Ein Autohändler, der spätere Kläger, stellte bei der später beklagten GmbH eine Mitgliederanfrage. Der Geschäftsführer der GmbH beauftragte daraufhin eine Detektei mit der Recherche nach möglichen Straftaten des Autohändlers. Dabei handelte der Geschäftsführer im Namen der beklagten Gesellschaft. Die Recherchen ergaben sodann, dass der Kläger in der Vergangenheit in strafbare Handlungen verwickelt gewesen ist. Die Gesellschafter der Beklagten erfuhren davon und lehnten daraufhin den Aufnahmeantrag des Klägers ab.

Bespitzelung durch Detektiv als DSGVO-Verstoß?

Der betroffene Händler nahm diesen Sachverhalt zum Anlass, vor Gericht Schadensersatz zu fordern. Die Grundlage für diesen Anspruch sollte die DSGVO sein. Das zuerst angerufene Gericht – das Landgericht Dresden – sprach dem Autohaus einen Schadensersatz in Höhe von 5.000 Euro zu. Der Autohändler ging daraufhin in Berufung vor dem Oberlandesgericht Dresden. Dieses schloss sich jedoch in seinem Urteil vom 30. November 2021 (Az.: 4 U 1158/21) der Auffassung des Landgerichts an.

Das Oberlandesgericht Dresden stellte zunächst fest, dass die Bespitzelung des Klägers durch den vom Geschäftsführer beauftragten Detektiv einen Datenschutzverstoß darstellte. Insbesondere liege ein Verstoß gegen Artikel 10 der DSGVO vor, wonach die Verarbeitung personenbezogener Daten über Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht zulässig ist. Der Geschäftsführer hätte die Detektei also von vornherein nicht beauftragen dürfen.

Geschäftsführer haftet persönlich für DSGVO-Verstoß

Das Oberlandesgericht ging in seinem Urteil zudem davon aus, dass nicht nur die beklagte Gesellschaft, sondern auch ihr Geschäftsführer persönlich für den Datenschutzverstoß hafte. Denn der Geschäftsführer ist als datenschutzrechtlich Verantwortlicher einzustufen. Nach Art. 4 Nr. 7 DSGVO ist eine solche Eigenschaft zu bejahen, wenn eine Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden kann oder tut, was auf den GmbH-Geschäftsführer zutrifft.

Das Gericht ging auch davon aus, dass die Bespitzelung des Klägers einen ersatzfähigen Schaden im Sinne der DSGVO darstellt. Denn der Geschäftsführer hatte sensible Informationen über das strafbare Verhalten des Klägers unbefugt an die Gesellschafter der GmbH weitergegeben. Der Kläger musste auch damit rechnen, dass seine Daten in einem weiteren Umfeld bekannt geworden waren. Zudem habe der Datenschutzverstoß dazu geführt, dass dem Kläger die Mitgliedschaft in der Gesellschaft verwehrt worden sei.

Folgen für Datenschutz-Praxis

Sollten sich andere Gerichte der hier vertretenen Auffassung anschließen, hätte dies weitreichende Folgen für die Datenschutz-Praxis. Geschäftsführer müssten dann damit rechnen, für Datenschutzverstöße persönlich haftbar gemacht zu werden – ein durchaus hohes Haftungsrisiko, dessen Umgehung gegebenenfalls umfangreiche Compliance-Maßnahmen erforderlich macht.

Gemäß Artikel 82 der Datenschutz-Grundverordnung hat jede Person, die infolge eines Verstoßes gegen die Verordnung […] einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Ersatz des jeweiligen Schadens.

Die Person, die einen solchen Schadensersatzanspruch geltend machen möchte, muss (1) das Vorliegen eines Verstoßes gegen die DSGVO, (2) eines materiellen oder immateriellen Schadens und (3) die Kausalität des Verstoßes gegen die DSGVO für den Schadenseintritt nachweisen. Das für einen Schadensersatzanspruch erforderliche Verschulden der verantwortlichen Partei wird dagegen vermutet; die verantwortliche Partei kann sich nur dann von der Haftung befreien, wenn sie nachweist, dass sie für den Umstand, der den Schaden verursacht hat, in keiner Weise verantwortlich ist.  

Auslegungs- und Entscheidungspraxis bisher uneinheitlich 

Trotz dieser scheinbar einfachen Voraussetzungen sind sich die Gerichte in ihrer Auslegung und Anwendung des datenschutzrechtlichen Schadensersatzanspruchs bisher uneins. Insbesondere die Höhe des Anspruchs variiert, wie die folgenden Urteile beispielhaft illustrieren.

• So hat das Arbeitsgericht Dresden in seinem Urteil vom 26. August 2020 (Az.: 13 Ca 1046/20) anerkannt, dass die Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an die Ausländerbehörde zu einem immateriellen Schaden von 1.500 Euro führt. In einem anderen Fall, in dem ein Psychotherapeut Gesundheitsdaten an einen Rechtsanwalt zur Verwendung in einem gerichtlichen Umgangsverfahren weitergegeben hatte, sprach das AG Pforzheim (Urteil vom 25. März 2020, Az. 13 C 160/19) dem Kläger einen Schadensersatz von 4.000 Euro zu.

• Das Arbeitsgericht Neumünster (Urteil vom 11. August 2020, Az.: 1 Ca 247 c/20) stellte fest, dass eine dreimonatige Verspätung bei der Auskunftserteilung über die vom Arbeitgeber verarbeiteten personenbezogenen Daten einen Verstoß gegen Art. 15 Abs. 1 DSGVO darstellt, der zugleich einen Schadensersatz von 1.500 Euro begründet. In einem anderen Fall, in dem eine Arbeitnehmerin ebenfalls von ihrem Arbeitgeber Auskunft über die gespeicherten Daten verlangte, sprach das Gericht der Klägerin ganze 500 Euro weniger zu (LAG Hamm, Urteil vom 11. Mai 2021, A.z.: 6 Sa 1260/20).

• Das Amtsgericht Pfaffenhofen entschied in seinem Urteil vom 9. September 2021 (Az.: 2 C 133/21), dass bereits das Versenden einer Werbe-E-Mail ohne Einwilligung des Empfängers gegen die Datenschutzgrundverordnung verstößt. Der Schaden liege dabei bereits in einem durch die rechtswidrige Datenverarbeitung ausgelösten “unangenehmen Gefühl”, welches nach Ansicht des Gerichts einen immateriellen Schaden in Höhe von 300 Euro begründet. Die gleiche Argumentation wandte das LG München I in seinem Urteil vom 20. Januar 2022 (Az.: 3 O 17493/20) an, welches in der Übermittlung der IP-Adresse des Klägers an Google einen Verstoß gegen die DSGVO sah, dem Kläger daraufhin aber nur einen Schadensersatzanspruch in Höhe von 100 Euro zusprach.

Es bleibt abzuwarten, wie sich die Rechtsprechung in Zukunft entwickeln wird. Spannend dürfte auch die mit der EU-Verbandsklagerichtlinie geschaffene Möglichkeit sein, Schadensersatz für viele Verbraucher einzuklagen. Dadurch wird es auch in Deutschland bald möglich sein, eine DSGVO-Sammelklage zu erheben.

Ausgangspunkt eines Rechtsstreits vor dem Landgericht Bonn (Urteil vom 01. Juli 2021, A.Z.: 15 O 372/20) war ein Verkehrsunfall. Die Unfallgeschädigte beauftragte für die notwendige Schadensregulierung einen Rechtsanwalt. Dieser wurde zunächst auch für die Klägerin tätig. Nach einiger Zeit beendete diese jedoch das Mandatsverhältnis. Im Anschluss verlangte sie vollständige Datenauskunft einschließlich einer Kopie der einschlägigen Handakte von ihrem Anwalt. 

Beauftragter Anwalt kam Auskunftsverlangen nicht nach 

Der Anwalt erteilte der Klägerin in der Folge jedoch keine entsprechenden Auskünfte. Die Klägerin machte daraufhin ihren Auskunftsanspruch nach Art. 15 DSGVO geltend. Denn der Anspruch auf Datenauskunft sei nicht erfüllt worden, insbesondere weil Angaben zum Mandatskonto und zur Kommunikation per E-Mail und WhatsApp fehlten.  

Darüber hinaus machte die Klägerin Schadensersatz geltend, der nicht unter 1.000,00 Euro liegen sollte. Schließlich sei der Beklagte seit neun Monaten mit der Erteilung von Auskünften in Verzug. Darüber hinaus sei sein Verhalten als mutwillig zu bewerten. 

LG Bonn betont weiten Umfang des Auskunftsanspruchs 

Nach Auffassung des Landgerichts Bonn ist der von der Klägerin geltend gemachte Auskunftsanspruch grundsätzlich weit gefasst: Er umfasst auch die Informationen aus dem Mandatskonto der Klägerin bei dem Beklagten und die über die Klägerin gespeicherte elektronische Kommunikation.  

Da der beklagte Rechtsanwalt diese Auskünfte nicht erteilt hat, ist der Anspruch auch nicht erfüllt. Nach Auffassung des Gerichts hat die Klägerin daher einen Anspruch gegen den Beklagten auf Datenauskunft gemäß Artikel 15 in Verbindung mit Artikel 12 DSGVO und auf Überlassung einer Kopie der Daten. 

Kein pauschaler Schadensersatz bei unvollständiger Auskunft  

Anders fällt das Urteil aber in Bezug auf das Schadensersatzverlangen der Klägerin aus: Alleiniges Warten auf die gewünschte Datenauskunft stellt nach Ansicht des Gerichts noch keinen Schaden dar. Auch die Geltendmachung eines immateriellen Schadens setzt eine Beeinträchtigung voraus, die zumindest „spürbar“ sein muss. 

Auf Basis dieser Grundsätze folgert das LG, dass kein Anspruch auf Schadenersatz für eine lediglich verspätete oder unvollständige Auskunftserteilung nach Art. 82, 15 DSGVO besteht. Mit diesem Urteil knüpft das Gericht an ein grundsätzlich weites Verständnis des Auskunftsrechts an und verdeutlicht aber zugleich die Relevanz eines konkret entstandenen Schadens des Auskunftsberechtigten. 

Nach einer Reihe von Verfahren vor dem Bundesgerichtshof und dem Europäischen Gerichtshof in den letzten Jahren ist deutlich geworden, dass Deutschland die europäische E-Privacy-Richtlinie nie richtig umgesetzt hat. Diese besagt, dass die aktive Zustimmung des Nutzers zum Setzen von Cookies unbedingt eingeholt werden muss. In Deutschland ist dieser Grundsatz nie gesetzlich festgeschrieben worden, obwohl die EU-Richtlinie schon mehr als 10 Jahre alt ist. 

TTDSG: Prinzip der Einwilligung in das Setzen von Cookies

Die Politik hat sich dieses Themas angenommen: Im Mai 2021 verabschiedete der Bundestag mit den Stimmen von CDU/CSU und SPD den Entwurf für ein „Telekomunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG). Die Zustimmung des Bundesrates folgte ebenfalls. 

Das neue TTDSG regelt u.a. das bereits erwähnte Prinzip der Einwilligung in das Setzen von Cookies zum Zweck der Datenspeicherung. In § 25 ist geschrieben, dass Dritte nur dann Informationen auf dem Endgerät des Endnutzers speichern oder auf gespeicherte Informationen zugreifen dürfen, wenn der Endnutzer darüber informiert wurde und eingewilligt hat.  

Ebenfalls enthalten: Ausnahmen zur Einwilligung in das Setzen von Cookies. 

Die Anforderung gilt jedoch nicht ausnahmslos. Das Gesetz sieht auch Ausnahmen von der Einwilligung in das Setzen von Cookies vor. Die Einwilligung des jeweiligen Nutzers ist demnach nicht erforderlich, wenn die Speicherung von oder der Zugriff auf die Informationen nur erfolgt, um eine Nachricht zu übermitteln.  

Des Weiteren ist die Einwilligung des Nutzers nicht erforderlich, wenn die Speicherung oder der Zugriff auf die Informationen zwingend erforderlich ist, um vom Endnutzer angeforderte Telemedien bereitzustellen. Diese Ausnahme betrifft also das Setzen von technisch notwendigen Cookies.

Das TTDSG sieht also nur enge Ausnahmen vom Einwilligungsprinzip vor. Insbesondere die Verwendung von Cookies zur Verfolgung des Nutzerverhaltens bleibt einwilligungspflichtig. Befürchtungen, dass Ausnahmen zu Lasten des Nutzers gehen, dürften sich also als unbegründet erweisen.

Einwilligungsdienste für Cookies bald möglich? 

„Wir wollen ein Ende der Cookie-Banner“, hieß es Anfang des Jahres seitens der Union. Der ursprüngliche Entwurf sah deshalb vor, dass die Einwilligung auch durch entsprechende Einstellungen des Endnutzers in seinem Browser oder durch eine externe Anwendung erteilt werden kann.

Die verabschiedete Fassung des TTDSG sieht diese Möglichkeit nun nicht mehr vor. Stattdessen wird eine Regelung eingeführt, die einen rechtlichen Rahmen schafft, der zur Anerkennung von Zustimmungsdiensten führt. Die Nutzung von Einwilligungsdiensten könnte also schon bald möglich sein. 

TTDSG soll bis Ende des Jahres in Kraft treten 

Das Gesetz soll am 1. Dezember 2021 in Kraft treten. Zwar regelt das Gesetz vieles, was bereits seit langem Praxis ist. Dennoch bringt es einige Neuerungen, insbesondere die Ausnahmeregelungen und den Rechtsrahmen für die Anerkennung von Zustimmungsdiensten. Es bleibt abzuwarten, wie sich diese Neuerungen in der Praxis, insbesondere für Webseitenbetreiber, auswirken werden. Jedenfalls sollte der Anlass genutzt werden die eigene Nutzung von Cookies mit den gesetzlichen Anforderungen abzugleichen und nötigenfalls anzupassen.

WhatsApp ist aus der modernen Welt der Kommunikation nicht mehr wegzudenken. Jeden Tag werden weltweit rund 60 Milliarden Nachrichten über die App verschickt. Da liegt es nahe, die Anwendung nicht nur für private Zwecke zu nutzen. Doch auch Vermieter sollten dabei auf der Hut sein und WhatsApp nicht leichtfertig zur Kommunikation mit ihren Mietern nutzen. Denn es ist möglich, dass sich auch kleinere Vermieter an die Datenschutz-Grundverordnung (DSGVO) halten müssen. Dies hat das AG Wiesbaden entschieden. 

Nutzung von WhatsApp nur bei Einhaltung der DSGVO?

Ausgangspunkt für den Rechtsstreit war eine Räumungsklage. Im Prozess forderte ein Mieter seinen Vermieter dazu auf, ihm eine umfassende Auskunft über seine personenbezogenen Daten zu erteilen (Art. 15 DSGVO). Der Vermieter erwiderte, dass er kein institutioneller Vermieter sei. Er speichere deshalb auch keine Daten ab, allenfalls würde er die unterschriebenen Verträge in einem Aktenordner abheften. Die DSGVO sei deshalb nicht auf ihn anzuwenden. 

Der Mieter war aber der Ansicht, dass eine Datenverarbeitung durch den Mieter vorlag. Denn seine Telefonnummer und sein Name wurden auf dem Mobiltelefon des Ehepartners des Vermieters zum Zwecke der Kommunikation per WhatsApp gespeichert. Darin liege eine automatisierte Verarbeitung personenbezogener Daten im Sinne der DSGVO. Außerdem stelle die physische Sammlung der Mietverträge ein Dateisystem dar. 

AG Wiesbaden: Auskunftsrecht nach DSGVO wegen WhatsApp-Nutzung

Das AG Wiesbaden hat dem Mieter in seinem Teilurteil vom 26. April 2021 (Az.: 93 C 2338/20) nun recht gegeben. In seiner Begründung führt es aus, dass zu personenbezogenen Daten im Sinne der DSGVO insbesondere Namen, Anschriften und Telefonnummern gehören. Weiter sei unter einer Verarbeitung unter anderem das Erheben, Erfassen, Speichern, Verwenden und Offenlegen durch Übermittlung der Daten zu verstehen.  

Durch die Speicherung des Namens und der Telefonnummer des Mieters in einem Mobiltelefon sei der Tatbestand der Datenverarbeitung deshalb unzweifelhaft erfüllt. Denn diese Informationen werden automatisch an WhatsApp übertragen. Das Speichern in der Kontaktliste reicht deshalb schon aus. 

Darüber hinaus liegt in der physischen Sammlung der Mietverträge, die u.a. auch den Mietvertrag des Beklagten enthielt, ein Dateisystem im Sinne der DSGVO. Denn dabei handelt es sich um eine strukturierte Sammlung personenbezogener Daten, für die nach Rechtsprechung des EuGH schon eine Sammlung von Handzetteln ausreicht. 

Auswege aus der Datenschutzfalle WhatsApp?

Die Speicherug von Kontaktdaten kann schnell zu einem Datenschutzproblem werden; gerade im Zusammenhang mit WhatsApp. Auch beim Umgang mit Daten von Mietern ist also Vorsicht geboten. Denn der Anwendungsbereich der DSGVO ist schnell eröffnet, wie dieser Fall zeigt. Dann gilt grundsätzlich: Die Verarbeitung der personenbezogenen Daten und Nutzung von WhatsApp darf oft nur mit einer Einwilligung erfolgen. Ansonsten liegt ein Datenschutzverstoß vor, der empfindliche Konsequenzen haben kann. 

Einen sicheren Ausweg bietet nur die Einwilligung des Mieters in die Datenverarbeitung oder der Verzicht auf jegliche Kommunikation via WhatsApp. Einige Vermieter sind auch dazu übergegangen, WhatsApp nur „passiv“ als Kommunikationskanal bereitzuhalten. In diesem Fall muss der Mieter die erste Nachricht schicken. Das könnte als eine Einwilligung verstanden werden. Datenschutzbehörden haben aber auch diesbezüglich Bedenken. Ohne ausdrückliche Einwilligung bleibt ein Restrisiko also immer bestehen. 

Der Verbraucherzentrale Bundesverband hatte einen Webseitenbetreiber u.a. auf Unterlassung verklagt. Streitpunkt war ein Gewinnspiel, dass auf der Internetseite angeboten wurde. Um an dem Gewinnspiel teilnehmen zu können, mussten Nutzer mindestens eines von zwei Häkchenfelder ankreuzen und damit in bestimmte Werbung bzw. Cookies einwilligen.

Damit musste der Bundesgerichthof gleich zwei Fragen klären: Einmal zur Einwilligung in Telefonwerbung und zum anderen in die Einwilligung hinsichtlich einer Cookie-Speicherung (Urteil vom 28. Mai 2020, Az.: I ZR 7/16 – Cookie-Einwilligung II).

Einwilligung in Telefonwerbung muss Werbeunternehmen genau erkennen lassen

Das erste Feld war nicht vorausgewählt. Wer dieses Feld ankreuzte sollte seine Einwilligung dazu geben, von bis zu 57 Sponsoren und Kooperationspartnern Werbung zu erhalten, z.B. per Telefon.

Der BGH beanstandete hinsichtlich der Einwilligung in Telefonwerbung per AGB, dass eine solche AGB-Einwilligung in Werbung die konkreten Produkte und Werbeunternehmen erkennen lassen müsse.

Keine Cookie-Einwilligung mit voreingestelltem Ankreuzkästchen möglich

Das zweite Feld zu dem Gewinnspiel beinhaltete folgenden Text:

Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.

wobei das Wort „hier“ zu weiteren Informationen über die Funktionsweise des Cookies führte. Dieses Feld war bereits mit einem Haken versehen und hätte vom Nutzer daher aktiv abgewählt werden müssen. Es war nicht möglich an dem Gewinnspiel teilzunehmen, wenn beide Häkchen abgewählt waren.

In diesem vorausgewählten Cookie-Hinweis, sah der BGH keine wirksame Einwilligung. Er folgt damit der Entscheidung des EuGH vom 1. Oktober 2019, Az.: C-673/17. 

Datenschutzgrundverordnung hat die Rechtslage nicht verändert

Das Gewinnspiel und die anschließende Abmahnung haben noch zu Zeiten der Datenschutzrichtlinie, und damit vor Wirksamwerden der Datenschutzgrundverordnung (DSGVO), stattgefunden. Eine Rechtsänderung habe dadurch aber nicht stattgefunden. Die Einwilligung sei sowohl nach der alten Richtlinie, als auch nach der DSGVO nicht wirksam möglich, wenn das Häkchen vorausgewählt ist.

Verbraucherverbände zur Verfolgung von Datenschutzrecht befugt?

Ob Verbraucherverbände aber auch Datenschutzverstöße abmahnen und vor Zivilgerichten einklagen können, ist im vorliegenden Fall nicht zu entscheiden gewesen. Denn vorliegend sah der BGH in dem vorausgewählten Häkchen eine unzulässige Allgemeine Geschäftsbedingung (AGB) für die Gewinnspielteilnahme.

Die Frage, ob die DSGVO abschließend regelt, wer Datenschutzverstöße wie verfolgen darf, stellt sich aber in vielen anderen Fällen. Darum hat der BGH diese Frage mit Entscheidung vom selben Tag in einem anderen Verfahren dem EuGH zur Beantwortung vorgelegt (Beschluss vom 28. Mai 2020, Az.: I ZR 186/17).

Hinweis: Dieser Beitrag wurde zuletzt am 02.11.2020 aktualisiert.

Viele Unternehmen, Hochschulen und andere Bildungseinrichtungen sind gerade fieberhaft auf der Suche nach digitalen Alternativen zu ihren Angeboten und für die Bewältigung der internen Prozesse. Besonders Teambesprechungen in Form von Videokonferenzsystemen sind dabei gefragt. Optionen für Softwarelösungen gibt es dabei grundsätzlich viele, aber aus verschiedensten Gründen rückte in der letzten Zeit insbesondere eine Software für Videokonferenzen in den öffentlichen Fokus: Zoom. In diesem Scheinwerferlicht kamen sogleich aber auch eine Vielzahl von Problemen zum Vorschein, z.B. diversen Sicherheitslücken in der Software oder Werbung mit einer Ende-zu-Ende-Verschlüsselung, die gar nicht existierte.

Mangelnder Datenschutz bei Zoom? Hamburger Datenschutzbeauftragter warnt

Auch beim Thema Datenschutz scheint bei Zoom und Co. weiterhin erheblicher Verbesserungs- und Klärungsbedarf zu bestehen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, hat beispielsweise in einem Interivew mit dem Handelsblatt Ende März 2020 vor der Zoom-Software gewarnt. Die Warnung blieb dabei aber leider oberflächlich. So war lediglich die Rede von einem “nicht unerheblichen Datenabfluss”, der nicht näher konkretisiert wurde. Gerade für Unternehmen, die in Videokonferenzen auch über Geschäftsinterna und -geheimnisse sprechen, wären Datenabflüsse aber ein möglicher Super-GAU.

Zum Thema des Datenschutzes bei Videokonferenzsystemen haben sich auch weitere Datenschutzbeauftragte verschiedener Bundesländer geäußert. Dies erfolgte jedoch meist nur am Rande in allgemeineren FAQ zum Thema Corona oder bestand in eher generellen Ratschlägen zu den datenschutzrechtlichen Standards, die bei der Auswahl solcher Videokonfrenzsysteme beachtet werden müssen. Wirklich hilfreich, gerade für Unternehmen, die schnellstmöglich eine Lösung brauchen, war dies oftmals nicht.

Datenschutzbeauftragte sehen hohe Hürden für Videokonferenzsysteme

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat sich der Frage hingegen Anfang Juli 2020 sehr ausführlich gewidmet. Er hat dafür eine ausführliche Einschätzung von vielen verschiedenen Anbietern von Videokonferenz-Diensten veröffentlicht. Überprüft wurden dabei neben Platzhirschen wie Zoom, Skype, Cisco WebEx und Microsoft Teams auch unbekanntere Anbieter, wie z.B. Wire, Jitsi und Blizz.

Die Datenschutzkonferenz (DSK) hat Ende 2020 nun nachgelegt und ebenfalls eine “Orientierungshilfe Videokonferenzsysteme” veröffentlicht. In dieser werden sowohl rechtliche Aspekte, als auch technische und organisatorische Maßnahmen beleuchtet, die bei einer datenschutzfreundlichen Nutzung zu beachten sind.

Oft wird Zoom einfach genutzt – der Datenschutz soll später folgen

Weil z.B. an Hochschulen der Semesterstart im Frühjahr unmittelbar bevorstand und weitere Suchen zeitlich nicht möglich waren, hatten viele mit der Nutzung schlicht begonnen. Der Datenschutz wurde dabei scheinbar teils zunächst nur in einer Art “Mindestmaß” beachtet. So heißt es z.B. bei der Technischen Hochschule Köln seit inzwischen mehr als 6 Monaten:

Einfacher Datenschutz ist abgeklärt über eine Rahmenvereinbarung zwischen Zoom und der TH Köln. Verschiedene Funktionen wurden auf Grund des Datenschutzes deaktiviert. Ein umfassender Datenschutz für den dauerhaften Einsatz nach Covid-19 ist noch in Prüfung.

https://www.th-koeln.de/hochschule/zoom_73756.php

Was ein “einfacher Datenschutz” im Vergleich zu einem “umfassenden Datenschutz” sein soll, bleibt dabei unklar. Auch ist öffentlich nicht sichtbar, wie lange die Prüfung für den umfassenden Datenschutz noch dauern soll.

Auch an der Universität Bonn setzt man seit dem Sommersemester 2020 auf Zoom: Sowohl für interne Meetings als auch Lehrveranstaltungen. Die Empfehlungen des Datenschutzbeauftragten der Universität umfassen dabei z.B. folgende Punkte:

3. Vertrauliche Informationen über nicht an der Konferenz beteiligte Dritte, insbesondere personenbezogene Daten, dürfen nicht in der Videokonferenz genannt werden. Dies gilt auch bei der Nutzung der integrierten Chat-Funktion. Beim Einsatz von Zoom sollten Sie daher allen Teilnehmern solche Informationen vorab z.B. per dienstlicher Mail oder über SCIEBO zur Verfügung stellen. Die Teilnehmer können dann in der Konferenz auf diese Informationen nur als „Fall A“ oder „Person B“ referenzieren. 

https://www.ecampus-services.uni-bonn.de/de/nachrichten/zoom

Solche Hinweise sind offensichtlich ein Notanker: Denn an einer praktischen Umsetzungsmöglichkeit in der Breite ist oftmals nicht ernsthaft zu denken.

Die beiden rheinischen Bildungseinrichtungen sind aber bei weitem nicht allein mit der Entscheidung, Zoom aktiv zu nutzen. Eine mögliche Verletzung von Datenschutzrecht wird dabei bei vielen Unternehmen und Bildungseinrichtungen scheinbar (bewusst oder unbewusst) in Kauf genommen.

Die Nutzung von Software wie Zoom muss dem Datenschutz entsprechen – sonst drohen Bußgelder

Diese Nutzung ohne abschließende Rechtssicherheit birgt aber zugleich erhebliche Risiken. Denn seit Einführung der DSGVO haben die Datenschutzbehörden ein sehr scharfes Schwert gegen Datenschutzverstößen in der Hand: Bußgelder gegen diejenigen, die das Datenschutzrecht verletzt haben. Denn auch wenn die Nutzung von Zoom und anderen Softwarelösungen unverzichtbar erscheinen mag, entbindet dies jedenfalls nicht von einer umfassenden datenschutzrechtlichen Prüfung und der Einhaltung eben dieses Datenschutzrechts.

Zugleich ist auch den Behörden bewusst, dass viele Unternehmer in Zeiten der Corona-Krise “mit dem Rücken zur Wand” stehen und schnelle Lösungen für akute Probleme her müssen. So hat beispielsweise auch der Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zur Rücksichtnahme der Behörden aufgerufen:

Ist das vorhandene Datenschutzmanagement defizitär, bedarf es der Nachsteuerung. Beim Einfordern dieser Nachsteuerung ist eine gewisse Nachsicht angezeigt. Die Ansetzung und Einhaltung von Fristen kann großzügig gehandhabt werden. Die Verhängung von Geldbußen nach Art. 83 DSGVO ist vor dem Hintergrund der wirtschaftlichen Situation vieler Verantwortlicher zurückhaltend auszuüben. […] Datenschutzrecht gilt, aber seine Anwendung in Zeiten der Pandemie ist mit Augenmaß und Fingerspitzengefühl zu gewährleisten.

https://verfassungsblog.de/gesundheitsnot-kennt-datenschutzgebot/

Auch wenn dies für Unternehmer zunächst gut klingen mag: Insbesondere, wenn die Corona-Krise abflacht und ein normaleres Arbeiten wieder möglich wird, müssen adhoc eingeführte Systeme kritisch überprüft und nötigenfalls schnellstmöglich wieder abgeschafft werden. Wenn dies bereits möglich ist, gibt es für einen Aufschub dieser Prüfung aber auch keinen Grund.

Datenschutzbehörden gefragt: Konkrete Stellungnahmen zum Datenschutz bei Zoom und Co. notwendig

Für die dringend notwendige Rechtssicherheit bei betroffenen Unternehmen sind nun mehr denn je die europäischen Datenschutzbehörden gefragt. Diese sollten schnellstmöglich konkrete Aussagen zur Nutzbarkeit von Zoom weiteren Videokonfrenzsystemen aus Sicht des Datenschutzes machen. Nur so können noch während der Corona-Krise Lösungen entwickelt werden, die möglicherweise auch eine dauerhafte Nutzung einmal etablierter Systeme über die Zeit der Corona-Pandemie hinaus ermöglichen. Damit die Arbeit, z.B. für Implementation und Schulungen, langfristig nutzbar bleibt.

Dies gilt selbstverständlich nicht nur für Videokonferenzsysteme wie Zoom und andere, sondern für alle Anpassungen von Prozessen während der Krise, die mit dem Datenschutzrecht in Konflikt stehen könnten. Bis dahin liegt das Risiko einer datenschutzrechtlichen Risikoabschätzung bei jedem Einzelnen. Desto gründlicher und zeitnäher diese erfolgt, desto eher kann man im worst case auch auf eine nachsichtigere Behandlung durch die Datenschutzbehörden hoffen. Damit aus notwendig schnellen unternehmerischen Entscheidungen nicht direkt die nächste Krise folgt.

Unsere Schwerpunktreihe: Die Wirtschaft in der Coronakrise

Unsere Blogbeiträge zum Themenbereich “Coronavirus – die wichtigsten rechtlichen Auswirkungen” informieren Sie über die fortlaufenden Entwicklungen, was Sie nun besonders beachten müssen und welche Maßnahmen Ihnen helfen könnten.

Bisher haben wir die Themen der Kurzarbeit aus Sicht von Arbeitgebern, der Fürsorge- und Schutzpflichten von Arbeitgebern, den Auswirkungen von Corona für arbeitende Eltern sowie zur Arbeit im Home-Office durch jeweils eigene Beiträg vertieft. Darüber hinaus finden Sie bei uns bereits Beiträge zum Datenschutz für Arbeitgeber in der Coronakrise, zum Datenschutz bei Zoom und Co., Informationen zur Aussetzung der Insolvenzantragspflicht, zur Möglichkeit von Fristverlängerungen, einen Überblick über mögliche Entschädigungszahlungen, was bei Veranstaltungsabsagen zu beachten ist und wie die neue Gutscheinlösung bei Veranstaltungsabsagen aussehen soll. Weitere Beiträge widmen sich den steuerlichen Hilfsmaßnahmen, dem Kündigungsschutz für Mieter sowie den besonderen Hilfsangeboten für Künstler und andere Kreative. Auch über die (geplante) Anti-Corona-App informieren wir in einem eigenen Beitrag.

Abgerundet werden unsere Beiträge durch eine Übersicht auch bezüglich der wichtigsten Anlaufstellen und Informationen zu finanziellen Hilfsangeboten und Maßnahmen, Hinweise zur Antragstellung auf die Corona-Soforthilfen sowie dazu, dass man sich bei allzu leichtfertiger Antragstellung wegen Betrugs strafbar machen könnte.

Der EuGH hat mit seiner Entscheidung vom 29. Juli 2019 (Rs. C‑40/17) erneut Stellung zum Datenschutzrecht genommen und die Argumentation von Verbraucherschützern bestätigt. Den Richtern zu Folge ist der Betreiber einer Webseite sowohl für das Erheben als auch die Weiterleitung der personenbezogenen Daten von Besuchern seiner Webseite grundsätzlich verantwortlich. Wird ein Like-Button bereitstellt, kann eine Mitverantwortlichkeit mit Facebook & Co. bestehen. 

Verbraucherschützer sahen mehrere Datenschutzverstöße 

Geklagt hatte der Verbraucherzentrale NRW e.V. gegen die Fashion ID GmbH & Co. KG. Letztere hatte auf Ihrer Webseite den “Like”- bzw. “Gefällt-mir”-Button von Facebook eingebaut. Durch dieses Social Plugin wurden personenbezogene Daten von allen Besuchern der Webseite automatisch an Facebook weitergeleitet. Das geschah unabhängig davon, ob sie den “Like”-Button benutzt haben oder selbst überhaupt Mitglied bei Facebook waren.  

Dies wollten die Verbraucherschützer verhindern. Sie sahen in der Einbindung des Social-Plugins gleich mehrere Verstöße gegen das Datenschutzrecht. So habe Fashion ID nicht ausreichend über die Datenerhebung und -weitergabe informiert und keine Einwilligung der Nutzer hierfür gehabt. 

Gemeinsame Verantwortlichkeit (nur) bis zur Weiterleitung 

Die Richter betonen in ihrer Entscheidung einerseits, dass die Betreiber einer Webseite gemeinsam mit dem Anbieter eines Social Plugins für die Erhebung und die Weitergabe der personenbezogenen Daten an den Anbieter verantwortlich sind. Den Webseitenbetreiber trifft aber andererseits dann keine Verantwortlichkeit mehr, wenn die Daten ausschließlich beim Anbieter des Social Plugins liegen und dort verarbeitet werden. 

Grund für die vorherige gemeinsame Verantwortlichkeit ist zum einen, dass sowohl der Webseitenbetreiber als auch der Anbieter des Social Plugins eigene wirtschaftliche Vorteile aus diesen beiden Datenverarbeitungen haben und verfolgen. Zum anderen entscheide auch der Webseitenbetreiber über Mittel und Zweck der Datenverarbeitung, da er es selbst in der Hand hat, welche Social Plugins er wie genau auf seiner Webseite einbindet. 

In der Praxis dürfte die “Gemeinsame Verantwortlichkeit” auf kleinere wie größere Probleme stoßen. Art. 26 DSGVO schreibt u.a. vor, dass die 

tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. 

Berechtigtes Interesse muss bei allen Verantwortlichen vorliegen 

Darüber hinaus hat der EuGH auch zu den möglichen Rechtsgrundlagen für die Datenverarbeitung Stellung genommen. Konkret geht es um die Möglichkeit der vorherigen Einwilligung der Nutzer sowie die Berufung auf ein berechtigtes Interesse. 

Sofern sich Webseitenbetreiber auf ein berechtigtes Interesse als Rechtsgrundlage stützen, betonen die Luxemburger Richter, dass dieses für alle (Mit)Verantwortlichen geprüft und vorliegen muss. Es reicht gerade nicht aus, dass sich nur einer der Verantwortlichen auf ein berechtigtes Interesse stützen kann. 

Die Prüfung eines “berechtigten Interesses” im Sinne der DSGVO erfolgt grundlegend in drei Stufen:  

1. Berechtigtes Interesse: Besteht ein Interesse, das von dem für die Verarbeitung Verantwortlichen und/oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden?
2. Erforderlichkeit: Ist die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich? 
3. Interesse der betroffenen Person: Besteht (k)ein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person? 

Pflicht zur Einholung der Einwilligung und Information der Nutzer trifft auch den Webseitenbetreiber 

Kann ein berechtigtes Interesse nicht dargelegt werden, wäre die Einwilligung in die Nutzung denkbar. Die Einwilligung der Nutzer muss dabei die Verarbeitungsvorgänge umfassen, für die der Webseitenbetreiber auch selbst (mit)verantwortlich ist. Konkret also die Datenerhebung und -weiterleitung an Facebook. 

Für die Datenverarbeitungen, die bei Facebook selbst geschehen, ist der Webseitenbetreiber nicht mehr verantwortlich und muss daher auch keine Einwilligung für diese einholen. Dies ist allein Aufgabe von Facebook. 

Jedoch trifft den Betreiber einer Webseite neben der Pflicht die Einwilligung selbst einzuholen auch die Pflicht, die Nutzer über die Datenverarbeitungen entsprechend zu informieren. Auch dies ist wiederum auf die Datenverarbeitungsvorgänge beschränkt, bei denen der Betreiber selbst Mittel und Zwecke bestimmen kann. 

EuGH bleibt seiner Linie treu: Datenschutzrechtliche Verantwortlichkeit von Websitebetreibern ist ernst zu nehmen 

Die Luxemburger Richter haben die Vorlagefragen damit offensichtlich zum Anlass genommen, ihre bisherige Rechtsprechung zum Datenschutzrecht fortzuschreiben. 

Erst letztes Jahr hatte der EuGH geurteilt, dass Betreiber einer sogenannten Facebook-Fanpage ebenfalls zusammen mit Facebook eine datenschutzrechtliche gemeinsame Verantwortlichkeit trifft. Das aktuelle Urteil ist daher als konsequente Fortführung dieser früheren Entscheidung zu verstehen und betont nochmal die datenschutzrechtliche Verantwortlichkeit von Webseitenbetreibern. 

Damit folgt der EuGH auch den Empfehlungen des Generalanwalts Michal Bobek vom 19. Dezember 2018. Dieser hatte ebenfalls eine gemeinsame Verantwortlichkeit von Webseitenbetreibern und Social-Media-Diensteanbietern bejaht. 

Entscheidung auf die DSGVO und andere Dienste übertragbar  

Die Entscheidung des EuGH erging noch auf Grundlage der alten Datenschutzrichtlinie (RL 95/46/EG). Die Entscheidung dürfte aber ohne größere Probleme auch auf die aktuelle Rechtslage übertragen werden können. Die Begriffe des “Verantwortlichen”, die Möglichkeiten zur rechtmäßigen Verarbeitung personenbezogener Daten sowie die grundlegenden Informationspflichten wurden aber auch in der neuen Datenschutz-Grundverordnung (DSGVO) in vielen Punkten übernommen.  

Darüber hinaus ist die Entscheidung des EuGH grundsätzlich auch auf andere Anbieter von Social Media Plugins übertragbar, z.B. Instagram, Twitter, YouTube, Pinterest, Xing oder LinkedIn. Aber nicht nur das: Die Erhebung und Weiterleitung von personenbezogenen Daten von Nutzern einer Webseite an Dritte findet klassischerweise auch bei vielen Analyse-Diensten, wie z.B. Google Analytics, statt.  Auch in diesen Fällen kann daher eine gemeinsame Verantwortlichkeit zu prüfen sein. 

Im Grunde dürfte auch bei Cookies eine ähnliche Entscheidung zu erwarten sein. Der Generalanwalt hat hierzu bereits ausgeführt. 

Auf der 97. Konferenz am 3. April 2019 haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die Haftung von Unternehmen im Datenschutzrecht hervorgehoben. Unternehmen haften (weiterhin) im Rahmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt.

Unionsrechtlicher / Funktionaler Unternehmensbegriff

Die DSK stützt sich auf den funktionalen Unternehmensbegriff, der auch im Rahmen der DSGVO gelte. Erwägungsgrund 150 der DSGVO verweist dementsprechend auf die AEUV:

Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.

Unternehmen sind nach diesem Verständnis

jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.

(so auch st. Rspr., wohl seit EuGH, Urteil vom 23. 4. 1991 – C-41/90)

Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. 

Unternehmenssanktionsecht soll modernisiert werden

Die DSK begrüßt die im Koalitionsvertrag vorgesehenen Modernisierungsmaßnahmen des Unternehmenssanktionsrechts. Diese seien geboten und entsprächen dann auch dem europäischen Kartellrecht sowie dem etablierten internationalen Standard.

Zum Abschluss fordert die DSK den Bundesgesetzgeber auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie 2016/680 die bisherigen Bedenken zu berücksichtigen.

BUNDESVERWALTUNGSGERICHT

 IM NAMEN DES VOLKES

 URTEIL

 BVerwG 6 C 2.18

 OVG 12 B 7.16

 Verkündet am 27. März 2019

 In der Verwaltungsstreitsache

 hat der 6. Senat des Bundesverwaltungsgerichts auf die mündliche Verhandlung vom 27. März 2019

 durch den Vorsitzenden Richter am Bundesverwaltungsgericht Prof. Dr. Kraft und die Richter am Bundesverwaltungsgericht Dr. Heitz, Dr. Möller, Hahn und Dr. Tegethoff

 für Recht erkannt:

 Tenor: 

 Die Revision der Klägerin gegen das Urteil des Oberverwaltungsgerichts Berlin-Brandenburg vom 6. April 2017 wird zurückgewiesen.

 Die Klägerin trägt die Kosten des Revisionsverfahrens.

 Gründe: 

 I.

 Die Klägerin, eine Zahnärztin, wendet sich gegen eine datenschutzrechtliche Anordnung zur Videoüberwachung in ihrer Praxis. Ihre Praxis befindet sich in einem Gebäude, in dem mehrere Arztpraxen und eine Tagesklinik für Psychiatrie untergebracht sind. Die Eingangstür der Praxis ist während der Öffnungszeiten nicht verschlossen; der Empfangstresen ist nicht besetzt. Oberhalb des Tresens befindet sich eine Digitalkamera, die laufende Bilder in Echtzeit herstellt. Die Bilder können auf Monitoren angesehen werden, die die Klägerin in den Behandlungszimmern aufgestellt hat (sog. Kamera-Monitor-System). Die Klägerin hat angegeben, dass sie die Möglichkeit, die Bildaufnahmen zu speichern, nicht nutzt. Durch die Kamera werden der Bereich hinter dem Empfangstresen sowie diejenigen Bereiche überwacht, in denen sich Besucher nach dem ungehinderten Betreten der Praxis aufhalten (Bereich vor dem Empfangstresen, Flur zwischen Eingangstür und Tresen und ein Teil des vom Flur abgehenden Wartebereichs). An der Außenseite der Eingangstür und am Tresen hat die Klägerin jeweils ein Schild mit der Aufschrift „Videogesichert“ angebracht.

 Die beklagte Landesdatenschutzbeauftragte gab der Klägerin im Jahr 2012 neben anderen Anordnungen auf, die Kamera so auszurichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden. In Bezug auf diese Anordnung ist die Anfechtungsklage, die die Klägerin nach Zurückweisung ihres Widerspruchs im Januar 2013 erhoben hat, in den Vorinstanzen erfolglos geblieben.

 In dem Berufungsurteil hat das Oberverwaltungsgericht im Wesentlichen ausgeführt: Der von der Beklagten beanstandete Einsatz des Kamera-MonitorSystems stelle eine unzulässige Videoüberwachung dar. Eine solche Maßnahme sei Privatpersonen nur gestattet, wenn die Betroffenen zustimmten oder die gesetzlichen Zulässigkeitsvoraussetzungen vorlägen. Dies sei hier nicht der Fall. Die Hinweisschilder berechtigten nicht zu der Annahme, die Besucher der Praxis seien damit einverstanden, mit Hilfe einer Digitalkamera beobachtet zu werden. Aus dem Vorbringen der Klägerin ergebe sich nicht, dass die Videoüberwachung erforderlich sei, um schutzwürdige Interessen zu wahren. Es gebe keine Anzeichen dafür, dass die Praxis einem erhöhten Risiko ausgesetzt sei, Ort von Straftaten zu werden. Die Klägerin könne Diebstähle verhindern, indem sie dafür Sorge trage, dass sich keine Wertgegenstände im Bereich des Empfangstresens befänden und die Patienten ihre Wertsachen in das Behandlungszimmer mitnähmen. Die Klägerin habe den Vortrag, ohne die Videoüberwachung entstünden erheblich höhere Kosten für den Betrieb der Praxis, in keiner Weise konkretisiert. Es sei ihr zumutbar, den Empfangstresen mit einer bereits in der Praxis tätigen Mitarbeiterin zu besetzen. Diese könne sich auch um „eingespritzte“ Patienten im Wartebereich kümmern. Nach alledem überwögen die Interessen der Besucher, nicht durch eine Digitalkamera beobachtet zu werden, die gegenläufigen Interessen der Klägerin.

 Mit der vom Oberverwaltungsgericht zugelassenen Revision verfolgt die Klägerin ihr Rechtsschutzziel weiter, die Aufhebung der Anordnung der Beklagten über die Ausrichtung der Digitalkamera zu erreichen, um die Videoüberwachung nach ihren Vorstellungen fortführen zu können. Sie hält daran fest, dass die Maßnahme aus Sicherheits- und Kostengründen erforderlich sei. Demgegenüber fielen die Beeinträchtigungen für die Besucher nicht übermäßig ins Gewicht.

 Die Beklagte verteidigt das Berufungsurteil. Auch könne die Klägerin die Überwachung vermeiden, indem sie die Eingangstür ihrer Praxis verschlossen halte und bei einem Klingelzeichen öffne.

 II.

 Die zulässige Revision der Klägerin ist nicht begründet. Das angefochtene Urteil verstößt nicht gegen Bundesrecht (§ 137 Abs. 1 Nr. 1 VwGO). Das Oberverwaltungsgericht hat zutreffend angenommen, dass die selbständig anfechtbare Anordnung der Beklagten, den für Besucher zugänglichen Bereich der Zahnarztpraxis durch eine entsprechende Ausrichtung der Digitalkamera von der Beobachtung durch ein Kamera-Monitor-System auszunehmen, von § 38 Abs. 5 Satz 1 i.V.m. § 6b Abs. 1 des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), hier anwendbar in der Fassung von Art. 1 Nr. 15 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) – BDSG a.F. -, gedeckt ist.

 Maßgeblicher Zeitpunkt für die Beurteilung der Rechtmäßigkeit dieser Anordnung ist der Zeitpunkt des Erlasses des Widerspruchsbescheids; damit hängt die Entscheidung über die Revision von dem damals geltenden Datenschutzrecht ab (1.). Die Beobachtung des Besuchern zugänglichen Bereichs der Zahnarztpraxis stellt eine Videoüberwachung im Sinne des § 6b Abs. 1 BDSG a.F. dar (2.). Nach dieser Bestimmung ist die Beobachtung unzulässig, weil sie nicht erforderlich ist, um berechtigte Interessen der Klägerin zu wahren. Daran anknüpfend hat die Beklagte der Klägerin ermessensfehlerfrei eine andere Ausrichtung der Kamera aufgegeben (3.). Aufgrund des Beurteilungszeitpunkts ist die streitbefangene Anordnung nicht an der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) (ABl. L 119 S. 1) – DSGVO – zu messen, die während des Revisionsverfahrens Geltung erlangt hat (4.). Ungeachtet dessen wäre die Videoüberwachung auch nach dieser Verordnung unzulässig (5.).

 1.a) Die Beklagte hat die streitbefangene Anordnung auf § 38 Abs. 5 Satz 1 BDSG a.F. gestützt; dieses Gesetz war bis zum 24. Mai 2018 in Kraft (Art. 8 Abs. 1 Satz 2 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie 2016/680 vom 30. Juni 2017 ). Nach § 38 Abs. 5 Satz 1 BDSG a.F. konnte die Aufsichtsbehörde zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten anordnen. Die Bestimmung setzte die Aufsichtsbehörde in den Stand, jeden rechtswidrigen Umgang mit personenbezogenen Daten zu beenden. Zu diesem Zweck ermächtigte sie die Aufsichtsbehörde, gegen jede Verhaltensweise und jeden Zustand vorzugehen, bei denen die Vorkehrungen des Datenschutzrechts zum Schutz personenbezogener Daten nicht beachtet wurden. Nach der Begriffsbestimmung des § 3 Abs. 1 BDSG a.F. waren dies Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Aus den Angaben musste sich deren Identität jedenfalls feststellen lassen.

 Nach § 38 Abs. 5 Satz 1 BDSG a.F. hatte die Aufsichtsbehörde nach pflichtgemäßem Ermessen darüber zu entscheiden, welche Maßnahmen sie ergriff, um den datenschutzrechtlich gebotenen Schutz personenbezogener Daten sicherzustellen. Hierfür konnte sie derjenigen Person oder Stelle, die nach § 3 Abs. 7 BDSG a. F. für eine rechtswidrige Erhebung, Verarbeitung oder Nutzung solcher Daten verantwortlich war, Handlungs- oder Unterlassungspflichten auferlegen. Das Vorgehen hatte sich daran zu orientieren, auf welche Weise den Belangen des Datenschutzes künftig am besten Rechnung getragen werden konnte (BT-Drs. 16/12011 S. 44). Auch musste die Aufsichtsbehörde bei der Bestimmung des konkreten Inhalts einer Maßnahme das Gebot der Verhältnismäßigkeit wahren. So konnte sie davon absehen, dem Verantwortlichen eine konkrete Handlungspflicht zur Beseitigung des Rechtsverstoßes aufzuerlegen, wenn es erfolgversprechend erschien, ihm die Art der Beseitigung zu überlassen (Plath, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 38 BDSG Rn. 62; von Lewinski, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 38 BDSG Rn. 75).

 b) Ungeachtet des Umstands, dass sich Handlungsgebote wie die der Klägerin aufgegebene Änderung der Ausrichtung der Digitalkamera ständig aktualisieren, weil damit die Verpflichtung einhergeht, den neu geschaffenen Zustand auf Dauer beizubehalten, sind derartige Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a. F. nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung galt. Dies folgt daraus, dass diese Bestimmung der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen eröffnet. Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt (vgl. zu einer solchen Ausnahme: BVerwG, Urteil vom 15. November 2007 – 1 C 45.06 – BVerwGE 130, 20 Rn. 14 ff.). Für eine Ermessensentscheidung ist kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten Handlungsalternativen wählen kann. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen (BVerwG, Urteile vom 20. Mai 1980 – 1 C 82.76 – BVerwGE 60, 133 <136> und vom 6. April 1989 – 1 C 70.86 – BVerwGE 81, 356 <358>; BFH, Urteil vom 26. März 1991 – VII R 66/90 – BFHE 164, 7 <9>).

 Nach dem Regelungsgehalt des § 38 Abs. 5 Satz 1 BDSG a.F. ist kein anderer Beurteilungszeitpunkt geboten. Vielmehr hat sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ob ein Verstoß vorliegt, ist wiederum nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung gilt.

 Danach kommt es für die Rechtmäßigkeit der streitbefangenen Anordnung auf die Rechtslage an, die zum Zeitpunkt der Widerspruchsentscheidung der Beklagten im Januar 2013 galt. Denn die Beklagte hatte als Widerspruchsbehörde nach § 68 Abs. 1 Satz 1 VwGO die Recht- und Zweckmäßigkeit ihrer Anordnung nachzuprüfen, d.h. nochmals eine eigene Ermessensentscheidung zu treffen. Dies bedeutet, dass danach eingetretene Rechtsänderungen für die Entscheidung über die Anfechtungsklage und damit über die Revision ohne Bedeutung sind. Die Klägerin hat einen Anspruch auf Aufhebung der Anordnung nach § 113 Abs. 1 Satz 1 VwGO, wenn diese bei Erlass des Widerspruchsbescheids rechtswidrig war.

 2. Die Beobachtung des Besuchern zugänglichen Bereichs der Zahnarztpraxis durch ein Kamera-Monitor-System ist an den Zulässigkeitsvoraussetzungen des § 6b Abs. 1 BDSG a.F. zu messen, weil es sich um eine Videoüberwachung handelt. Die Bestimmung traf zwei abschließende Regelungen: Zum einen definierte sie den Begriff der Videoüberwachung. Hierfür müssen öffentlich zugängliche Räume mit optisch-elektronischen Einrichtungen beobachtet werden. Zum anderen legte § 6b Abs. 1 BDSG a.F. die Anforderungen für deren Zulässigkeit fest. Videoüberwachungen, die nicht durch § 6b Abs. 1 BDSG a.F. gedeckt sind, waren verboten.

 a) Nach der gesetzlichen Begriffsbestimmung kann eine Videoüberwachung nur in öffentlich zugänglichen Räumen stattfinden. Der Berechtigte, d.h. der Inhaber des Hausrechts, muss den Raum für eine unbestimmte Anzahl von Personen geöffnet haben. Die Widmung kann sich darauf beschränken, den Aufenthalt in dem Raum nur zu einem bestimmten Zweck zu gestatten. Entscheidend ist, dass der Berechtigte ihm unbekannten Personen die Möglichkeit eröffnet hat, den Raum ungehindert, insbesondere ohne vorherige Einlasskontrolle, zu betreten und sich darin aufzuhalten. Dies ist typischerweise bei Geschäftsräumen mit Publikumsverkehr der Fall (Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 12 ff.; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 9 f.). Danach ist jedenfalls der Besucherbereich der Praxis der Klägerin, d.h. der Bereich vor dem Empfangstresen, der Flur zwischen Eingangstür und Empfangstresen und der vom Flur abgehende Wartebereich, öffentlich zugänglich. Die Klägerin hat sich dafür entschieden, dass jede Person diesen Bereich ihrer Praxis während der faktischen Besuchszeiten ungehindert durch Öffnen der unverschlossenen Eingangstür betreten kann.

 b) Eine Videoüberwachung setzt weiterhin voraus, dass der öffentlich zugängliche Raum mit einer optisch-elektronischen Einrichtung beobachtet wird. Der Verantwortliche muss technische Mittel einsetzen, die dazu bestimmt sind, bewegte Bilder herzustellen und wahrnehmbar zu machen (Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 17; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 12). Ein Kamera-MonitorSystem ist eine derartige Einrichtung. Unter Beobachtung im Sinne von § 6b Abs. 1 BDSG a.F. ist jede gewollte, auf einige Zeit angelegte Wahrnehmung äußerer Vorgänge zu verstehen. Die durch die Kamera aufgenommenen Bilder müssen nicht aufgezeichnet werden. Es reicht aus, dass die Bewegtbilder in Echtzeit auf einem Bildschirm betrachtet werden können. Allerdings muss der Verantwortliche durch die Beobachtung personenbezogene Daten erheben, d.h. sich beschaffen (vgl. § 3 Abs. 1 und 3 BDSG a.F.). Hierfür müssen auf den Bildern Personen so zu erkennen sein, dass sie identifiziert werden können. Dies ist bei den Bildaufnahmen, die das Kamera-Monitor-System der Klägerin liefert, der Fall, weil die Gesichter der beobachteten Personen erkennbar sind.

 Dass eine Beobachtung keine Aufzeichnung der Bildaufnahmen voraussetzt, folgt zum einen daraus, dass die Zulässigkeit der Verarbeitung oder Nutzung der durch die Beobachtung gewonnenen Daten in § 6b Abs. 3 BDSG a.F. gesondert geregelt ist. Zum anderen belegen der Regelungsgehalt des § 6b Abs. 1 BDSG a.F., der die Zulässigkeit der Beobachtung letztlich von dem Ergebnis einer Abwägung der Interessen des Verantwortlichen und der Betroffenen abhängig macht, aber auch die Entstehungsgeschichte der Vorschrift, dass der Bundesgesetzgeber den Einsatz einer optisch-elektronischen Einrichtung auch ohne Aufzeichnung des Bildmaterials als Beeinträchtigung des informationellen Selbstbestimmungsrechts der Betroffenen angesehen hat (BT-Drs. 14/4329 S. 38; BR-Drs. 461/00 S. 92).

 Damit hat der Bundesgesetzgeber den potenziell verhaltenslenkenden Wirkungen der Videotechnik für die Betroffenen Rechnung getragen (vgl. BVerfG, Kammerbeschluss vom 23. Februar 2007 – 1 BvR 2368/06 – BVerfGK 10, 330 <336>). Diese Wirkungen treten erfahrungsgemäß auch ohne Aufzeichnung der Bilder ein, zumal die Betroffenen häufig nicht wissen, ob aufgezeichnet wird (Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 19; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 13). Auch der Gerichtshof der Europäischen Union (EuGH) betont, dass die Richtlinie 95/46/EG, deren Vorgaben der Bundesgesetzgeber in dem bis 24. Mai 2018 geltenden Bundesdatenschutzgesetz umgesetzt hat, wegen des spezifischen Eingriffsgehalts der Erhebung und Verarbeitung personenbezogener Daten so auszulegen ist, dass zugunsten der Betroffenen ein hohes Schutzniveau gewährleistet wird (EuGH, Urteile vom 11. Dezember 2014 – C-212/13 [ECLI:EU:C:2014: 2428] – Rn. 27 f. und vom 5. Juni 2018 – C-210/16 [ECLI:EU:C:2018:388] – Rn. 26).

 c) Die Zulässigkeitsvoraussetzungen des § 6b Abs. 1 BDSG a.F. gelten für Videoüberwachungen durch nicht-öffentliche Stellen im Sinne von § 2 Abs. 4 BDSG a.F., d.h. durch Privatpersonen wie die Klägerin, auch dann, wenn diese keine Datenverarbeitungsanlage im Sinne von § 1 Abs. 2 Nr. 3 BDSG a.F. einsetzen. Nach dieser Bestimmung war ein solcher Einsatz Voraussetzung dafür, dass das Bundesdatenschutzgesetz für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch diese Stellen galt. Das Oberverwaltungsgericht hat jedoch zutreffend angenommen, dass diese Einschränkung für Videoüberwachungen wegen der speziellen Regelung des § 6b Abs. 1 BDSG a.F. keine Anwendung fand. Aus Normzweck und Systematik dieser Bestimmung folgt, dass der Bundesgesetzgeber in Bezug auf Videoüberwachungen ein generelles Schutzbedürfnis der Betroffenen anerkannt hat. Um diesen Schutz auch gegenüber privaten Verantwortlichen zu gewährleisten, hat er den Begriff der Videoüberwachung in § 6b Abs. 1 BDSG a.F. abschließend definiert und dadurch die Anwendbarkeit des § 1 Abs. 2 Nr. 3 BDSG a.F. ausgeschlossen (Bericht und Beschlussempfehlung, BT-Drs. 14/5793 S. 61 f.). Dementsprechend betrifft die Zulässigkeitsvoraussetzung der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke nach § 6b Abs. 1 Nr. 3 BDSG a.F. Videoüberwachungen zu privaten Zwecken (vgl. unter 3.b)). Videoüberwachungen im öffentlichen Interesse, nämlich zur Aufgabenerfüllung öffentlicher Stellen im Sinne von § 2 Abs. 1 bis 3 BDSG a.F. (Nr. 1) werden bereits durch § 6b Abs. 1 Nr. 1 BDSG a.F. erfasst.

 Ungeachtet dessen handelt es sich bei einem Kamera-Monitor-System um eine Datenverarbeitungsanlage im Sinne von § 1 Abs. 2 Nr. 3 BDSG a.F. Darunter fallen technische Vorrichtungen aller Art, wenn sie Daten in einem automatisierten Prozess erfassen oder nutzen. Dies ist insbesondere beim Einsatz digitaler Kameratechnik für Beobachtungen regelmäßig der Fall (BT-Drs. 14/5793 S. 62).

 d) Nach alledem sind Videoüberwachungen auch dann nicht von der Geltung des § 6b BDSG a.F. ausgenommen, wenn sie ausschließlich für persönliche oder familiäre Tätigkeiten im Sinne von § 1 Abs. 2 Nr. 3 BDSG a.F. erfolgen. Im Übrigen geht eine solche Beobachtung in aller Regel über die persönliche oder familiäre Sphäre des Verantwortlichen hinaus, weil sie begriffsnotwendig in öffentlich zugänglichen Räumen stattfindet.

 3. Die Videoüberwachung des Besuchern zugänglichen Bereichs der Zahnarztpraxis der Klägerin stellt einen Verstoß gegen Vorschriften des Datenschutzes bei der Erhebung personenbezogener Daten im Sinne von § 38 Abs. 5 Satz 1 BDSG a.F. dar, weil die Betroffenen nicht eingewilligt haben und die Zulässigkeitsvoraussetzungen des § 6b Abs. 1 BDSG a.F. nicht vorliegen (§ 4 Abs. 1 BDSG a.F.).

 a) Eine rechtswirksame Einwilligung muss auf einer freien Entscheidung beruhen. Die Betroffenen müssen auf den vorgesehenen Zweck der Maßnahme hingewiesen werden. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 1 bis 3 BDSG a.F.).

 Danach liegt auf der Hand, dass auch deutlich sichtbar angebrachte Hinweise auf die Beobachtung nicht zu dem Schluss berechtigen, dass Personen durch das Betreten des überwachten Raums rechtswirksam ihr Einverständnis mit der Beobachtung zum Ausdruck bringen (vgl. BVerfG, Kammerbeschluss vom 23. Februar 2007 – 1 BvR 2368/06 – BVerfGK 10, 330 <336>; BVerwG, Urteil vom 25. Januar 2012 – 6 C 9.11 – BVerwGE 141, 329 Rn. 25). Die Hinweisschilder mit der Aufschrift „Videogesichert“ an der Außenseite der Eingangstür und am Tresen der Praxis der Klägerin sind für die Zulässigkeit der Videoüberwachung ohne Bedeutung.

 b) Nach § 6b Abs. 1 BDSG a.F. sind Privatpersonen wie die Klägerin unter zwei Voraussetzungen berechtigt, in ihren Räumen, zu denen sie öffentlichen Zugang gewähren, Videoüberwachungen durchzuführen: Zunächst muss die Maßnahme zur Wahrnehmung des Hausrechts (Nr. 2) oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke (Nr. 3) erforderlich sein. Ist dies der Fall, müssen die berechtigten Interessen des Verantwortlichen die Interessen der Betroffenen, von der Beobachtung verschont zu werden, überwiegen. Eine nicht erforderliche Videoüberwachung ist immer unzulässig. Eine Interessenabwägung erübrigt sich, weil der Verantwortliche keine Gründe in die Waagschale legen kann, die zu einer Einschränkung des informationellen Selbstbestimmungsrechts der Betroffenen berechtigen.

 Die Rechtfertigungsgründe „Hausrecht“ und „berechtigte Interessen“ lassen sich nicht strikt abgrenzen, sondern überschneiden sich inhaltlich. Das Hausrecht ist das Mittel, das den an einem Raum Berechtigten in die Lage versetzt, darüber zu bestimmen, ob und zu welchem Zweck andere Personen den Raum betreten und sich darin aufhalten dürfen (OVG Münster, Urteil vom 8. Mai 2009 – 16 A 3375/07 – juris Rn. 44; OVG Saarlouis, Urteil vom 14. Dezember 2017 – 2 A 662/17 – CR 2018, 505 <507>; Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 28; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 16; Scholz, in: Simitis, BDSG, 8. Aufl. 2014, § 6b Rn. 73). Der Berechtigte kann zwar aufgrund seines Hausrechts missliebiges Verhalten zum Anlass nehmen, Besuchern „die Tür zu weisen“. Allerdings zeigt die Regelungssystematik des § 6b Abs. 1 BDSG a.F., dass er sich nicht beliebig auf das Hausrecht berufen kann, um eine Videoüberwachung durchzuführen. Vielmehr muss er sich auf ein berechtigtes Interesse, d.h. auf einen „guten Grund“ stützen können. Dies kann jedes subjektive Interesse sein, wenn es grundsätzlich schutzwürdig und objektiv begründbar ist (vgl. BTDrs. 14/5793 S. 61).

 Es ist Sache des Berechtigten darzulegen, aus welchen Gründen er eine Videoüberwachung seiner Räume für angezeigt hält. Anhand seiner Angaben ist zu beurteilen, ob und in welchem Umfang die Maßnahme erforderlich im Sinne von § 6 Abs. 1 BDSG a.F. ist. Behörden und Gerichte müssen im Rahmen ihrer Pflicht zur Sachaufklärung darauf hinwirken, dass der Berechtigte die angeführten Gründe erläutert oder ergänzt. Nach dem allgemein anerkannten Begriffsverständnis ist Erforderlichkeit anzunehmen, wenn ein Grund, etwa eine Gefährdungslage, hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist, und ihm nicht ebenso gut durch eine andere gleich wirksame, aber schonendere Maßnahme Rechnung getragen werden kann. Schonender als die Videoüberwachung sind insbesondere Maßnahmen, die das informationelle Selbstbestimmungsrecht der Besucher der öffentlich zugänglichen Räume nicht berühren.

 Nach diesem Maßstab hat das Oberverwaltungsgericht auf der Grundlage des von ihm nach § 137 Abs. 2 VwGO bindend festgestellten Sachverhalts zu Recht angenommen, dass die von der Klägerin angeführten Gründe die Erforderlichkeit der Videoüberwachung des Besucherbereichs ihrer Zahnarztpraxis während der Öffnungszeiten nicht begründen können. Daher kann dahingestellt bleiben, ob sich die Videoüberwachung auch deshalb nicht als erforderlich erweist, weil die Klägerin darauf verwiesen werden kann, die Eingangstür ihrer Praxis verschlossen zu halten, d.h. die Widmung des Besucherbereichs als öffentlich zugänglich aufzuheben. Die Angaben der Klägerin sind wie folgt zu würdigen:

 Die Klägerin hat geltend gemacht, der ungehinderte Zugang zu ihrer Praxis könne ausgenutzt werden, um dort unerkannt Straftaten zu begehen. Die Gesichtspunkte der Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von § 6b Abs. 1 Nr. 3 BDSG a.F. dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. OVG Saarlouis, Urteil vom 14. Dezember 2017 – 2 A 662/17 – CR 2018, 505 <507>; Scholz, in: Simitis, BDSG, 8. Aufl. 2014, § 6b Rn. 78 und 79).

 Das Oberverwaltungsgericht hat keine Tatsachen festgestellt, die die Annahme stützen, in Bezug auf die Zahnarztpraxis der Klägerin bestehe eine erhöhte, über das allgemeine Lebensrisiko hinausgehende Gefährdungslage. Danach gibt es keine tatsächlichen Anhaltspunkte, die darauf hindeuten, die Praxis könne während der Öffnungszeiten Tatort für Einbrüche, Überfälle und Gewalttaten werden. Das Gebäude, in dem sich die Praxis befindet, liegt nicht in einem Gebiet mit erhöhtem Gefahrenpotenzial. Die Klägerin hat nicht vorgetragen, in ihrer eigenen oder einer anderen in demselben Gebäude untergebrachten Arztpraxis habe sich eine Straftat ereignet. Die Patienten der Tagesklinik für Psychiatrie haben sich unauffällig verhalten.

 Der Umstand, dass in der Praxis Betäubungsmittel und Wertsachen wie etwa Zahngold aufbewahrt werden, ist für sich genommen nicht geeignet, eine besondere Gefährdung in Bezug auf Diebstähle während der Öffnungszeiten zu begründen. Diebstähle von Betäubungsmitteln und Wertsachen, die sich nach dem Vortrag der Klägerin im Bereich des unbesetzten Empfangstresens befinden, kann die Klägerin dadurch verhindern, dass sie für deren Aufbewahrung in verschließbaren Schränken oder Behältern, vorzugsweise in anderen Bereichen der Praxis, sorgt. Der Gefahr, dass Wertsachen von Patienten während der Behandlung aus dem Wartebereich gestohlen werden, kann die Klägerin dadurch begegnen, dass sie die Patienten dazu anhält, ihre Wertsachen in das Behandlungszimmer mitzunehmen. Auch kann sie Behälter zur Verfügung stellen, die nach Einwurf einer Münze oder eines Chips verschlossen werden können.

 Schließlich muss der Wartebereich der Praxis nicht überwacht werden, um dort sitzenden Patienten, insbesondere nach der Behandlung, rasch zu Hilfe kommen zu können. So kann diesen Patienten beispielsweise ein Druckknopf in die Hand gegeben werden, den sie im Notfall betätigen können, um Hilfe herbeizurufen. Dies ist auch deshalb vorzugswürdig, weil die Videoüberwachung nach den Feststellungen des Oberverwaltungsgerichts nur einen Teil des Wartebereichs erfasst.

 Auch hat die Klägerin nicht ansatzweise dargelegt, dass sie auf die Videoüberwachung angewiesen ist, um die Betriebskosten ihrer Praxis zu senken. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse im Sinne von § 6b Abs. 1 Nr. 3 BDSG a.F. Dies gilt für das Interesse, Personalkosten zu vermeiden, die durch die Einstellung von Beschäftigten anfallen. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (AG Berlin-Mitte, Urteil vom 18. Dezember 2003 – 16 C 427/02 – NJW-RR 2004, 531 <532 f.>; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 21).

 Diese Erwägungen müssen im vorliegenden Fall nicht näher konkretisiert werden. Die Klägerin kann sich bereits deshalb nicht auf eine Kostenersparnis durch die Videoüberwachung berufen, weil sie insoweit bis zum Abschluss des Berufungsverfahrens keine nachprüfbaren Angaben gemacht hat. Nach den Feststellungen des Oberverwaltungsgerichts hat sich ihr Vortrag auf die pauschale Behauptung beschränkt, ohne die Videoüberwachung würden ihr „um ein Vielfaches höhere Kosten“ entstehen. Es fehlt jeder Hinweis darauf, welche Kosten in welcher Größenordnung sie durch die Videoüberwachung einsparen kann. Die Klägerin hätte sich zumindest dazu äußern müssen, welche Mehrkosten anfielen, wenn sie den Empfangstresen mit einer bereits angestellten Mitarbeiterin besetzen und dort mit Verwaltungsarbeiten (Abrechnungen u.a.) beschäftigen würde.

 c) Die Behörde hat das Ermessen rechtsfehlerfrei ausgeübt, das ihr durch § 38 Abs. 5 Satz 1 BDSG a.F. eröffnet war, um eine konkrete Maßnahme zur Beseitigung des Verstoßes gegen § 6b Abs. 1 BDSG a.F. festzulegen (§ 114 Satz 1 VwGO). Die der Klägerin auferlegte Handlungspflicht war geeignet und erforderlich, um die Beobachtung der Praxisräume zu beenden, soweit es sich um eine nach § 6b Abs. 1 BDSG a.F. unzulässige Videoüberwachung handelt.

 Die Anordnung, die im Bereich des Empfangstresens angebrachte Digitalkamera auf eine bestimmte Weise auszurichten, betrifft nur denjenigen Bereich der Praxis, der während der Öffnungszeiten öffentlich zugänglich ist. Damit wurde die Klägerin zugleich rechtsverbindlich verpflichtet, den durch die geänderte Ausrichtung geschaffenen Zustand auf Dauer beizubehalten, d.h. die Kamera nicht erneut in die frühere Position zu bringen. Dieses Vorgehen der Beklagten war verhältnismäßig, insbesondere geeignet und erforderlich. Die Verpflichtung zu einer dauerhaft anderen Ausrichtung der Kamera war das mildere Mittel gegenüber einem Abdecken oder Abbau der Kamera. Dadurch wurde es der Klägerin ermöglicht, die Kamera weiterhin zur rechtlich zulässigen Beobachtung des Bereichs hinter dem Empfangstresen einzusetzen. Für eine Unverhältnismäßigkeit im engeren Sinne (Unzumutbarkeit) ergeben sich aus dem Vortrag der Klägerin keine Anhaltspunkte (vgl. zum Gesichtspunkt des Kostenaufwands unter 3.b)).

 4. Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung unmittelbar in allen Mitgliedstaaten der Europäischen Union (Art. 99 Abs. 2 DSGVO; Art. 288 Abs. 2 Satz 1 und 2 des Vertrags über die Arbeitsweise der Europäischen Union in der am 1. Dezember 2009 in Kraft getretenen Fassung <ABl. 2007 C 306 S. 1; 2009 C 290 S. 1> – AEUV). Zugleich trat das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66) außer Kraft (Art. 8 Abs. 1 Satz 2 DSAnpUG-EU).

 Diese Rechtsänderung hat keine Auswirkungen auf die Beurteilung der Rechtmäßigkeit der streitbefangenen Anordnung und damit auf die Entscheidung über die Revision. Die Anwendung der Datenschutz-Grundverordnung folgt nicht aus dem nationalen Datenschutzrecht, weil dieses den Erlass des Widerspruchsbescheids der Beklagten im Januar 2013 als maßgeblichen Beurteilungszeitpunkt bestimmt (vgl. unter 1.b)). Auch der Datenschutz-Grundverordnung lässt sich nicht entnehmen, dass ihre Regelungen einen Geltungsanspruch für Sachverhalte erheben, die die Behörden der Mitgliedstaaten vor dem 25. Mai 2018 auf der Grundlage des damals geltenden nationalen Rechts verbindlich geregelt haben. Die Verordnung stellt ein neuartiges Regelwerk dar, das darauf abzielt, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen. Dies bringt es mit sich, dass die Regelungskonzepte der Verordnung grundlegend von den bisherigen datenschutzrechtlichen Bestimmungen der Mitgliedstaaten abweichen können. Dies sei anhand eines Vergleichs der Bestimmungen des Art. 58 Abs. 1 und 2 DSGVO über die Untersuchungs- und Abhilfebefugnisse der Aufsichtsbehörden mit dem abgelösten nationalen Datenschutzrecht dargestellt:

 Das nationale Recht stellte es weitgehend in das Ermessen der Aufsichtsbehörden, welche Aufklärungsmaßnahmen sie trafen, um datenschutzrechtliche Verstöße festzustellen. Demgegenüber enthält Art. 58 Abs. 1 DSGVO einen abschließenden Maßnahmenkatalog. Behördliche Maßnahmen der Sachaufklärung müssen sich einem Tatbestand des Art. 58 Abs. 1 DSGVO zuordnen lassen. Die Vorschrift belässt den Mitgliedstaaten mit Ausnahme des Zugangs zu Geschäftsräumen nach Art. 58 Abs. 1 Buchst. f DSGVO keinen Regelungsspielraum (vgl. Erwägungsgrund 129 zur Datenschutz-Grundverordnung; Boehm, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 58 DS-GVO Rn. 9; Kugelmann/Buchmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 58 DS-GVO Rn. 27).

 Entsprechendes gilt für die Befugnisse der Aufsichtsbehörden zur Beseitigung festgestellter Rechtsverstöße. Während die datenschutzrechtliche Generalklausel des § 38 Abs. 5 Satz 1 BDSG a.F. den Aufsichtsbehörden keine konkreten Abhilfemaßnahmen vorgab, ihnen vielmehr für die Bestimmung des konkreten Inhalts einen Spielraum eröffnete, enthält Art. 58 Abs. 2 DSGVO auch insoweit einen abgestuften Maßnahmenkatalog. Das Vorgehen der Aufsichtsbehörden gegen datenschutzrechtliche Verstöße muss durch einen Abhilfetatbestand des Art. 58 Abs. 2 DSGVO gedeckt sein.

 Aufgrund solcher Unterschiede hätte es deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt hat, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen haben, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen sind. Derartige Hinweise enthalten weder der Text der Datenschutz-Grundverordnung noch die

 Erwägungsgründe. Vielmehr bestimmt Art. 96 DSGVO die Fortgeltung der vor dem 24. Mai 2016 geschlossenen Übereinkünfte der Mitgliedstaaten mit Drittstaaten und internationalen Organisationen über die Übermittlung personenbezogener Daten.

 5. Ungeachtet dessen fände die streitbefangene Anordnung ihre unionsrechtliche Grundlage in Art. 58 Abs. 2 Buchst. d i.V.m. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO. Die Beklagte hat daher keinen Anlass nach Maßgabe der

 §§ 49 ff. VwVfG zu prüfen, ob sie die Anordnung für die Zukunft aufrechterhält.

 a) Die Anordnung, die Digitalkamera so auszurichten, dass sie den öffentlich zugänglichen Bereich der Zahnarztpraxis der Klägerin nicht erfasst, kann der Abhilfebefugnis nach Art. 58 Abs. 2 Buchst. d DSGVO zugeordnet werden. Danach kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Diese Befugnis soll als Auffangtatbestand grundsätzlich jeden Verstoß gegen die Datenschutz-Grundverordnung, d.h. jede unionsrechtswidrige Verarbeitung von personenbezogenen Daten erfassen (Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-DatenschutzGrundverordnung und BDSGneu, 2018, DSGVO Art. 58 Rn. 33 f.; Kugelmann/Buchmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 58 DS-GVO Rn. 91).

 Die Bilder, die das von der Klägerin eingesetzte Kamera-Monitor-System herstellt, enthalten aufgrund der Erkennbarkeit der abgebildeten Personen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO (vgl. unter 2.b)). Bei den Bildaufnahmen handelt es sich um eine Verarbeitung dieser Daten. Nach Art. 4 Nr. 2 DSGVO ist darunter jeder Vorgang zu verstehen, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst.

 b) Die Zulässigkeitsvoraussetzungen für die Verarbeitung sind in Art. 6 Abs. 1 DSGVO abschließend geregelt, wobei die Absätze 2 und 3 begrenzte Öffnungsklauseln zugunsten der Mitgliedstaaten enthalten. Haben die Betroffenen wie im vorliegenden Fall nicht rechtswirksam in die Verarbeitung ihrer personenbezogenen Daten eingewilligt (Art. 6 Abs. 1 Unterabs. 1 Buchst. a i.V.m. Art. 4 Nr. 11 DSGVO), sind Verarbeitungsvorgänge nur rechtmäßig, wenn sie auf mindestens einen Erlaubnistatbestand des Art. 6 Abs. 1 DSGVO gestützt werden können.

 Datenverarbeitungen durch Privatpersonen wie die Videoüberwachung der Klägerin können von vornherein nicht auf Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO gestützt werden. Danach muss die Datenverarbeitung erforderlich für die Wahrnehmung einer Aufgabe sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Eine zusätzliche Abwägung mit den Interessen der Betroffenen ist nicht vorgesehen. Dies lässt sich in Anbetracht des hohen Stellenwerts des informationellen Selbstbestimmungsrechts der Betroffenen nur rechtfertigen, wenn der Anwendungsbereich des Tatbestands entsprechend seinem Wortlaut auf behördliche oder staatlich veranlasste Verarbeitungsvorgänge beschränkt wird. Die Verarbeitung personenbezogener Daten unterfällt dem Schutzbereich der Grundrechte auf Privatleben nach Art. 7 und auf Schutz der eigenen Daten nach Art. 8 der Grundrechtecharta der Europäischen Union (EuGH, Urteil vom 11. Dezember 2014 – C-212/13 – Rn. 28).

 Dementsprechend erfasst Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO Datenverarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen. Privatpersonen können sich darauf nur berufen, wenn ihnen die Befugnis, auf personenbezogene Daten zuzugreifen, im öffentlichen Interesse oder als Ausübung öffentlicher Gewalt übertragen ist. Sie müssen anstelle einer Behörde tätig werden. Dies setzt einen wie auch immer gestalteten staatlichen Übertragungsakt voraus. Eine Privatperson kann sich nicht selbst zum Sachwalter des öffentlichen Interesses erklären. Insbesondere ist sie nicht neben oder gar anstelle der Ordnungsbehörden zum Schutz der öffentlichen Sicherheit berufen. Beim Schutz individueller Rechtsgüter, seien es ihre eigenen oder diejenigen Dritter, verfolgt sie keine öffentlichen, sondern private Interessen (Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 6 DS-GVO Rn. 111 ff.; Kramer, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, Art. 6 Rn. 24 f.; Pabst, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 6 DS-GVO Rn. 95; Wedde, in: Däubler/Wedde/ Weichert/Sommer, EU-Datenschutz-Grundverordnung und BDSGneu, 2018, DSGVO Art. 6 Rn. 87 und 89). Somit kann dahingestellt bleiben, ob es sich bei Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO um einen eigenständigen Erlaubnistatbestand handelt oder die Bestimmung durch unionsrechtliche oder nationale Bestimmungen über behördliche Datenverarbeitungen im öffentlichen Interesse ausgefüllt werden muss (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 6 Rn. 48 und 197).

 Daraus folgt, dass die Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO für Verarbeitungen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO Videoüberwachungen privater Verantwortlicher nicht erfassen. Aufgrund dessen ist kein Raum für eine künftige Anwendung des § 4 Abs. 1 Satz 1 des seit 25. Mai 2018 geltenden Bundesdatenschutzgesetzes in der Fassung von Art. 1 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) – BDSG n.F. – als wortgleicher Nachfolgeregelung des § 6b Abs. 1 BDSG a.F. auf Videoüberwachungen privater Verantwortlicher. Diese sind an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zu messen. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Das zweistufige Prüfprogramm dieser Bestimmung entspricht demjenigen des § 6b Abs. 1 BDSG a.F. Die Verarbeitung ist erforderlich, wenn der Verantwortliche zur Wahrung berechtigter, d.h. schutzwürdiger und objektiv begründbarer Interessen darauf angewiesen ist. Eine nach diesem Maßstab erforderliche Verarbeitung ist zulässig, wenn die Abwägung in dem jeweiligen Einzelfall ergibt, dass berechtigte Interessen des Verantwortlichen höher zu veranschlagen sind als das informationelle Selbstbestimmungsrecht der Betroffenen. Hierfür ist nach Erwägungsgrund 47 zur Datenschutz-Grundverordnung unter anderem bedeutsam, ob die Datenverarbeitung für die Verhinderung von Straftaten unbedingt erforderlich ist, ob sie absehbar, d.h. branchenüblich ist, oder ob die Betroffenen in der konkreten Situation vernünftigerweise damit rechnen müssen, dass ihre Daten verarbeitet werden.

 Danach wäre die Videoüberwachung des öffentlich zugänglichen Bereichs der Zahnarztpraxis der Klägerin auch nach Maßgabe des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO unzulässig, weil sie nicht erforderlich ist, um berechtigte Interessen der Klägerin zu wahren. Insoweit kann auf die Ausführungen zur Erforderlichkeit nach § 6b Abs. 1 BDSG a.F. unter 3.b) verwiesen werden.

 Die Kostenentscheidung folgt aus § 154 Abs. 2 VwGO.

 Beschluss 

 Der Streitwert wird für das Revisionsverfahren auf 5.000 € festgesetzt (§ 47 Abs. 1 Satz 1, § 52 Abs. 2 GKG).

GmbH-Geschäftsführer haften für Datenschutzverstöße persönlich