit Erlaubnisvorbehalt zwar in die Auseinandersetzung um die Rechtmäßigkeit seiner Verfügungen eingebracht hat, den Verwaltungsakt aber nicht auf die formelle Illegalität, sondern auf das Fehlen der Erlaubnisvoraussetzungen gestützt hat. Damit kann er aber seine Entscheidungen nicht begründen. Die Beseitigung der Kameras ist von der einzig in Betracht kommenden und vom Beklagten angeführten Rechtsgrundlage aus § 38 Abs.5 BDSG nicht als Rechtsfolge vorgesehen. Für die vollständige Untersagung der Videoüberwachung liegen die Voraussetzungen nicht vor.
1. Für die Einschaltung privater Stellen in die Abrechnung ärztlicher Leistungen im Rahmen der hausärztlichen Versorgung steht eine datenschutzrechtlich erforderliche Rechtsgrundlage nur bei Einhaltung der gesetzlichen Anforderungen an die Zulässigkeit einer Beauftragung Privater sowie an die Ausgestaltung als Auftragsdatenverarbeitung zur Verfügung.
2. Ein Auftragsdatenverarbeitungsverhältnis liegt nur vor, wenn dem Auftraggeber eine Auswahl des Auftragnehmers möglich bleibt. Daran fehlt es, wenn der datenschutzrechtlich verantwortliche Arzt lediglich insgesamt einem vorgestalteten Vertragswerk über die Teilnahme an einer besonderen Versorgungsform und der Verarbeitung von Patientendaten durch einen privaten Dritten beitreten kann.
3. Auftragsdatenverarbeitung setzt die vollständige Transparenz der durchzuführenden Datenverarbeitung unmittelbar im Verhältnis zwichen Auftraggeber und Auftragnehmer voraus.
Oberverwaltungsgericht für das Land Schleswig-Holstein, Beschluss vom 12.01.2011, 4 MB 56/10
Auszug aus dem Beschluss:
Nach § 80 Abs 5 SGB X ist eine Datenverarbeitung im Auftrag durch nicht-öffentliche Stellen nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden könnten und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst, wobei der überwiegende Teil der Speicherung des gesamten Datenbestandes beim Auftraggeber verbleiben muss. § 80 Abs.5 SGB X bewirkt eine erhebliche Einschränkung für die Beauftragung einer nicht-öffentlichen Stelle und ist als Ausnahmeregelung grundsätzlich eng auszulegen (vgl. Rombach, in: Hauck/Noftz, a.a.O., § 80 SGB X Rdnr.34; Von Wulffen, a.a.O., § 80 SGB X Rdnr.13).
1. Die INPOL-A-Datei "Visa-KzB-Verfahren" ist rechtswidrig.
2. Die Art der Daten, die in polizeilichen Informationssystemen des BKA gespeichert werden dürfen, sind durch Rechtsverordnung zu regeln.
3. Die Verarbeitung von Visa-Daten erfolgt nach allgemeinen datenschutzrechtlichen Grundsätzen, dies mit der Folge, dass eine Meldung vorliegen und eine Vorabkontrolle durch den behördlichen Datenschutzbeauftragten erfolgen muss.
4. Sind Daten rechtswidrig gespeichert, so sind sie zu löschen.
5. Rechtswidrig gespeicherte Daten unterliegen einem Verwertungsverbot.
VG Wiesbaden, Urteil vom 04.04.2013, 6 K 910/12.WI.A
Auszug aus dem Urteil:
Die INPOL-A-Datei "Visa-KzB-Verfahren" ist rechtswidrig, soweit diese Datei ihre Rechtsgrundlage in § 7 BKA-Gesetz hat.
Soweit sich das BKA als Rechtsgrundlage auf § 7 BKA-Gesetz (Führung kriminalpolizeilicher personenbezogener Sammlung der Zentralstelle) beruft, kann das BKA zur Erfüllung seiner Aufgaben nach § 2 Abs.1 bis 3 BKA-Gesetz zur Unterstützung der Verhütung und Verfolgung von Straftaten der Strafverfolgungsbehörden und als Zentralstelle ein polizeiliches Informationssystem nach Maßgabe des Gesetzes führen. Insoweit regelt § 7 Abs.1 BKA-Gesetz, dass das BKA personenbezogene Daten speichern, verändern und nutzen kann, soweit dies zur Erfüllung seiner jeweiligen Aufgaben als Zentralstelle erforderlich ist.
Soweit das BKA Dateien als Zentralstelle im polizeilichen Informationssystem nach § 11 BKA-Gesetz führt, sind gemäß § 7 Abs.6 BKA-Gesetz durch Rechtsverordnung des Bundesministeriums des Innern, welche mit Zustimmung des Bundesrates zu ergehen hat, dass Nähere über die Art der Daten, die gespeichert werden dürfen, zu regeln (vgl. VG Gießen, Urteil vom 29.04.2002, Az. 10 E 141/01, OVG Lüneburg, Urteil vom 16.12.2008, Az. 11 LC 229/08).
Auskunftsansprüche aus § 34 BDSG müssen hinreichend bestimmt im Sinne des § 253 Abs.2 Nr.2 ZPO sein. Dazu reicht die Formulierung eines Auskunftsbegehrens "aus vorgelagerten Dateien und Datenbanken" nicht.
Auskunftsansprüche aus § 34 BDSG können nicht "ins Blaue" geltend gemacht werden. Es muss vielmehr ausreichend dargelegt werden, dass tatsächlich personenbezogene Daten gespeichert sein könnten.
Können personenbezogene Daten durch Einblick in den eigenen E-Mail-Account selbst ermittelt werden, ist das Verlangen einer entsprechenden Auskunft in Textform rechtsmißbräuchlich.
Hessisches Landesarbeitsgericht, Urteil vom 29.01.2013
Auszug aus dem Urteil:
Gemäß § 34 BDSG ist der Arbeitgeber auf ein entsprechendes Ersuchen des betroffenen Arbeitnehmers hin verpflichtet, kostenlos (§ 34 Abs.8 S.1 BDSG) und grundsätzlich schriftlich bzw. in Textform (§ 34 Abs.6 BDSG) mitzuteilen, welche personenbezogenen Daten gespeichert sind, zu welchem Zweck die Speicherung erfolgt und an welche Personen und Stellen seine Daten weitergegeben werden. Auch gesperrte Daten unterliegen der Auskunftspflicht. Werden Angaben über die Herkunft der Daten gespeichert, sind diese im Hinblick auf externe Stellen oder Personen mitzuteilen (Gola/Schomerus, BDSG, 11.Auflage 2012, § 34 Rn.10), sowie auch die Empfänger der Daten. Empfänger der Daten sind hier Dritte, interne Stellen, denen die Daten zur Verfügung gestellt werden und auch Datenverarbeiter im Auftrag. Das Auskunftsrecht gehört zu den unabdingbaren Rechten des Betroffenen (§ 6 Abs.1 BDSG). Adressat des Auskunftsverlangens ist der Arbeitgeber (ErfKom- Franzen, 13.Auflage 2013, § 34 BDSG Rn.1). In bestimmten Fällen (§ 34 Abs.7 BDSG) besteht ein Auskunftsverweigerungsrecht.
Weitere Beiträge …
- Kfz-Versicherung: Speicherung der Daten von Verkehrsunfällen im Hinweis- und Informationssystem der Versicherungswirtschaft [HIS]
- Mitteilungspflicht einer Auskunftei gegenüber Dritten bei Streit über bei ihr gespeicherte personenbezogene Daten - einstweiliger Rechtsschutz
- Betriebsübergang - kein Übergang des Amts des Datenschutzbeauftragten
- Unbegründete Verfassungsbeschwerde: Übermittlung eines kriminalprognostischen Gutachtens von Strafvollstreckungskammer an Justizvollzugsanstalt verletzt nicht das Grundrecht auf informationelle Selbstbestimmung (Art. 33 VvB)