Zurück
Newsletter vom 31.08.2022
Betreff: Rechts-Newsletter 35. KW / 2022: Kanzlei Dr. Bahr


1. BGH: Kein fernabsatzrechtliches Widerrufsrecht bei online gekauften Event-Tickets

2. BAG: Berechnung der Karenzentschädigung bei nachvertraglichem Wettbewerbsverbot (Restricted Stock Units)

3. OLG Frankfurt a.M.: Online-Shop darf Markennamen benutzen für fremdes Ersatzteil

4. OLG Frankfurt a.M.: Kein Sachmangel bei bloßen Geschmacksabweichungen bei Schönheitsbehandlung

5. OLG Nürnberg: Geschäftsführer haftet persönlich bei unzureichenden Compliance-Strukturen (fehlendes 4-Augen-Prinzip)

6. LG Hamburg: Auch juristische Personen können Löschungsansprüche aus der DSGVO herleiten

7. LG Heilbronn: Verstoß gegen Datensicherungsvertrag = Schadensersatzanspruch für Kunden

8. VG Köln: Zwangsgeld ggü. Bundesgesundheitsministerium wegen ausstehender Presseauskunft zu Maskenbeschaffungen angedroht

9. VG Köln: Verteidigungsministerium muss Presse-Fragen zu Hubschrauber-Foto des Sohnes der Ministerin beantworten

10. Datenschutzbehörde Schleswig-Holstein: E-Rezept-QR-Code per E-Mail oder SMS verletzt DSGVO

Die einzelnen News:

____________________________________________________________

1. BGH: Kein fernabsatzrechtliches Widerrufsrecht bei online gekauften Event-Tickets
_____________________________________________________________

Bei online gekauften Event-Tickets handelt es sich zwar um einen Fernabsatzvertrag. Es greift jedoch die Ausnahmeregelung des § 312g Abs.2 Nr.9 BGB, sodass kein fernabsatzrechtliches Widerrufsrecht besteht. Die Wertgutschein-Alternative, die während der Corona-Pandemie eingeführt wurde, ist zudem rechtlich nicht zu beanstanden (BGH, Urt. v. 13.07.2022 - Az.: VIII 317/21).

Der Kläger erwarb über das Internetportal der Beklagten Eintrittskarten für eine Musical-Aufführung. Die gebuchte Veranstaltung fand aufgrund von Corona nicht statt.

Daraufhin begehrte er die Rückzahlung des Kaufpreises. Dies lehnte die Beklagte ab und bot ihm vielmehr einen Wertgutschein an. Daraufhin erhob der Gläubiger Klage.

Der BGH wies dies den Anspruch zurück.

Auch wenn es sich im vorliegenden Fall um einen Fernabsatzvertrag handle, stünde dem Käufer kein Widerrufsrecht zu. Denn es greife die Ausnahmeregelung des § 312g Abs.2 Nr.9 BGB:

"Zwar lag ein Fernabsatzvertrag im Sinne von § 312 c Abs. 1 BGB vor. Ein Widerrufsrecht bestand jedoch gemäß § 312g Abs. 2 Nr. 9 BGB nicht. Diese Vorschrift, die eine Ausnahme vom Widerrufsrecht unter anderem für Verträge zur Erbringung von Dienstleistungen im Zusammenhang mit Freizeitbetätigungen enthält, wenn der Vertrag für die Erbringung einen spezifischen Termin vorsieht, findet auch auf den vorliegenden Rechtskaufvertrag Anwendung.

Diese Voraussetzungen liegen hier vor. Der im eigenen Namen für Rechnung der Veranstalterin geschlossene Kaufvertrag zwischen der Beklagten und dem Kläger hat das Zugangsrecht zu einer auf einen bestimmten Zeitpunkt terminierten Freizeitbetätigung - einem Musical - zum Gegenstand.(...) "


Zwar habe die Beklagte es pflichtwidrig unterlassen, den Kläger über das Nichtbestehen des Widerrufsrechts zu informieren. Dies führe jedoch nicht zu einem nachträglichen Entstehen einer Stornierungsmöglichkeit:
"Zutreffend ist das Berufungsgericht davon ausgegangen, dass der Kläger ein Widerrufsrecht auch dann nicht hätte, wenn die Beklagte ihn entgegen Art. 246a § 1 Abs. 3 Nr. 1 EGBGB nicht darüber informiert hätte, dass ihm ein Widerrufsrecht nicht zusteht.

Die fehlende Information über ein nicht bestehendes Widerrufsrecht führt - entgegen der Auffassung der Revision - nicht zum Entstehen eines Widerrufsrechts. Dies widerspräche dem Willen des Gesetzgebers, der für diese spezielle Konstellation ein Widerrufsrecht gerade nicht für angezeigt hielt.

Es bedarf der Begründung eines Widerrufsrechts wegen fehlender Information über dessen Nichtbestehen auch nicht zum Schutz eines Verbrauchers, dem durch diese Information allein vor Augen geführt werden soll, dass er - anders als im Regelfall bei Fernabsatzverträgen - den Vertrag nicht widerrufen kann, sondern durch die Abgabe seiner Willenserklärung eine unwiderrufliche Bindung an den Vertrag entsteht.

Denn das Unterlassen einer Information hierüber stellte eine Pflichtverletzung dar, die - sofern die weiteren Voraussetzungen hierfür vorlägen - einen Schadensersatzanspruch begründen könnte."


Rechtlich nicht zu beanstanden sei auch der Umstand, dass der Betrag nicht zurücküberwiesen, sondern nur ein Wertgutschein angeboten wurde. Diese während der Corona-Pandemie eingeführte Regelung sei rechtlich nicht zu beanstanden:
"Der Gesetzgeber hat mit der Einführung des Art. 240 § 5 EGBGB durch das Gesetz zur Abmilderung der Folgen der COVID-19-Pandemie im Veranstaltungsvertragsrecht (...) auf die weitreichenden Folgen der COVID-19-Pandemie für die Veranstaltungsbranche reagiert und zu deren Stärkung (...) die Gutscheinlösung eingeführt, um zu verhindern, dass viele Anbieter auf Grund der großen Zahl coronabedingter Erstattungsansprüche insolvent würden und die Besucher mit ihrem Anspruch dann im Ergebnis auch ausfielen. (...)

Durch diese Gutscheinlösung hat der Gesetzgeber unter Berücksichtigung der Interessen sowohl der Kunden als auch der Unternehmer im Veranstaltungsbereich eine abschließende Regelung getroffen, um die Auswirkungen der Maßnahmen zur Bekämpfung der COVID-19-Pandemie im Veranstaltungs- und Freizeitbereich aufzufangen. Eine Vertragsanpassung nach den  Grundsätzen  über  die  Störung  der  Geschäftsgrundlage ist im Geltungsbereich dieser Norm ausgeschlossen (vgl. BGH, Urteil vom 4. Mai 2022 - XII ZR 64/21, ZIP 2022, 1277, Rn. 35 ff. mwN)."

zurück zur Übersicht

_____________________________________________________________

2. BAG: Berechnung der Karenzentschädigung bei nachvertraglichem Wettbewerbsverbot (Restricted Stock Units)
_____________________________________________________________

Der Begriff der „vertragsmäßigen Leistungen“ iSv. § 74 Abs. 2 HGB*, auf deren Grundlage sich bei einem zwischen Arbeitgeber und Arbeitnehmer vereinbarten nachvertraglichen Wettbewerbsverbot die gesetzliche (Mindest-)Karenzentschädigung berechnet, umfasst nur solche Leistungen, die auf dem Austauschcharakter des Arbeitsvertrags beruhen und die der Arbeitgeber dem Arbeitnehmer als Vergütung für geleistete Arbeit schuldet.

Deshalb sind, soweit der Arbeitnehmer eine Vereinbarung über die Gewährung von Restricted Stock Units (RSUs – beschränkte Aktienerwerbsrechte) nicht mit seinem Arbeitgeber, sondern mit der Obergesellschaft der Unternehmensgruppe schließt, der sein Vertragsarbeitgeber angehört, die dem Arbeitnehmer seitens der Obergesellschaft gewährten RSUs bzw. die ihm – nach Wegfall bestimmter Restriktionen – zugeteilten Aktien grundsätzlich nicht Teil der „vertragsmäßigen Leistungen“ iSv. § 74 Abs. 2 HGB.

Etwas anderes kann jedoch gelten, wenn der Vertragsarbeitgeber im Hinblick auf die Gewährung der RSUs durch die Obergesellschaft ausdrücklich oder konkludent eine eigene (Mit-)Verpflichtung eingegangen ist. Ob dies zutrifft, beurteilt sich nach den konkreten Umständen des Einzelfalls.

Der Kläger war von Januar 2012 bis Januar 2020 bei der Beklagten bzw. deren Rechtsvorgängerinnen beschäftigt. Sein monatliches Grundgehalt belief sich zuletzt auf 10.666,67 Euro brutto.

Die Beklagte ist Mitglied einer Unternehmensgruppe, deren Obergesellschaft ein US-amerikanisches Unternehmen ist. Der im Dezember 2011 geschlossene Arbeitsvertrag des Klägers enthält unter § 15 die Vereinbarung eines neunmonatigen konzernweiten nachvertraglichen Wettbewerbsverbots.

Im Gegenzug verpflichtete sich die Arbeitgeberin, an den Kläger „nach Ende der Anstellung eine Entschädigung zu zahlen, welche für jedes Jahr des Verbots die Hälfte der vom Angestellten zuletzt bezogenen vertragsmäßigen Leistungen erreicht“. Ergänzend wurde die Geltung der §§ 74 ff. HGB vereinbart. Während seines Arbeitsverhältnisses partizipierte der Kläger an dem „RSU-Programm“ der Obergesellschaft und erhielt auf der Grundlage der von ihm mit dieser jeweils separat getroffenen „Global Restricted Stock Unit Award Agreements“ jährlich eine bestimmte Anzahl von RSUs.

Mit seiner Klage hat der Kläger, der sich nach seinem Ausscheiden an das Wettbewerbsverbot gehalten hat, die Beklagte zuletzt noch auf Zahlung von Karenzentschädigung iHv. insgesamt 80.053,65 Euro brutto nebst Zinsen in Anspruch genommen.

Er hat die Auffassung vertreten, ihm stehe für die Karenzzeit – über den von der Beklagten bereits gezahlten und den ihm erstinstanzlich rechtskräftig zuerkannten weiteren Betrag hinaus – eine weitere Karenzentschädigung iHv. 8.894,85 Euro brutto monatlich zu. Bei der Berechnung der Karenzentschädigung seien auch die ihm gewährten RSUs zu berücksichtigen. Darauf, wer Schuldner dieser Leistungen sei, könne es schon in Anbetracht der Möglichkeit der Einflussnahme der Obergesellschaft auf die Vertragsbedingungen im Arbeitsverhältnis der Parteien nicht ankommen.

Die Vorinstanzen haben die Klage im noch streitgegenständlichen Umfang abgewiesen.

Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts keinen Erfolg. Der Kläger hat – wie das Landesarbeitsgericht zutreffend erkannt hat – keinen Anspruch auf Zahlung einer höheren Karenzentschädigung.

Ein solcher Anspruch hätte sich nur unter Berücksichtigung der dem Kläger seitens der Obergesellschaft gewährten RSUs ergeben können. Bei diesen handelt es sich jedoch nicht um „vertragsmäßige Leistungen“ iS der unter § 15 des Arbeitsvertrags über die Höhe der Karenzentschädigung getroffenen Vereinbarung. Diese Vereinbarung greift den Wortlaut von § 74 Abs. 2 HGB auf und ist mithin dahin zu verstehen, dass die Beklagte dem Kläger eine Karenzentschädigung iH der gesetzlichen Mindestentschädigung zugesagt hat.

Für die Auslegung des Begriffs der „vertragsmäßigen Leistungen“ in § 15 des Arbeitsvertrags gilt demnach nichts anderes als für die Auslegung des entsprechenden Rechtsbegriffs in § 74 Abs. 2 HGB.

Der Begriff der „vertragsmäßigen Leistungen“ iSv. § 74 Abs. 2 HGB, auf deren Grundlage sich bei der Vereinbarung eines nachvertraglichen Wettbewerbsverbots die gesetzliche (Mindest-)Karenzentschädigung berechnet, umfasst nur solche Leistungen, die auf dem Austauschcharakter des Arbeitsvertrags beruhen und die der Arbeitgeber dem Arbeitnehmer als Vergütung für geleistete Arbeit schuldet.

Da der Kläger die jeweiligen „Global Restricted Stock Unit Award Agreements“, also die Vereinbarungen über die Gewährung der RSUs, nicht mit der Beklagten bzw. deren Rechtsvorgängerinnen, sondern mit der Obergesellschaft getroffen hat, setzt die Berücksichtigung der RSUs bei der Berechnung der Karenzentschädigung zumindest voraus, dass die Beklagte im Hinblick auf die Gewährung dieser RSUs – ausdrücklich oder konkludent – eine (Mit-)Verpflichtung übernommen hatte.

Die Beklagte ist jedoch – wie das Landesarbeitsgericht unter Berücksichtigung aller Umstände des Einzelfalls rechtsfehlerfrei angenommen hat – weder ausdrücklich noch konkludent eine solche (Mit-)Verpflichtung eingegangen. Insbesondere war eine andere Bewertung nicht deshalb geboten, weil die Parteien in § 15 des Arbeitsvertrags ein „konzernweites“ Wettbewerbsverbot vereinbart hatten.

Selbst wenn die Wettbewerbsabrede hinsichtlich ihres vereinbarten Konzernbezugs nicht dem Schutz berechtigter geschäftlicher Interessen der Beklagten gedient haben sollte, hätte dies nach § 74a Abs. 1 HGB** „nur“ eine Rückführung der dem Kläger auferlegten Beschränkungen auf die zulässige Reichweite des Verbots bewirkt, nicht aber dazu geführt, dass der Kläger, soweit er sich auch des Wettbewerbs insbesondere im Geschäftsbereich der Obergesellschaft enthalten hat, eine Karenzentschädigung unter Berücksichtigung der RSUs verlangen könnte.

Bundesarbeitsgericht, Urteil vom 25. August 2022 – 8 AZR 453/21 –
Vorinstanz: Landesarbeitsgericht Hamm, Urteil vom 11. August 2021 – 10 Sa 284/21 –

Quelle: Pressemitteilung des BAG v. 25.08.2022

zurück zur Übersicht

____________________________________________________________

3. OLG Frankfurt a.M.: Online-Shop darf Markennamen benutzen für fremdes Ersatzteil
_____________________________________________________________

Ein Online-Shop darf die geschützte Marke eines Herstellers benutzen, wenn er Ersatzteile für das Gerät (hier: Rasierscherkopf) anbietet (OLG Frankfurt a.M., Beschl. v. 03.05.2022 - Az.: 6 W 28/22).

Die Beklagte bot auf ihrer Webseite Ersatz-Scheraufsätze zum Kauf an und warb u.a. mit der Aussage:

"Ersatzkopf für Philips RQ11 ..."
Es folgten dann die weiteren Typenbezeichnungen der unterschiedlichen Geräte.

Bei den Produkten handelte es sich um Eigenherstellungen der Beklagten.

Philips  sah hierin eine Markenverletzung und ging dagegen gerichtlich vor.

Das OLG Frankfurt a.M. verneinte einen Anspruch, denn das Kennzeichen werde lediglich zur Bestimmung des Produkts benutzt, nämlich, dass es sich um ein Ersatzteil für einen spezifischen Rasierer von Philips  handle.

Ein solcher Hinweis sei nach § 14 Abs.2 Nr.3 MarkenG privilegiert und rechtlich nicht zu beanstanden:

"Die Nutzung des Zeichens "RQ 11" führt jedoch nicht dazu, die Nutzung der Verfügungsmarke als nicht den anständigen Gepflogenheiten in Gewerbe und Handel entsprechend anzusehen.

Es ist nicht ersichtlich, dass die Wertschätzung der Verfügungsmarke durch die Nennung des Zeichens "RQ 11", das die Antragstellerin für ihre Original Ersatz-Scherköpfe verwendet, an dem sie aber keine Zeichenrecht geltend macht, ausgenutzt wird oder die Verfügungsmarke gar hierdurch herabgesetzt oder schlechtgemacht wird.

Die Antragstellerin kann sich in diesem Zusammenhang insbesondere nicht auf die BGH-Entscheidungen "GROSSE INSPEKTION FÜR ALLE" (GRUR 2011, 1135) berufen, denn dort hat der BGH entschieden, dass es von dem Ankündigungsrecht nicht gedeckt ist, eine bekannte Wort-/Bildmarke eines Automobilherstellers zu verwenden, wenn die Benutzung der Wortmarke die schützenswerten Interessen des Markeninhabers weniger beeinträchtigt.

Ebenso wenig einschlägig ist die Entscheidung "keine-Vorwerk-vertretung I" des BGH (Urteil vom 28.6.2018 - I ZR 236/16), weil sich auch diese Entscheidung mit der Verwendung eines markenrechtlich geschützten Zeichens beschäftigt.

Auch die Entscheidung des BGH "Verbrauchsmaterialien" (GRUR 1996, 781) ist auf den vorliegenden Sachverhalt nicht übertragbar. Denn in diesem Urteil ging es darum, dass Produkte von Drittanbietern mit der identischen Bezeichnung der Originalprodukte versehen und unter dieser Bezeichnung auf den Markt gebracht wurden. Daran fehlt es vorliegend, da die Produkte der Antragsgegnerin, wie bereits ausgeführt, hinreichend deutlich als Ersatz für die jeweiligen Original Produkte ausgelobt werden."

zurück zur Übersicht

____________________________________________________________

4. OLG Frankfurt a.M.: Kein Sachmangel bei bloßen Geschmacksabweichungen bei Schönheitsbehandlung
_____________________________________________________________

Eine Augenbrauenpigmentierung betrifft neben der reinen handwerklichen Leistung auch künstlerische Aspekte. Der Besteller hat deshalb grundsätzlich einen künstlerischen Gestaltungsspielraum des Unternehmers hinzunehmen, so dass Geschmacksabweichungen keinen Mangel begründen.

Dies ist nur anders, wenn konkrete Vorgaben im Sinne einer Beschaffenheitsvereinbarung gemacht wurden. Da derartige Vorgaben nicht feststellbar waren, hat das Oberlandesgericht Frankfurt am Main (OLG) mit heute veröffentlichter Entscheidung den mit der Berufung weiterverfolgten Ansprüchen auf Schmerzensgeld und Ersatz der Kosten einer Korrekturbehandlung keinen Erfolg beigemessen.

Der Kläger unterzog sich einer kosmetischen Behandlung seiner Augenbrauen in einem Kosmetikstudio der Beklagten in Wiesbaden. Er bestätigte mit seiner Unterschrift unter anderem, dass vor der Pigmentierung das Permanent Make-up vorgezeichnet und mittels Spiegel gezeigt worden sei. Gleiches gelte für das ungefähre Farbendergebnis. Der Kläger unterzeichnete zudem einen als „Abnahme“ bezeichneten Passus, wonach er das Permanent Make-up genauestens überprüft und nach der Behandlung als einwandfrei und ordnungsgemäß beurteilt habe.

Für die Behandlung zahlte er 280 €. Einen Tag später beschwerte er sich über die zu dunkle Farbe; weitere drei Tage später verlangte er das Honorar wegen eines nicht zufriedenstellenden Behandlungsergebnisses zurück. Drei Monate später unterzog er sich einer korrigierenden Laserbehandlung an den Augenbrauen. Diese kostete 289 €.

Der Kläger verlangt nunmehr Schmerzensgeld i.H.v. 3.500 € sowie Erstattung der Kosten der Korrekturbehandlung. Er behauptet, es sei ein so genanntes Micro-Blading vereinbart worden, bei welchem die Linien der Härchen der Augenbrauen eingeschnitten und mit Farbpigmenten in die Haut eingearbeitet würden. Die vorgenommene Pigmentierung der Beklagten entstelle ihn dagegen; ihm seien „zwei schwarze Balken“ in Höhe der Augenbrauen tätowiert worden.

Das Landgericht hatte die Klage abgewiesen.
Auch das OLG maß der Berufung keinen Erfolg bei. Der Kläger habe weder Anspruch auf Zahlung der Kosten der Laserbehandlung noch auf Entrichtung eines Schmerzensgeldes, führte das OLG im Hinweisbeschluss aus.

Der Kläger habe mit der Beklagten ausweislich der Einwilligungserklärung einen Vertrag zur Durchführung eines Permanent-Make-Ups geschlossen, nicht aber für eine Härchenzeichnung mittels Micro-Blading. Ausweislich der Erklärung habe der Kläger sich ausdrücklich mit einem Permanent Make-up einverstanden erklärt. Der Kläger habe nicht dargelegt, dass die danach geschuldete Permanent Make-up-Behandlung fehlerhaft durchgeführt worden sei.

Das Werk der Beklagten sei auch nicht wegen etwaiger optischer Abweichungen mangelhaft.

„Da bei einer Augenbrauenpigmentierung neben der reinen handwerklichen Leistung auch künstlerische Aspekte betroffen sind, hat der Besteller grundsätzlich einen künstlerischen Gestaltungsspielraum des Unternehmers hinzunehmen ..., so dass Geschmacksabweichungen nicht geeignet sind, einen Mangel zu begründen“, betont das OLG.

Dies wäre nur anders, wenn der Besteller konkrete Vorgaben gemacht hätte. Dies könne hier nicht festgestellt werden.

Der Kläger habe - so das OLG - vielmehr nicht bewiesen, „dass die auf den Lichtbildern erkennbare von der Augenbrauenlinie, der Augenform und der Dicke der Augenbrauen abweichende, zum Teil oberhalb derselben liegende, balkenförmig mit Spitzzulauf ausgeführte Tätowierung von der Absprache abweicht, die der Kläger mit der Beklagten zur Gestaltung der Augenbrauen getroffen hat“.

Darüber hinaus habe der Kläger durch Unterzeichnung der Abnahmeerklärung das Werk als einwandfreien ordnungsgemäß gebilligt. Soweit der Farbton der Segmentierung als zu dunkel gerügt werde, habe der Kläger nicht dargelegt, welchen konkreten anderen Farbton er ausgewählt habe.

Der Kläger hat auf diesen Hinweisbeschluss in die Berufung zurückgenommen.

Oberlandesgericht Frankfurt am Main, Hinweisbeschluss vom 5.7.2022, Az. 17 U 116/21
(vorausgehend Landgericht Wiesbaden, Urteil vom 13.10.2021, Az. 1 O 24/21)

Quelle: Pressemitteilung des OLG Frankfurt a.M. v. 29.08.2022

zurück zur Übersicht

____________________________________________________________

5. OLG Nürnberg: Geschäftsführer haftet persönlich bei unzureichenden Compliance-Strukturen (fehlendes 4-Augen-Prinzip)
_____________________________________________________________

Ein Geschäftsführer haftet persönlich, wenn er bei besonders schadensträchtigen Tätigkeiten nur unzureichende Compliance-Strukturen (fehlendes 4-Augen-Prinzip) umsetzt (OLG Nürnberg, Urt. v. 30.03.2022 - Az.: 12 U 1520/19).

Es ging bei der Auseinandersetzung um die Frage, ob ein Geschäftsführer der Gesellschaft gegenüber persönlich haftet, wenn ein Schaden durch einen untreuen Mitarbeiter eintritt.

Die klägerische Firma war ein mittelständisches Unternehmen, hatte 13 Mitarbeiter und vertrieb Mineralprodukte.

Geschäftskunden konnten mittels Kundenkarten an Tankstellen bezahlen, eine Abrechnung erfolgte erst später. Da es in der Vergangenheit zu Forderungsausfällen kam, führte die Gesellschaft die Regelung ein, dass grundsätzlich nur ein ungesichertes Tank-Limit von 25.000,- EUR pro Geschäftskunde vergeben wurde.

Ein Mitarbeiter der klägerischen Gesellschaft beging nun Untreuehandlungen. Er rechnete die Betankungen anderen Kunden zu, sodass ein Schaden von fast 790.000,- EUR entstand.

Die Klägerin verlangte nun vom Geschäftsführer den Ersatz des Schadens, da er keine ausreichende Compliance-Strukturen eingeführt hätte. Insbesondere habe er es unterlassen, einen weiteren Mitarbeiter in der Abrechnungsabteilung einzustellen, sodass bei den Kundenkarten kein 4-Augen-Prinzip bestanden habe.

Der betroffene Geschäftsführer verteidigte sich damit, dass er nach einem weiteren Angestellten gesucht, aber keine qualifizierte Person gefunden habe.

Das OLG Nürnberg bejahte eine Haftung des Geschäftsführers für das eingetretene Defizit.  Er habe es nämlich unterlassen, für den besonders schadensträchtigen Bereich ausreichende Compliance-Strukturen einzuführen:

"Eine Pflichtverletzung des Beklagten ist bereits deshalb gegeben, weil dieser es unterlassen hat, im Rahmen der internen Unternehmensorganisation der Klägerin Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter - auch mittels Überwachungs- und Kontrollmaßnahmen - verhindern.

Dies zeigt sich insbesondere daran, dass der Beklagte keine Maßnahmen ergriffen hat, um das (von ihm selbst als relevant erkannte) Vier-Augen-Prinzip im schadensträchtigen Bereich der Ausgabe von Tankkarten sowie deren EDVmäßige Verbuchung und Zuordnung an Kartenkunden einzuhalten."


Und weiter:
"Das Vier-Augen-Prinzip (englisch two-man rule) ist in der Organisationslehre eine präventive Kontrolle, bei der bestimmte Ablaufabschnitte, Arbeitsabläufe, Arbeitsprozesse, Arbeitsvorgänge, Aufgaben, Entscheidungen, Handlungen oder Prozesse nur durch gleichlautende Entscheidungen von mindestens zwei Personen durchgeführt werden dürfen.

Ziel des Vier-Augen-Prinzips ist es, das Risiko von Fehlern und Missbrauch zu reduzieren. Die Vier-Augen-Kontrolle ist branchenübergreifend bei einer Vielzahl von unternehmensinternen Arbeitsprozessen zu finden, die als kritisch gewertet werden. Kritisch sind Prozesse immer dann, wenn sie bei einer nicht ordnungsgemäßen Durchführung Personenschäden oder erhebliche finanzielle Auswirkungen zur Folge haben können.

Bei der Klägerin war für die vom Mitarbeiter H. ausgeführte Tätigkeit der Verwaltung von Tankkarten und Kartenkunden die Wahrung des Vier-Augen-Prinzips erforderlich. Diese Tätigkeit konnte zu weitreichenden finanziellen Folgen für die Klägerin führen und stellt seitens der Klägerin auch eine Art der Kreditgewährung an ihre Kunden dar. "


Und:
"Jedenfalls soweit es um die Ausgabe von Tankkarten sowie deren EDVmäßige Verbuchung und Zuordnung an Kartenkunden ging, war deshalb bei der Klägerin für die vom Mitarbeiter H. ausgeübte Tätigkeit die Wahrung des Vier-Augen-Prinzips erforderlich. Hiervon geht selbst der Beklagte aus, der vortragen lässt, er habe sich bemüht, einen weiteren Mitarbeiter für diesen Tätigkeitsbereich zu finden, „damit das Vier-Augen-Prinzip gewahrt bleibt“ (...).

Unerheblich ist, dass der Beklagte nach seinem Vortrag kein hierfür geeignetes Personal gefunden haben will; soweit aus diesem Grund eine Überwachung nicht delegiert werden konnte, hätte der Beklagte selbst die notwendigen Überwachungstätigkeiten durchführen müssen."

zurück zur Übersicht

_____________________________________________________________

6. LG Hamburg: Auch juristische Personen können Löschungsansprüche aus der DSGVO herleiten
_____________________________________________________________

Auch juristische Personen können Löschungsansprüche aus der DSGVO herleiten (LG Hamburg, Urt. v. 11.12.2020 - Az.: 324 O 30/20).

Klägerin war eine juristische Person, die ein Nachhilfeinstitut betrieb.

Die Beklagte war ein privater Informationsdienst, der Daten über eine Webseite der Allgemeinheit öffentlich zur Verfügung stellte. Auf dem Portal erschienen nach Eingabe einzelner Suchparameter die gewünschten Infos. Bei sämtlichen Daten handelte es sich um Datensätze aus allgemein zugänglichen Registern (z.B. Handelsregister, Insolvenzbekanntmachungen oder elektronischen Bundesanzeiger).

Die Beklagte veröffentlichte nun Infos zur Beklagten, u.a. Firmenname, Anschrift, Daten zum Jahresabschluss. Zusätzlich wurde auch der Name des Geschäftsführers benannt.

Die Klägerin sah sich in ihren DSGVO-Rechten verletzt und klagte.

Die Beklagte bestritt bereits die Anwendbarkeit der DSGVO-Regelungen, da die Klägerin als juristische Person gar nicht in den Schutzbereich der Vorschriften falle.

Diesem Standpunkt hat das LG Hamburg eine klare Absage erteilt. Nach diesem Standpunkt könnten auch juristische Personen Rechte auf Basis der DSGVO herleiten:

"Die Vorschriften der DSGVO sind vorliegend auf die Klägerin zu 1) als juristische Person anwendbar.

Zwar beschränken diverse Vorschriften der DSGVO die Anwendbarkeit der Verordnung auf natürliche Personen. So normiert Art. 1 Abs. 1 DSGVO: „Die Verordnung enthält Vorschriften zum Schutz natürlicher Personen…“ oder Art. 4 Nr. 1 DSGVO: „Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen…“.

Schließlich schreibt der Erwägungsgrund (EG) 14 der Verordnung ausdrücklich fest: „…Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“.

Jedoch ist der Anwendungsbereich des Datenschutzrechts bei der Verarbeitung von Informationen juristischer Personen eröffnet, wenn die Informationen der juristischen Person sich (auch) auf die hinter dieser stehenden natürlichen Person beziehen.

Dies ist beispielsweise der Fall, wenn Informationen über die juristische Person gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen (Moritz in Simitis/Hornung/Spiecker Datenschutzrecht,1. Auflage 2019, Art 4 Rn. 43-45; Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 25). Dies ist vorliegend der Fall.

Der Firmenname und der Geschäftssitz der Klägerin zu 1) beziehen sich auf ihre Geschäftsführer. Die Klägerin zu 1) führt in ihrem Firmennamen den Familiennamen der Geschäftsführer und ihr Geschäftssitz ist mit der Wohnanschrift ihrer Geschäftsführer identisch."


Im Ergebnis wies das LG Hamburg die Klage jedoch ab, da ein berechtigtes Interesse an der Datenverarbeitung durch die Beklagte bestünde:
"Ein berechtigtes Interesse der Beklagten liegt vor. (...)

Jedoch spricht für die Beklagten, dass sie die Daten der Klägerin (...) ausschließlich aus Veröffentlichungen des Handelsregisters und des Bundesanzeigers zusammengeführt hat, die ohnehin öffentlich zugänglich sind. Eine Geheimhaltung der veröffentlichten Daten ist der Klägerin (...) damit nicht möglich. Der Zweck der Veröffentlichungen in den öffentlichen Registern liegt in der Schaffung von Transparenz und Sicherheit des Geschäftsverkehrs. Durch die Weiterverarbeitung der Daten durch die Beklagte wird der Zweck nicht verändert. Auch die Plattform der Beklagten schafft Transparenz und Sicherheit des Geschäftsverkehrs.

Zugunsten der Beklagten ist weiter zur berücksichtigen, dass ausschließlich Daten, die der Sozialsphäre der Klägerin (...) zuzuordnen sind, von der Datenverarbeitung der Beklagten betroffen sind.

Des weiteren entsteht eine über die bereits öffentlich zugänglichen Daten der Klägerin zu 1) hinausgehende Aussagekraft durch die veröffentlichten Daten der Klägerin (...) auf der Internetseite der Beklagten nicht. Vielmehr ermöglicht sie eine vereinfachte Informationsgewinnung und schafft damit eine erhebliche Arbeitserleichterung bei Recherchen über Unternehmen und die dahinterstehenden natürlichen Personen. Ein über die bereits öffentlich zugänglichen Daten hinausgehende Aussagekraft entsteht auch nicht durch die grafische Darstellung der Bilanzen in Form eines Balkendiagrammes."

Anmerkung von RA Dr. Bahr:
Auch wenn die Rechtsmeinung des LG Hamburg am Ende keine entscheidende Rolle spielte, weil die Klage abgewiesen wurde: Der Standpunkt, dass eine juristische Person sich auf entsprechende Löschrechte aus der DSGVO herleiten kann, ist noch nicht einmal im Ansatz vertretbar. Eine klare Fehleinschätzung.

Die juristische Person ist gerade nicht Schutzobjekt der DSGVO, sondern vielmehr muss immer ein Bezug zu einer natürlichen Person vorliegen.

In Erwägungsgrund Nr. 14 zur DSGVO heißt es daher auch explizit:

"Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person."

Das LG Hamburg vertritt das exakte Gegenteil.

Eine ganz andere Frage ist, ob und inwieweit die DSGVO anwendbar ist, wenn mit der Verarbeitung auch Daten von natürlichen Personen (z.B. Name des Geschäftsführers) gespeichert werden. Die DSGVO-Ansprüche stehen dann aber nur den natürlichen Personen zu und eben nicht der juristischen Person.

zurück zur Übersicht

_____________________________________________________________

7. LG Heilbronn: Verstoß gegen Datensicherungsvertrag = Schadensersatzanspruch für Kunden
_____________________________________________________________

Verstößt ein Anbieter gegen seine Pflichten aus einem Datensicherungsvertrag und wird kein ausreichendes Backup hergestellt, so hat der Kunde einen Anspruch Erstattung der Kosten, die für die Wiederherstellung der Daten notwendig sind (LG Heilbronn, Urt. v. 28.01.2021 - Az.: Es 2 O 238/17).

Die Parteien schlossen einen Vertrag über Datenfernsicherung mit einer Laufzeit von 60 Monaten zu ca. 380,- EUR/Monat.

Als es zu einem Datenverlust kam und die Klägerin das aktuelle Backup einspielen wollte, stellte sich heraus, dass seit ein paar Wochen keine externe Datensicherung mehr stattgefunden hatte. Der Klägerin gelang es durch eine interne Datensicherung den Datenbestand wiederherzustellen, Hierfür war jedoch ein erheblicher Mehraufwand an Stunden notwendig (ca.  560 Stunden). Sie machte daher einen Schadensersatz iHv. 16.000,- EUR geltend.

Das Gericht gab der Klägerin weitgehend Recht und verurteilte die Beklagte zur Zahlung.

Die Juristen stuften den Datensicherungsvertrag zunächst als Werkvertrag ein:

"Bei dem streitgegenständlichen Vertrag handelt es sich um einen Dienstvertrag. Hierfür spricht zunächst der Wortlaut der Vertragsurkunde, welcher mit „Dienstleistungsvertrag über Datenfernsicherung“ überschrieben ist und insgesamt im Vertrag von Dienstleistungen die Rede ist, wobei dem Gericht hierbei bewusst ist, dass allein aus der Wortwahl der Vertragsurkunde keine eindeutige Einordnung erfolgen kann.

Für die Einordnung als Dienstvertrag spricht jedoch weiterhin, dass es sich um ein Dauerschuldverhältnis handelt, in welchem pauschal nach Zeitabschnitten abgerechnet wird und nicht erfolgsabhängig nach erfolgter Datensicherung, z.B. nach dem Maß der gesicherten Datenmengen o.ä. Hieraus ergibt sich bereits eine Erfolgsunabhängigkeit der monatlich geschuldeten Vergütung und damit eine Auslegung als Dienstvertrag. Schließlich ergibt sich aus der Vertragsurkunde auch sonst keine Erfolgsabhängigkeit bzw. kein konkret geschuldeter Erfolg."


Die Beklagte habe gegen ihre vertraglichen Sorgfaltspflichten verstoßen:
"So hat die Beklagte (...) jedenfalls die Pflicht aus dem geschuldeten aktiven 24/7 Monitoring verletzt. (...) Hieraus ergibt sich die Pflicht der Beklagten, dass Backup-System umfassend zu überwachen und der Klägerin mitzuteilen, sollten Probleme auftreten.

Dass die Beklagte dies – bezogen auf den konkreten Datenverlust – getan hätte, ist nicht ersichtlich. So wurde zwar beklagtenseits vorgetragen, dass entsprechende Hinweise an die Klägerin erfolgt seien. Dies genügt jedoch nicht der die Beklagte treffenden sekundären Darlegungslast. Zwar obliegt es grundsätzlich der Klägerin, die Pflichtverletzung als anspruchsbegründenden Umstand darzulegen und zu beweisen.

Doch handelt es sich bei dem Unterlassen der Information um eine Negativtatsache. So ist es nach der Behauptung der Klägerin, nicht informiert worden zu sein, an der Beklagten, die aus ihrer Sphäre stammende Information bzw. Mitteilung an die Klägerin darzulegen und ggf. zu beweisen.

Die Beklagte konnte als Beleg für eine Information der Klägerin nur eine Mail vom 22.09.2015 vorlegen, in welcher im Übrigen nur Probleme hinsichtlich des Public-Ordners angesprochen werden. Da diese Mail jedoch auf fast ein Jahr vor dem streitgegenständlichen Vorfall datiert, fehlt es an einem Bezug zur konkreten vorgeworfenen Pflichtverletzung. Belege für darüberhinausgehende Informationen, mündlich oder schriftlich bzw. in Textform, sind nicht gegeben.

Dass die Beklagte dem geschuldeten aktiven Monitoring nachgekommen wäre, ist daher nicht ersichtlich. Auf die Frage, ob die unterlassene Datensicherung auf einer – fehlerhaften – Einstellung der Administratorenrechte durch die Klägerin selbst beruht, kommt es daher nicht an, wurde die Klägerin jedenfalls nicht auf etwaige Fehleinstellungen und die damit verbundene Unmöglichkeit des Zugriffs der Beklagten auf die zu sichernden Daten, bezogen auf den konkreten Vorfall, hingewiesen.

Dass der Hinweis der Beklagten vom 22.09.2015 fortgegolten hätte, ist nicht ersichtlich. So wurden bis zum 06.06.2016 Daten gesichert, folglich hatte die Beklagte nach dem 22.09.2015 Zugriff, sodass die fehlerhafte Einstellung vom September 2015 behoben gewesen sein muss."

zurück zur Übersicht

_____________________________________________________________

8. VG Köln: Zwangsgeld ggü. Bundesgesundheitsministerium wegen ausstehender Presseauskunft zu Maskenbeschaffungen angedroht
_____________________________________________________________

Wegen einer ausstehenden Presseauskunft zu Maskenbeschaffungen hat das Verwaltungsgericht Köln dem Bundesgesundheitsministerium (BMG) ein Zwangsgeld in Höhe von 5.000 Euro angedroht. Es gab damit dem Vollstreckungsantrag eines Zeitungsverlags statt.

Im Ausgangsverfahren hatte das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster das BMG mit einem Eilbeschluss vom 29. Juli 2022 verpflichtet, dem Zeitungsverlag die Frage zu beantworten, „auf wessen Veranlassung im Gesundheitsministerium“ akzeptiert worden sei, dass eine namentlich benannte Firma „lange nach dem 30. April 2020 anliefern konnte und diese gleichwohl bezahlt wurde?“.

Das BMG antwortete hierauf zuletzt, dass dies auf Entscheidungen beruhe, die u.a. von „dem Bundesministerium für Gesundheit unter Wahrung der vorgesehenen Zuständigkeiten im Bundesministerium“ getroffen worden seien. Weil die Antragstellerin damit ihre Frage nicht beantwortet sah, stellte sie beim Verwaltungsgericht Köln am 22. August 2022 einen Vollstreckungsantrag. Das BMG vertrat in dem Verfahren die Ansicht, die Frage beantwortet zu haben; anderenfalls sei die Auskunftspflicht unklar und daher nicht vollstreckungsfähig.

Dem ist das Gericht mit seinem Vollstreckungsbeschluss vom 24. August 2022 nicht gefolgt.

Zur Begründung hat es ausgeführt: Die Verpflichtung zur Beantwortung der Frage ist hinreichend bestimmt.

Die Frage zielt ersichtlich auf die Benennung derjenigen Person/en ab, auf deren Veranlassung akzeptiert wurde, dass die besagte Firma lange nach dem 30. April 2020 anliefern konnte und diese gleichwohl bezahlt wurde.

Jedenfalls ist unter Heranziehung der Gründe des zu vollstreckenden Beschlusses erkennbar, dass Inhalt der begehrten Auskunft sei, auf wen die erfragte Veranlassung innerhalb des Ministeriums zurückgeht. Diese Auskunft hat das BMG bislang mit dem bloßen Verweis auf die Wahrung der vorgesehenen Zuständigkeiten nicht erteilt.

Gegen den Beschluss kann das BMG Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde.

Az.: 6 M 63/22

Quelle: Pressemitteilung des VG Köln v. 25.08.2022

zurück zur Übersicht

_____________________________________________________________

9. VG Köln: Verteidigungsministerium muss Presse-Fragen zu Hubschrauber-Foto des Sohnes der Ministerin beantworten
_____________________________________________________________

Das Bundesverteidigungsministerium muss der Presse Auskunft über Details zu Entstehung und Veröffentlichung eines Fotos erteilen, das den Sohn von Ministerin Lambrecht in einem Hubschrauber der Bundeswehr zeigt. Dies hat das Verwaltungsgericht Köln mit Beschluss vom 22. August 2022 entschieden und damit dem Eilantrag eines Journalisten teilweise stattgegeben.

Das Foto entstand augenscheinlich in jenem Hubschrauber, der die Ministerin und ihren Sohn am 13. April 2022 von Berlin nach Ladelund beförderte.

Die Ministerin besuchte sodann das Bataillon Elektronische Kampfführung 911 in Stadum. Nach dem Truppenbesuch reiste sie mit ihrem Sohn in einem Auto zur nahegelegenen Insel Sylt, um dort den Osterurlaub zu verbringen. Der Sohn der Ministerin veröffentlichte das Foto auf seinem damals öffentlich einsehbaren Instagram-Profil.

Der Journalist wollte vom Verteidigungsministerium wissen, welcher zeitliche Abstand zwischen der Buchung des Hotels auf Sylt und der Terminierung des Truppenbesuchs lag.

Ferner wollte er wissen, welche Kenntnisse die Ministerin über die Entstehung des Fotos und seine Veröffentlichung hatte, insbesondere, ob die Ministerin das Foto selbst angefertigt habe. Das Ministerium lehnte eine Beantwortung im Wesentlichen mit der Begründung ab, eine Auskunft sei ausgeschlossen, weil diese allein die Ministerin als Privatperson betreffe. Daraufhin hat der Journalist einen Eilantrag beim Verwaltungsgericht Köln gestellt.

Dieser Antrag hatte ganz überwiegend Erfolg. Zur Begründung hat das Gericht ausgeführt: Ein Auskunftsanspruch über den Zeitpunkt der Hotelbuchung ist ausgeschlossen, weil es sich um eine Privatangelegenheit der Ministerin handelt.

Anders liegt der Fall jedoch bei den Fragen zu Entstehung und Veröffentlichung des Fotos. Aus dessen Gesamtkontext ergibt sich ein hinreichender dienstlicher Bezug zur Bundeswehr:

Die Anreise der Ministerin zu einem Truppenbesuch unter Inanspruchnahme eines Bundeswehrhubschraubers bildete den dienstlichen Rahmen, innerhalb dessen das Foto entstanden ist. Erst durch die Inanspruchnahme von Ressourcen der Bundeswehr und von Befugnissen, die der Ministerin als Behördenleiterin zustehen, konnte das Bild entstehen. Insoweit hat zudem das Informationsinteresse der Presse Vorrang gegenüber dem Schutz der Privatsphäre.

Die streitigen Fragen zielen nicht auf eine Informationsgewinnung zu besonders sensiblen Bereichen der Privatsphäre. Zudem muss sich die Ministerin entgegenhalten lassen, dass sie selbst durch die Mitnahme ihres Sohnes in einem Bundeswehrhubschrauber ihre privaten Belange mit der Wahrnehmung ihrer Amtsgeschäfte verwoben hat.

Gegen den Beschluss können die Beteiligten Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde. Az.: 6 L 978/22

Quelle: Pressemitteilung des VG Köln v. 24.08.2022

zurück zur Übersicht

_____________________________________________________________

10. Datenschutzbehörde Schleswig-Holstein: E-Rezept-QR-Code per E-Mail oder SMS verletzt DSGVO
_____________________________________________________________

Nach Einschätzung der Datenschutzbehörde Schleswig-Holstein verstößt die bislang vorgenommene Zusendung von E-Rezept-QR-Codes per E-Mail oder SMS die Regelungen der DSGVO. Dies gilt auch für den Fall, dass der Patient der Zusendung zugestimmt hat.

Inhaltlich geht es um das E-Rezept und die Zusendung des QR-Codes per E-Mail  oder SMS-Verfahren an Patienten oder Apotheken.  Die Datenschutzbehörde Schleswig-Holstein hält diese Praxis für datenschutzwidrig:

"Mit der Versendung von QR-Codes an versicherte Personen oder Apotheken würden bereits Gesundheitsdaten (...)übermittelt. Dabei ist zu berücksichtigen, dass auf dem Markt frei erhältliche Apps aus dem Apothekenumfeld jeder Person, die befugt oder unbefugt im Besitz des jeweiligen QR-Codes ist, die Kenntnisnahme von in der Telematikinfrastruktur der Gematik enthaltenen Daten einer Verordnung zu verschreibungspflichtigen Arzneimitteln ermöglicht: Beim Einlesen von QR- Codes in solche Apps werden die Verordnungsdaten ermittelt und den App-Nutzenden angezeigt.

Die Versendung von QR-Codes per E-Mail ohne angemessene Verschlüsselung würde daher das Risiko erhöhen, dass die Gesundheitsdaten in unbefugte Hände geraten: Die frei erhältlichen Apps führen, soweit ersichtlich, keine Berechtigungsprüfung der Nutzenden durch, sodass der Name der versicherten Person, deren Geburtsdatum, Kontaktdaten des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel mangels ausreichender technischer Sicherung von unbefugten Personen eingesehen werden könnten.

Ähnliches wird wohl auch bei der Nutzung von Online-Apotheken ermöglicht.

Gesundheitsdaten weisen eine hohe Sensibilität auf. Deren Übermittlung per E-Mail ist an den Vorgaben von Art. 32 DSGVO zu messen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen die Leistungserbringer geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Diese Maßnahmen schließen auch die Wahl einer angemessenen Verschlüsselung ein, Art. 32 Abs. 1 Buchst. a DSGVO. Eine Transportverschlüsselung wäre für den Versand der E-Mails nicht ausreichend. Die Inhalte der E-Mails bedürfen eines zusätzlichen Schutzes.

Denkbar erscheint es, der versicherten Person auf sicherem Weg getrennt ein Passwort zur Entschlüsselung der E-Mail oder eines E-Mail- Anhangs zu übermitteln, welche den QR-Code enthält. Diese zusätzliche Verschlüsselung wäre insbesondere unter Berücksichtigung des Stands der Technik und der Implementierungskosten vertretbar.

Auch andere verschlüsselte und gegen unbefugte Zugriffe geschützte Kommunikationswege zwischen Leistungserbringern und versicherten Personen sind prinzipiell denkbar."
 


Es genüge auch nicht, wenn der Patient der Zusendung zuvor ausdrücklich zugestimmt habe:
"Eine Zustimmung von Versicherten in einen unverschlüsselten Versand ist hingegen rechtlich nicht möglich: Eine Einholung von Einwilligungen der versicherten Personen durch die Leistungserbringer hinsichtlich der Übermittlung der QR-Codes per E-Mail an die versicherte Person selbst oder an Apotheken unter Verzicht auf angemessene Verschlüsselung wäre unzulässig, denn die von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen."

Wie die Kassenärztliche Vereinigung Schleswig-Holstein mitteilt, wurde das QR-Code-Verfahren inzwischen eingestellt.

Die Datenschutzbehörde hat ebenfalls eine Pressemitteilung herausgegeben.

zurück zur Übersicht