Nach einer Reihe von Verfahren vor dem Bundesgerichtshof und dem Europäischen Gerichtshof in den letzten Jahren ist deutlich geworden, dass Deutschland die europäische E-Privacy-Richtlinie nie richtig umgesetzt hat. Diese besagt, dass die aktive Zustimmung des Nutzers zum Setzen von Cookies unbedingt eingeholt werden muss. In Deutschland ist dieser Grundsatz nie gesetzlich festgeschrieben worden, obwohl die EU-Richtlinie schon mehr als 10 Jahre alt ist.
Die Politik hat sich dieses Themas angenommen: Im Mai 2021 verabschiedete der Bundestag mit den Stimmen von CDU/CSU und SPD den Entwurf für ein „Telekomunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG). Die Zustimmung des Bundesrates folgte ebenfalls.
Das neue TTDSG regelt u.a. das bereits erwähnte Prinzip der Einwilligung in das Setzen von Cookies zum Zweck der Datenspeicherung. In § 25 ist geschrieben, dass Dritte nur dann Informationen auf dem Endgerät des Endnutzers speichern oder auf gespeicherte Informationen zugreifen dürfen, wenn der Endnutzer darüber informiert wurde und eingewilligt hat.
Die Anforderung gilt jedoch nicht ausnahmslos. Das Gesetz sieht auch Ausnahmen von der Einwilligung in das Setzen von Cookies vor. Die Einwilligung des jeweiligen Nutzers ist demnach nicht erforderlich, wenn die Speicherung von oder der Zugriff auf die Informationen nur erfolgt, um eine Nachricht zu übermitteln.
Des Weiteren ist die Einwilligung des Nutzers nicht erforderlich, wenn die Speicherung oder der Zugriff auf die Informationen zwingend erforderlich ist, um vom Endnutzer angeforderte Telemedien bereitzustellen. Diese Ausnahme betrifft also das Setzen von technisch notwendigen Cookies.
Das TTDSG sieht also nur enge Ausnahmen vom Einwilligungsprinzip vor. Insbesondere die Verwendung von Cookies zur Verfolgung des Nutzerverhaltens bleibt einwilligungspflichtig. Befürchtungen, dass Ausnahmen zu Lasten des Nutzers gehen, dürften sich also als unbegründet erweisen.
„Wir wollen ein Ende der Cookie-Banner“, hieß es Anfang des Jahres seitens der Union. Der ursprüngliche Entwurf sah deshalb vor, dass die Einwilligung auch durch entsprechende Einstellungen des Endnutzers in seinem Browser oder durch eine externe Anwendung erteilt werden kann.
Die verabschiedete Fassung des TTDSG sieht diese Möglichkeit nun nicht mehr vor. Stattdessen wird eine Regelung eingeführt, die einen rechtlichen Rahmen schafft, der zur Anerkennung von Zustimmungsdiensten führt. Die Nutzung von Einwilligungsdiensten könnte also schon bald möglich sein.
Das Gesetz soll am 1. Dezember 2021 in Kraft treten. Zwar regelt das Gesetz vieles, was bereits seit langem Praxis ist. Dennoch bringt es einige Neuerungen, insbesondere die Ausnahmeregelungen und den Rechtsrahmen für die Anerkennung von Zustimmungsdiensten. Es bleibt abzuwarten, wie sich diese Neuerungen in der Praxis, insbesondere für Webseitenbetreiber, auswirken werden. Jedenfalls sollte der Anlass genutzt werden die eigene Nutzung von Cookies mit den gesetzlichen Anforderungen abzugleichen und nötigenfalls anzupassen.
WhatsApp ist aus der modernen Welt der Kommunikation nicht mehr wegzudenken. Jeden Tag werden weltweit rund 60 Milliarden Nachrichten über die App verschickt. Da liegt es nahe, die Anwendung nicht nur für private Zwecke zu nutzen. Doch auch Vermieter sollten dabei auf der Hut sein und WhatsApp nicht leichtfertig zur Kommunikation mit ihren Mietern nutzen. Denn es ist möglich, dass sich auch kleinere Vermieter an die Datenschutz-Grundverordnung (DSGVO) halten müssen. Dies hat das AG Wiesbaden entschieden.
Ausgangspunkt für den Rechtsstreit war eine Räumungsklage. Im Prozess forderte ein Mieter seinen Vermieter dazu auf, ihm eine umfassende Auskunft über seine personenbezogenen Daten zu erteilen (Art. 15 DSGVO). Der Vermieter erwiderte, dass er kein institutioneller Vermieter sei. Er speichere deshalb auch keine Daten ab, allenfalls würde er die unterschriebenen Verträge in einem Aktenordner abheften. Die DSGVO sei deshalb nicht auf ihn anzuwenden.
Der Mieter war aber der Ansicht, dass eine Datenverarbeitung durch den Mieter vorlag. Denn seine Telefonnummer und sein Name wurden auf dem Mobiltelefon des Ehepartners des Vermieters zum Zwecke der Kommunikation per WhatsApp gespeichert. Darin liege eine automatisierte Verarbeitung personenbezogener Daten im Sinne der DSGVO. Außerdem stelle die physische Sammlung der Mietverträge ein Dateisystem dar.
Das AG Wiesbaden hat dem Mieter in seinem Teilurteil vom 26. April 2021 (Az.: 93 C 2338/20) nun recht gegeben. In seiner Begründung führt es aus, dass zu personenbezogenen Daten im Sinne der DSGVO insbesondere Namen, Anschriften und Telefonnummern gehören. Weiter sei unter einer Verarbeitung unter anderem das Erheben, Erfassen, Speichern, Verwenden und Offenlegen durch Übermittlung der Daten zu verstehen.
Durch die Speicherung des Namens und der Telefonnummer des Mieters in einem Mobiltelefon sei der Tatbestand der Datenverarbeitung deshalb unzweifelhaft erfüllt. Denn diese Informationen werden automatisch an WhatsApp übertragen. Das Speichern in der Kontaktliste reicht deshalb schon aus.
Darüber hinaus liegt in der physischen Sammlung der Mietverträge, die u.a. auch den Mietvertrag des Beklagten enthielt, ein Dateisystem im Sinne der DSGVO. Denn dabei handelt es sich um eine strukturierte Sammlung personenbezogener Daten, für die nach Rechtsprechung des EuGH schon eine Sammlung von Handzetteln ausreicht.
Die Speicherug von Kontaktdaten kann schnell zu einem Datenschutzproblem werden; gerade im Zusammenhang mit WhatsApp. Auch beim Umgang mit Daten von Mietern ist also Vorsicht geboten. Denn der Anwendungsbereich der DSGVO ist schnell eröffnet, wie dieser Fall zeigt. Dann gilt grundsätzlich: Die Verarbeitung der personenbezogenen Daten und Nutzung von WhatsApp darf oft nur mit einer Einwilligung erfolgen. Ansonsten liegt ein Datenschutzverstoß vor, der empfindliche Konsequenzen haben kann.
Einen sicheren Ausweg bietet nur die Einwilligung des Mieters in die Datenverarbeitung oder der Verzicht auf jegliche Kommunikation via WhatsApp. Einige Vermieter sind auch dazu übergegangen, WhatsApp nur „passiv“ als Kommunikationskanal bereitzuhalten. In diesem Fall muss der Mieter die erste Nachricht schicken. Das könnte als eine Einwilligung verstanden werden. Datenschutzbehörden haben aber auch diesbezüglich Bedenken. Ohne ausdrückliche Einwilligung bleibt ein Restrisiko also immer bestehen.
Der Verbraucherzentrale Bundesverband hatte einen Webseitenbetreiber u.a. auf Unterlassung verklagt. Streitpunkt war ein Gewinnspiel, dass auf der Internetseite angeboten wurde. Um an dem Gewinnspiel teilnehmen zu können, mussten Nutzer mindestens eines von zwei Häkchenfelder ankreuzen und damit in bestimmte Werbung bzw. Cookies einwilligen.
Damit musste der Bundesgerichthof gleich zwei Fragen klären: Einmal zur Einwilligung in Telefonwerbung und zum anderen in die Einwilligung hinsichtlich einer Cookie-Speicherung (Urteil vom 28. Mai 2020, Az.: I ZR 7/16 – Cookie-Einwilligung II).
Das erste Feld war nicht vorausgewählt. Wer dieses Feld ankreuzte sollte seine Einwilligung dazu geben, von bis zu 57 Sponsoren und Kooperationspartnern Werbung zu erhalten, z.B. per Telefon.
Der BGH beanstandete hinsichtlich der Einwilligung in Telefonwerbung per AGB, dass eine solche AGB-Einwilligung in Werbung die konkreten Produkte und Werbeunternehmen erkennen lassen müsse.
Das zweite Feld zu dem Gewinnspiel beinhaltete folgenden Text:
Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
wobei das Wort „hier“ zu weiteren Informationen über die Funktionsweise des Cookies führte. Dieses Feld war bereits mit einem Haken versehen und hätte vom Nutzer daher aktiv abgewählt werden müssen. Es war nicht möglich an dem Gewinnspiel teilzunehmen, wenn beide Häkchen abgewählt waren.
In diesem vorausgewählten Cookie-Hinweis, sah der BGH keine wirksame Einwilligung. Er folgt damit der Entscheidung des EuGH vom 1. Oktober 2019, Az.: C-673/17.
Das Gewinnspiel und die anschließende Abmahnung haben noch zu Zeiten der Datenschutzrichtlinie, und damit vor Wirksamwerden der Datenschutzgrundverordnung (DSGVO), stattgefunden. Eine Rechtsänderung habe dadurch aber nicht stattgefunden. Die Einwilligung sei sowohl nach der alten Richtlinie, als auch nach der DSGVO nicht wirksam möglich, wenn das Häkchen vorausgewählt ist.
Ob Verbraucherverbände aber auch Datenschutzverstöße abmahnen und vor Zivilgerichten einklagen können, ist im vorliegenden Fall nicht zu entscheiden gewesen. Denn vorliegend sah der BGH in dem vorausgewählten Häkchen eine unzulässige Allgemeine Geschäftsbedingung (AGB) für die Gewinnspielteilnahme.
Die Frage, ob die DSGVO abschließend regelt, wer Datenschutzverstöße wie verfolgen darf, stellt sich aber in vielen anderen Fällen. Darum hat der BGH diese Frage mit Entscheidung vom selben Tag in einem anderen Verfahren dem EuGH zur Beantwortung vorgelegt (Beschluss vom 28. Mai 2020, Az.: I ZR 186/17).
Hinweis: Dieser Beitrag wurde zuletzt am 02.11.2020 aktualisiert.
Viele Unternehmen, Hochschulen und andere Bildungseinrichtungen sind gerade fieberhaft auf der Suche nach digitalen Alternativen zu ihren Angeboten und für die Bewältigung der internen Prozesse. Besonders Teambesprechungen in Form von Videokonferenzsystemen sind dabei gefragt. Optionen für Softwarelösungen gibt es dabei grundsätzlich viele, aber aus verschiedensten Gründen rückte in der letzten Zeit insbesondere eine Software für Videokonferenzen in den öffentlichen Fokus: Zoom. In diesem Scheinwerferlicht kamen sogleich aber auch eine Vielzahl von Problemen zum Vorschein, z.B. diversen Sicherheitslücken in der Software oder Werbung mit einer Ende-zu-Ende-Verschlüsselung, die gar nicht existierte.
Auch beim Thema Datenschutz scheint bei Zoom und Co. weiterhin erheblicher Verbesserungs- und Klärungsbedarf zu bestehen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, hat beispielsweise in einem Interivew mit dem Handelsblatt Ende März 2020 vor der Zoom-Software gewarnt. Die Warnung blieb dabei aber leider oberflächlich. So war lediglich die Rede von einem “nicht unerheblichen Datenabfluss”, der nicht näher konkretisiert wurde. Gerade für Unternehmen, die in Videokonferenzen auch über Geschäftsinterna und -geheimnisse sprechen, wären Datenabflüsse aber ein möglicher Super-GAU.
Zum Thema des Datenschutzes bei Videokonferenzsystemen haben sich auch weitere Datenschutzbeauftragte verschiedener Bundesländer geäußert. Dies erfolgte jedoch meist nur am Rande in allgemeineren FAQ zum Thema Corona oder bestand in eher generellen Ratschlägen zu den datenschutzrechtlichen Standards, die bei der Auswahl solcher Videokonfrenzsysteme beachtet werden müssen. Wirklich hilfreich, gerade für Unternehmen, die schnellstmöglich eine Lösung brauchen, war dies oftmals nicht.
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat sich der Frage hingegen Anfang Juli 2020 sehr ausführlich gewidmet. Er hat dafür eine ausführliche Einschätzung von vielen verschiedenen Anbietern von Videokonferenz-Diensten veröffentlicht. Überprüft wurden dabei neben Platzhirschen wie Zoom, Skype, Cisco WebEx und Microsoft Teams auch unbekanntere Anbieter, wie z.B. Wire, Jitsi und Blizz.
Die Datenschutzkonferenz (DSK) hat Ende 2020 nun nachgelegt und ebenfalls eine “Orientierungshilfe Videokonferenzsysteme” veröffentlicht. In dieser werden sowohl rechtliche Aspekte, als auch technische und organisatorische Maßnahmen beleuchtet, die bei einer datenschutzfreundlichen Nutzung zu beachten sind.
Weil z.B. an Hochschulen der Semesterstart im Frühjahr unmittelbar bevorstand und weitere Suchen zeitlich nicht möglich waren, hatten viele mit der Nutzung schlicht begonnen. Der Datenschutz wurde dabei scheinbar teils zunächst nur in einer Art “Mindestmaß” beachtet. So heißt es z.B. bei der Technischen Hochschule Köln seit inzwischen mehr als 6 Monaten:
Einfacher Datenschutz ist abgeklärt über eine Rahmenvereinbarung zwischen Zoom und der TH Köln. Verschiedene Funktionen wurden auf Grund des Datenschutzes deaktiviert. Ein umfassender Datenschutz für den dauerhaften Einsatz nach Covid-19 ist noch in Prüfung.https://www.th-koeln.de/hochschule/zoom_73756.php
Einfacher Datenschutz ist abgeklärt über eine Rahmenvereinbarung zwischen Zoom und der TH Köln. Verschiedene Funktionen wurden auf Grund des Datenschutzes deaktiviert. Ein umfassender Datenschutz für den dauerhaften Einsatz nach Covid-19 ist noch in Prüfung.
Was ein “einfacher Datenschutz” im Vergleich zu einem “umfassenden Datenschutz” sein soll, bleibt dabei unklar. Auch ist öffentlich nicht sichtbar, wie lange die Prüfung für den umfassenden Datenschutz noch dauern soll.
Auch an der Universität Bonn setzt man seit dem Sommersemester 2020 auf Zoom: Sowohl für interne Meetings als auch Lehrveranstaltungen. Die Empfehlungen des Datenschutzbeauftragten der Universität umfassen dabei z.B. folgende Punkte:
3. Vertrauliche Informationen über nicht an der Konferenz beteiligte Dritte, insbesondere personenbezogene Daten, dürfen nicht in der Videokonferenz genannt werden. Dies gilt auch bei der Nutzung der integrierten Chat-Funktion. Beim Einsatz von Zoom sollten Sie daher allen Teilnehmern solche Informationen vorab z.B. per dienstlicher Mail oder über SCIEBO zur Verfügung stellen. Die Teilnehmer können dann in der Konferenz auf diese Informationen nur als „Fall A“ oder „Person B“ referenzieren. https://www.ecampus-services.uni-bonn.de/de/nachrichten/zoom
3. Vertrauliche Informationen über nicht an der Konferenz beteiligte Dritte, insbesondere personenbezogene Daten, dürfen nicht in der Videokonferenz genannt werden. Dies gilt auch bei der Nutzung der integrierten Chat-Funktion. Beim Einsatz von Zoom sollten Sie daher allen Teilnehmern solche Informationen vorab z.B. per dienstlicher Mail oder über SCIEBO zur Verfügung stellen. Die Teilnehmer können dann in der Konferenz auf diese Informationen nur als „Fall A“ oder „Person B“ referenzieren.
Solche Hinweise sind offensichtlich ein Notanker: Denn an einer praktischen Umsetzungsmöglichkeit in der Breite ist oftmals nicht ernsthaft zu denken.
Die beiden rheinischen Bildungseinrichtungen sind aber bei weitem nicht allein mit der Entscheidung, Zoom aktiv zu nutzen. Eine mögliche Verletzung von Datenschutzrecht wird dabei bei vielen Unternehmen und Bildungseinrichtungen scheinbar (bewusst oder unbewusst) in Kauf genommen.
Diese Nutzung ohne abschließende Rechtssicherheit birgt aber zugleich erhebliche Risiken. Denn seit Einführung der DSGVO haben die Datenschutzbehörden ein sehr scharfes Schwert gegen Datenschutzverstößen in der Hand: Bußgelder gegen diejenigen, die das Datenschutzrecht verletzt haben. Denn auch wenn die Nutzung von Zoom und anderen Softwarelösungen unverzichtbar erscheinen mag, entbindet dies jedenfalls nicht von einer umfassenden datenschutzrechtlichen Prüfung und der Einhaltung eben dieses Datenschutzrechts.
Zugleich ist auch den Behörden bewusst, dass viele Unternehmer in Zeiten der Corona-Krise “mit dem Rücken zur Wand” stehen und schnelle Lösungen für akute Probleme her müssen. So hat beispielsweise auch der Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zur Rücksichtnahme der Behörden aufgerufen:
Ist das vorhandene Datenschutzmanagement defizitär, bedarf es der Nachsteuerung. Beim Einfordern dieser Nachsteuerung ist eine gewisse Nachsicht angezeigt. Die Ansetzung und Einhaltung von Fristen kann großzügig gehandhabt werden. Die Verhängung von Geldbußen nach Art. 83 DSGVO ist vor dem Hintergrund der wirtschaftlichen Situation vieler Verantwortlicher zurückhaltend auszuüben. […] Datenschutzrecht gilt, aber seine Anwendung in Zeiten der Pandemie ist mit Augenmaß und Fingerspitzengefühl zu gewährleisten.https://verfassungsblog.de/gesundheitsnot-kennt-datenschutzgebot/
Ist das vorhandene Datenschutzmanagement defizitär, bedarf es der Nachsteuerung. Beim Einfordern dieser Nachsteuerung ist eine gewisse Nachsicht angezeigt. Die Ansetzung und Einhaltung von Fristen kann großzügig gehandhabt werden. Die Verhängung von Geldbußen nach Art. 83 DSGVO ist vor dem Hintergrund der wirtschaftlichen Situation vieler Verantwortlicher zurückhaltend auszuüben. […] Datenschutzrecht gilt, aber seine Anwendung in Zeiten der Pandemie ist mit Augenmaß und Fingerspitzengefühl zu gewährleisten.
Auch wenn dies für Unternehmer zunächst gut klingen mag: Insbesondere, wenn die Corona-Krise abflacht und ein normaleres Arbeiten wieder möglich wird, müssen adhoc eingeführte Systeme kritisch überprüft und nötigenfalls schnellstmöglich wieder abgeschafft werden. Wenn dies bereits möglich ist, gibt es für einen Aufschub dieser Prüfung aber auch keinen Grund.
Für die dringend notwendige Rechtssicherheit bei betroffenen Unternehmen sind nun mehr denn je die europäischen Datenschutzbehörden gefragt. Diese sollten schnellstmöglich konkrete Aussagen zur Nutzbarkeit von Zoom weiteren Videokonfrenzsystemen aus Sicht des Datenschutzes machen. Nur so können noch während der Corona-Krise Lösungen entwickelt werden, die möglicherweise auch eine dauerhafte Nutzung einmal etablierter Systeme über die Zeit der Corona-Pandemie hinaus ermöglichen. Damit die Arbeit, z.B. für Implementation und Schulungen, langfristig nutzbar bleibt.
Dies gilt selbstverständlich nicht nur für Videokonferenzsysteme wie Zoom und andere, sondern für alle Anpassungen von Prozessen während der Krise, die mit dem Datenschutzrecht in Konflikt stehen könnten. Bis dahin liegt das Risiko einer datenschutzrechtlichen Risikoabschätzung bei jedem Einzelnen. Desto gründlicher und zeitnäher diese erfolgt, desto eher kann man im worst case auch auf eine nachsichtigere Behandlung durch die Datenschutzbehörden hoffen. Damit aus notwendig schnellen unternehmerischen Entscheidungen nicht direkt die nächste Krise folgt.
Unsere Schwerpunktreihe: Die Wirtschaft in der Coronakrise
Unsere Blogbeiträge zum Themenbereich “Coronavirus – die wichtigsten rechtlichen Auswirkungen” informieren Sie über die fortlaufenden Entwicklungen, was Sie nun besonders beachten müssen und welche Maßnahmen Ihnen helfen könnten.
Bisher haben wir die Themen der Kurzarbeit aus Sicht von Arbeitgebern, der Fürsorge- und Schutzpflichten von Arbeitgebern, den Auswirkungen von Corona für arbeitende Eltern sowie zur Arbeit im Home-Office durch jeweils eigene Beiträg vertieft. Darüber hinaus finden Sie bei uns bereits Beiträge zum Datenschutz für Arbeitgeber in der Coronakrise, zum Datenschutz bei Zoom und Co., Informationen zur Aussetzung der Insolvenzantragspflicht, zur Möglichkeit von Fristverlängerungen, einen Überblick über mögliche Entschädigungszahlungen, was bei Veranstaltungsabsagen zu beachten ist und wie die neue Gutscheinlösung bei Veranstaltungsabsagen aussehen soll. Weitere Beiträge widmen sich den steuerlichen Hilfsmaßnahmen, dem Kündigungsschutz für Mieter sowie den besonderen Hilfsangeboten für Künstler und andere Kreative. Auch über die (geplante) Anti-Corona-App informieren wir in einem eigenen Beitrag.
Abgerundet werden unsere Beiträge durch eine Übersicht auch bezüglich der wichtigsten Anlaufstellen und Informationen zu finanziellen Hilfsangeboten und Maßnahmen, Hinweise zur Antragstellung auf die Corona-Soforthilfen sowie dazu, dass man sich bei allzu leichtfertiger Antragstellung wegen Betrugs strafbar machen könnte.
Der EuGH hat mit seiner Entscheidung vom 29. Juli 2019 (Rs. C‑40/17) erneut Stellung zum Datenschutzrecht genommen und die Argumentation von Verbraucherschützern bestätigt. Den Richtern zu Folge ist der Betreiber einer Webseite sowohl für das Erheben als auch die Weiterleitung der personenbezogenen Daten von Besuchern seiner Webseite grundsätzlich verantwortlich. Wird ein Like-Button bereitstellt, kann eine Mitverantwortlichkeit mit Facebook & Co. bestehen.
Geklagt hatte der Verbraucherzentrale NRW e.V. gegen die Fashion ID GmbH & Co. KG. Letztere hatte auf Ihrer Webseite den “Like”- bzw. “Gefällt-mir”-Button von Facebook eingebaut. Durch dieses Social Plugin wurden personenbezogene Daten von allen Besuchern der Webseite automatisch an Facebook weitergeleitet. Das geschah unabhängig davon, ob sie den “Like”-Button benutzt haben oder selbst überhaupt Mitglied bei Facebook waren.
Dies wollten die Verbraucherschützer verhindern. Sie sahen in der Einbindung des Social-Plugins gleich mehrere Verstöße gegen das Datenschutzrecht. So habe Fashion ID nicht ausreichend über die Datenerhebung und -weitergabe informiert und keine Einwilligung der Nutzer hierfür gehabt.
Die Richter betonen in ihrer Entscheidung einerseits, dass die Betreiber einer Webseite gemeinsam mit dem Anbieter eines Social Plugins für die Erhebung und die Weitergabe der personenbezogenen Daten an den Anbieter verantwortlich sind. Den Webseitenbetreiber trifft aber andererseits dann keine Verantwortlichkeit mehr, wenn die Daten ausschließlich beim Anbieter des Social Plugins liegen und dort verarbeitet werden.
Grund für die vorherige gemeinsame Verantwortlichkeit ist zum einen, dass sowohl der Webseitenbetreiber als auch der Anbieter des Social Plugins eigene wirtschaftliche Vorteile aus diesen beiden Datenverarbeitungen haben und verfolgen. Zum anderen entscheide auch der Webseitenbetreiber über Mittel und Zweck der Datenverarbeitung, da er es selbst in der Hand hat, welche Social Plugins er wie genau auf seiner Webseite einbindet.
In der Praxis dürfte die “Gemeinsame Verantwortlichkeit” auf kleinere wie größere Probleme stoßen. Art. 26 DSGVO schreibt u.a. vor, dass die
tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
Darüber hinaus hat der EuGH auch zu den möglichen Rechtsgrundlagen für die Datenverarbeitung Stellung genommen. Konkret geht es um die Möglichkeit der vorherigen Einwilligung der Nutzer sowie die Berufung auf ein berechtigtes Interesse.
Sofern sich Webseitenbetreiber auf ein berechtigtes Interesse als Rechtsgrundlage stützen, betonen die Luxemburger Richter, dass dieses für alle (Mit)Verantwortlichen geprüft und vorliegen muss. Es reicht gerade nicht aus, dass sich nur einer der Verantwortlichen auf ein berechtigtes Interesse stützen kann.
Die Prüfung eines “berechtigten Interesses” im Sinne der DSGVO erfolgt grundlegend in drei Stufen:
Kann ein berechtigtes Interesse nicht dargelegt werden, wäre die Einwilligung in die Nutzung denkbar. Die Einwilligung der Nutzer muss dabei die Verarbeitungsvorgänge umfassen, für die der Webseitenbetreiber auch selbst (mit)verantwortlich ist. Konkret also die Datenerhebung und -weiterleitung an Facebook.
Für die Datenverarbeitungen, die bei Facebook selbst geschehen, ist der Webseitenbetreiber nicht mehr verantwortlich und muss daher auch keine Einwilligung für diese einholen. Dies ist allein Aufgabe von Facebook.
Jedoch trifft den Betreiber einer Webseite neben der Pflicht die Einwilligung selbst einzuholen auch die Pflicht, die Nutzer über die Datenverarbeitungen entsprechend zu informieren. Auch dies ist wiederum auf die Datenverarbeitungsvorgänge beschränkt, bei denen der Betreiber selbst Mittel und Zwecke bestimmen kann.
Die Luxemburger Richter haben die Vorlagefragen damit offensichtlich zum Anlass genommen, ihre bisherige Rechtsprechung zum Datenschutzrecht fortzuschreiben.
Erst letztes Jahr hatte der EuGH geurteilt, dass Betreiber einer sogenannten Facebook-Fanpage ebenfalls zusammen mit Facebook eine datenschutzrechtliche gemeinsame Verantwortlichkeit trifft. Das aktuelle Urteil ist daher als konsequente Fortführung dieser früheren Entscheidung zu verstehen und betont nochmal die datenschutzrechtliche Verantwortlichkeit von Webseitenbetreibern.
Damit folgt der EuGH auch den Empfehlungen des Generalanwalts Michal Bobek vom 19. Dezember 2018. Dieser hatte ebenfalls eine gemeinsame Verantwortlichkeit von Webseitenbetreibern und Social-Media-Diensteanbietern bejaht.
Die Entscheidung des EuGH erging noch auf Grundlage der alten Datenschutzrichtlinie (RL 95/46/EG). Die Entscheidung dürfte aber ohne größere Probleme auch auf die aktuelle Rechtslage übertragen werden können. Die Begriffe des “Verantwortlichen”, die Möglichkeiten zur rechtmäßigen Verarbeitung personenbezogener Daten sowie die grundlegenden Informationspflichten wurden aber auch in der neuen Datenschutz-Grundverordnung (DSGVO) in vielen Punkten übernommen.
Darüber hinaus ist die Entscheidung des EuGH grundsätzlich auch auf andere Anbieter von Social Media Plugins übertragbar, z.B. Instagram, Twitter, YouTube, Pinterest, Xing oder LinkedIn. Aber nicht nur das: Die Erhebung und Weiterleitung von personenbezogenen Daten von Nutzern einer Webseite an Dritte findet klassischerweise auch bei vielen Analyse-Diensten, wie z.B. Google Analytics, statt. Auch in diesen Fällen kann daher eine gemeinsame Verantwortlichkeit zu prüfen sein.
Im Grunde dürfte auch bei Cookies eine ähnliche Entscheidung zu erwarten sein. Der Generalanwalt hat hierzu bereits ausgeführt.
Auf der 97. Konferenz am 3. April 2019 haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die Haftung von Unternehmen im Datenschutzrecht hervorgehoben. Unternehmen haften (weiterhin) im Rahmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt.
Die DSK stützt sich auf den funktionalen Unternehmensbegriff, der auch im Rahmen der DSGVO gelte. Erwägungsgrund 150 der DSGVO verweist dementsprechend auf die AEUV:
Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.
Unternehmen sind nach diesem Verständnis
jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.(so auch st. Rspr., wohl seit EuGH, Urteil vom 23. 4. 1991 – C-41/90)
jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.
Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich.
Die DSK begrüßt die im Koalitionsvertrag vorgesehenen Modernisierungsmaßnahmen des Unternehmenssanktionsrechts. Diese seien geboten und entsprächen dann auch dem europäischen Kartellrecht sowie dem etablierten internationalen Standard.
Zum Abschluss fordert die DSK den Bundesgesetzgeber auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie 2016/680 die bisherigen Bedenken zu berücksichtigen.
BUNDESVERWALTUNGSGERICHT
IM NAMEN DES VOLKES
URTEIL
BVerwG 6 C 2.18
OVG 12 B 7.16
Verkündet am 27. März 2019
In der Verwaltungsstreitsache
hat der 6. Senat des Bundesverwaltungsgerichts auf die mündliche Verhandlung vom 27. März 2019
durch den Vorsitzenden Richter am Bundesverwaltungsgericht Prof. Dr. Kraft und die Richter am Bundesverwaltungsgericht Dr. Heitz, Dr. Möller, Hahn und Dr. Tegethoff
für Recht erkannt:
Die Revision der Klägerin gegen das Urteil des Oberverwaltungsgerichts Berlin-Brandenburg vom 6. April 2017 wird zurückgewiesen.
Die Klägerin trägt die Kosten des Revisionsverfahrens.
I.
Die Klägerin, eine Zahnärztin, wendet sich gegen eine datenschutzrechtliche Anordnung zur Videoüberwachung in ihrer Praxis. Ihre Praxis befindet sich in einem Gebäude, in dem mehrere Arztpraxen und eine Tagesklinik für Psychiatrie untergebracht sind. Die Eingangstür der Praxis ist während der Öffnungszeiten nicht verschlossen; der Empfangstresen ist nicht besetzt. Oberhalb des Tresens befindet sich eine Digitalkamera, die laufende Bilder in Echtzeit herstellt. Die Bilder können auf Monitoren angesehen werden, die die Klägerin in den Behandlungszimmern aufgestellt hat (sog. Kamera-Monitor-System). Die Klägerin hat angegeben, dass sie die Möglichkeit, die Bildaufnahmen zu speichern, nicht nutzt. Durch die Kamera werden der Bereich hinter dem Empfangstresen sowie diejenigen Bereiche überwacht, in denen sich Besucher nach dem ungehinderten Betreten der Praxis aufhalten (Bereich vor dem Empfangstresen, Flur zwischen Eingangstür und Tresen und ein Teil des vom Flur abgehenden Wartebereichs). An der Außenseite der Eingangstür und am Tresen hat die Klägerin jeweils ein Schild mit der Aufschrift „Videogesichert“ angebracht.
Die beklagte Landesdatenschutzbeauftragte gab der Klägerin im Jahr 2012 neben anderen Anordnungen auf, die Kamera so auszurichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden. In Bezug auf diese Anordnung ist die Anfechtungsklage, die die Klägerin nach Zurückweisung ihres Widerspruchs im Januar 2013 erhoben hat, in den Vorinstanzen erfolglos geblieben.
In dem Berufungsurteil hat das Oberverwaltungsgericht im Wesentlichen ausgeführt: Der von der Beklagten beanstandete Einsatz des Kamera-MonitorSystems stelle eine unzulässige Videoüberwachung dar. Eine solche Maßnahme sei Privatpersonen nur gestattet, wenn die Betroffenen zustimmten oder die gesetzlichen Zulässigkeitsvoraussetzungen vorlägen. Dies sei hier nicht der Fall. Die Hinweisschilder berechtigten nicht zu der Annahme, die Besucher der Praxis seien damit einverstanden, mit Hilfe einer Digitalkamera beobachtet zu werden. Aus dem Vorbringen der Klägerin ergebe sich nicht, dass die Videoüberwachung erforderlich sei, um schutzwürdige Interessen zu wahren. Es gebe keine Anzeichen dafür, dass die Praxis einem erhöhten Risiko ausgesetzt sei, Ort von Straftaten zu werden. Die Klägerin könne Diebstähle verhindern, indem sie dafür Sorge trage, dass sich keine Wertgegenstände im Bereich des Empfangstresens befänden und die Patienten ihre Wertsachen in das Behandlungszimmer mitnähmen. Die Klägerin habe den Vortrag, ohne die Videoüberwachung entstünden erheblich höhere Kosten für den Betrieb der Praxis, in keiner Weise konkretisiert. Es sei ihr zumutbar, den Empfangstresen mit einer bereits in der Praxis tätigen Mitarbeiterin zu besetzen. Diese könne sich auch um „eingespritzte“ Patienten im Wartebereich kümmern. Nach alledem überwögen die Interessen der Besucher, nicht durch eine Digitalkamera beobachtet zu werden, die gegenläufigen Interessen der Klägerin.
Mit der vom Oberverwaltungsgericht zugelassenen Revision verfolgt die Klägerin ihr Rechtsschutzziel weiter, die Aufhebung der Anordnung der Beklagten über die Ausrichtung der Digitalkamera zu erreichen, um die Videoüberwachung nach ihren Vorstellungen fortführen zu können. Sie hält daran fest, dass die Maßnahme aus Sicherheits- und Kostengründen erforderlich sei. Demgegenüber fielen die Beeinträchtigungen für die Besucher nicht übermäßig ins Gewicht.
Die Beklagte verteidigt das Berufungsurteil. Auch könne die Klägerin die Überwachung vermeiden, indem sie die Eingangstür ihrer Praxis verschlossen halte und bei einem Klingelzeichen öffne.
II.
Die zulässige Revision der Klägerin ist nicht begründet. Das angefochtene Urteil verstößt nicht gegen Bundesrecht (§ 137 Abs. 1 Nr. 1 VwGO). Das Oberverwaltungsgericht hat zutreffend angenommen, dass die selbständig anfechtbare Anordnung der Beklagten, den für Besucher zugänglichen Bereich der Zahnarztpraxis durch eine entsprechende Ausrichtung der Digitalkamera von der Beobachtung durch ein Kamera-Monitor-System auszunehmen, von § 38 Abs. 5 Satz 1 i.V.m. § 6b Abs. 1 des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), hier anwendbar in der Fassung von Art. 1 Nr. 15 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) – BDSG a.F. -, gedeckt ist.
Maßgeblicher Zeitpunkt für die Beurteilung der Rechtmäßigkeit dieser Anordnung ist der Zeitpunkt des Erlasses des Widerspruchsbescheids; damit hängt die Entscheidung über die Revision von dem damals geltenden Datenschutzrecht ab (1.). Die Beobachtung des Besuchern zugänglichen Bereichs der Zahnarztpraxis stellt eine Videoüberwachung im Sinne des § 6b Abs. 1 BDSG a.F. dar (2.). Nach dieser Bestimmung ist die Beobachtung unzulässig, weil sie nicht erforderlich ist, um berechtigte Interessen der Klägerin zu wahren. Daran anknüpfend hat die Beklagte der Klägerin ermessensfehlerfrei eine andere Ausrichtung der Kamera aufgegeben (3.). Aufgrund des Beurteilungszeitpunkts ist die streitbefangene Anordnung nicht an der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) (ABl. L 119 S. 1) – DSGVO – zu messen, die während des Revisionsverfahrens Geltung erlangt hat (4.). Ungeachtet dessen wäre die Videoüberwachung auch nach dieser Verordnung unzulässig (5.).
1.a) Die Beklagte hat die streitbefangene Anordnung auf § 38 Abs. 5 Satz 1 BDSG a.F. gestützt; dieses Gesetz war bis zum 24. Mai 2018 in Kraft (Art. 8 Abs. 1 Satz 2 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie 2016/680 vom 30. Juni 2017 ). Nach § 38 Abs. 5 Satz 1 BDSG a.F. konnte die Aufsichtsbehörde zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten anordnen. Die Bestimmung setzte die Aufsichtsbehörde in den Stand, jeden rechtswidrigen Umgang mit personenbezogenen Daten zu beenden. Zu diesem Zweck ermächtigte sie die Aufsichtsbehörde, gegen jede Verhaltensweise und jeden Zustand vorzugehen, bei denen die Vorkehrungen des Datenschutzrechts zum Schutz personenbezogener Daten nicht beachtet wurden. Nach der Begriffsbestimmung des § 3 Abs. 1 BDSG a.F. waren dies Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Aus den Angaben musste sich deren Identität jedenfalls feststellen lassen.
Nach § 38 Abs. 5 Satz 1 BDSG a.F. hatte die Aufsichtsbehörde nach pflichtgemäßem Ermessen darüber zu entscheiden, welche Maßnahmen sie ergriff, um den datenschutzrechtlich gebotenen Schutz personenbezogener Daten sicherzustellen. Hierfür konnte sie derjenigen Person oder Stelle, die nach § 3 Abs. 7 BDSG a. F. für eine rechtswidrige Erhebung, Verarbeitung oder Nutzung solcher Daten verantwortlich war, Handlungs- oder Unterlassungspflichten auferlegen. Das Vorgehen hatte sich daran zu orientieren, auf welche Weise den Belangen des Datenschutzes künftig am besten Rechnung getragen werden konnte (BT-Drs. 16/12011 S. 44). Auch musste die Aufsichtsbehörde bei der Bestimmung des konkreten Inhalts einer Maßnahme das Gebot der Verhältnismäßigkeit wahren. So konnte sie davon absehen, dem Verantwortlichen eine konkrete Handlungspflicht zur Beseitigung des Rechtsverstoßes aufzuerlegen, wenn es erfolgversprechend erschien, ihm die Art der Beseitigung zu überlassen (Plath, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 38 BDSG Rn. 62; von Lewinski, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 38 BDSG Rn. 75).
b) Ungeachtet des Umstands, dass sich Handlungsgebote wie die der Klägerin aufgegebene Änderung der Ausrichtung der Digitalkamera ständig aktualisieren, weil damit die Verpflichtung einhergeht, den neu geschaffenen Zustand auf Dauer beizubehalten, sind derartige Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a. F. nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung galt. Dies folgt daraus, dass diese Bestimmung der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen eröffnet. Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt (vgl. zu einer solchen Ausnahme: BVerwG, Urteil vom 15. November 2007 – 1 C 45.06 – BVerwGE 130, 20 Rn. 14 ff.). Für eine Ermessensentscheidung ist kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten Handlungsalternativen wählen kann. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen (BVerwG, Urteile vom 20. Mai 1980 – 1 C 82.76 – BVerwGE 60, 133 <136> und vom 6. April 1989 – 1 C 70.86 – BVerwGE 81, 356 <358>; BFH, Urteil vom 26. März 1991 – VII R 66/90 – BFHE 164, 7 <9>).
Nach dem Regelungsgehalt des § 38 Abs. 5 Satz 1 BDSG a.F. ist kein anderer Beurteilungszeitpunkt geboten. Vielmehr hat sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ob ein Verstoß vorliegt, ist wiederum nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung gilt.
Danach kommt es für die Rechtmäßigkeit der streitbefangenen Anordnung auf die Rechtslage an, die zum Zeitpunkt der Widerspruchsentscheidung der Beklagten im Januar 2013 galt. Denn die Beklagte hatte als Widerspruchsbehörde nach § 68 Abs. 1 Satz 1 VwGO die Recht- und Zweckmäßigkeit ihrer Anordnung nachzuprüfen, d.h. nochmals eine eigene Ermessensentscheidung zu treffen. Dies bedeutet, dass danach eingetretene Rechtsänderungen für die Entscheidung über die Anfechtungsklage und damit über die Revision ohne Bedeutung sind. Die Klägerin hat einen Anspruch auf Aufhebung der Anordnung nach § 113 Abs. 1 Satz 1 VwGO, wenn diese bei Erlass des Widerspruchsbescheids rechtswidrig war.
2. Die Beobachtung des Besuchern zugänglichen Bereichs der Zahnarztpraxis durch ein Kamera-Monitor-System ist an den Zulässigkeitsvoraussetzungen des § 6b Abs. 1 BDSG a.F. zu messen, weil es sich um eine Videoüberwachung handelt. Die Bestimmung traf zwei abschließende Regelungen: Zum einen definierte sie den Begriff der Videoüberwachung. Hierfür müssen öffentlich zugängliche Räume mit optisch-elektronischen Einrichtungen beobachtet werden. Zum anderen legte § 6b Abs. 1 BDSG a.F. die Anforderungen für deren Zulässigkeit fest. Videoüberwachungen, die nicht durch § 6b Abs. 1 BDSG a.F. gedeckt sind, waren verboten.
a) Nach der gesetzlichen Begriffsbestimmung kann eine Videoüberwachung nur in öffentlich zugänglichen Räumen stattfinden. Der Berechtigte, d.h. der Inhaber des Hausrechts, muss den Raum für eine unbestimmte Anzahl von Personen geöffnet haben. Die Widmung kann sich darauf beschränken, den Aufenthalt in dem Raum nur zu einem bestimmten Zweck zu gestatten. Entscheidend ist, dass der Berechtigte ihm unbekannten Personen die Möglichkeit eröffnet hat, den Raum ungehindert, insbesondere ohne vorherige Einlasskontrolle, zu betreten und sich darin aufzuhalten. Dies ist typischerweise bei Geschäftsräumen mit Publikumsverkehr der Fall (Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 12 ff.; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 9 f.). Danach ist jedenfalls der Besucherbereich der Praxis der Klägerin, d.h. der Bereich vor dem Empfangstresen, der Flur zwischen Eingangstür und Empfangstresen und der vom Flur abgehende Wartebereich, öffentlich zugänglich. Die Klägerin hat sich dafür entschieden, dass jede Person diesen Bereich ihrer Praxis während der faktischen Besuchszeiten ungehindert durch Öffnen der unverschlossenen Eingangstür betreten kann.
b) Eine Videoüberwachung setzt weiterhin voraus, dass der öffentlich zugängliche Raum mit einer optisch-elektronischen Einrichtung beobachtet wird. Der Verantwortliche muss technische Mittel einsetzen, die dazu bestimmt sind, bewegte Bilder herzustellen und wahrnehmbar zu machen (Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 17; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 12). Ein Kamera-MonitorSystem ist eine derartige Einrichtung. Unter Beobachtung im Sinne von § 6b Abs. 1 BDSG a.F. ist jede gewollte, auf einige Zeit angelegte Wahrnehmung äußerer Vorgänge zu verstehen. Die durch die Kamera aufgenommenen Bilder müssen nicht aufgezeichnet werden. Es reicht aus, dass die Bewegtbilder in Echtzeit auf einem Bildschirm betrachtet werden können. Allerdings muss der Verantwortliche durch die Beobachtung personenbezogene Daten erheben, d.h. sich beschaffen (vgl. § 3 Abs. 1 und 3 BDSG a.F.). Hierfür müssen auf den Bildern Personen so zu erkennen sein, dass sie identifiziert werden können. Dies ist bei den Bildaufnahmen, die das Kamera-Monitor-System der Klägerin liefert, der Fall, weil die Gesichter der beobachteten Personen erkennbar sind.
Dass eine Beobachtung keine Aufzeichnung der Bildaufnahmen voraussetzt, folgt zum einen daraus, dass die Zulässigkeit der Verarbeitung oder Nutzung der durch die Beobachtung gewonnenen Daten in § 6b Abs. 3 BDSG a.F. gesondert geregelt ist. Zum anderen belegen der Regelungsgehalt des § 6b Abs. 1 BDSG a.F., der die Zulässigkeit der Beobachtung letztlich von dem Ergebnis einer Abwägung der Interessen des Verantwortlichen und der Betroffenen abhängig macht, aber auch die Entstehungsgeschichte der Vorschrift, dass der Bundesgesetzgeber den Einsatz einer optisch-elektronischen Einrichtung auch ohne Aufzeichnung des Bildmaterials als Beeinträchtigung des informationellen Selbstbestimmungsrechts der Betroffenen angesehen hat (BT-Drs. 14/4329 S. 38; BR-Drs. 461/00 S. 92).
Damit hat der Bundesgesetzgeber den potenziell verhaltenslenkenden Wirkungen der Videotechnik für die Betroffenen Rechnung getragen (vgl. BVerfG, Kammerbeschluss vom 23. Februar 2007 – 1 BvR 2368/06 – BVerfGK 10, 330 <336>). Diese Wirkungen treten erfahrungsgemäß auch ohne Aufzeichnung der Bilder ein, zumal die Betroffenen häufig nicht wissen, ob aufgezeichnet wird (Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 19; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 13). Auch der Gerichtshof der Europäischen Union (EuGH) betont, dass die Richtlinie 95/46/EG, deren Vorgaben der Bundesgesetzgeber in dem bis 24. Mai 2018 geltenden Bundesdatenschutzgesetz umgesetzt hat, wegen des spezifischen Eingriffsgehalts der Erhebung und Verarbeitung personenbezogener Daten so auszulegen ist, dass zugunsten der Betroffenen ein hohes Schutzniveau gewährleistet wird (EuGH, Urteile vom 11. Dezember 2014 – C-212/13 [ECLI:EU:C:2014: 2428] – Rn. 27 f. und vom 5. Juni 2018 – C-210/16 [ECLI:EU:C:2018:388] – Rn. 26).
c) Die Zulässigkeitsvoraussetzungen des § 6b Abs. 1 BDSG a.F. gelten für Videoüberwachungen durch nicht-öffentliche Stellen im Sinne von § 2 Abs. 4 BDSG a.F., d.h. durch Privatpersonen wie die Klägerin, auch dann, wenn diese keine Datenverarbeitungsanlage im Sinne von § 1 Abs. 2 Nr. 3 BDSG a.F. einsetzen. Nach dieser Bestimmung war ein solcher Einsatz Voraussetzung dafür, dass das Bundesdatenschutzgesetz für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch diese Stellen galt. Das Oberverwaltungsgericht hat jedoch zutreffend angenommen, dass diese Einschränkung für Videoüberwachungen wegen der speziellen Regelung des § 6b Abs. 1 BDSG a.F. keine Anwendung fand. Aus Normzweck und Systematik dieser Bestimmung folgt, dass der Bundesgesetzgeber in Bezug auf Videoüberwachungen ein generelles Schutzbedürfnis der Betroffenen anerkannt hat. Um diesen Schutz auch gegenüber privaten Verantwortlichen zu gewährleisten, hat er den Begriff der Videoüberwachung in § 6b Abs. 1 BDSG a.F. abschließend definiert und dadurch die Anwendbarkeit des § 1 Abs. 2 Nr. 3 BDSG a.F. ausgeschlossen (Bericht und Beschlussempfehlung, BT-Drs. 14/5793 S. 61 f.). Dementsprechend betrifft die Zulässigkeitsvoraussetzung der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke nach § 6b Abs. 1 Nr. 3 BDSG a.F. Videoüberwachungen zu privaten Zwecken (vgl. unter 3.b)). Videoüberwachungen im öffentlichen Interesse, nämlich zur Aufgabenerfüllung öffentlicher Stellen im Sinne von § 2 Abs. 1 bis 3 BDSG a.F. (Nr. 1) werden bereits durch § 6b Abs. 1 Nr. 1 BDSG a.F. erfasst.
Ungeachtet dessen handelt es sich bei einem Kamera-Monitor-System um eine Datenverarbeitungsanlage im Sinne von § 1 Abs. 2 Nr. 3 BDSG a.F. Darunter fallen technische Vorrichtungen aller Art, wenn sie Daten in einem automatisierten Prozess erfassen oder nutzen. Dies ist insbesondere beim Einsatz digitaler Kameratechnik für Beobachtungen regelmäßig der Fall (BT-Drs. 14/5793 S. 62).
d) Nach alledem sind Videoüberwachungen auch dann nicht von der Geltung des § 6b BDSG a.F. ausgenommen, wenn sie ausschließlich für persönliche oder familiäre Tätigkeiten im Sinne von § 1 Abs. 2 Nr. 3 BDSG a.F. erfolgen. Im Übrigen geht eine solche Beobachtung in aller Regel über die persönliche oder familiäre Sphäre des Verantwortlichen hinaus, weil sie begriffsnotwendig in öffentlich zugänglichen Räumen stattfindet.
3. Die Videoüberwachung des Besuchern zugänglichen Bereichs der Zahnarztpraxis der Klägerin stellt einen Verstoß gegen Vorschriften des Datenschutzes bei der Erhebung personenbezogener Daten im Sinne von § 38 Abs. 5 Satz 1 BDSG a.F. dar, weil die Betroffenen nicht eingewilligt haben und die Zulässigkeitsvoraussetzungen des § 6b Abs. 1 BDSG a.F. nicht vorliegen (§ 4 Abs. 1 BDSG a.F.).
a) Eine rechtswirksame Einwilligung muss auf einer freien Entscheidung beruhen. Die Betroffenen müssen auf den vorgesehenen Zweck der Maßnahme hingewiesen werden. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 1 bis 3 BDSG a.F.).
Danach liegt auf der Hand, dass auch deutlich sichtbar angebrachte Hinweise auf die Beobachtung nicht zu dem Schluss berechtigen, dass Personen durch das Betreten des überwachten Raums rechtswirksam ihr Einverständnis mit der Beobachtung zum Ausdruck bringen (vgl. BVerfG, Kammerbeschluss vom 23. Februar 2007 – 1 BvR 2368/06 – BVerfGK 10, 330 <336>; BVerwG, Urteil vom 25. Januar 2012 – 6 C 9.11 – BVerwGE 141, 329 Rn. 25). Die Hinweisschilder mit der Aufschrift „Videogesichert“ an der Außenseite der Eingangstür und am Tresen der Praxis der Klägerin sind für die Zulässigkeit der Videoüberwachung ohne Bedeutung.
b) Nach § 6b Abs. 1 BDSG a.F. sind Privatpersonen wie die Klägerin unter zwei Voraussetzungen berechtigt, in ihren Räumen, zu denen sie öffentlichen Zugang gewähren, Videoüberwachungen durchzuführen: Zunächst muss die Maßnahme zur Wahrnehmung des Hausrechts (Nr. 2) oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke (Nr. 3) erforderlich sein. Ist dies der Fall, müssen die berechtigten Interessen des Verantwortlichen die Interessen der Betroffenen, von der Beobachtung verschont zu werden, überwiegen. Eine nicht erforderliche Videoüberwachung ist immer unzulässig. Eine Interessenabwägung erübrigt sich, weil der Verantwortliche keine Gründe in die Waagschale legen kann, die zu einer Einschränkung des informationellen Selbstbestimmungsrechts der Betroffenen berechtigen.
Die Rechtfertigungsgründe „Hausrecht“ und „berechtigte Interessen“ lassen sich nicht strikt abgrenzen, sondern überschneiden sich inhaltlich. Das Hausrecht ist das Mittel, das den an einem Raum Berechtigten in die Lage versetzt, darüber zu bestimmen, ob und zu welchem Zweck andere Personen den Raum betreten und sich darin aufhalten dürfen (OVG Münster, Urteil vom 8. Mai 2009 – 16 A 3375/07 – juris Rn. 44; OVG Saarlouis, Urteil vom 14. Dezember 2017 – 2 A 662/17 – CR 2018, 505 <507>; Onstein, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, § 6b BDSG Rn. 28; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 16; Scholz, in: Simitis, BDSG, 8. Aufl. 2014, § 6b Rn. 73). Der Berechtigte kann zwar aufgrund seines Hausrechts missliebiges Verhalten zum Anlass nehmen, Besuchern „die Tür zu weisen“. Allerdings zeigt die Regelungssystematik des § 6b Abs. 1 BDSG a.F., dass er sich nicht beliebig auf das Hausrecht berufen kann, um eine Videoüberwachung durchzuführen. Vielmehr muss er sich auf ein berechtigtes Interesse, d.h. auf einen „guten Grund“ stützen können. Dies kann jedes subjektive Interesse sein, wenn es grundsätzlich schutzwürdig und objektiv begründbar ist (vgl. BTDrs. 14/5793 S. 61).
Es ist Sache des Berechtigten darzulegen, aus welchen Gründen er eine Videoüberwachung seiner Räume für angezeigt hält. Anhand seiner Angaben ist zu beurteilen, ob und in welchem Umfang die Maßnahme erforderlich im Sinne von § 6 Abs. 1 BDSG a.F. ist. Behörden und Gerichte müssen im Rahmen ihrer Pflicht zur Sachaufklärung darauf hinwirken, dass der Berechtigte die angeführten Gründe erläutert oder ergänzt. Nach dem allgemein anerkannten Begriffsverständnis ist Erforderlichkeit anzunehmen, wenn ein Grund, etwa eine Gefährdungslage, hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist, und ihm nicht ebenso gut durch eine andere gleich wirksame, aber schonendere Maßnahme Rechnung getragen werden kann. Schonender als die Videoüberwachung sind insbesondere Maßnahmen, die das informationelle Selbstbestimmungsrecht der Besucher der öffentlich zugänglichen Räume nicht berühren.
Nach diesem Maßstab hat das Oberverwaltungsgericht auf der Grundlage des von ihm nach § 137 Abs. 2 VwGO bindend festgestellten Sachverhalts zu Recht angenommen, dass die von der Klägerin angeführten Gründe die Erforderlichkeit der Videoüberwachung des Besucherbereichs ihrer Zahnarztpraxis während der Öffnungszeiten nicht begründen können. Daher kann dahingestellt bleiben, ob sich die Videoüberwachung auch deshalb nicht als erforderlich erweist, weil die Klägerin darauf verwiesen werden kann, die Eingangstür ihrer Praxis verschlossen zu halten, d.h. die Widmung des Besucherbereichs als öffentlich zugänglich aufzuheben. Die Angaben der Klägerin sind wie folgt zu würdigen:
Die Klägerin hat geltend gemacht, der ungehinderte Zugang zu ihrer Praxis könne ausgenutzt werden, um dort unerkannt Straftaten zu begehen. Die Gesichtspunkte der Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von § 6b Abs. 1 Nr. 3 BDSG a.F. dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. OVG Saarlouis, Urteil vom 14. Dezember 2017 – 2 A 662/17 – CR 2018, 505 <507>; Scholz, in: Simitis, BDSG, 8. Aufl. 2014, § 6b Rn. 78 und 79).
Das Oberverwaltungsgericht hat keine Tatsachen festgestellt, die die Annahme stützen, in Bezug auf die Zahnarztpraxis der Klägerin bestehe eine erhöhte, über das allgemeine Lebensrisiko hinausgehende Gefährdungslage. Danach gibt es keine tatsächlichen Anhaltspunkte, die darauf hindeuten, die Praxis könne während der Öffnungszeiten Tatort für Einbrüche, Überfälle und Gewalttaten werden. Das Gebäude, in dem sich die Praxis befindet, liegt nicht in einem Gebiet mit erhöhtem Gefahrenpotenzial. Die Klägerin hat nicht vorgetragen, in ihrer eigenen oder einer anderen in demselben Gebäude untergebrachten Arztpraxis habe sich eine Straftat ereignet. Die Patienten der Tagesklinik für Psychiatrie haben sich unauffällig verhalten.
Der Umstand, dass in der Praxis Betäubungsmittel und Wertsachen wie etwa Zahngold aufbewahrt werden, ist für sich genommen nicht geeignet, eine besondere Gefährdung in Bezug auf Diebstähle während der Öffnungszeiten zu begründen. Diebstähle von Betäubungsmitteln und Wertsachen, die sich nach dem Vortrag der Klägerin im Bereich des unbesetzten Empfangstresens befinden, kann die Klägerin dadurch verhindern, dass sie für deren Aufbewahrung in verschließbaren Schränken oder Behältern, vorzugsweise in anderen Bereichen der Praxis, sorgt. Der Gefahr, dass Wertsachen von Patienten während der Behandlung aus dem Wartebereich gestohlen werden, kann die Klägerin dadurch begegnen, dass sie die Patienten dazu anhält, ihre Wertsachen in das Behandlungszimmer mitzunehmen. Auch kann sie Behälter zur Verfügung stellen, die nach Einwurf einer Münze oder eines Chips verschlossen werden können.
Schließlich muss der Wartebereich der Praxis nicht überwacht werden, um dort sitzenden Patienten, insbesondere nach der Behandlung, rasch zu Hilfe kommen zu können. So kann diesen Patienten beispielsweise ein Druckknopf in die Hand gegeben werden, den sie im Notfall betätigen können, um Hilfe herbeizurufen. Dies ist auch deshalb vorzugswürdig, weil die Videoüberwachung nach den Feststellungen des Oberverwaltungsgerichts nur einen Teil des Wartebereichs erfasst.
Auch hat die Klägerin nicht ansatzweise dargelegt, dass sie auf die Videoüberwachung angewiesen ist, um die Betriebskosten ihrer Praxis zu senken. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse im Sinne von § 6b Abs. 1 Nr. 3 BDSG a.F. Dies gilt für das Interesse, Personalkosten zu vermeiden, die durch die Einstellung von Beschäftigten anfallen. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (AG Berlin-Mitte, Urteil vom 18. Dezember 2003 – 16 C 427/02 – NJW-RR 2004, 531 <532 f.>; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 6b BDSG Rn. 21).
Diese Erwägungen müssen im vorliegenden Fall nicht näher konkretisiert werden. Die Klägerin kann sich bereits deshalb nicht auf eine Kostenersparnis durch die Videoüberwachung berufen, weil sie insoweit bis zum Abschluss des Berufungsverfahrens keine nachprüfbaren Angaben gemacht hat. Nach den Feststellungen des Oberverwaltungsgerichts hat sich ihr Vortrag auf die pauschale Behauptung beschränkt, ohne die Videoüberwachung würden ihr „um ein Vielfaches höhere Kosten“ entstehen. Es fehlt jeder Hinweis darauf, welche Kosten in welcher Größenordnung sie durch die Videoüberwachung einsparen kann. Die Klägerin hätte sich zumindest dazu äußern müssen, welche Mehrkosten anfielen, wenn sie den Empfangstresen mit einer bereits angestellten Mitarbeiterin besetzen und dort mit Verwaltungsarbeiten (Abrechnungen u.a.) beschäftigen würde.
c) Die Behörde hat das Ermessen rechtsfehlerfrei ausgeübt, das ihr durch § 38 Abs. 5 Satz 1 BDSG a.F. eröffnet war, um eine konkrete Maßnahme zur Beseitigung des Verstoßes gegen § 6b Abs. 1 BDSG a.F. festzulegen (§ 114 Satz 1 VwGO). Die der Klägerin auferlegte Handlungspflicht war geeignet und erforderlich, um die Beobachtung der Praxisräume zu beenden, soweit es sich um eine nach § 6b Abs. 1 BDSG a.F. unzulässige Videoüberwachung handelt.
Die Anordnung, die im Bereich des Empfangstresens angebrachte Digitalkamera auf eine bestimmte Weise auszurichten, betrifft nur denjenigen Bereich der Praxis, der während der Öffnungszeiten öffentlich zugänglich ist. Damit wurde die Klägerin zugleich rechtsverbindlich verpflichtet, den durch die geänderte Ausrichtung geschaffenen Zustand auf Dauer beizubehalten, d.h. die Kamera nicht erneut in die frühere Position zu bringen. Dieses Vorgehen der Beklagten war verhältnismäßig, insbesondere geeignet und erforderlich. Die Verpflichtung zu einer dauerhaft anderen Ausrichtung der Kamera war das mildere Mittel gegenüber einem Abdecken oder Abbau der Kamera. Dadurch wurde es der Klägerin ermöglicht, die Kamera weiterhin zur rechtlich zulässigen Beobachtung des Bereichs hinter dem Empfangstresen einzusetzen. Für eine Unverhältnismäßigkeit im engeren Sinne (Unzumutbarkeit) ergeben sich aus dem Vortrag der Klägerin keine Anhaltspunkte (vgl. zum Gesichtspunkt des Kostenaufwands unter 3.b)).
4. Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung unmittelbar in allen Mitgliedstaaten der Europäischen Union (Art. 99 Abs. 2 DSGVO; Art. 288 Abs. 2 Satz 1 und 2 des Vertrags über die Arbeitsweise der Europäischen Union in der am 1. Dezember 2009 in Kraft getretenen Fassung <ABl. 2007 C 306 S. 1; 2009 C 290 S. 1> – AEUV). Zugleich trat das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66) außer Kraft (Art. 8 Abs. 1 Satz 2 DSAnpUG-EU).
Diese Rechtsänderung hat keine Auswirkungen auf die Beurteilung der Rechtmäßigkeit der streitbefangenen Anordnung und damit auf die Entscheidung über die Revision. Die Anwendung der Datenschutz-Grundverordnung folgt nicht aus dem nationalen Datenschutzrecht, weil dieses den Erlass des Widerspruchsbescheids der Beklagten im Januar 2013 als maßgeblichen Beurteilungszeitpunkt bestimmt (vgl. unter 1.b)). Auch der Datenschutz-Grundverordnung lässt sich nicht entnehmen, dass ihre Regelungen einen Geltungsanspruch für Sachverhalte erheben, die die Behörden der Mitgliedstaaten vor dem 25. Mai 2018 auf der Grundlage des damals geltenden nationalen Rechts verbindlich geregelt haben. Die Verordnung stellt ein neuartiges Regelwerk dar, das darauf abzielt, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen. Dies bringt es mit sich, dass die Regelungskonzepte der Verordnung grundlegend von den bisherigen datenschutzrechtlichen Bestimmungen der Mitgliedstaaten abweichen können. Dies sei anhand eines Vergleichs der Bestimmungen des Art. 58 Abs. 1 und 2 DSGVO über die Untersuchungs- und Abhilfebefugnisse der Aufsichtsbehörden mit dem abgelösten nationalen Datenschutzrecht dargestellt:
Das nationale Recht stellte es weitgehend in das Ermessen der Aufsichtsbehörden, welche Aufklärungsmaßnahmen sie trafen, um datenschutzrechtliche Verstöße festzustellen. Demgegenüber enthält Art. 58 Abs. 1 DSGVO einen abschließenden Maßnahmenkatalog. Behördliche Maßnahmen der Sachaufklärung müssen sich einem Tatbestand des Art. 58 Abs. 1 DSGVO zuordnen lassen. Die Vorschrift belässt den Mitgliedstaaten mit Ausnahme des Zugangs zu Geschäftsräumen nach Art. 58 Abs. 1 Buchst. f DSGVO keinen Regelungsspielraum (vgl. Erwägungsgrund 129 zur Datenschutz-Grundverordnung; Boehm, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 58 DS-GVO Rn. 9; Kugelmann/Buchmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 58 DS-GVO Rn. 27).
Entsprechendes gilt für die Befugnisse der Aufsichtsbehörden zur Beseitigung festgestellter Rechtsverstöße. Während die datenschutzrechtliche Generalklausel des § 38 Abs. 5 Satz 1 BDSG a.F. den Aufsichtsbehörden keine konkreten Abhilfemaßnahmen vorgab, ihnen vielmehr für die Bestimmung des konkreten Inhalts einen Spielraum eröffnete, enthält Art. 58 Abs. 2 DSGVO auch insoweit einen abgestuften Maßnahmenkatalog. Das Vorgehen der Aufsichtsbehörden gegen datenschutzrechtliche Verstöße muss durch einen Abhilfetatbestand des Art. 58 Abs. 2 DSGVO gedeckt sein.
Aufgrund solcher Unterschiede hätte es deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt hat, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen haben, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen sind. Derartige Hinweise enthalten weder der Text der Datenschutz-Grundverordnung noch die
Erwägungsgründe. Vielmehr bestimmt Art. 96 DSGVO die Fortgeltung der vor dem 24. Mai 2016 geschlossenen Übereinkünfte der Mitgliedstaaten mit Drittstaaten und internationalen Organisationen über die Übermittlung personenbezogener Daten.
5. Ungeachtet dessen fände die streitbefangene Anordnung ihre unionsrechtliche Grundlage in Art. 58 Abs. 2 Buchst. d i.V.m. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO. Die Beklagte hat daher keinen Anlass nach Maßgabe der
§§ 49 ff. VwVfG zu prüfen, ob sie die Anordnung für die Zukunft aufrechterhält.
a) Die Anordnung, die Digitalkamera so auszurichten, dass sie den öffentlich zugänglichen Bereich der Zahnarztpraxis der Klägerin nicht erfasst, kann der Abhilfebefugnis nach Art. 58 Abs. 2 Buchst. d DSGVO zugeordnet werden. Danach kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Diese Befugnis soll als Auffangtatbestand grundsätzlich jeden Verstoß gegen die Datenschutz-Grundverordnung, d.h. jede unionsrechtswidrige Verarbeitung von personenbezogenen Daten erfassen (Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-DatenschutzGrundverordnung und BDSGneu, 2018, DSGVO Art. 58 Rn. 33 f.; Kugelmann/Buchmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 58 DS-GVO Rn. 91).
Die Bilder, die das von der Klägerin eingesetzte Kamera-Monitor-System herstellt, enthalten aufgrund der Erkennbarkeit der abgebildeten Personen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO (vgl. unter 2.b)). Bei den Bildaufnahmen handelt es sich um eine Verarbeitung dieser Daten. Nach Art. 4 Nr. 2 DSGVO ist darunter jeder Vorgang zu verstehen, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst.
b) Die Zulässigkeitsvoraussetzungen für die Verarbeitung sind in Art. 6 Abs. 1 DSGVO abschließend geregelt, wobei die Absätze 2 und 3 begrenzte Öffnungsklauseln zugunsten der Mitgliedstaaten enthalten. Haben die Betroffenen wie im vorliegenden Fall nicht rechtswirksam in die Verarbeitung ihrer personenbezogenen Daten eingewilligt (Art. 6 Abs. 1 Unterabs. 1 Buchst. a i.V.m. Art. 4 Nr. 11 DSGVO), sind Verarbeitungsvorgänge nur rechtmäßig, wenn sie auf mindestens einen Erlaubnistatbestand des Art. 6 Abs. 1 DSGVO gestützt werden können.
Datenverarbeitungen durch Privatpersonen wie die Videoüberwachung der Klägerin können von vornherein nicht auf Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO gestützt werden. Danach muss die Datenverarbeitung erforderlich für die Wahrnehmung einer Aufgabe sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Eine zusätzliche Abwägung mit den Interessen der Betroffenen ist nicht vorgesehen. Dies lässt sich in Anbetracht des hohen Stellenwerts des informationellen Selbstbestimmungsrechts der Betroffenen nur rechtfertigen, wenn der Anwendungsbereich des Tatbestands entsprechend seinem Wortlaut auf behördliche oder staatlich veranlasste Verarbeitungsvorgänge beschränkt wird. Die Verarbeitung personenbezogener Daten unterfällt dem Schutzbereich der Grundrechte auf Privatleben nach Art. 7 und auf Schutz der eigenen Daten nach Art. 8 der Grundrechtecharta der Europäischen Union (EuGH, Urteil vom 11. Dezember 2014 – C-212/13 – Rn. 28).
Dementsprechend erfasst Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO Datenverarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen. Privatpersonen können sich darauf nur berufen, wenn ihnen die Befugnis, auf personenbezogene Daten zuzugreifen, im öffentlichen Interesse oder als Ausübung öffentlicher Gewalt übertragen ist. Sie müssen anstelle einer Behörde tätig werden. Dies setzt einen wie auch immer gestalteten staatlichen Übertragungsakt voraus. Eine Privatperson kann sich nicht selbst zum Sachwalter des öffentlichen Interesses erklären. Insbesondere ist sie nicht neben oder gar anstelle der Ordnungsbehörden zum Schutz der öffentlichen Sicherheit berufen. Beim Schutz individueller Rechtsgüter, seien es ihre eigenen oder diejenigen Dritter, verfolgt sie keine öffentlichen, sondern private Interessen (Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 6 DS-GVO Rn. 111 ff.; Kramer, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, Art. 6 Rn. 24 f.; Pabst, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 6 DS-GVO Rn. 95; Wedde, in: Däubler/Wedde/ Weichert/Sommer, EU-Datenschutz-Grundverordnung und BDSGneu, 2018, DSGVO Art. 6 Rn. 87 und 89). Somit kann dahingestellt bleiben, ob es sich bei Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO um einen eigenständigen Erlaubnistatbestand handelt oder die Bestimmung durch unionsrechtliche oder nationale Bestimmungen über behördliche Datenverarbeitungen im öffentlichen Interesse ausgefüllt werden muss (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 6 Rn. 48 und 197).
Daraus folgt, dass die Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO für Verarbeitungen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO Videoüberwachungen privater Verantwortlicher nicht erfassen. Aufgrund dessen ist kein Raum für eine künftige Anwendung des § 4 Abs. 1 Satz 1 des seit 25. Mai 2018 geltenden Bundesdatenschutzgesetzes in der Fassung von Art. 1 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) – BDSG n.F. – als wortgleicher Nachfolgeregelung des § 6b Abs. 1 BDSG a.F. auf Videoüberwachungen privater Verantwortlicher. Diese sind an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zu messen. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Das zweistufige Prüfprogramm dieser Bestimmung entspricht demjenigen des § 6b Abs. 1 BDSG a.F. Die Verarbeitung ist erforderlich, wenn der Verantwortliche zur Wahrung berechtigter, d.h. schutzwürdiger und objektiv begründbarer Interessen darauf angewiesen ist. Eine nach diesem Maßstab erforderliche Verarbeitung ist zulässig, wenn die Abwägung in dem jeweiligen Einzelfall ergibt, dass berechtigte Interessen des Verantwortlichen höher zu veranschlagen sind als das informationelle Selbstbestimmungsrecht der Betroffenen. Hierfür ist nach Erwägungsgrund 47 zur Datenschutz-Grundverordnung unter anderem bedeutsam, ob die Datenverarbeitung für die Verhinderung von Straftaten unbedingt erforderlich ist, ob sie absehbar, d.h. branchenüblich ist, oder ob die Betroffenen in der konkreten Situation vernünftigerweise damit rechnen müssen, dass ihre Daten verarbeitet werden.
Danach wäre die Videoüberwachung des öffentlich zugänglichen Bereichs der Zahnarztpraxis der Klägerin auch nach Maßgabe des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO unzulässig, weil sie nicht erforderlich ist, um berechtigte Interessen der Klägerin zu wahren. Insoweit kann auf die Ausführungen zur Erforderlichkeit nach § 6b Abs. 1 BDSG a.F. unter 3.b) verwiesen werden.
Die Kostenentscheidung folgt aus § 154 Abs. 2 VwGO.
Beschluss
Der Streitwert wird für das Revisionsverfahren auf 5.000 € festgesetzt (§ 47 Abs. 1 Satz 1, § 52 Abs. 2 GKG).
SCHLUSSANTRÄGE DES GENERALANWALTS MACIEJ SZPUNAR vom 21. März 2019 (1) Rechtssache C‑673/17 Planet49 GmbH gegen Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.
(Vorabentscheidungsersuchen des Bundesgerichtshofs [Deutschland])
„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Richtlinie 2002/58/EG – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Cookies – Einwilligung der betroffenen Person – Einwilligungserklärung mittels eines mit einem voreingestellten Häkchen versehenen Ankreuzfelds“
1. Um an einem von Planet49 veranstalteten Gewinnspiel teilzunehmen, musste ein Internetnutzer bei zwei Ankreuzfeldern ein Häkchen setzen oder entfernen, bevor er die Schaltfläche für die Teilnahme betätigen konnte. Dabei musste er zum einen seine Zustimmung erteilen, von einer Reihe von Firmen mit Werbeangeboten kontaktiert zu werden, und zum anderen seine Einwilligung in die Setzung von Cookies auf seinem Computer geben. Dies ist, kurz zusammengefasst, der dem Vorlagebeschluss des Bundesgerichtshofs (Deutschland) zugrunde liegende Sachverhalt.
2. Hinter diesem scheinbar harmlosen Sachverhalt verbergen sich grundlegende Fragen des Datenschutzrechts der Union: Welche genauen Anforderungen bestehen an eine freiwillige, in Kenntnis der Sachlage erteilte Einwilligung? Gibt es einen Unterschied hinsichtlich der (reinen) Verarbeitung personenbezogener Daten sowie dem Setzen von und dem Zugriff auf Cookies? Welche Rechtsvorschriften sind anwendbar?
3. In diesen Schlussanträgen werde ich argumentieren, dass im Rahmen des vorliegenden Falls die Richtlinie 95/46/EG(2) die gleichen Anforderungen an die Einwilligung aufstellt wie die Verordnung (EU) 2016/679(3) und dass es im vorliegenden Fall keine Rolle spielt, ob es um die allgemeine Frage der Verarbeitung personenbezogener Daten geht oder um die speziellere Frage der Speicherung von Informationen mittels Cookies und des Zugriffs auf sie.
A. Unionsrecht
1. Richtlinie 95/46
4. Art. 2 („Begriffsbestimmungen“) der Richtlinie 95/46 sieht vor:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
…
h) ‚Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“
5. In Abschnitt II („Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten“) der Richtlinie 95/46 bestimmt Art. 7 Buchst. a:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
…“
6. Art 10 („Information bei der Erhebung personenbezogener Daten bei der betroffenen Person“) der Richtlinie 95/46 lautet:
„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
c) weitere Informationen, beispielsweise betreffend
– die Empfänger oder Kategorien der Empfänger der Daten,
– die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“
2. Richtlinie 2002/58/EG(4)
7. Die Erwägungsgründe 24 und 25 der Richtlinie 2002/58/EG(5) lauten:
„(24) Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte ‚Spyware‘, ‚Web-Bugs‘, ‚Hidden Identifiers‘ und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen oder die Nutzeraktivität zurückzuverfolgen, und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.
(25) Solche Instrumente, z. B. so genannte ‚Cookies‘, können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. ‚Cookies‘, einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie [95/46] klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen. Dies ist besonders bedeutsam, wenn auch andere Nutzer Zugang zu dem betreffenden Endgerät haben und damit auch zu dort gespeicherten Daten, die sensible Informationen privater Natur beinhalten. Die Auskunft und das Ablehnungsrecht können einmalig für die Nutzung verschiedener in dem Endgerät des Nutzers während derselben Verbindung zu installierender Instrumente angeboten werden und auch die künftige Verwendung derartiger Instrumente umfassen, die während nachfolgender Verbindungen vorgenommen werden [kann]. Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website‑Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.“
8. Art. 2 („Begriffsbestimmungen“) der Richtlinie 2002/58 sieht in Buchst. f vor:
„Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie [95/46] und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (‚Rahmenrichtlinie‘)[(6)] auch für diese Richtlinie.
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck
f) ‚Einwilligung‘ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne [der] Richtlinie [95/46];
9. Art. 5 („Vertraulichkeit der Kommunikation“) der Richtlinie 2002/58 bestimmt in Abs. 3:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
3. Richtlinie 2009/136/EG(7)
10. Der 66. Erwägungsgrund der Richtlinie 2009/136/EG(8) lautet:
„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie [95/46] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“
4. Verordnung 2016/679
11. Der 32. Erwägungsgrund der Verordnung 2016/679 lautet:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“
12. Art. 4 („Begriffsbestimmungen“) der Verordnung 2016/679 sieht in Nr. 11 vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck
11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
13. In Art. 6 („Rechtmäßigkeit der Verarbeitung“) der Verordnung 2016/679 heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
14. Art. 7 („Bedingungen für die Einwilligung“) der Verordnung 2016/679 bestimmt in Abs. 4: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
B. Deutsches Recht
1. Bürgerliches Gesetzbuch
15. § 307(9) des Bürgerlichen Gesetzbuchs (BGB) lautet:
„(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder
2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.
(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.“
2. Gesetz gegen den unlauteren Wettbewerb
16. Das Gesetz gegen den unlauteren Wettbewerb (UWG) verbietet geschäftliche Handlungen, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.
3. Telemediengesetz
17. Mit § 12 Abs. 1 des Telemediengesetzes (TMG) wird Art. 7 Buchst. a der Richtlinie 95/46 umgesetzt und festgelegt, unter welchen Voraussetzungen ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien erheben und verwenden darf. Nach dieser Bestimmung darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
18. Nach § 12 Abs. 3 TMG sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.
19. Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb des Anwendungsbereichs der Richtlinie 95/46 zu unterrichten.
20. § 15 Abs. 1 TMG sieht vor, dass Diensteanbieter personenbezogene Daten nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere Merkmale zur Identifikation der Nutzer.
21. Mit § 15 Abs. 3 TMG wird Art. 5 Abs. 3 der Richtlinie 2002/58 umgesetzt. Er gestattet einem Diensteanbieter, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, sofern der Nutzer dem nicht widerspricht und der Diensteanbieter den Nutzer auf sein Widerspruchsrecht im Einklang mit der Unterrichtungspflicht nach § 13 Abs. 1 TMG hingewiesen hat.
4. Bundesdatenschutzgesetz
22. Mit § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG)(10) wird Art. 2 Buchst. a der Richtlinie 95/46 umgesetzt; der Begriff „personenbezogene Daten“ wird dort definiert als Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
23. Mit § 4a BDSG wird Art. 2 Buchst. h der Richtlinie 95/46 in nationales Recht umgesetzt; er sieht vor, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung der Betroffenen beruht.
24. Am 24. September 2013 veranstaltete die Planet49 GmbH unter der Internetadresse www.dein-macbook.de(11) ein Gewinnspiel zu Werbezwecken. Um an dem Gewinnspiel teilnehmen zu können, musste ein Internetnutzer seine Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern für den Namen und die Adresse des Nutzers angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Ich werde sie im Folgenden als „erstes Ankreuzfeld“ und „zweites Ankreuzfeld“ bezeichnen. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“
25. Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
26. Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde.
27. Der elektronische Link, der im ersten Hinweistext den Worten „Sponsoren und Kooperationspartner“ und „hier“ unterlegt war, führte zu einer Liste, die 57 Unternehmen, ihre Adressen, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E‑Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:
„Durch Anklicken auf dem Link ‚Abmelden‘ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt Planet49 für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“
28. Bei Betätigung des im zweiten Hinweistext dem Wort „hier“ unterlegten elektronischen Links wurde folgende Information angezeigt:
„Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.
Anschließend kann die Planet49 GmbH aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E‑Mail-Werbung mehr.
Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.
Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.
Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.
Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an die PLANET49 GmbH [Adresse] richten. Es genügt jedoch auch eine E‑Mail an unseren Kundenservice [E‑Mail-Adresse].“
29. Der Kläger des Ausgangsverfahrens, der Bundesverband der Verbraucherzentralen (im Folgenden: Bundesverband), ist in die Liste qualifizierter Einrichtungen nach dem Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG) eingetragen. Seines Erachtens genügten die oben wiedergegebenen, von Planet49 verwendeten Einverständniserklärungen nicht den in § 307 BGB, § 7 Abs. 2 Nr. 2 UWG und den §§ 12 ff. TMG aufgestellten Anforderungen. Eine vorgerichtliche Abmahnung blieb ohne Erfolg.
30. Der Bundesverband erhob beim Landgericht Frankfurt am Main (Deutschland) Klage mit dem Antrag, Planet49 zu verurteilen, die oben genannten Klauseln(12) nicht mehr zu verwenden und an den Bundesverband 214 Euro nebst Zinsen ab dem 15. März 2014 zu zahlen.
31. Das Landgericht Frankfurt am Main gab einigen Klageanträgen statt und wies die Klage im Übrigen ab. Im Anschluss an eine beim Oberlandesgericht Frankfurt am Main (Deutschland) eingelegte Berufung(13) ist der Bundesgerichtshof als Revisionsgericht(14) mit der Klage befasst.
32. Der Bundesgerichtshof ist der Ansicht, dass der Erfolg der Revision von der Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 sowie des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 abhänge. Er hat dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
33. Der Vorlagebeschluss ist am 30. November 2017 beim Gerichtshof eingegangen. Planet49, der Bundesverband, die portugiesische und die italienische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Am 13. November 2018 hat eine mündliche Verhandlung stattgefunden, an der Planet49, der Bundesverband, die deutsche Regierung und die Kommission teilgenommen haben.
34. Die beiden vom Bundesgerichtshof zur Vorabentscheidung vorgelegten Fragen beziehen sich auf die Einwilligung in die Speicherung von Informationen und den Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, d. h. auf Cookies, im speziellen Kontext der Bestimmungen der Richtlinie 2002/58 in Verbindung mit den Bestimmungen der Richtlinie 95/46 oder der Verordnung 2016/679.
35. Es erscheint mir hilfreich, durch Vorbemerkungen in tatsächlicher Hinsicht klarzustellen, was unter Cookies und verwandter Terminologie zu verstehen ist, und in rechtlicher Hinsicht, welche Rechtsvorschriften auf den vorliegenden Fall anwendbar sind.
A. Vorbemerkungen
1. Zu Cookies
36. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden(15). Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert wird(16).
37. Ein Cookie erlaubt es der Website, sich dauerhaft an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen. Viele Nutzer konfigurieren die Cookie-Einstellungen in ihren Browsern so, dass die Cookies standardmäßig automatisch gelöscht werden, wenn das Browserfenster geschlossen wird. Es gibt allerdings eine Fülle empirischer Belege dafür, dass die Standardeinstellungen selten geändert werden, ein Phänomen, das als „Default-Trägheit“ bezeichnet worden ist(17).
38. Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.
39. Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln(18). Unternehmen verwenden z. B. Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist(19).
40. Es gibt verschiedene Arten von Cookies. Eine Eingruppierung kann anhand ihrer Lebensdauer vorgenommen werden (z. B. Sitzungscookies und persistente Cookies) oder anhand der Domain, zu der sie gehören (z. B. Erstanbieter- und Drittanbieter-Cookies)(20). Wenn der Webserver, der die Internetseite speist, Cookies auf dem Computer oder dem mobilen Endgerät des Nutzers speichert, spricht man von „HTTP-Header-Cookies“(21). Ferner können Cookies mittels JavaScript-Code gespeichert werden, der sich auf der Seite befindet oder dort referenziert wird(22). Die Gültigkeit der Einwilligung zum Setzen von Cookies und die Anwendbarkeit einschlägiger Ausnahmen sollten jedoch anhand des Zwecks der Cookies beurteilt werden und nicht anhand ihrer technischen Merkmale(23).
2. Zu den anwendbaren Rechtsvorschriften
41. Der für das Ausgangsverfahren geltende rechtliche Rahmen hat sich im Lauf der Jahre fortentwickelt, zuletzt durch das Inkrafttreten der Verordnung 2016/679.
42. Im vorliegenden Fall sind zwei Gruppen von Unionsvorschriften anwendbar. Erstens die Richtlinie 95/46 und die Verordnung 2016/679. Zweitens die Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung(24).
43. Ich möchte zwei Bemerkungen in Bezug auf diese beiden Gruppen von Rechtsvorschriften machen.
44. Die erste Bemerkung betrifft die Anwendbarkeit der Richtlinie 95/46 und der Verordnung 2016/679.
45. Durch die Verordnung 2016/679, die seit dem 25. Mai 2018 gilt(25), wurde die Richtlinie 95/46 mit Wirkung vom gleichen Tag aufgehoben(26).
46. Der 25. Mai 2018 liegt nach der letzten mündlichen Verhandlung vor dem vorlegenden Gericht, die am 14. Juli 2017 stattfand, und auch nach dem 5. Oktober 2017, an dem die vorliegende Rechtssache dem Gerichtshof zur Vorabentscheidung vorgelegt wurde.
47. Für Sachverhalte vor dem 25. Mai 2018 gilt daher die Richtlinie 2002/58 in Verbindung mit der Richtlinie 95/46, für Sachverhalte ab dem 25. Mai 2018 dagegen die Richtlinie 2002/58 in Verbindung mit der Verordnung 2016/679.
48. Soweit der Bundesverband beantragt, Planet49 zu verurteilen, ihr bisheriges Verhalten künftig zu unterlassen(27), ist im vorliegenden Fall die Verordnung 2016/679 anwendbar. Bei seiner Entscheidung über das in die Zukunft gerichtete Unterlassungsbegehren wird der Bundesgerichtshof daher die Erfordernisse der Verordnung 2016/679 zu berücksichtigen haben. In diesem Zusammenhang weist die deutsche Regierung auf eine ständige innerstaatliche Rechtsprechung zur einschlägigen Rechtslage bei Unterlassungsklagen hin(28).
49. Infolgedessen ist die vorgelegte Frage sowohl anhand der Richtlinie 95/46 als auch anhand der Verordnung 2016/679 zu beantworten(29).
50. Überdies ist darauf hinzuweisen, dass Verweise auf die Richtlinie 95/46 in der Richtlinie 2002/58 als Verweise auf die Verordnung 2016/679 gelten(30).
51. Die zweite Bemerkung betrifft die Entwicklung von Art. 5 Abs. 3 der Richtlinie 2002/58.
52. Mit der Richtlinie 2002/58 soll gewährleistet werden, dass die in der Charta der Grundrechte der Europäischen Union und insbesondere in deren Art. 7 und 8 niedergelegten Rechte uneingeschränkt geachtet werden(31). Art. 5 dieser Richtlinie soll die „Vertraulichkeit der Kommunikation“ gewährleisten. Insbesondere regelt Art. 5 Abs. 3 die Verwendung von Cookies und legt fest, welche Anforderungen erfüllt sein müssen, bevor auf dem Computer eines Nutzers durch die Setzung eines Cookies Daten gespeichert werden dürfen oder auf sie zugegriffen werden darf.
53. Durch die Richtlinie 2009/136 wurden die in Art. 5 Abs. 3 der Richtlinie 2002/58 aufgestellten Anforderungen an die Einwilligung erheblich geändert, um den Schutz der Nutzer zu verbessern. Vor den Änderungen durch die Richtlinie 2009/136 verlangte Art. 5 Abs. 3 lediglich, dass die Nutzer auf das Recht hingewiesen werden, die Datenverarbeitung mittels Cookies zu verweigern („informed opt-out“). Mit anderen Worten musste der Diensteanbieter nach der ursprünglichen Fassung von Art. 5 Abs. 3 im Fall der Speicherung von Informationen auf dem Endgerät des Nutzers oder des Zugriffs auf dort gespeicherte Informationen den Nutzer klar und umfassend insbesondere über den Zweck der Verarbeitung informieren und ihn auf das Recht hinweisen, diese Verarbeitung zu verweigern.
54. Mit der Richtlinie 2009/136 wurde dieses Erfordernis des Hinweises auf das Weigerungsrecht durch das Erfordernis ersetzt, dass „der betreffende Teilnehmer oder Nutzer … seine Einwilligung gegeben hat“. Das System des „informed opt-out“, dem leichter Genüge getan werden konnte, wurde also durch ein System des „informed opt-in“ ersetzt. Abgesehen von einer eng begrenzten, im vorliegenden Fall nicht anwendbaren Ausnahme(32) ist die Verwendung von Cookies nach der geänderten Fassung von Art. 5 Abs. 3 der Richtlinie 2002/58 nur zulässig, wenn der Nutzer eingewilligt hat, nachdem er gemäß der Richtlinie 95/46 klare und umfassende Informationen darüber erhalten hat, weshalb seine Daten nachverfolgt werden, d. h. über die Zwecke der Verarbeitung(33).
55. Wie nachfolgend näher dargelegt wird, steht die Tragweite des Erfordernisses, Informationen bereitzustellen, in Art. 5 Abs. 3 der Richtlinie 2002/58 im Mittelpunkt der Streitfrage, insbesondere im Kontext von Standardeinstellungen für Onlineaktivitäten.
B. Erste Frage
56. Mit Buchst. a seiner ersten Frage möchte das vorlegende Gericht wissen, ob es sich um eine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. In diesem Zusammenhang möchte das vorlegende Gericht ferner wissen, ob es einen Unterschied macht, ob die gespeicherten oder abgerufenen Informationen personenbezogene Daten sind (Buchst. b der ersten Frage). Schließlich möchte es wissen, ob unter den oben geschilderten Umständen eine wirksame Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vorliegt (Buchst. c der ersten Frage).
1. Zur freiwillig und in Kenntnis der Sachlage erteilten Einwilligung
57. Eines der dem Datenschutzrecht der Union zugrunde liegenden Merkmale ist die Einwilligung.
58. Bevor ich mich speziell den Cookies zuwende, möchte ich allgemeine, den einschlägigen Rechtsvorschriften zu entnehmende Grundsätze für die Erteilung einer Einwilligung aufstellen.
a) Im Rahmen der Richtlinie 95/46
1) Aktive Einwilligung
59. Ich schließe aus den Bestimmungen der Richtlinie 95/46, dass die Einwilligung aktiv(34) zum Ausdruck gebracht werden muss.
60. In Art. 2 Buchst. h der Richtlinie 95/46 ist von einer Willensbekundung der betroffenen Person die Rede, was klar auf aktives und nicht passives Verhalten hindeutet. Außerdem heißt es in Art. 7 Buchst. a der Richtlinie 95/46, der sich mit den Grundsätzen in Bezug auf die Zulässigkeit der Verarbeitung von (personenbezogenen) Daten befasst, dass die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben haben muss. Zweifel können aber nur durch aktives und nicht durch passives Verhalten beseitigt werden.
61. Ich schließe daraus, dass es insoweit nicht ausreicht, wenn die Einwilligungserklärung des Nutzers vorformuliert ist und der Nutzer aktiv widersprechen muss, falls er mit der Verarbeitung der Daten nicht einverstanden ist.
62. Im letztgenannten Fall weiß man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation ist nicht frei von Zweifeln. Ein Nutzer kann den Text gelesen haben oder auch nicht. Er kann dies aus reiner Nachlässigkeit unterlassen haben. In einer solchen Situation lässt sich nicht ermitteln, ob die Einwilligung freiwillig erteilt wurde.
2) Gesonderte Einwilligung
63. Mit dem Erfordernis der aktiven Einwilligung eng verbunden ist das Erfordernis der gesonderten Einwilligung(35).
64. Man könnte, wie Planet49 es tut, geltend machen, dass die betroffene Person eine gültige Einwilligung nicht dadurch erteile, dass sie das Häkchen vor einer vorformulierten Einwilligungserklärung nicht entferne, sondern dadurch, dass sie aktiv die Schaltfläche für die Teilnahme an dem Online-Gewinnspiel anklicke.
65. Ich schließe mich dieser Auslegung nicht an.
66. Eine Einwilligung wird nur dann freiwillig und in Kenntnis der Sachlage erteilt, wenn dies nicht nur aktiv, sondern auch gesondert geschieht. Die Aktivitäten eines Nutzers im Internet (Lektüre einer Internetseite, Teilnahme an einem Gewinnspiel, Anschauen eines Videos usw.) und die Erteilung einer Einwilligung können nicht Teil derselben Handlung sein. Insbesondere kann, aus der Perspektive des Nutzers, die Erteilung der Einwilligung nicht als Nebenwirkung der Teilnahme am Gewinnspiel erscheinen. Beide Handlungen müssen insbesondere optisch in gleicher Weise präsentiert werden. Infolgedessen halte ich es für zweifelhaft, dass ein Bündel von Willenserklärungen, zu denen die Erteilung einer Einwilligung gehören würde, mit dem Begriff der Einwilligung im Sinne der Richtlinie 95/46 im Einklang stünde.
3) Pflicht zur umfassenden Information
67. In diesem Kontext muss einem Nutzer unmissverständlich klar gemacht werden, ob das, was er im Internet tut, von der Erteilung einer Einwilligung abhängig ist. Ein Nutzer muss ermessen können, in welchem Umfang er bereit ist, seine Daten preiszugeben, um seine Aktivität im Internet zu entfalten. Es darf keinen Raum für die geringste Unklarheit geben(36). Ein Nutzer muss wissen, ob und, wenn ja, in welchem Umfang sich die Erteilung seiner Einwilligung auf die Entfaltung seiner Aktivität im Internet auswirkt.
b) Im Rahmen der Verordnung 2016/679
68. Die oben aufgestellten Grundsätze gelten auch für die Verordnung 2016/679.
69. In Art. 4 Nr. 11 der Verordnung 2016/679 wird die Einwilligung der betroffenen Person als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung definiert, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
70. Diese Definition ist insofern enger als die Definition in Art. 2 Buchst. h der Richtlinie 95/46, als sie eine unmissverständlich abgegebene Willensbekundung der betroffenen Person und eine eindeutige bestätigende Handlung verlangt, die das Einverständnis mit der Verarbeitung personenbezogener Daten zum Ausdruck bringt.
71. Darüber hinaus sind die Erwägungsgründe der Verordnung 2016/679 besonders erhellend. Da ich ausführlich auf die Erwägungsgründe Bezug nehmen werde(37), sehe ich mich zu dem Hinweis veranlasst, dass sie natürlich keine eigene rechtliche Bedeutung haben(38), dass der Gerichtshof aber bei der Auslegung von Bestimmungen eines Unionsrechtsakts häufig auf sie zurückgreift. In der Unionsrechtsordnung sind sie deskriptiver, nicht normativer Natur. Tatsächlich stellt sich die Frage der rechtlichen Bedeutung der Erwägungsgründe normalerweise aus dem einfachen Grund nicht, weil sie sich gewöhnlich in den Rechtsvorschriften einer Richtlinie widerspiegeln. Gute Rechtsetzungstechnik der politischen Organe der Union zielt auf eine Situation ab, in der die Erwägungsgründe einen nutzbringenden Hintergrund für die Vorschriften eines Rechtsakts liefern(39).
72. Nach dem 32. Erwägungsgrund der Verordnung 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte u. a. durch das Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
73. Die Verordnung 2016/679 sieht mithin nunmehr ausdrücklich eine aktive Einwilligung vor.
74. Überdies heißt es im 43. Erwägungsgrund der Verordnung, dass die Einwilligung, um sicherzustellen, dass sie freiwillig erfolgt ist, in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern sollte. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl sie für die Erfüllung nicht erforderlich ist.
75. Das Erfordernis einer gesonderten Einwilligung wird mithin in diesem Erwägungsgrund nunmehr ausdrücklich hervorgehoben.
c) Im Rahmen der Richtlinie 2002/58 – der Fall von Cookies
76. Nach Art. 5 Abs. 3 der Richtlinie 2002/58 müssen die Mitgliedstaaten sicherstellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
77. In dieser Bestimmung werden keine weiteren Kriterien hinsichtlich des Begriffs der Einwilligung aufgestellt.
78. Die Erwägungsgründe der Richtlinie 2002/58 und der Richtlinie 2009/136 bieten jedoch Anhaltspunkte für die Einwilligung in Bezug auf Cookies.
79. So wird im 17. Erwägungsgrund der Richtlinie 2002/58 ausgeführt, dass die Einwilligung in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt, und dass hierzu auch das Markieren eines Feldes auf einer Internet-Website zählt(40).
80. Darüber hinaus wird im 66. Erwägungsgrund der Richtlinie 2009/136 erläutert, dass es von größter Wichtigkeit ist, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zur Speicherung von Informationen im Endgerät eines Nutzers oder zum Zugriff auf bereits gespeicherte Informationen führen könnte, und dass die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, so benutzerfreundlich wie möglich gestaltet werden sollten.
81. In diesem Zusammenhang möchte ich auch auf die unverbindliche, aber gleichwohl aufschlussreiche Arbeit der Artikel-29-Datenschutzgruppe hinweisen(41). Danach impliziert die Einwilligung eine vorherige positiv bejahende Handlung der Nutzer in Bezug auf eine Einwilligung in die Speicherung des Cookies und in dessen Verwendung(42). Die Datenschutzgruppe hat ferner ausgeführt, dass der Begriff „Willensbekundung“ eine Handlung fordere(43). Andere Elemente der Definition der Einwilligung und die zusätzliche Anforderung in Art. 7 Buchst. a der Richtlinie 95/46, dass die Einwilligung ohne jeden Zweifel erfolgen muss, stützen diese Auslegung(44). Das Erfordernis, dass die betroffene Person ihre Einwilligung „zum Ausdruck bringen“ muss, deutet darauf hin, dass bloße Untätigkeit nicht ausreicht und dass irgendeine Art von Handlung für die Einwilligung erforderlich ist. Es sind jedoch verschiedene Handlungen möglich, die „im jeweiligen Zusammenhang“ bewertet werden müssen(45).
2. Anwendung auf den vorliegenden Fall
82. Ich möchte mich nun der Anwendung dieser Kriterien auf den vorliegenden Fall zuwenden. Dabei werde ich mich zunächst mit den Buchst. a und c der ersten Frage befassen, d. h. damit, ob eine wirksame Einwilligung in die Setzung der Cookies und den Zugriff auf sie vorlag. Dies betrifft das zweite Ankreuzfeld.
83. In Anbetracht dessen, dass sich – wie soeben dargelegt – die Anforderungen an die Einwilligung bei Cookies und, allgemeiner, bei der Verarbeitung personenbezogener Daten nur wenig voneinander unterscheiden, halte ich es sowohl der Vollständigkeit als auch der Klarheit halber zur korrekten und einheitlichen Auslegung des Unionsrechts zudem für erforderlich, kurz zu prüfen, ob in Bezug auf die Verarbeitung personenbezogener Daten im Kontext des ersten Ankreuzfelds eine wirksame Einwilligung vorlag, obwohl das vorlegende Gericht nicht ausdrücklich danach fragt. Nach meinem Verständnis wird der Bundesgerichtshof im Kontext des bei ihm anhängigen Verfahrens auch über das erste Ankreuzfeld zu entscheiden haben(46).
a) Zweites Ankreuzfeld – Buchst. a und c der ersten Frage
84. Das vorlegende Gericht möchte wissen, ob es sich um eine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
85. Die entscheidenden Begriffe für die Beantwortung dieser Frage sind „ohne Zwang“ und „in Kenntnis der Sachlage“ in Art. 2 Buchst. h der Richtlinie 95/46 bzw. „freiwillig“ und „in informierter Weise“ in Art. 4 Nr. 11 der Verordnung 2016/679. Fraglich ist, ob eine Einwilligung in einer Situation, wie sie das vorlegende Gericht beschreibt, in dieser Weise erteilt werden kann.
86. Planet49 bejaht dies. Alle übrigen Parteien(47) sind anderer Meinung. In diesem Kontext konzentrieren sich die Rechtsausführungen der Parteien in erster Linie darauf, ob das Setzen oder Entfernen eines Häkchens in einem bereits ausgefüllten Ankreuzfeld diese Anforderungen erfüllt. Gegenstand der Erörterung ist die Frage von Aktivität und Passivität. Dieser Aspekt, so wichtig er auch ist, stellt jedoch nur einen Teil der Anforderungen dar. Er betrifft nämlich nur das Erfordernis der aktiven Einwilligung, nicht aber das der gesonderten Einwilligung.
87. Meines Erachtens lautet die Antwort auf der Grundlage der oben dargelegten Kriterien, dass im vorliegenden Fall keine wirksame Einwilligung vorliegt.
88. Erstens ist das Kriterium der aktiven Einwilligung nicht erfüllt, wenn ein Nutzer ein vorhandenes Häkchen entfernen und somit aktiv werden muss, sofern er nicht in das Setzen von Cookies einwilligt. In einer solchen Situation ist es praktisch unmöglich, objektiv zu bestimmen, ob ein Nutzer seine Einwilligung auf der Grundlage einer freiwillig und in Kenntnis der Sachlage getroffenen Entscheidung erteilt hat. Muss ein Nutzer ein Feld ankreuzen, kann davon hingegen mit sehr viel größerer Wahrscheinlichkeit ausgegangen werden.
89. Zweitens und vor allem können die Teilnahme an dem Online-Gewinnspiel und die Erteilung der Einwilligung in die Setzung von Cookies nicht Teil derselben Handlung sein. Genau dies ist hier aber der Fall. Letztlich nimmt ein Nutzer nur einen Klick vor, und zwar auf die für die Teilnahme am Online-Gewinnspiel vorgesehene Schaltfläche. Gleichzeitig willigt er in die Setzung von Cookies ein. Zwei Willenserklärungen (Teilnahme am Gewinnspiel und Einwilligung in die Setzung von Cookies) werden gleichzeitig abgegeben. Sie können nicht beide derselben Schaltfläche für die Teilnahme zugeordnet werden. Im vorliegenden Fall erscheint die Einwilligung in die Cookies insofern nachrangig, als keineswegs klar ist, dass sie Teil einer gesonderten Handlung ist. Anders ausgedrückt, das Setzen oder Entfernen des Häkchens in dem die Cookies betreffenden Ankreuzfeld erscheint als vorbereitende Handlung für die abschließende und rechtlich bindende Handlung, die Betätigung der Schaltfläche für die Teilnahme.
90. In einer solchen Situation ist ein Nutzer nicht in der Lage, aus freien Stücken seine gesonderte Einwilligung in die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits in seinem Endgerät gespeichert sind, zu erteilen.
91. Überdies war die Teilnahme am Gewinnspiel, wie oben dargelegt, nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde. Infolgedessen war die Teilnahme am Gewinnspiel nicht davon abhängig(48), dass die Einwilligung zum Setzen von und zum Zugriff auf Cookies gegeben wurde. Denn ein Nutzer hätte auch (nur) das erste Ankreuzfeld anklicken können.
92. Meines Wissens wurde der Nutzer darüber aber nie informiert. Dies steht nicht im Einklang mit dem oben dargelegten Kriterium, die Nutzer umfassend zu informieren.
93. Im Ergebnis schlage ich vor, auf die Buchst. a und c der ersten Frage zu antworten, dass in einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 vorliegt. Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung 2016/679.
b) Erstes Ankreuzfeld
94. Obwohl sich die Fragen des vorlegenden Gerichts nur auf das zweite Ankreuzfeld beziehen, möchte ich zwei spezielle Bemerkungen zum ersten Ankreuzfeld machen, die dem vorlegenden Gericht bei seiner abschließenden Entscheidung hilfreich sein könnten.
95. Das erste Ankreuzfeld betrifft, wie bereits ausgeführt, keine Cookies, sondern nur die Verarbeitung personenbezogener Daten. Insoweit erklärt sich ein Nutzer nicht mit der Speicherung von Informationen auf seinem Gerät einverstanden, sondern (lediglich) damit, dass ihn eine Reihe von Firmen postalisch, telefonisch oder per E‑Mail kontaktiert.
96. Erstens gelten die Kriterien für die aktive und gesonderte Einwilligung und die umfassende Information natürlich auch in Bezug auf das erste Ankreuzfeld. Die aktive Einwilligung dürfte unproblematisch sein, da das Ankreuzfeld nicht vorausgefüllt ist. Zweifel habe ich hingegen bei der gesonderten Einwilligung. Auf der Basis der obigen Analyse(49) wäre es angesichts des Sachverhalts des vorliegenden Falls besser, wenn, bildlich gesprochen, zur Einwilligung in die Verarbeitung personenbezogener Daten eine gesonderte Schaltfläche anzuklicken wäre(50) und nicht lediglich ein Feld anzukreuzen.
97. Zweitens sollte hinsichtlich des ersten, die Kontaktaufnahme durch Sponsoren und Kooperationspartner betreffenden Ankreuzfelds Art. 7 Abs. 4 der Verordnung 2016/679 berücksichtigt werden. Nach dieser Bestimmung muss bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, in größtmöglichem Umfang dem Umstand Rechnung getragen werden, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. In Art. 7 Abs. 4 der Verordnung 2016/679 wird daher nunmehr ein „Koppelungsverbot“ aufgestellt(51).
98. Wie sich aus den Worten „muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden“ ergibt, ist das Koppelungsverbot kein absolutes Verbot(52).
99. Insoweit wird das zuständige Gericht zu beurteilen haben, ob die Einwilligung in die Verarbeitung personenbezogener Daten für die Teilnahme am Gewinnspiel erforderlich ist. Dabei sollte bedacht werden, dass der hinter der Teilnahme am Gewinnspiel stehende Zweck der „Verkauf“ personenbezogener Daten ist (d. h. die Einwilligung, von sogenannten „Sponsoren“ mit Werbeangeboten kontaktiert zu werden). Mit anderen Worten besteht die Hauptpflicht, die der Nutzer erfüllen muss, um an dem Gewinnspiel teilnehmen zu können, darin, personenbezogene Daten zur Verfügung zu stellen. In einer solchen Situation scheint mir, dass die Verarbeitung dieser personenbezogenen Daten für die Teilnahme am Gewinnspiel erforderlich ist(53).
3. Zu den personenbezogenen Daten (Buchst. b der ersten Frage)
100. Ich möchte nunmehr prüfen, ob es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
101. Am besten lässt sich diese Frage vor dem Hintergrund des deutschen Rechts verstehen, mit dem Art. 5 Abs. 3 der Richtlinie 2002/58(54) umgesetzt wurde. Im deutschen Recht wird nämlich zwischen der Erhebung und Verwendung personenbezogener Daten und anderer Daten unterschieden.
102. Nach § 12 Abs. 1 TMG hängt die Zulässigkeit der Erhebung und Verwendung personenbezogener Daten durch einen Diensteanbieter u. a. davon ab, ob der Nutzer eingewilligt hat.
103. Nach § 15 Abs. 3 TMG darf ein Diensteanbieter hingegen u. a. für Zwecke der Werbung und der Marktforschung Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Soweit keine personenbezogenen Daten betroffen sind, sind die Anforderungen nach deutschem Recht somit weniger strikt: keine Einwilligung, sondern nur fehlender Widerspruch.
104. Nach der Legaldefinition in Art. 4 Nr. 1 der Verordnung 2016/679 sind personenbezogene Daten „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (… ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
105. Meines Erachtens steht außer Zweifel, dass es sich im vorliegenden Fall bei den „Informationen“, von denen in Art. 5 Abs. 3 der Richtlinie 2002/58 die Rede ist, um „personenbezogene Daten“ handelt. Auch das vorlegende Gericht scheint das so zu sehen, denn es stellt in seinem Vorlagebeschluss ausdrücklich fest, dass der Abruf von Daten aus den von der Beklagten verwendeten Cookies dem Einwilligungserfordernis des § 12 Abs. 1 TMG unterliege, weil es sich dabei um personenbezogene Daten handele(55). Überdies scheint zwischen den Parteien des Ausgangsverfahrens unstreitig zu sein, dass wir es hier mit personenbezogenen Daten zu tun haben.
106. Man könnte sich daher fragen, ob diese Frage im vorliegenden Fall von Relevanz ist und ob es sich nicht um eine hypothetische Frage handelt(56).
107. Ungeachtet dessen scheint mir die Antwort auf diese Frage recht eindeutig zu sein: Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“(57). Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.
108. Ein solches Verständnis von Art. 5 Abs. 3 der Richtlinie 2002/58 wird überdies durch die Erwägungsgründe 24(58) und 25(59) dieser Richtlinie sowie durch Stellungnahmen der Artikel-29-Datenschutzgruppe bestätigt. Sie führt aus: „Artikel 5 Absatz 3 gilt für ‚Informationen‘ (gespeicherte Informationen und/oder Informationen, auf die Zugriff genommen wird). Er macht hier keinen Unterschied. Für die Anwendung dieser Bestimmung ist es nicht erforderlich, dass es sich bei den Informationen um personenbezogene Daten im Sinne der Richtlinie [95/46] handelt.“(60)
109. Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt(61).
110. Ich schlage daher vor, auf Buchst. b der ersten Frage zu antworten, dass es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 keinen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
C. Zweite Frage
111. Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.
1. Zu den klaren und umfassenden Informationen
112. Die Art. 10 und 11 der Richtlinie 95/46 (und die Art. 13 und 14 der Verordnung 2016/679) enthalten eine Verpflichtung, den betroffenen Personen Informationen mitzuteilen. Die Informationspflicht ist insofern mit der Einwilligung verknüpft, als es stets Informationen geben muss, bevor eine Einwilligung erteilt werden kann.
113. Angesichts der begrifflichen Nähe zwischen einem Internetnutzer (sowie einem ‑anbieter) und einem Verbraucher (sowie einem Gewerbetreibenden)(62) kann an dieser Stelle auf das Konzept des normal informierten, angemessen aufmerksamen und verständigen europäischen Durchschnittsverbrauchers(63) zurückgegriffen werden, der in der Lage ist, über die Eingehung einer Verpflichtung in voller Kenntnis der Sachlage zu entscheiden(64).
114. Wegen der technischen Komplexität von Cookies, der asymmetrischen Informationsverteilung zwischen Anbieter und Nutzer und, allgemeiner, des relativen Mangels an Kenntnissen jedes durchschnittlichen Internetnutzers kann von einem solchen Nutzer jedoch kein hoher Kenntnisstand in Bezug darauf erwartet werden, wie Cookies funktionieren.
115. Klare und umfassende Informationen bedeuten somit, dass ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln. Dabei muss er in der Lage sein, die Auswirkungen seiner Handlungen zu beurteilen. Die gegebenen Informationen müssen klar verständlich sein und dürfen nicht mehrdeutig oder auslegungsbedürftig sein. Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen.
116. Dazu zählen, wie das vorlegende Gericht zu Recht zur Debatte stellt, sowohl die Funktionsdauer der Cookies als auch die Frage, ob Dritte auf die Cookies Zugriff erhalten.
2. Informationen über die Funktionsdauer der Cookies
117. Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“. Selbst wenn das Cookie von wesentlicher Bedeutung ist, muss die Frage, wie intrusiv es ist, für die Zwecke der Einwilligung anhand der Begleitumstände geprüft werden. Neben der Frage, welche Daten jedes Cookie enthält und ob es mit anderen Informationen über den Nutzer verknüpft ist, müssen die Diensteanbieter berücksichtigen, welche Lebensdauer das Cookie hat und ob diese im Licht seines Zwecks angemessen ist.
118. Die Funktionsdauer der Cookies hängt mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen. Diese Information ist von größter Bedeutung, um es den betroffenen Personen zu ermöglichen, Entscheidungen in voller Kenntnis der Sachlage vor der Verarbeitung zu treffen(65). Wie die portugiesische und die italienische Regierung vorgebracht haben, muss dem Nutzer, da die mit den Cookies gesammelten Daten gelöscht werden müssen, sobald sie zur Erfüllung des ursprünglichen Zwecks nicht mehr benötigt werden, der Zeitraum, für den die gesammelten Daten gespeichert werden, klar mitgeteilt werden.
3. Informationen darüber, ob Dritte Zugriff erhalten
119. Insoweit macht Planet49 geltend, sofern Dritte Zugriff auf ein Cookie erhielten, müssten die Nutzer auch darüber informiert werden. Habe aber, wie im vorliegenden Fall, nur ein Anbieter, der das Cookie setzen wolle, Zugriff darauf, reiche es aus, wenn auf diesen Umstand hingewiesen werde. Auf die Tatsache, dass andere Anbieter keinen Zugriff hätten, müsse nicht gesondert hingewiesen werden. Eine solche Pflicht wäre mit der Intention des Gesetzgebers, dass die datenschutzrechtlichen Texte nutzerfreundlich und damit möglichst kurz bleiben sollten, nicht vereinbar.
120. Ich kann mich dieser Auslegung nicht anschließen. Vielmehr sollte ein Nutzer, damit die Informationen klar und umfassend sind, ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht. Sofern Dritte Zugriff haben, muss ihre Identität offengelegt werden. Wie der Bundesverband zutreffend hervorhebt, ist dies unerlässlich, damit die Einwilligung in voller Kenntnis der Sachlage erteilt werden kann.
4. Schlussfolgerung
121. Ich schlage daher vor, auf die zweite Frage zu antworten, dass zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
122. Im Licht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesgerichtshofs (Deutschland) wie folgt zu beantworten:
1. In einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vor.
2. Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung).
3. Bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 macht es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
4. Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, zählen die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
Fussnoten zu finden unter: http://curia.europa.eu/juris/document/document_print.jsf;jsessionid=6358CBB23D70451B8C16923E1EA32C3F?docid=212023&text=&dir=&doclang=DE&part=1&occ=first&mode=DOC&pageIndex=0&cid=7016148#Footnote1
Die Beklagten werden verurteilt, es bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten zu unterlassen, eine Video- oder Audioüberwachung des Treppenhauses des Mehrfamilienhauses … durchzuführen.
Die Beklagten werden ferner verurteilt, die im zweiten Obergeschoss des Treppenhauses des Mehrfamilienhauses … aufgestellte Videokamera und die installierte Kameraattrappe zu entfernen.
Die Beklagten werden darüber hinaus verurteilt, sämtliche mittels der Videokamera angefertigten Bild- und Tonaufnahmen von dem Kläger auf sämtlichen Datenträgern dauerhaft zu löschen.
Die Beklagten werden weiterhin als Gesamtschuldner verurteilt, an den Kläger außergerichtliche Kosten in Höhe von 297,62 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 16.04.2018 zu zahlen.
Im Übrigen wird die Klage abgewiesen.
Die Kosten des Rechtsstreits tragen die Beklagten.
Das Urteil ist vorläufig vollstreckbar.
Den Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 3.000,00 € abzuwenden, sofern nicht der Kläger vor der Vollstreckung Sicherheit in dieser Höhe leistet.
Die Parteien streiten über die Rechtmäßigkeit der Installation einer Videokamera in dem Hausflur des von beiden Parteien bewohnten Mehrfamilienhauses. Der Kläger begehrt die Verurteilung der Beklagten, die Videoüberwachung des Hausflures zu unterlassen, die aufgestellte Videokamera sowie die installierte Kameraattrappe zu entfernen und sämtliche angefertigte Aufnahmen von dem Kläger zu löschen.
Die Parteien sind Nachbarn. Sie wohnen in einem Mehrfamilienhaus im …. Die Beklagten bewohnen eine Wohnung im zweiten Obergeschoss, welche im Eigentum des Beklagten zu 1) steht. Neben der Wohnung der Beklagten befindet sich keine weitere Wohnung auf derselben Etage. Der Kläger und seine Ehefrau wohnen zur Miete in einer Wohnung im ersten Obergeschoss des Hauses. Auf derselben Etage befindet sich eine weitere Wohnung. Seit dem 01.01.2019 ist der Beklagte zu 1) Eigentümer der Wohnung, in welcher der Kläger wohnt.
Das nachbarschaftliche Verhältnis zwischen den Parteien ist angespannt. Es kam wiederholt zu Streitigkeiten mit verbalen Auseinandersetzungen, deren Hergang und Inhalt zwischen den Parteien streitig ist.
Im Januar 2017 installierten die Beklagten über ihrer Wohnungseingangstür im zweiten Obergeschoss eine Videokameraattrappe. Diese ist in Richtung des Treppenaufgangs von der ersten in die zweite Etage des Hauses gerichtet und mit einem rot leuchtenden Licht versehen, welches den Anschein einer Aufnahme erweckt.
In der Zeit nach dem 16.07.2017 stellten die Beklagten in dem Hausflur vor ihrer Wohnung im zweiten Obergeschoss des Hauses zusätzlich zu der Kameraattrappe eine funktionsfähige Videokamera auf. Diese fertigt Bild- und Tonaufzeichnungen an. Bei dem Hausflur, in dem die Kamera aufgestellt ist, handelt es sich um Gemeinschaftseigentum, das von allen Bewohnern genutzt werden darf. Die Kamera erfasst den Bereich vor der Wohnung der Beklagten und den oberen Bereich des Treppenaufgangs von dem ersten in das zweite Obergeschoss. In dem Flur auf der zweiten Etage befindet sich ein Fenster, welches im Aufnahmebereich der Kamera liegt, sodass Personen, die das Fenster öffnen oder schließen, gefilmt werden.
Eine Einwilligung des Klägers in die Fertigung von Video- und Tonaufzeichnungen lag zu keiner Zeit vor.
Am 08.12.2017 übersandte der Beklagte zu 2) dem Kläger eine E-Mail mit folgendem Wortlaut:
„Was sind das für heimliche Aktionen im Dunkeln vor unserer Wohnungstür? Wer ist der Fremde, den sie da geschickt haben? Bekommen wir nicht kurzfristig voll umfänglich Klarheit erstatten wir gegen Sie und gegen Unbekannt umgehend Anzeige!“
Wegen der weiteren Einzelheiten wird auf die E-Mail vom 08.12.2017 (Anlage 5 zur Klageschrift, Bl. 21 d.A.) Bezug genommen.
Der E-Mail war ein Video beigefügt, das die Kamera der Beklagten an demselben Tag aufgezeichnet hatte. Zu Beginn des Videos ist zu sehen, dass in dem Hausflur zunächst kein Licht angeschaltet ist. Kurz nach Einsetzen des Videos ist sodann zu hören, wie jemand die Eingangstür des Hauses öffnet und in das Haus hineinkommt. Daraufhin schaltet sich das Licht in dem Hausflur an. Es ist zu hören, wie die Ehefrau des Klägers zu diesem sagt, dass bestimmt das Fenster im Flur offen sei. Nach einiger Zeit schaltet sich das Licht im Flur wieder aus. Kurze Zeit später ist auf dem Video zu sehen, dass der Kläger in die obere Etage des Hauses geht und dort das Flurfenster schließt. Nachdem der Kläger nicht mehr zu sehen ist, läuft das Video ca. 1:48 Minuten weiter, ohne dass jemand zu sehen oder zu hören ist. Wegen des konkreten Inhalts des Videos wird auf die Anlage K2 zur Klageschrift (Bl. 18. d.A.) Bezug genommen.
Am 02.02.2018 erstattete der Kläger wegen der Videoaufzeichnung durch seinen Rechtsanwalt Anzeige beim Landesbeauftragten für Datenschutz und Informationsfreiheit. Mit anwaltlichem Schreiben vom 08.02.2018 forderte der Kläger die Beklagten auf, bis zum 23.02.2018 eine strafbewehrte Unterlassungserklärung hinsichtlich der weiteren Videoaufnahmen abzugeben, die Videokamera zu entfernen und sämtliche Aufnahmen zu löschen. Dies lehnten die Beklagten mit Anwaltsschreiben vom 22.02.2018 ab.
Der Kläger behauptet, seine Frau und er seien infolge der Videokamera einem ständigen Überwachungsdruck ausgesetzt. Dieser führe dazu, dass sie nur noch schweigend durch den Hausflur gingen. Zudem behauptet der Kläger, dass die angefertigten Videoaufzeichnungen von den Beklagten noch nicht gelöscht worden seien.
Der Kläger hat mit seinem Klageantrag zu 2) zunächst beantragt, die im zweiten Obergeschoss installierte Videokamera zu entfernen. Mit Schriftsatz vom 20.06.2018 hat der Kläger den Antrag dahingehend geändert, neben der aufgestellten Videokamera auch die installierte Kameraattrappe zu entfernen.
Der Kläger beantragt nunmehr,
1.die Beklagten zu verurteilen, bei Meidung eines Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, es zu unterlassen, eine Video- und bzw. oder Audioüberwachung des Treppenhauses des Mehrfamilienhauses … durchzuführen,
2.die Beklagten zu verurteilen, die im zweiten Obergeschoss des Treppenhauses des Mehrfamilienhauses … aufgestellte Videokamera und die installierte Kameraattrappe zu entfernen,
3.die Beklagten zu verurteilen, sämtliche mittels der Videokamera angefertigten Bild- und Tonaufnahmen von dem Kläger auf sämtlichen Datenträgern dauerhaft zu löschen,
4.die Beklagten als Gesamtschuldner zu verurteilen, außergerichtliche Kosten in Höhe von 757,32 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz an den Kläger zu zahlen.
Die Beklagten beantragen,
die Klage abzuweisen.
Die Beklagten rügen die sachliche Zuständigkeit des Landgerichts Essen.
Sie sind zudem der Ansicht, die Installation der Videokamera sei rechtmäßig erfolgt, da sie dem Schutz ihres Eigentums und ihrer Person diene. Hierzu behaupten sie, in dem Nachbarhaus im … sei bereits drei Mal eingebrochen worden, zuletzt Ende des Jahres 2014. Vor 10 Jahren habe es einen Einbruch in die Erdgeschosswohnung des Hauses … gegeben. In der übrigen Nachbarschaft habe es bereits elf Einbrüche gegeben. Am 28.12., 29.12.2018 und 02.01.2019 habe die Polizei in … im Internet über Einbrüche in im Umkreis von 100 m Luftlinie zu dem streitgegenständlichen Haus befindlichen Straßen … und … berichtet.
Zudem müssten sich die Beklagten durch die Videokamera vor dem Kläger schützen. Es sei in der Vergangenheit zu mehreren verbalen Auseinandersetzungen mit dem Kläger gekommen. So habe der Kläger dem Beklagten zu 1) am 10.03.2017 im Treppenhaus den Durchgang verweigert und ihn gefragt, ob er nicht wisse, dass Verleumdung und üble Nachrede mit Gefängnisstrafen geahndet würden. Zudem sei der Kläger gegenüber den Beklagten mehrfach ausfallend geworden, weil diese ihn oder seine Ehefrau gegrüßt hätten, obwohl der Kläger zum Ausdruck gebracht habe, von den Beklagten nicht mehr gegrüßt werden zu wollen. Am 16.07.2017 habe der Kläger die Beklagten im Treppenhaus nicht passieren lassen. Hierbei habe er die Beklagten beschimpft und sie bis zu ihrer Tür in der ersten Etage verfolgt. Als die Beklagten an ihm vorbei gegangen seien, habe er mehrfach drohend die Hand gehoben. Am 09.12.2017 habe der Kläger sich beim Weihnachtsgrillen der Bewohner des Hauses in beleidigender Weise über die Homosexualität der Beklagten geäußert.
Die Beklagten behaupten ferner, die Videokamera werde seit einem Update im Januar 2018 nur noch durch Bewegungen im Erfassungsbereich der Kamera aktiviert. Nach Aktivierung der Kamera sei diese nunmehr nur noch zwei Minuten aktiv und schalte sich dann automatisch ab. Das aufgenommene Bildmaterial werde nach 24 Stunden automatisch gelöscht. Auch das Video, das den Kläger am 08.12.2017 zeige, sei bereits gelöscht worden.
Die Klage ist den Beklagten am 15.04.2018 zugestellt worden.
Die Klage ist zulässig und nach dem übereinstimmenden Vorbringen beider Parteien im Wesentlichen begründet.
Das Landgericht Essen ist insbesondere auch gem. §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich für die Entscheidung des Rechtsstreites zuständig, da der Streitwert die Summe von 5.000 € übersteigt. Der Streitwert beträgt 6.000 €, da für die Anträge 1) bis 3) gem. § 3 ZPO jeweils von einem Streitwert von 2.000 € auszugehen war.
1. Dem Kläger steht der mit dem Klageantrag zu 1) geltend gemachte Anspruch auf Unterlassung einer Video- und Audioüberwachung des Treppenhauses gem. § 1004 Abs. 1 S. 2 BGB analog i.V.m. § 823 Abs. 1 BGB zu. Denn die Video- und Audioaufnahmen verletzen den Kläger in seinem Allgemeinen Persönlichkeitsrecht und sind auch nicht durch schutzbedürftige Belange der Beklagten gerechtfertigt. Die Beklagten haben das Allgemeine Persönlichkeitsrecht des Klägers in seiner Ausprägung als Recht auf informationelle Selbstbestimmung verletzt, indem sie mittels einer Videokamera Bild- und Tonaufzeichnungen von dem Kläger angefertigt haben.
Das allgemeine Persönlichkeitsrecht schützt die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart und persönliche Daten preisgegeben und verwendet werden (BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 11). Aus diesem Grund schützt das Allgemeine Persönlichkeitsrecht auch jedermann vor einer technisch gestützten Beobachtung und der Aufzeichnung persönlicher Lebenssachverhalte ohne Einwilligung. Die freie Entfaltung der eigenen Persönlichkeit wird gefährdet, wenn jederzeit mit der Beobachtung durch Personen gerechnet werden muss, die man selbst nicht sehen kann oder wenn die reproduzierbare Aufzeichnung des eigenen Verhaltens droht. Denn durch eine Video- und Tonaufzeichnung können Lebensvorgänge technisch fixiert und in der Folge abgerufen, aufbereitet und gegebenenfalls ausgewertet werden. Hierdurch können eine Vielzahl von Informationen über die Betroffenen, ihre Familienmitglieder, Freunde und Besucher gewonnen werden (BVerfG, Beschl. v. 23.02.2007, Az. 1 BvR 2368/06 = NVwZ 2007, 688, 690; AG Brandenburg, Urt. v. 22.02.2016, Az. 31 C 138/14 = BeckRS 2016, 1524). Auch kann das durch die Überwachung gewonnene Material dazu genutzt werden, das Verhalten des Betroffenen zu beeinflussen, indem „belastendes“ Material über ihn gesammelt wird (vgl. AG Brandenburg, Urt. v. 22.01.2016, Az. 31 C 138/14 = NJOZ 2017, 365, 367).
Die von den Beklagten aufgestellte Videokamera hat nicht nur das Verhalten des Klägers aufgezeichnet, die Beklagten haben dem Kläger auch in Aussicht gestellt, das über ihn gesammelte Material strafrechtlich gegen ihn zu verwenden. Dies stellt eine gravierende Verletzung des Allgemeinen Persönlichkeitsrechts des Klägers dar.
So hat die Videokamera der Beklagten am 08.12.2017 aufgenommen, wie der Kläger mit seiner Ehefrau das Mehrfamilienhaus in der … betritt. Der Bildaufnahmebereich der Videokamera erfasst zwar unmittelbar nur den Bereich des Hausflures vor der Wohnung der Beklagten im zweiten Obergeschoss. Allerdings fertigt die Kamera auch Tonaufzeichnungen an, sodass das Gespräch zwischen dem Kläger und seiner Ehefrau von der Kamera aufgezeichnet wurde und auf der Aufnahme zu hören ist. Zudem hat die Videokamera der Beklagten den Kläger auch gefilmt, als er das Flurfenster in der zweiten Etage geschlossen hat. Diese Aufnahme des Klägers haben die Beklagten genutzt, um dem Kläger strafrechtliche Konsequenzen für sein Verhalten anzudrohen. Mit der Video- und Tonaufzeichnung wollten die Beklagten daher offensichtlich das Verhalten des Klägers beeinflussen und ihn davon abhalten, künftig die obere Etage zu betreten und dort das Flurfenster zu schließen. Da es sich bei dem Flur um Gemeinschaftseigentum handelt, ist der Kläger jedoch befugt, diesen Bereich zu betreten und dort auch das Fenster zu schließen.
Zudem können die Beklagten durch die Aufnahmefunktion der Videokamera potenziell sämtliche Gespräche des Klägers mit seiner Ehefrau oder sonstigen Besuchern im Hausflur aufzeichnen und dokumentieren, was dazu führt, dass der Kläger einem ständigen Überwachungsdruck seitens der Beklagten ausgesetzt ist. Der Kläger hat auch keine Möglichkeit, dieser Überwachung zu entgehen, da er auf die Nutzung des Hausflures angewiesen ist. Die einzige Möglichkeit, Aufzeichnungen seiner Gespräche verlässlich zu unterbinden besteht darin, solche im Hausflur gänzlich zu unterlassen.
Diese Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers ist auch rechtswidrig, da bei einer Gesamtabwägung der widerstreitenden Interessen die schutzwürdigen Belange des Klägers überwiegen.
Ob eine Beeinträchtigung des Allgemeinen Persönlichkeitsrechts rechtswidrig ist, ist unter Würdigung aller Umstände des Einzelfalles und durch Vornahme einer umfassenden Güter- und Interessenabwägung zu beantworten (BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 11). Damit die Abwägung zu Gunsten des Nutzers der Videokamera ausfallen kann, muss die Überwachung zur Abwehr schwerwiegender Beeinträchtigungen erforderlich und die drohende Beeinträchtigung auf andere Weise nicht zu verhindern sein (BGH, Urt. v. 25.04.1995, Az. VI ZR 272/94 = NJW 1995, 1955, 1957; LG Paderborn, Urt. v. 30.11.2017, Az. 3 O 182/17 = NZM 2018, 766, 768). Derartige schwerwiegende Beeinträchtigungen liegen auch nach dem Vortrag der Beklagten nicht vor.
Die Videoüberwachung lässt sich insbesondere nicht mit dem Bedürfnis der Beklagten, ihr Eigentum vor Wohnungseinbruchsdiebstählen zu schützen, rechtfertigen. Den Beklagten kommt zwar grundsätzlich das verfassungsrechtliche garantierte (Art. 14 GG) Recht zu, geeignete Schutzmaßnahmen für ihr Eigentum zu ergreifen. Dies darf aber nicht in unverhältnismäßiger Weise auf Kosten des Eingriffs in hochrangige Rechtsgüter Dritter erfolgen (BGH, Urt. v. 25.04.1995, Az. VI ZR 272/94 = NJW 1995, 1955, 1957). Eine rein vorsorgliche Überwachung des Wohnungseigentums, welche nicht an bereits an begangene Taten anknüpft, ist unverhältnismäßig (vgl. KG, Beschl. v. 04.08.2008, Az. 8 U 83/08 = NZM 2009, 736, 737).
Selbst nach dem Vortrag der Beklagten liegt kein konkreter Anlass für die Videoüberwachung in Form von Einbrüchen im … vor. Die Beklagten behaupten lediglich, dass es vor 10 Jahren zu einem Einbruch in die Erdgeschosswohnung gekommen sei. Auf Nachfrage konnten sie bei ihrer Anhörung im Termin am 09.01.2019 nicht sagen, ob die Einbrecher über das Treppenhaus oder über ein Fenster oder eine Terrassentür in die Wohnung eingedrungen sind. Außerdem sei in ihrem Nachbarhaus im … eingebrochen worden sei, wobei der letzte Einbruch Ende des Jahres 2014 erfolgt sei. Zudem behaupten die Beklagten, in der weiteren Nachbarschaft sei bereits mehrfach eingebrochen worden. Diese Vorgänge rechtfertigen – selbst wenn sie sich tatsächlich ereignet haben – eine dauerhafte Videoüberwachung nicht. Denn es besteht lediglich eine abstrakte Gefahr, dass es auch im … künftig zu einem Einbruch kommen wird. Zudem ist zu bezweifeln, ob die Videokamera der Beklagten überhaupt eine abschreckende Wirkung hat und ihren angedachten Zweck erfüllen kann. Denn da sie sich lediglich über der Wohnungstür der Beklagten befindet und auch sonst nicht auf sie hingewiesen wird, hält sie potenzielle Einbrecher jedenfalls nicht davon ab, in das Mehrfamilienhaus hineinzugelangen.
Auch die von den Beklagten zur Rechtfertigung angeführten nachbarschaftlichen Auseinandersetzungen mit dem Kläger, können eine dauerhafte Überwachung des Hausflures nicht rechtfertigen. Es kann daher dahinstehen, ob es tatsächlich zu entsprechenden Auseinandersetzungen mit dem Kläger gekommen ist. Denn es handelt sich weder um besonders schwerwiegende Beeinträchtigungen, noch haben die Beklagten dargetan, dass die behaupteten Beeinträchtigungen nicht auf andere Weise als durch eine Überwachung des Hausflures verhindert werden können. Überwiegend handelt es sich bei den behaupteten Beeinträchtigungen lediglich um gegenseitige verbale Auseinandersetzungen von geringem Gewicht. Auch der vermeintliche Vorfall vom 16.07.2017 wäre als Anlass für eine dauerhafte Videoüberwachung nicht ausreichend. Denn auch hier ist es nach dem Vortrag der Beklagten lediglich zu einer verbalen Auseinandersetzung gekommen. Dass der Kläger drohend die Hand gehoben haben soll, reicht für die Rechtfertigung des andauernden Eingriffs in sein allgemeines Persönlichkeitsrecht nicht aus. Die Videokamera erfasst ohnehin nur einen Teil des Treppenhauses und bietet keinen Schutz vor Beleidigungen oder Bedrohungen, die außerhalb des Hauses ausgesprochen werden. Zudem ist es den Beklagten auch zumutbar, künftige Auseinandersetzungen mit dem Kläger auf andere Weise zu vermeiden, beispielsweise durch eine Streitschlichtung.
Schließlich ist der Eingriff in das Allgemeine Persönlichkeitsrecht auch nicht durch eine Einwilligung des Klägers gerechtfertigt. Dieser hat zu keinem Zeitpunkt in die Anfertigung von Video- und Tonaufzeichnungen eingewilligt. Unerheblich ist demgegenüber, ob die übrigen Bewohner des Hauses oder die Wohnungseigentümer in die Anfertigung von Videoaufnahmen eingewilligt haben. Denn in eine Beeinträchtigung des Allgemeinen Persönlichkeitsrechts muss stets der Grundrechtsträger selbst einwilligen.
Anders als die Beklagten meinen, wäre der Eingriff auch dann nicht gerechtfertigt, wenn der Kläger seinerseits einen elektronischen Türspion in seine Wohnungstür eingebaut hätte, was dieser im Übrigen auch bestreitet. Denn dies würde sie allenfalls dazu berechtigen, ihrerseits gegen den Kläger vorzugehen.
Die Beklagten sind als Handlungsstörer auch die richtigen Anspruchsgegner. Zudem ist auch die für die Bejahung des Unterlassungsanspruchs erforderliche Wiederholungsgefahr zu bejahen. In der Regel begründet die vorangegangene rechtswidrige Beeinträchtigung eine tatsächliche Vermutung für die Wiederholungsgefahr (Herrler in Palandt, 78. Aufl. 2019, § 1004 Rn. 32). Dabei ist es unerheblich, ob die Videokamera nunmehr anders betrieben und die Aufnahmefunktion nur durch Bewegungen im Erfassungsbereich der Videokamera ausgelöst wird. Denn schon allein aufgrund der früheren Film- und Tonaufnahmen besteht aus Sicht eines objektiven Dritten in der Position des Klägers die naheliegende Befürchtung, wiederholt zum Gegenstand der Überwachung zu werden (vgl. OLG Köln, Urt. v. 22.06.2016, Az. 15 U 33/16 = NJW 2017, 835, 836). Dies gilt gerade vor dem Hintergrund des zwischen den Parteien bestehenden Nachbarschaftsstreits.
2. Dem Kläger steht auch der mit dem Klageantrag zu 2) geltend gemachte Anspruch auf Beseitigung der Videokamera und der Kameraattrappe zu. Der Anspruch ergibt sich aus § 1004 Abs. 1 S. 1 BGB analog i.V.m. § 823 Abs. 1 BGB.
Dem Kläger steht gegen die Beklagten wegen des Eingriffs in sein allgemeines Persönlichkeitsrecht ein Anspruch auf Beseitigung der Beeinträchtigung zu. Dieser Beseitigungsanspruch rechtfertigt vorliegend ausnahmsweise auch die von dem Kläger konkret begehrte Rechtsfolge, nämlich die Beseitigung der Kamera sowie der Attrappe. Ein Störer kann im Rahmen eines Anspruchs aus § 1004 Abs. 1 S. 1 BGB dann zu einer konkreten Maßnahme verurteilt werden, wenn allein diese Maßnahme den Nichteintritt der drohenden Beeinträchtigung gewährleistet (vgl. OLG Köln, Urt. v. 22.06.2016, Az. 15 U 33/16 = NJW 2017, 835, 836). Nach diesen Maßstäben kann der Kläger die begehrte Beseitigung verlangen, da es neben der Entfernung keine Alternative gibt, die Beeinträchtigung zu beseitigen. Dies gilt sowohl für die funktionsfähige Kamera, als auch für die Kameraattrappe. Denn durch beide wird der Kläger einem ständigen Überwachungsdruck ausgesetzt, der sich nur durch eine vollständige Entfernung beseitigen lässt. Ein ständiger Überwachungsdruck verletzt das allgemeine Persönlichkeitsrecht, wenn der Betroffene eine Überwachung durch Überwachungskameras objektiv ernsthaft befürchten muss (BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 13).
Hinsichtlich der funktionsfähigen Kamera resultiert dieser Überwachungsdruck einerseits daraus, dass in der Vergangenheit unstreitig Bild- und Tonaufnahmen angefertigt wurden und anderseits daraus, dass der Standort der Kamera und ihre konkrete Funktionsweise jederzeit verändert werden können, ohne dass dies in Art und Umfang von einem außenstehenden Beobachter wahrgenommen werden könnte. Zudem ist das Verhältnis zwischen den Parteien durch nachbarschaftliche Auseinandersetzungen geprägt. Auch insofern ist es nicht fernliegend, dass die Beklagten auch in Zukunft die Videokamera nutzen könnten, um den Kläger erneut zu überwachen (vgl. OLG Köln, Urt. v. 22.06.2016, Az. 15 U 33/16 = NJW 2017, 835, 837).
Auch die Kameraattrappe führt zu einer Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Klägers. Denn auch bei einer tatsächlich nicht erfolgenden Überwachung kann der verbleibende Überwachungsdruck ausreichen, wenn entsprechende Verdachtsmomente vorliegen und eine Überwachung objektiv ernsthaft zu befürchten ist (LG Berlin, Urt. v. 28.10.2015, Az. 67 S 82/15 = ZD 2016, 189 f.; BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 13). So ist es hier, denn es kann äußerlich nicht ohne weiteres erkannt werden, ob weiter eine bloße Attrappe oder eine Videokamera mit Aufzeichnungen betrieben wird. Es ist dem Kläger nicht möglich und auch nicht zumutbar, laufend die Gegebenheiten dahin zu überprüfen, ob es bei der Attrappe geblieben ist. Dies gilt vor allem vor dem Hintergrund, dass die derzeit installierte Kameraattrappe bereits täuschend echt aussieht und deshalb auch ohne weiteres durch eine echte Videokamera ersetzt werden kann, ohne dass dies auffällt.
3. Dem Kläger steht ferner gegen die Beklagten gem. § 1004 Abs. 1 S. 1 BGB analog i.V.m. § 823 Abs. 1 BGB ein Anspruch auf Löschung sämtlicher, von ihm angefertigter Bild- und Tonaufzeichnungen zu. Die Speicherung der Aufnahmen verletzt den Kläger in rechtswidriger Weise seinem allgemeinen Persönlichkeitsrecht. Der Anspruch hat sich auch nicht zwischenzeitlich erledigt. Die Beklagten behaupten zwar, das Material sei zwischenzeitlich gelöscht worden, dies wird von dem Kläger jedoch bestritten. Dem steht nicht entgegen, dass nach dem Vortrag der Beklagten das gespeicherte Bild- und Tonmaterial automatisch nach 24 Stunden gelöscht wird. Denn es ist nicht ausgeschlossen, dass in den letzten 24 Stunden vor der mündlichen Verhandlung noch Film- oder Tonaufnahmen gemacht werden. Auch bei einer Entfernung kann es sein, dass in den letzten 24 Stunden noch Film- oder Tondateien gespeichert wurden.
Bei einem Beseitigungsanspruch nach § 1004 Abs. 1 S. 1 BGB muss die Beeinträchtigung zum Zeitpunkt der letzten mündlichen Verhandlung noch bestehen (Herrler in: Palandt, § 1004 Rn. 27). Für das Vorliegen einer andauernden Beeinträchtigung trägt grundsätzlich der Kläger die Beweislast. Allerdings trifft die Beklagten eine sekundäre Darlegungslast hinsichtlich der Tatsache, dass sie die Videos tatsächlich gelöscht haben. Eine solche sekundäre Darlegungslast setzt voraus, dass eine nähere Darlegung des Sachverhalts der primär beweisbelasteten Partei nicht möglich oder nicht zumutbar ist, während der Gegner alle wesentlichen Tatsachen kennt und es ihm zumutbar ist, nähere Angaben zu machen (BGH, Urt. vom 10.2.2015, Az. VI ZR 343/13 = NJW-RR 2015, 1279, 1280). Dem Kläger ist es nicht möglich konkret darzulegen, dass die Beklagten das Videomaterial noch nicht gelöscht haben, da er keinerlei Kenntnis von dieser Tatsache besitzt und auch nicht die Möglichkeit hat, sich diese Kenntnis zu verschaffen. Den Beklagten wäre es hingegen ohne weiteres möglich und zumutbar gewesen, nähere Angaben dazu zu machen, zu welchem Zeitpunkt die Videos von ihnen gelöscht wurden. Dieser Darlegungslast sind die Beklagten indes nicht nachgekommen, da sie lediglich pauschal behauptet haben, dass das Material bereits gelöscht worden sei. Es war deshalb der Vortrag des Klägers zugrunde zu legen, dass es noch nicht zur einer Löschung des Materials gekommen ist.
Aus diesem Grund kann auch dahinstehen, ob dem Kläger zusätzlich auch ein Anspruch auf Löschung aus Art. 17 DSGVO zusteht.
4. Der mit dem Klageantrag zu 4) begehrte Anspruch auf Ersatz außergerichtlicher Kosten steht dem Kläger lediglich in Höhe von 297,62 € und auch nur wegen der Kosten der Abmahnung der Beklagten zu. Der Anspruch folgt aus § 823 Abs. 1 BGB, da die erfolgte Videoüberwachung den Kläger in rechtswidriger Weise in seinem Allgemeinen Persönlichkeitsrecht verletzt hat. Die vorgerichtlichen Kosten für die Abmahnung sind nach § 249 Abs. 1 BGB erstattungsfähig, da der Kläger diese zur Abwendung der Beeinträchtigung getätigt hat und auch für erforderlich halten durfte (Grüneberg in: Palandt, Vorb. v. § 249, Rn. 44). Dem Kläger steht der Anspruch jedoch nur in Höhe von 297,62 € zu, da er den nicht anrechenbaren Teil der Geschäftsgebühr in Höhe von 0,65 verlangt und der Gebührenstreitwert bei 6.000 € liegt.
Der Zinsanspruch folgt aus §§ 291, 288 BGB. Der Antrag des Klägers war mangels anderer Anhaltspunkte dahin auszulegen, dass Zinsen ab Rechtshängigkeit beansprucht werden sollen.
Hingegen kann der Kläger die vorgerichtlichen Kosten für die Anzeige bei dem Landesbaufragten für Datenschutz nicht ersetzt verlangen. Denn nach § 249 Abs. 1 BGB sind nur solche Aufwendungen erstattungsfähig, die der Geschädigte für zweckmäßig und notwendig halten durfte. Erstattungsfähig sind insbesondere die zur Durchsetzung des Anspruchs erforderlichen Kosten (Grüneberg in: Palandt, § 249 Rn. 56). Die Anzeige an den Landesbeauftragten für Datenschutz war jedoch für die zivilrechtliche Durchsetzung des Anspruchs nicht erforderlich. Insoweit gelten dieselben Grundsätze wie bei einer Strafanzeige gegen einen Schädiger. Auch hier wird die Erstattungsfähigkeit der Kosten verneint, da eine Strafanzeige für die Durchsetzung des zivilrechtlichen Anspruchs nicht erforderlich ist (Oetker in: MünchKomm/BGB, 7. Aufl. 2016, § 249 Rn. 188).
Die Ordnungsmittelandrohung folgt aus § 890 Abs. 2 ZPO. Die Kostenentscheidung beruht auf § 91 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergeht nach §§ 708 Nr. 11, 711 S. 1 ZPO.
Der nicht nachgelassene Schriftsatz der Beklagten vom 14.01.2019 rechtfertigt den Wiedereintritt in die mündliche Verhandlung nicht. Wie ausgeführt, kommt es auf den Türspion in der Wohnungstür des Klägers nicht an. Für den Rechtsstreit ist auch unerheblich, ob der Balkon der Wohnung des Klägers einen Mangel aufweist. Im Übrigen haben die Beklagten lediglich ihren Vortrag zur Funktionsweise der Videokamera wiederholt.
Mit Urteil vom 20. Februar 2018 hat der BGH entschieden, dass ein Ärzte-Bewertungsportal das Profil einer Ärztin löschen muss (Urteil v. 23. September 2014 – VI ZR 358/13). Indem das Bewertungsportal zwischen normalen Nutzern und kostenpflichtigen „Premium-Nutzern“ unterscheide, verlasse es seine Rolle als „neutraler Informationsmittler“. Dadurch überwiege nach der erforderlichen Abwägung das Recht auf informationelle Selbstbestimmung bezüglich aller personenbezogenen Daten.
Jameda.de ist ein Arztsuche- und Arztbewertungsportal. Auf diesem werden Informationen über Ärzte und Träger anderer Heilberufe kostenfrei zur Verfügung gestellt. Enthalten sind für jeden Arzt die sogenannten „Basisdaten“ wie der akademische Grad, Name, Fachrichtung, Praxisanschrift, Kontaktdaten und die Sprechzeiten. Daneben bietet das Portal auch einen Bewertungsbereich, indem Kundenbewertungen direkt neben den Basisdaten angezeigt werden.
Bei den Nicht-Premium-Nutzern werden auf der Profilseite zusätzlich zu den Bewertungen und Basisdaten noch Vorschläge („Anzeigen“) zu anderen Arztpraxen mit denselben Fachbereichen und der entsprechenden Bewertung im Umfeld angezeigt.
Für die Ärzte besteht die Möglichkeit, ein kostenpflichtiges „Premium-Paket“ zu buchen. In diesem Fall wird – anders als bei den kostenfreien Profilen – den Nutzern die Möglichkeit gegeben, Bilder und zusätzliche Informationen hinzuzufügen. Zusätzlich schaltet das Portal sodann keine Anzeigen mehr von Konkurrenten auf den Profilseiten der Premium-Nutzer.
Eine Dermatologin und Allergologin ging bereits seit 2015 gegen die Plattform vor. Als Nichtzahlerin wird sie gegen ihren Willen ohne Bild, aber dafür mit allen weiteren Basisdaten, in dem Portal geführt. Auch erhielt sie in der Vergangenheit eine Vielzahl von Bewertungen, welche sie teilweise durch ihren Rechtsanwalt beanstanden und löschen ließ um ihre Gesamtnote zu verbessern. Der Aufforderung zur Löschung ihres Profils kam der Portalbetreiber allerdings nicht nach.
Das LG Köln sowie das OLG Köln räumten der Meinungs- und Medienfreiheit des Portalbetreibers den Vorrang ein. Das Recht auf informationelle Selbstbestimmung der Klägerin müsse im Rahmen einer Abwägung zurücktreten.
Gegen diese Ansicht sprach sich nun allerdings der BGH mit klaren Worten aus. Der vorliegende Fall unterscheide sich von allen bisher entschiedenen Fällen. Auch wenn die Speicherung der personenbezogenen Daten von Ärzten mit den dazugehörigen Bewertungen durch die Patienten grundsätzlich zulässig sei, sei der Portalbetreiber von jameda.de zur Löschung des Profils der Dermatologin verpflichtet.
Durch das Angebot von „Premium-Paketen“ verlasse die Plattform ihre Stellung als „neutraler Informationsmittler“. Den Ärztesuchenden wird zu keinen Zeitpunkt klar, dass das Portal zwischen „Premium-Nutzern“ und normalen Nutzern unterscheide. Nehme sich der Portalbetreiber aber in dieser Weise zugunsten ihres Werbeangebots in der Rolle als neutraler Informationsmittler zurück, dann könne er seine auf das Grundrecht der Meinungs- und Medienfreiheit gestützte Rechtsposition gegenüber dem Recht der Dermatologin auf informationelle Selbstbestimmung auch nur mit geringerem Gewicht geltend machen.
Dies wiederum führe dazu, dass im Rahmen einer Abwägung dem Recht auf informationelle Selbstbestimmung Vorrang zu gewähren sei. Ihr sei demnach auch ein schutzwürdiges Interesse an dem Ausschluss der Speicherung ihrer Daten (im Sinne des § 29 Abs. 1 Satz 1 Nr. 1 BDSG a.F.) zuzubilligen.
Im Mai hat der Bundestag das neue Gesetz zur Regelung des Datenschutzes in der Telekommunikation und bei Telemedien verabschiedet. Es regelt unter anderem den Einsatz von Cookies.
Hat ein Vermieter Namen und Telefonnummern von Mietern auf einem Telefon gespeichert und kommuniziert er mit den Mietern per WhatsApp, muss er die DSGVO beachten. Dies hat das AG Wiesbaden entschieden.
Der BGH hatte die Frage erst dem EuGH vorgelegt und sprach nun das, wenig überraschende, Schlussurteil: Einwilligungen mittels voreingestellten Ankreuzkästchen sind unwirksam.
Der Hamburgische Datenschutzbeauftragte warnt vor der Videokonferenzsoftware “Zoom”. Können diese und andere nach geltendem Datenschutzrecht genutzt werden?
Wer auf seiner Homepage Social-Plugins, wie die bekannten ”Like”-Buttons, einbindet ist für die Datenerhebung und -weitergabe (mit)verantwortlich.
Unternehmen haften für Datenschutzverstöße aller Arbeitnehmer, nicht nur gesetzlicher Vertreter. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem aktuell widersprechen.
Die Videoüberwachung in einer Zahnarztpraxis, die ungehindert betreten werden kann, unterliegt strengen Anforderungen an die datenschutzrechtliche Erforderlichkeit.
Geht es nach dem Generalanwalt des EuGH, müssen Nutzer eine aktive, informierte Einwilligung abgeben, um Cookies zu erlauben (Opt-in).
Der Mieter einer Wohnung muss die Anbringung von Kameras oder entsprechender Attrappen im Hausflur nicht dulden. Die dadurch erfolgte Verletzung des Allgemeinen Persönlichkeitsrechts könne auch nicht dadurch gerechtfertigt werden, dass der Vermieter sein Eigentum – ohne konkreten Anlass, rein vorsorglich – schützen möchte.
BGH: Ärzte-Bewertungsportal muss das Profil einer Ärztin löschen. Der Grund: www.jameda.de sei kein neutraler Informationsmittler.
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
Alle akzeptieren
Speichern
Nur essenzielle Cookies akzeptieren
Individuelle Datenschutzeinstellungen
Cookie-Details Datenschutzerklärung Impressum
Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
Alle akzeptieren Speichern
Zurück Nur essenzielle Cookies akzeptieren
Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.
Cookie-Informationen anzeigen Cookie-Informationen ausblenden
Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.
Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.
Datenschutzerklärung Impressum
