Gleiches gilt, wenn der Verbraucher über die Möglichkeit, den Vertrag auch bei Verweigerung dieser Datenverarbeitung abzuschließen, irregeführt wird oder wenn die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, beeinträchtigt wird, indem ein zusätzliches Formular verlangt wird, in dem diese Weigerung zum Ausdruck kommt Die Orange Romania SA bietet Mobiltelekommunikationsdienste auf dem rumänischen Markt an. Am 28. März 2018 verhängte die Autoritatea Najionalä de Supraveghere a Prelucrärii Datelor cu Caracter Personal (ANSPDCP) (Nationale Behörde zur Überwachung der Verarbeitung personenbezogener Daten) gegen Orange Romänia eine Geldbuße, weil sie Kopien der Ausweisdokumente ihrer Kunden ohne deren ausdrückliche Einwilligung aufbewahrt hatte.

Nach den Angaben dieser Behörde hatte Orange Romänia im Zeitraum vom 1. März 2018 bis zum 26. März 2018 Verträge über Mobiltelekommunikationsdienste geschlossen, die die Klausel enthielten, dass die Kunden informiert wurden und in die Sammlung und Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion einwilligten. Das diese Klausel betreffende Kästchen wurde vom für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt.

Vor diesem Hintergrund hat das Tribunalul Bucuresti (Landgericht Bukarest, Rumänien) den Gerichtshof ersucht, klarzustellen, unter welchen Voraussetzungen die Einwilligung von Kunden in die Verarbeitung personenbezogener Daten als gültig angesehen werden kann.

Mit seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass das Unionsrecht  eine abschließende Aufzählung der Fälle vorsieht, in denen die Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Konkret muss die Einwilligung der betreffenden Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen. Die Einwilligung wird bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit nicht gültig erteilt.

Zudem muss, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, diese Erklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Zur Sicherstellung einer echten Wahlfreiheit für die betroffene Person dürfen die Vertragsbestimmungen diese nicht über die Möglichkeit irreführen, den Vertrag abschließen zu können, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen.

Der Gerichtshof erläutert, da Orange Romania die für die Verarbeitung personenbezogener Daten Verantwortliche ist, muss sie in der Lage sein, die Rechtmäßigkeit der Verarbeitung dieser Daten nachzuweisen, im vorliegenden Fall also das Vorliegen einer gültigen Einwilligung ihrer Kunden. Da die betroffenen Kunden das Kästchen in Bezug auf die Sammlung und die Aufbewahrung von Kopien ihres Ausweisdokuments anscheinend nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden nachzuweisen. Es ist Sache des nationalen Gerichts, die dafür erforderlichen Feststellungen zu treffen.

Es ist ebenfalls Sache des nationalen Gerichts, zu prüfen, ob die in Rede stehenden Vertragsbestimmungen die betroffenen Kunden mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten. Zudem führt der Gerichtshof aus, dass Orange Romania für den Fall, dass ein Kunde die Einwilligung in die Verarbeitung seiner Daten verweigert hat, verlangt hat, dass dieser schriftlich erklärt, weder in die Sammlung noch in die Aufbewahrung der Kopie seines Ausweisdokuments einzuwilligen. Nach Ansicht des Gerichtshofs ist eine solche zusätzliche Anforderung geeignet, die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, ungebührlich zu beeinträchtigen. Da es jedenfalls Orange Romania obliegt, nachzuweisen, dass ihre Kunden ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet haben, kann sie nicht von ihnen verlangen, dass sie ihre Weigerung aktiv bekunden.

Der Gerichtshof kommt daher zu dem Ergebnis, dass ein Vertrag über die Erbringung von Telekommunikationsdiensten, der die Klausel enthält, dass die betroffene Person über die Sammlung und die Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion informiert worden ist und darin eingewilligt hat, nicht als Nachweis dafür geeignet ist, dass diese Person ihre Einwilligung in die Sammlung und Aufbewahrung dieser Dokumente gültig erteilt hat, wenn a) das Kästchen, das sich auf diese Klausel bezieht, von dem für die Verarbeitung der Daten Verantwortlichen vor Unterzeichnung dieses Vertrags angekreuzt worden ist oder wenn
b) die Vertragsbestimmungen dieses Vertrags die betroffene Person über die Möglichkeit, den Vertrag abzuschließen, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen, irreführen können oder wenn
c) die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, von diesem Verantwortlichen ungebührlich beeinträchtigt wird, indem verlangt wird, dass die betroffene Person zur Verweigerung ihrer Einwilligung ein zusätzliches Formular unterzeichnet, in dem diese Weigerung zum Ausdruck kommt.

Urteil in der Rechtssache C-61/19 Orange Romania SA / Autoritatea Najionalä de Supraveghere a Prelucrärii Datelor cu Caracter Personal (ANSPDCP)

Quelle: Pressemitteilung des EuGH v. 11.11.2020

zurück zur Übersicht

_____________________________________________________________

2. EuGH: Bank haftet bei kontaktlosem Bezahlen ohne PIN (NFC-Verfahren)
_____________________________________________________________

Eine Bank kann den Schaden, der beim kontaktlosem Bezahlen ohne PIN (Near Field Communication = NFC-Verfahren) durch einen unberechtigten Dritten entsteht, nicht in seinen AGB auf den Kunden abwählen (EuGH, Urt. v. 11.11.2020 - Az.: C-287/19).

Eine österreichische Bank hatte in ihren AGB vorgesehen, dass auch bei einem gemeldeten Kartenverlust der Kunde für solche Bezahlungen bis zu 25,- EUR verantwortlich sei, die mittels des NFC-Verfahrens erfolgen, da ihr eine Sperrung dieser Zahlungsweise nicht möglich sei.

Der EuGH lehnte dies ab und bestätigte die Haftung des Finanzinstituts. Der amtliche Leitsatz lautet:

"...ist dahin auszulegen, dass sich ein Zahlungsdienstleister, der sich auf die in dieser Bestimmung enthaltene Ausnahmeregelung berufen möchte, nicht darauf beschränken kann, zu behaupten, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist."

In Deutschland gibt es für diese Konstellation mit § 675v BGB eine eigenständige gesetzliche Regelung.

zurück zur Übersicht

____________________________________________________________

3. BGH: Strafbarkeit wegen sogenannter Fake-Anrufe bestätigt
_____________________________________________________________

Der Bundesgerichtshof (BGH) hat in einer aktuellen Entscheidung (Beschluss vom 28. Oktober 2020, Az. 3 StR 254/20) ein Urteil des Landgerichts Osnabrück wegen sogenannter „Fake-Anrufe" bestätigt. Die 3. Große Strafkammer des Landgerichts Osnabrück hatte in ihrem Urteil vom 18. Februar 2020 drei heute 20, 24 und 27 Jahre alte Männer aus Mannheim, Münster und Osnabrück wegen banden- und gewerbsmäßigen Betruges bzw. der Beihilfe dazu zu teils erheblichen Haftstrafen verurteilt (Az. 3 KLs 16/19).

Die 3. Große Strafkammer hatte es als erwiesen angesehen, dass die Angeklagten in der Zeit vom 15. Juli 2019 bis zum 17. Oktober 2019 Mitglieder einer Tätergruppierung waren, die in großem Stil von Istanbul (Türkei) aus im gesamten Bundesgebiet gewerbsmäßigen Betrug durch sogenannte „Fake-Anrufe" zum Nachteil älterer Menschen beging. Dabei gaben sich die Täter gegenüber den Senioren in Telefonaten als Polizeibeamte oder sonstige Amtsträger aus und veranlassten die Geschädigten dazu, Bargeld oder andere Wertgegenstände bereitzustellen, um sie angeblichen Polizeibeamten zu überlassen.

Der heute 24 Jahre alte Angeklagte hatte nach den Feststellungen der Kammer für einen Teil dieser Taten als sog. „Logistiker" Fahrer und Abholer, die die Beute bei den getäuschten Geschädigten abholten, rekrutiert und deren Einsätze koordiniert. Die anderen beiden Angeklagten waren nach Überzeugung der Kammer als Fahrer bzw. Abholer im Bereich Nordwestdeutschland tätig.

Konkreter Gegenstand der Verurteilung waren vier Taten im Juli und August 2019 in Beckum, Dortmund, Nordhorn und Salzbergen. Bei den Taten hatten nach Überzeugung der Kammer drei der mutmaßlich betroffenen älteren Menschen aufgrund der „Fake-Anrufe" insgesamt mehr als EUR 65.000,00 Bargeld gutgläubig übergeben. Die Übergabe eines sechsstelligen Betrages in einem vierten Fall konnte durch das Eingreifen der Polizei im letzten Moment verhindert werden. Jedenfalls zwei der Angeklagten erhielten nach den Feststellungen der Kammer für ihre Tatbeteiligung Geldbeträge im vierstelligen Bereich.

Der heute 20 Jahre alte Angeklagte aus Mannheim wurde wegen der Beteiligung an diesen Taten – unter Einbeziehung einer Vorverurteilung – zu einer Freiheitsstrafe von vier Jahren und drei Monaten verurteilt. Der heute 24 Jahre alte Angeklagte aus Münster muss für fünf Jahre und sechs Monate ins Gefängnis. Der dritte heute 27 Jahre alte Angeklagte aus Osnabrück erhielt wegen Beihilfe zu zwei der Taten eine Haftstrafe von einem Jahr und drei Monaten, die zur Bewährung ausgesetzt wurde. Die Geldsummen, die die Angeklagten als Belohnung für die Tatbeteiligung von den Hintermännern erhalten hatten, wurden eingezogen.
Die Höhe der verhängten Haftstrafen begründete die Kammer u.a. mit den erheblichen Auswirkungen der Taten auf die betroffenen älteren Menschen. Zum finanziellen Verlust träten oft erhebliche psychische Folgen hinzu. Zudem werde bei Taten dieser Art das Vertrauen in staatliche Institutionen besonders perfide ausgenutzt. Dies verlange eine deutliche Bestrafung. Strafmildernd wirke sich dagegen das Geständnis der Angeklagten aus. Dieses habe nicht zuletzt ermöglicht, die Hauptverhandlung in nur einem Monat abzuschließen.

In seinem aktuellen Beschluss bestätigte der BGH nun diese Entscheidung des Landgerichts Osnabrück. Es seien keine Rechtsfehler zulasten der Angeklagten festzustellen. Das Urteil des Landgerichts ist damit rechtskräftig.

Quelle: Pressemitteilung des LG Osnabrück v. 16.11.2020

zurück zur Übersicht

____________________________________________________________

4. OLG Frankfurt a.M.: Rechtsmissbrauch bei über 240 Abmahnungen im Jahr
_____________________________________________________________

Der Ausspruch von über 240 Abmahnungen in einem Jahr, die sich auf Verstöße ohne unmittelbaren wirtschaftlichen Bezug zum Abmahnenden beziehen, spricht für ein missbräuchliches Vorgehen. Dem Abmahnenden stehen deshalb keine Ansprüche auf Erstattung der für die Abmahnungen entstandenen Rechtsanwaltskosten zu, entschied das Oberlandesgericht Frankfurt am Main (OLG) mit heute veröffentlichtem Urteil.

Die Klägerin ist eine in Hamburg ansässige, 2017 gegründete GmbH. Der Beklagte betreibt ein Reisebüro und bietet seine Reisebürodienstleistungen über eine Webseite an. Die Webseite enthielt keinen Hinweis auf und keinen klickbaren Link zur sog. OS-Plattform (siehe Erläuterung). Die Klägerin mahnte den Beklagten deshalb erfolglos ab. Ihre Ansprüche auf Unterlassen des gerügten wettbewerbswidrigen Verhaltens sowie auf Ersatz entstandener Rechtsanwaltskosten wies das Landgericht ab. Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg.

Die Klage sei bereits unzulässig, urteilte das OLG. Die Rechtsverfolgung sei rechtsmissbräuchlich. Es sei unzulässig, Ansprüche auf Beseitigung und Unterlassen wegen einer unzulässigen geschäftlichen Handlung geltend zu machen, wenn dies vorwiegend dazu diene, “gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen.“

Von einem Missbrauch sei auszugehen, wenn das „beherrschende Motiv ... sachfremde, für sich genommen nicht schutzwürdige Interessen und Ziele sind.“ Anhaltspunkt hierfür könne etwa sein, dass die Abmahntätigkeit in keinem vernünftigen wirtschaftlichen Verhältnis zur gewerblichen Tätigkeit des Abmahnenden stehe. Ein weiteres Indiz liege vor, wenn der Abmahnende an der Verfolgung des beanstandeten Wettbewerbsverstoßes kein nennenswertes wirtschaftliches Interesse habe.

Hier spreche bereits die hohe Zahl von über 240 Abmahnungen innerhalb eines Jahres, die sich in fast allen Fällen auf die fehlende Verlinkung zur OS-Plattform oder auf die Verletzung anderer Pflichten von Diensteanbietern bezogen, für ein rechtsmissbräuchliches Verhalten. Die Klägerin werde durch diese Verstöße in ihrer wirtschaftlichen Betätigung nicht unmittelbar berührt.

Die Verstöße beträfen vielmehr vorrangig die Rechtsbeziehungen der abgemahnten Reiseunternehmen zu ihren Kunden, ohne dass der Marktzugang für die Klägerin dadurch erschwert würde. Zu berücksichtigen sei auch, „dass die Klägerin - wenn überhaupt - nur vorübergehend und in sehr speziellen Segmenten des Reisevermittlermarktes tätig ist,“ betont das OLG. Ihren eigenen Angaben nach befinden sich die meisten ihrer angeblichen Tätigkeiten im Planungsstadium und dies seit mehreren Jahren.

„Das Verhalten der Klägerin lässt daher nur den Schluss zu, dass es ihr in erster Linie darum geht, sich im Zusammenwirken mit ihrem Prozessbevollmächtigten durch die Abmahntätigkeit eine Einnahmequelle zu erschließen“, stellt das OLG abschließend fest.

Das Urteil ist nicht anfechtbar.

Oberlandesgericht Frankfurt am Main, Urteil vom 12.11.2020, Az. 6 U 210/19
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 23.8.2019, Az. 3-10 27/19)

Quelle: Pressemitteilung des OLG Frankfurt a.M. v. 13.11.2020

zurück zur Übersicht

____________________________________________________________

5. OVG Hamburg: Bloße Lagerung von Patientenakten ist noch keine Datenverarbeitung = keine DSGVO-Verantwortlichkeit
_____________________________________________________________

Die bloße Einlagerung von ärztlichen Patientenakten durch eine Grundstücksgesellschaft führt nicht dazu, dass die Firma auch diese Daten verarbeitet. Vielmehr liegt in diesen Fällen keine Verantwortlichkeit nach der DSGVO vor (OVG Hamburg, Beschl. v. 15.10.2020 - Az.: 5 Bs 152/20).

Der Fall hatte im Mai 2020 für viel Aufsehen erregt. Der YouTuber ItsMarvin  hatte entdeckt, dass tausende sensibler Krankenakten in einem seit zehn Jahren geschlossenen Hospital ohne nähere Absicherung herumlagen, vgl. dazu den Bericht im Westfalen-Blatt.

Der Hamburgischer Datenschutzbeauftragte, der für den vorliegenden Fall verantwortlich war, erließ gegen die Gesellschaft, die das Grundstück, auf dem das ehemalige Krankenhaus steht, verwaltet, eine datenschutzrechtliche Anordnung, sofort für einen entsprechenden Schutz der Daten herzustellen.

Dagegen wehrte sich die Firma. Verantwortlich sei nicht sie, sondern der ehemalige Insolvenzverwalter, den eine entsprechende Haftung treffe. Sie verwalte lediglich das Grundstück und habe nur bloße Zugangsrechte, mehr aber nicht.

Sowohl das VG Hamburg als auch OVG Hamburg gaben der Klägerin Recht und hoben die behördliche Anordnung auf. Denn es fehle bereits an einer Datenverarbeitung durch die Klägerin:

"Mit diesem Vorbringen werden die Ausführungen des Verwaltungsgerichts nicht erschüttert.

Das Verwaltungsgericht hat entgegen der Darstellung des Antragsgegners keine Unterscheidung zwischen der Speicherung und Aufbewahrung von Daten getroffen und ist insbesondere nicht davon ausgegangen, dass die Aufbewahrung von Akten keine Datenverarbeitung im Sinne der Datenschutzgrundverordnung darstellen könne.

Es hat lediglich festgestellt, dass in der bloßen Lagerung der Patientenakten (als Zustand) in den Räumen des ehemaligen Krankenhauses keine Datenverarbeitung (durch die Antragstellerin) liege, weil eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung eine Handlung bzw. die Veränderung eines Zustands voraussetze, die hier nicht vorliege. 

Diese Ausführungen sind rechtlich nicht zu beanstanden. Auch das Beschwerdegericht geht davon aus, dass eine „Verarbeitung“ (...) eine Handlung im Sinne einer menschlichen Aktivität erfordert (...). Dafür spricht bereits der Wortlaut der Vorschrift, die Verarbeitung als „ausgeführten Vorgang oder jede solche Vorgangsreihe“ bezeichnet. Auch die englische („processing means any operation or set of operations which is performed“) und französische Sprachfassung („traitement, toute operation ou tout ensemble d'operations effectuees“) stützen diese Auffassung. Art. 30 Abs. 1 und 2 DSGVO sprechen sogar ausdrücklich von einem „Verzeichnis aller Verarbeitungstätigkeiten“ bzw. einem „Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“, das von den Verantwortlichen bzw. den Auftragsverarbeitern zu führen ist.

Auch ansonsten besteht Einigkeit, dass die Definition des Verarbeitungsbegriffs einen „Umgang“ mit personenbezogenen Daten voraussetzt (...). Entgegen der Auffassung des Antragsgegners können auch bei diesem Verständnis sowohl die Speicherung als auch die Aufbewahrung von personenbezogenen Daten ohne weiteres als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO verortet werden, da in beiden Fällen eine menschliche Handlung bzw. eine Zustandsveränderung stattfindet: Bei nicht körperlichen Akten wird im Computer der Befehl „Speichern“ erteilt; körperliche Akten werden zur Aufbewahrung etwa in einem dafür vorgesehenen Raum eingelagert."

"Das Verwaltungsgericht hat dazu ausgeführt, die Antragstellerin sei nicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO, weil nicht ersichtlich sei, dass sie alleine oder gemeinsam mit der (...)-Kliniken AG die Entscheidungshoheit über das „Ob“ und „Wie“ einer Datenverarbeitung gehabt haben könne.

Die Überwachung der Liegenschaft durch die Hausmeister und den Sicherheitsdienst mit Billigung der Antragstellerin sowie die Rückgabe der Schlüssel für das Klinikgebäude reiche in diesem Zusammenhang nicht aus. Die tatsächliche Sachherrschaft begründe für sich genommen keine rechtliche Entscheidungsgewalt und damit auch keine datenschutzrelevante Pflichtenstellung."

Ein Journalist hatte beim Bundesrechnungshof beantragt, ihm mitzuteilen, welche Prüfungen der Bundesrechnungshof in den Jahren 2013 und 2014 in den Etats verschiedener Bundesministerien, der Bundeskanzlerin und des Bundeskanzleramtes durchgeführt habe. Er bat um Übersendung einer Liste, aus der hervorgehe, was und wer genau geprüft worden sei. Der Bundesrechnungshof lehnte das Begehren des Klägers ab. Nach der gesetzlichen Regelung seiner Auskunftspflichten in der Bundeshaushaltsordnung könne er nur im Einzelfall Auskunft aus einem abschließend festgestellten Prüfungsergebnis erteilen. Darüber hinausgehende Auskünfte seien nicht möglich.

Die hiergegen erhobene Klage des Klägers wies das Verwaltungsgericht Köln ab. Dagegen wandte sich der Kläger mit seiner Berufung, die teilweise Erfolg hatte.

Das Oberverwaltungsgericht hat entschieden, dass die vom Kläger begehrte Auflistung der in einem bestimmten Zeitraum durchgeführten Prüfungen grundsätzlich vom Auskunftsanspruch nach der Bundeshaushaltsordnung umfasst ist. Der durch die gesetzliche Bestimmung gewährte Zugang zu den im Einzelfall festgestellten Prüfungsergebnissen des Bundesrechnungshofes umfasse nach Sinn und Zweck auch die Mitteilung der Tatsache, zu welchen Prüfungsthemen und -bereichen überhaupt ein Prüfungsergebnis vorliege.

Anderenfalls würde der Anspruch leerlaufen. Ohne diese Kenntnis habe der Auskunftsberechtigte von vornherein nicht die Möglichkeit, in den ihn interessierenden Fällen nach weiteren Einzelheiten zu fragen.

Bei der Erstellung der Liste über in der Vergangenheit vorgenommene Prüfungen habe der Bundesrechnungshof allerdings schützenswerte Vertraulichkeitsinteressen – insbesondere Dritter – zu berücksichtigen. Dies könne dazu führen, dass einzelne durchgeführte Prüfungen nicht in die Liste aufzunehmen seien. Diese Prüfung müsse der Bundesrechnungshof im vorliegenden Fall noch durchführen.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zugelassen.

Aktenzeichen: 15 A 1519/16 (I. Instanz: VG Köln 6 K 1267/15)

Quelle: Pressemitteilung des OVG Münster v. 12.11.2020

zurück zur Übersicht

_____________________________________________________________

7. LG Berlin: Ryanair muss auf Webseite Gebühr für Währungsumrechnung transparent angeben
_____________________________________________________________

Die Fluglinie Ryanair  muss auf ihrer Webseite etwaige Gebühr für eine Währungsumrechnung transparent angeben (LG Berlin, Urt. v. 01.10.2020 - Az.: 91 O 101/18).

Bestellte ein Verbraucher über die Webseite von Ryanair  Tickets, wurden die Preise zunächst in Britischen Pfund (GBD) ausgewiesen. Gab der User dann eine deutsche Kreditkarte als Zahlungsmittel an, erfolgte die Umrechnung automatisch in EUR.

Dabei erhob das Unternehmen auch eine entsprechende Gebühr für die Umrechnung. Darauf wies Ryanair  jedoch nicht transparent hin, sondern zeigte lediglich den Endpreis an. Nur über einen klickbaren Link erfuhr der User, dass hier eine Umrechnung stattfindet und ein zusätzliches Entgelt erhoben wurde.
Das LG Berlin stufte dies als wettbewerbswidrig ein.

"Art. 23 verpflichtet die Beklagte, den zu zahlenden Endpreis stets auszuweisen, wobei dieser neben dem reinen Flugpreis alle anwendbaren Steu­ern und Gebühren, Zuschläge und Entgelte, die unvermeidbar zum Zeitpunkt der Veröffentlichung bereits vorhersehbar sind, einschließen muss.

Gegen diese Verpflichtung hat die Beklagte verstoßen, weil sie im Rahmen des Buchungsvorganges nach Eingabe einer deutschen Kreditkarte den zunächst in britischen Pfund mitgeteilten Gesamtpreis ohne hinreichenden Hinweis in Euro umgerechnet hat. Dadurch sind dem buchenden Verbraucher Zusatzkosten entstanden, ohne dass er darauf hinreichend deutlich hingewiesen wurde.

Der insoweit vorhandene Hinweis der Beklagten erfolgte lediglich über einen der Aufmerksamkeit des durchschnittlichen Verbrauchers nicht zugänglichen Link im Feld zu den Kreditkarten-Informationen."

"Zum Vergleich ist zum Beispiel das Feld, um eine Spende wegen des ökologischen Fußabdruck des Fluges zu machen, ungleich größer, farblich abgesetzt und damit auffälliger.

Dass dem Verbraucher Zusatz­kosten durch die Umrechnung entstanden sind, steht zur Überzeugung der Kammer trotz des Bestreitens durch den Beklagten aufgrund des unstreitigen Sachverhaltes fest. In den von der Be­klagten selbst eingereichten Screenshots zu dem Buchungsvorgang ist zu erkennen, dass der zunächst mit 22,98 GBD angegebene Preis dann auf 28,34 € umspringt (...).

Bei dem von der Klägerin eingereichten Buchungsvorgang war es ebenso. Die Beklagte hat aus Gründen, die sie zu vertreten hat, den Algorithmus, mit dem sie die zunächst in britischen Pfund angegebenen Preise in Euro um rechnet, nicht preisgegeben. Jedoch hat die Klägerin hinreichend substantiiert vorgetragen, dass der ärztliche Preis der Beklagten 'mmer über den von gängigen Währung umrechnen genannten Preisen liegt."

Konkret erfragt der Kläger Datum, Veranstaltungsort, Teilnehmer und Themen sowie Informationsinhalte der Hintergrundgespräche. Außerdem möchte er wissen, an welchen Hintergrundgesprächen im Jahr 2016 die Bundeskanzlerin teilgenommen hat.

Die 27. Kammer des Verwaltungsgerichts hat der Klage stattgegeben. Der Kläger könne die begehrten Informationen auf Grundlage des aus Art. 5 Grundgesetz folgenden presserechtlichen Auskunftsanspruchs verlangen. Der Auskunftserteilung stünden die von der Beklagten geltend gemachten schutzwürdigen Interessen öffentlicher Stellen oder Privater an der Vertraulichkeit dieser Informationen nicht entgegen. Es sei auch davon auszugehen, dass die Informationen bei der Beklagten vorhanden seien.

Im Presserecht könne zum Informationsbestand einer Behörde auch das nicht verschriftlichte dienstliche Wissen von Mitarbeitern gehören. Der für die Zusammenstellung der betreffenden Informationen erforderliche Verwaltungsaufwand sei nicht unverhältnismäßig.

Die Kammer hat wegen grundsätzlicher Bedeutung die Berufung zum Oberverwaltungsgericht Berlin-Brandenburg zugelassen.

Die schriftlichen Urteilsgründe liegen noch nicht vor.

Urteil der 27. Kammer vom 13. November 2020 (VG 27 K 34.17)

Quelle: Pressemitteilung des VG Berlin v. 16.11.2020

zurück zur Übersicht

_____________________________________________________________

9. LG Bonn: DSGVO-Bußgeld gegen 1&1 nur in Höhe von 900.000 EUR rechtens, ursprüngliche 9,5 Mio. EUR sind zu hoch
_____________________________________________________________

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechen¬des Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe.

Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgelds hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt.

Zudem sei zu berücksichtigten, dass es sich - auch nach der Ansicht des BfDI - nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.

Quelle: Pressemitteilung des LG Bonn v. 11.11.2020

zurück zur Übersicht

_____________________________________________________________

10. LG Frankfurt aM.: Facebook darf Identität eines Accounts überprüfen und bei Weigerung löschen
_____________________________________________________________

Facebook  kann grundsätzlich die Identität eines Accounts überprüfen. Weigert sich der User entsprechende Mitwirkungshandlungen vorzunehmen, kann das Unternehmen den Zugang löschen (LG Frankfurt a.M., Urt. v. 03.09.2020 - Az.: 2-03 O 282/19).

Der Kläger meldete sich mit einer allgemeinen Web.de-Adresse bei Facebook  an. Das Online-Unternehmen versetzte das Konto in den so genannten "Fake-Account-Checkpoint" und forderte den Kläger auf, die Echtheit seines Kontos zu bestätigen, z.B. durch Vorlage einer Kopie seines Ausweises oder Bildes oder durch Eingabe eines Bestätigungscodes von einem seiner Geräte.

Der Kläger weigerte sich, weil er der Meinung war, § 13 Abs.6 TMG gewähre ihm ein Recht auf Anonymität und es bestünde keine Pflicht, den Klarnamen bei der Anmeldung anzugeben.

Das LG Frankfurt a.M. hat die Klage abgewiesen.

Im vorliegenden Fall gehe es gar nicht um die Problematik der Klarnamenpflicht, denn das Unternehmen habe dem Kläger auch die Möglichkeit angeboten, unter Wahrung der Anonymität den Account zu bestätigen:

"Denn die Beklagte hat insoweit hier dem Kläger verschiedene Möglichkeiten angeboten, um seine Identität nachzuweisen bzw. zu belegen, dass der neu angelegte Account kein "Fake-Account" ist.

Die Beklagte hat - anders als es der Kläger darstellt - nicht kategorisch die Vorlage eines Personalausweises verlangt, sondern auch die Vorlage eines Bildes oder ähnlichem als ausreichend erachtet. Nach dem unstreitig gebliebenen Vortrag der Beklagten hätte es hierfür sogar ausgereicht, wenn der Kläger einen Bestätigungscode von einem seiner Geräte übermittelt, was nicht zwingend die Offenlegung seiner Identität nach sich gezogen hätte."

"Auf die Frage, ob die Beklagte insoweit eine Klarnamenpflicht wirksam mit dem Kläger vereinbart hat oder nicht und ob sie diese durchsetzen konnte, kam es vorliegend nicht an. Denn es ist bereits unklar, ob der Kläger überhaupt einen Klarnamen verwendet hat oder nicht, da er den von ihm gewünschten Nutzernamen auf der Plattform der Beklagten nicht angegeben hat. Die von ihm angegebene E-Mail-Adresse hat jedenfalls mit seinem Namen nichts zu tun."

"Auch mit dem Argument des Klägervertreters im Termin zur mündlichen Verhandlung, dass § 13 Abs. 6 TMG eine Klarnamenpflicht untersage, dringt der Kläger nicht durch. Insoweit ist bereits fraglich, ob § 13 Abs. 6 TMG nach Geltungserlangung der DSGVO noch Wirkung entfaltet. Vorliegend geht es aber nach dem Vortrag der Parteien nicht um eine Durchsetzung der Klarnamenpflicht.

So hat der Kläger schon nicht vorgetragen, sich nicht mit seinem Klarnamen angemeldet zu haben, sondern hat nur eine E-Mail-Adresse angegeben. Darüber hinaus hat die Beklagte dargetan, dass sie zur Überprüfung seiner Identität einerseits die Übermittlung eines Bildes (ohne Namen) oder sogar das Senden eines Bestätigungscodes von einem seiner Geräte akzeptiert hätte, so dass der Kläger im Ergebnis zur Offenlegung seines Namens nicht verpflichtet war.

Auch wenn die Kammer davon ausgeht, dass der Kläger sich unter einem anderen Namen oder (ggf. in Übereinstimmung mit § 13 Abs. 6 TMG) unter einem Pseudonym angemeldet hat, hat die Beklagte nicht verlangt, dass der Kläger sein Profil mit seinem eigenen Namen bezeichnet, sondern nur, dass er diesen der Beklagten gegenüber offenlegt."