Kategorie: Urteile

Anforderungen an Cookie-Banner

Anforderungen an Cookie-Banner

In seinem Urteil vom 15.09.2020 trifft das Landgericht Rostock Urteil vom 15.09.2020, Az.: 3 O 762/19 (noch nicht rechtskräftig) weitere Aussagen zu Anforderungen an Cookie-Banner.

 

bisherige Rechtsprechung und Entwicklung

Aufgrund der bisherigen Rechtsprechung des EuGH (Urteil vom 01.10.2019 - C-673/17) und BGH (Urteil vom 28.05.2020, I ZR 7/16) war bereits geklärt, dass

 
- für nicht technisch-notwendige Cookies eine aktive, ausdrückliche Einwilligung erforderlich ist
- voreingestellte Ankreuzkästchen dabei nicht erlaubt sind.

 
In der Praxis haben sich Cookie-Banner bzw, Consent-Layer etabliert, in welchen der Button für die Zustimmung farbig hervorgehoben ist. Dagegen findet sich meist ein Button für die Ablehnung der nicht notwendigen Cookies, welcher meist unscheinbar und frau daher kommt. Hierdurch sollen die Nutzer zur Einwilligung verleitet werden, ohne sich weiter mit den Einzelheiten befassen zu müssen.

Keine wirksame Einwilligung

Im konkreten Fall ging es vor dem Landgericht Rostock um folgenden Cookie-Banner:

 

Anforderungen an Cookie-Banner

Das Landgericht sah hierin keine wirksame Einwilligung. Hierzu führte es wie folgt aus:

 
„Eine wirksame Einwilligung ist […] mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.

 
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“

 

Anforderungen an Cookie-Banner – Hinweise der Aufsicht

Zuletzt hatte die niedersächsische Aufsichtsbehörde Hinweise zur datenschutzkonformen Einwilligungen auf Webseiten und zu Anforderungen an Cookie-Banner veröffentlicht. Diese können hier heruntergeladen werden.

 
Auch nach Auffassung der Behörde sind der Beeinflussung des Nutzerverhaltens (sogenanntes Nudging) Grenzen gesetzt, so dass eine verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.

 
Häufige Fehler sind nach Auffassung der Behörde auch:

 
- nicht konkret genug beschriebene Verarbeitungszwecke (wie z.B. nur „im Ihr Surferlebnis zu verbessern“ oder „um Webanalyse durchzuführen“)
- der fehlende Hinweis auf das Widerrufsrecht auf der ersten Ebene des Consent-Layer
- unklare Bezeichnung der Schaltfläche für Zustimmung (wie z.B. „Alle akzeptieren“)

 
Ein weiteres Problem ist oft die fehlende Umsetzung des einfachen Widerrufs

Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Hierfür bietet es sich zum Beispiel an, im Header oder Footer der Webseite, wo regelmäßig das Impressum und die Datenschutzhinweise zu finden sind, einen Link auf den Consent-Layer einzufügen, der zum Beispiel „Datenschutz-Einstellungen“ heißen könnte. Eine andere Alternative ist, diesen Link in den Datenschutzhinweisen einzubinden.

 
Rechtsanwalt Robert Harzewski

Fehlversand von Bewerberdaten

Fehlversand von Bewerberdaten

Bestimmte Gruppen von Betroffenen sind besonders sensibel zu behandeln. Hierzu zählen insbesondere abgelehnte Bewerber. Dies musste nun auch eine Privatbank erleben und für den Fehlversand von Bewerberdaten 1.000 Euro Schadensersatz zahlen.

Lesen Sie mehr zur Entscheidung des Landgerichts Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) in meinem Beitrag auf Datenschutzbeauftragter-vor-Ort.de.

Rechtsanwalt Robert Harzewski

Privacy Shield ist ungültig

Privacy Shield ist ungültig

Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.

 

Hintergrund

Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.

 

Angemessenheitsbeschluss

Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.

 

Standardvertragsklauseln

Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.

 

Das Urteil des EuGH

Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.

Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“

Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“

Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082

 

Praktische Folgen

[Aktualisiert am 11.09.2020]

Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.

Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.

Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:

 

Schritt 1: Bestandsaufnahme

Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.

 

Schritt 2: Prüfen der Rechtsgrundlage

Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.

 

Schritt 3: Anfrage beim Dienstleister

Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.

 

Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen

Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits

 

Schritt 5: Weitere Nutzung oder Einstellung

Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.

 

Schritt 6: Anpassung der Hinweise und des Verzeichnisses

Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.

 

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski

Auskunft nach Art. 15 DSGVO

Auskunft nach Art. 15 DSGVO

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

Zweifel an PersonAuskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen.
Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern.
Auskunft nach Art. 15 DSGVO nicht weitergeleitet Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet
Zeit für Auskunft nach Art. 15 DSGVO läuft abAuskünfte werde nicht rechtzeitig beantwortet.

 

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.

 

Recht auf Auskunft nach Art. 15 DSGVO

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden. Eine betroffene Person sollte [dieses] Auskunftsrecht [...] problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 S. 1).

Aufgrund der zum Teil sehr aufwendigen Recherche, Bearbeitung, Organisation und der knapp bemessen Zeit hat der Verantwortliche vorab in einem entsprechende Prozess sicherzustellen, dass Anfragen unverzüglich dem zuständigen Mitarbeiter oder im Bedarfsfall dem Datenschutzbeauftragten vorgelegt werden. Neben dem Sicherstellen einer zügigen Bearbeitung der Anfragen sollten auch geeignete Vorlagen zur Auskunft  bereit gehalten werden. Neben einem möglichen Bußgeld können bei Versäumung der Frist auch Anwaltskosten entstehen.

Das OLG Köln (Beschluss vom 25. Juli 2019, Az.: 20 W 10/18) und das Amtsgericht München (Teilurteil vom 04. September 2019, Az: 155 C 1510/18) gehen davon aus, dass ein Streitwert i.H.v. 5.000,00 € für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen ist. Dadurch würden sich die außergerichtlichen Anwaltskosten für jede versäumte Beantwortung einer Anfrage auf 492,54 Euro belaufen.

 

Phasen der Auskunft nach Art. 15 DSGVO

Der Prozess muss auch gewährleisten, dass vor Erteilung einer Auskunft in jedem Fall die Berechtigung des Auskunftsersuchens geprüft wird. Im Zweifel sollten zusätzliche Informationen nachgefordert werden, die die Identität der betroffenen Person bestätigen.

Prozess-Phasen:

 

NummerPhaseAnforderung
Eingang des AuskunftsbegehrensWeiterleitung an den zuständigen Mitarbeiter oder das Datenschutzteam
2IdentitätsprüfungPrüfung, ob sich Betroffener ausreichend identifiziert hat
BearbeitungZusammentragen aller Informationen
VierBeantwortungDie Antwort hat innerhalb eines Monats in einfacherer Sprache zu erfolgen.
5Abschluss des VerfahrensDokumentation und Festlegung der Speicherfrist

 

Phase 1 - Eingang des Auskunftsbegehrens

Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.

 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

 

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.

 

Phase 2 - Identitätsprüfung

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden. Im Interesse der Datenminimierung dürfen bei der Identitätsprüfung grundsätzlich nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

 

Übersicht über mögliche Wege der Antragstellung

Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Antragstellung überLegitimation durchEinschränkung
schriftlich per Post
  • Adresse ist bekannt oder
  • geschwärzte Ausweiskopie per (Name, Anschrift, Geburtsdatum und Gültigkeitsdauer von Ausweis)
telefonisch
  • Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden (LfDI Baden-Württemberg).
  • Im Einzelfall können auch zusätzliche Informationen, wie z.B. ein PIN abgefragt werden (z.B. beim Telebanking).
  • nicht bei sensiblen Daten, insbesondere nach Art. 9 Abs. 1 DSGVO, da abgefragte Daten zur Identifikation nicht geheim sind
per E-Mail / Fax
  • bekannte E-Mail Adresse oder Bestätigung über bekannte E-Mailadresse
  • sonst Vorlage eines Identitätsnachweises
  • bei unbekannter E-Mail lässt sich nicht auf auf die wahre Identität der betroffenen Person schließen
  • Es fehlt an Identifizierungsmerkmalen wie Geburtsdatum oder Anschrift
  • Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen (Broschüre Personalausweis und Datenschutz des LDI-NRW).
  • Im Falle eines Telefaxes mit Absenderkennung kann nicht zweifelsfrei von einer Identifikationssicherheit ausgegangen werden, da auch hier die Möglichkeit der Fälschung besteht (9. TB des BayLDA).
über Nutzerkonto auf Webseite
  • sichere Benutzerkennung (möglichst Zwei-Faktor-Authentifizierung)
  • Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.
per Video oder persönlich
  • durch Postident-Verfahren oder Video-Ident-Verfahren (Prüfung des Ausweises, Anfertigung von Ausweiskopie oder Aufnahme der Person mit Ausweis und Bestätigung der Identitätsfeststellung gegenüber Verantwortlichen)
  • höchste Sicherheit in Bezug auf die Identifizierung

 

De-Mail / qualifizierte elektronische Signatur

De-Mail und eine qualifizierte elektronische Signatur können grundsätzlich zur sicheren Identifizierung von betroffenen Personen genutzt werden. Da die entsprechende Identität durch eine vertrauenswürdige Stelle geprüft wurde, können sich Verantwortliche auf die vorherige Prüfung verlassen.

 

Übermittlung einer geschwärzten Ausweiskopie

In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie zulässig sein. Dies sollte nur über einen sicheren Weg, z.B. mit einer Ende-zu-Ende-verschlüsselten E-Mail oder über eine HTTPS-geschützte Website passieren.

Zur Identifizierung sind dabei nur der Vor- und Nachname, die Anschrift und ggfs. auch die Gültigkeitsdauer zulässig. Die übrigen Daten sollten geschwärzt sein. Ausnahmsweise kann auch das Geburtsdatum sowie der Ort abgefragt werden, wenn sonst keine eindeutige Zuordnung möglich ist.

Nach Auffassung des LDI NRW ist die Anforderungen einer Ausweiskopie unter folgenden Voraussetzungen zulässig:

  • Kopie muss erforderlich sein, weil der Ausweis zum Beispiel nicht vor Ort vorgezeigt werden kann
  • die Kopie muss gemäß § 20 Abs. 2 Personalausweisgesetz als solche zu erkennen sein
  • nach Identifizierung wird die Kopie unverzüglich vernichtet (auch eine elektronische Speicherung ist unzulässig)

Bei reinen Negativauskünften soll auf die Anforderung von Ausweiskopien verzichtet werden (Tätigkeitsbericht des BayLDA 2013/2014, S. 77)

 

Vertretungsvollmacht

Wird der Auskunftsanspruch eines Betroffenen von seinem Anwalt geltend gemacht, dann sollte auch die Originalvollmacht angefordert werden. Das Amtsgericht Berlin-Mitte stellte dazu in seinem Urteil vom 29.07.2019 - Az.: 7 C 185/18 klar, dass die Erteilung einer Auskunft ohne Vorlage der Vollmacht gegen den Sinn und Zweck der DSGVO verstoßen würde. Dies betrifft aber nur Fälle, in denen die anwaltliche Vertretung in der Angelegenheit nicht schon bekannt ist, also begründete Zweifel an der Identität des Anfragenden bestehen.

 

Die Monatsfrist, innerhalb welcher die Auskunft zu erfolgen hat, beginnt erst ab dem Zeitpunkt, zu dem die Vollmacht tatsächlich vorgelegt wurde. Das Gericht stellte weiterhin fest, dass es vor diesem Hintergrund nicht statthaft ist, ein Unternehmen auf Auskunft zu verklagen, bevor die Monatsfrist abgelaufen ist.

 

Zweifel an der Identität

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründeten Zweifeln an der Identität der Auskunft suchenden Person zusätzliche Informationen anfordern, die zur Bestätigung deren Identität erforderlich ist.

Keine Zweifel bestehen grundsätzlich, wenn der Antragsteller dem Verantwortlichen persönlich bekannt ist. Dies bedeutet aber nicht, dass automatisch jede Anfrage eines Unbekannten Zweifel auslöst. Die Verwendung unbekannter Kontaktdaten oder die Abweichung von der bisherigen Form der Korrespondenz können jedoch Zweifel begründen.

Das VG Berlin (Urteil vom 31.08.2020, Az.: 1 K 90.19) geht davon aus, dass ohne besonderen Anlass kein Identitätsnachweis von einem Antragsteller, wie die Kopie des Personalausweises, verlangt werden kann. Der Auskunft-Suchende begehrte hier eine Auskunft auf postalischem Wege. Dem Verantwortlichen (ein Amtsgericht) war die gegenwärtige Anschrift aufgrund der Übersendung verschiedener Entscheidungen bekannt. Dadurch fehle jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte. Schließlich wies das Gericht auch darauf hin, dass eine Fehlleitung der Auskunft durch eine förmliche Zustellung des Auskunftsschreibens unterbunden werden kann.

Ist der Kommunikationskanal also bekannt, müssen besondere Gründe hinzutreten, um einen Identitätsnachweis vom Antragsteller zu verlangen.

 

Phase 3 - Bearbeitung

Der Umfang der zu erteilenden Informationen ergibt sich aus Art. 15 Abs. 1 DSGVO.

Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so sind nachfolgende Datenverarbeitungen aber einzubeziehen (Arbeitsgerichts Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke,
Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Bei der Beantwortung einer Auskunft nach Art. 15 DSGVO sollte insbesondere auf die Einhaltung des Grundsatzes der Transparenz geachtet werden:

 

Empfänger
  • Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).
  • Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.
  • Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).
Verarbeitungszwecke
  • Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Phase 4 - Beantwortung

Die Übermittlung der Information kann schriftlich, elektronisch oder auch mündlich erfolgen. Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.

Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen.

Das Bayerische Landesamt für Datenschutzaufsicht hat ein Muster veröffentlicht, wie eine Auskunft nach Art. 15 DSGVO zu erfolgen hat. Dieses kann hier (PDF) abgerufen werden.

 

Phase 5 - Abschluss des Verfahrens

Um den Nachweis der ordnungsgemäßen Beauskunftung erbringen zu können, sollte diese für etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörden dokumentiert werden. Dabei sollte auch geklärt werden, innerhalb welcher Frist die Anfrage des Betroffenen zu löschen ist.

Grundsätzlich sind die Daten solange aufzubewahren, bis eine etwaige Verletzung von Betroffenenrechten nach DSGVO, BDSG und OWiG nicht mehr möglich ist. Das wäre dann der Fall, wenn Verjährung eingetreten ist. Nach § 31 OWiG verjährt eine Ordnungswidrigkeit bei den mit der DSGVO vorgesehenen Geldbußen in drei Jahren. Die Verjährungsfrist beginnt dabei, sobald die Handlung, also die Auskunft des Betroffenen, beendet ist.

 

Rechtsanwalt Robert Harzewski

scales icon with long shadow

Abmahnung wegen fehlender Datenschutzerklärung

Leitsatz:

Die Informationspflichten aus Artikel 13 Absatz 1 DSGVO stellen Marktverhaltensregelungen dar. Wettbewerbsverbände sind daher befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen. Eine Abmahnung wegen fehlender Datenschutzerklärung ist demnach möglich.

Gericht: Oberlandesgericht Stuttgart, Urteil vom 27.02.2020
Aktenzeichen: 2 U 257/19

 

Was war passiert?

Ein gewerblicher Ebay-Verkäufer bot auf der Plattform Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er jedoch nicht vor. Damit informierte er insbesondere nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Daraufhin erhielt er von einem Wirtschaftsverband eine Abmahnung wegen fehlender Datenschutzerklärung.

 

Entscheidung:

Mit dem Inserat auf der Internethandelsplattform hat der Händler gegen Artikel 13 DSGVO verstoßen. Hierin sah das Gericht auch eine unzulässige geschäftliche Handlung im Sinne von § 3 a UWG, die vom Wirtschaftsverband abgemahnt werden kann.

Voraussetzung für eine Abmahnung wegen fehlender Datenschutzerklärung ist,

• dass die entsprechende Norm auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln
• dass dieser geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts habe Art. 13 DSGVO insoweit eine verbraucherschützende Funktion und weise den erforderlichen wettbewerblichen Bezug auf.

Das Gericht ging davon aus, dass durch die DSGVO die Rechtsbehelfe nicht abschließend geregelt werden. Daher bleiben die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar.

Mitgliedstaaten können nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren.

Der Normgeber hat die Verantwortung für die Ausgestaltung der Rechtsdurchsetzung und des Prozessrechts an die Mitgliedsstaaten übertragen. Daher müsse vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden.

Aus der DSGVO ergäbe sich zudem nicht, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen. Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt, noch stellt Artikel 80 DSGVO eine abschließende Regelung dar.

Die Verfolgung von Wettbewerbsverstößen durch Wettbewerbsverbände habe sich als schlagkräftiges Instrument bewährt. Da die Ressourcen der Behörden begrenzt sind, können Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten.

 

Hintergrund zur Abmahnung wegen fehlender Datenschutzerklärung

Ob DSGVO-Verstöße abgemahnt werden können bleibt weiterhin unklar. Die Frage, ob das Datenschutzrecht auch das Marktverhalten regelt, wird von den Gerichten unterschiedlich beantwortet.

 

Entscheidung am Gericht Sachverhalt Verstoß gegen das Wettbewerbsrecht
27.02.2020Oberlandesgericht Stuttgart

Aktenzeichen: 2 U 257/19

gewerblicher Ebay-Verkäufer mit Inserat ohne Datenschutzhinweiseja
07.11..2019Oberlandesgericht des Landes Sachsen-Anhalt

Aktenzeichen: 9 U 6/19

fehlende ausdrückliche Einwilligungja
07.02.2019Oberlandesgericht München

Aktenzeichen: 6 U 2404/18

Telefonanrufen zu Werbezwecken (Cold Calls)ja
05.11.2018Landgericht Wiesbaden

Aktenzeichen:. 5 O 214/18

wegen unvollständigen Auskünfte nach Art. 15 DSGVOnein
25. 10. 2018Oberlandesgericht Hamburg

Aktenzeichen: 3 U 66/17

fehlende EinwilligungDie jeweilige Norm der DSGVO muss im Einzelfall konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.
13.09.2018Landgericht Würzburg

Aktenzeichen: 11O1741/18

fehlerhafte Datenschutzerklärung (keine Angabe zum Verantwortlichen, zur Datenverarbeitung, Belehrung über Betroffenenrechte)  und keine Verschlüsselung für das Kontaktformular auf Websiteja
07.08.2018Landgericht Bochum, Aktenzeichen: 12 O 85/18fehlende Datenschutzerklärung auf einer WebsiteVerstoß gegen die DSGVO ist nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG

 

Eine höchstrichterliche Entscheidung steht noch aus. Um vor allem einer Abmahnung wegen fehlender Datenschutzerklärung vorzubeugen, sollten Unternehmen ihre Hinweise auf Vollständigkeit prüfen.

Kein Schadensersatzanspruch bei Bagatellverstößen

Leitsatz:

Für ein Schadensersatzanspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person besteht kein Schadensersatzanspruch nach Art. 82 DSGVO.

Gericht: : Oberlandesgericht Dresden, Beschluss vom 11.Juni 2019
Aktenzeichen: 4U 760/19

Was war passiert?

Facebook hatte einen fremdenfeindlichen Beitrag eines Nutzers gelöscht, in welchem mehrfach das Wort „Neger“ verwendet wurde. Anschließend wurde auch der Account des Nutzers für wenige Tage gesperrt. Aufgrund dessen klagte der Nutzer gegen das Vorgehen und verlangte Schadensersatz in Höhe von 150,00 Euro. In der Löschung seines Beitrages und in der kurzzeitigen Versetzung seines Kontos in den read-only Modus sah der Nutzer unter anderem einen Verstoß gegen die DSGVO.

Entscheidung:

Das Oberlandesgericht (OLG) entschied, dass Bagatellverstöße, wie hier der Fall, keinen Schadensersatzanspruch nach Artikel 82 Datenschutzgrundverordnung (DSGVO) begründen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO. Zur Erhebung, Verarbeitung und letztendlich auch Löschung seiner Daten habe der Nutzer gemäß der Nutzungsbedingungen eingewilligt, Art. 6 Abs. 1 lit a) DSGVO. Dies umfasse mithin auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos.

Voraussetzung für einen Anspruch aus Art. 82 DSGVO ist materieller oder immaterieller Schaden des Betroffenen. Die bloße Sperrung von Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar. Auch die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Sperrung des Kontos habe allenfalls Bagatellcharakter.

Art. 82 DSGVO ist nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Dies kann anders zu bewerten sein, wenn ein datenschutzrechtlicher Verstoß zum Beispiel eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Private Handynummer der Mitarbeiter

Private Handynummer der Mitarbeiter

Leitsatz:

Ein Arbeitnehmer ist nicht dazu verpflichtet, dem Arbeitgeber seine private Mobiltelefonnummer mitzuteilen. Etwas anderes kann gelten, wenn der Arbeitgeber ohne die private Handynummer der Mitarbeiter eine legitime Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann oder eine andere Organisation der Aufgabenerfüllung nicht möglich oder zumutbar ist.

Gericht: Landesarbeitsgericht Thüringen, Urteil vom 16. Mai 2018
Aktenzeichen: 6 Sa 442/17

Was war passiert?

Ein Mitarbeiter des Gesundheitsamtes war im Bereich Hygiene/Infektionsschutz beschäftigt. Sogenannte Gefährdungsanlagen, wie der Ausbruch hoch infektiöser Krankheiten, machen hier ein Tätigwerden auch außerhalb der Arbeitszeiten erforderlich. Daher war außerhalb der Dienstzeit bis zum 31.12.2016 eine Rufbereitschaft eingerichtet. Für etwaige Anrufe wurde ein Diensthandy zur Verfügung gestellt. Ab dem 01.01.2017 sollte die Erreichbarkeit zu bestimmten Zeiten bei Notfällen nicht über das Diensthandy, sondern über die private Handynummer der Mitarbeiter organisiert werden. Der Arbeitgeber verlangte daher auch Mobiltelefonnummer der Mitarbeiter. Als sich ein Mitarbeiter weigerte, seine Mobiltelefonnummer anzugeben, erhielt er eine Abmahnung. Hiergegen wehrte sich der Mitarbeiter mit einer Klage.

Entscheidung:

Das Gericht entschied, dass Mitarbeiter grundsätzlich nicht verpflichtet sind, dem Arbeitgeber ihre private Mobiltelefonnummer mitzuteilen. Für die Erhebung der Mobiltelefonnummer als personenbezogenes Datum benötigt der Arbeitgeber eine entsprechende Rechtsgrundlage. Fehlt eine Einwilligung des Arbeitnehmers so war auch nach alter Rechtslage eine Abfrage nur zulässig, wenn die Speicherung der Nummer zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Der Begriff der Erforderlichkeit in diesem Sinne bedeutet dabei nicht, dass die Daten für den Arbeitgeber unverzichtbar sein müssen. Ausreichend ist, wenn der Arbeitsgeber ohne ihre Kenntnis oder Nutzung im konkreten Einzelfall eine legitime Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann. Nach dem Verhältnismäßigkeitsgrundsatz darf die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe stehen. Der Eingriff in das Persönlichkeitsrecht liegt bereits darin, dass die Mobiltelefonnummer erfasst werde und somit die Möglichkeit bestehe, den Mitarbeiter jederzeit und an jedem Ort zu kontaktieren.

Hierin sah das Gericht aber einen außerordentlich schweren Eingriff, welcher sich nicht durch das Informationsinteresse des Arbeitgebers rechtfertigen lässt. Eine Mobiltelefonnummer ist deshalb ein besonders sensibles Datum, weil jeder, der Kenntnis von dieser Nummer hat, grundsätzlich jederzeit in der Lage ist, den Nutzer zu erreichen. Zu den vornehmsten Persönlichkeitsrechten gehört aber, dass ein Mensch selbst entscheidet, für wen er in seiner Freizeit erreichbar sein will oder nicht.

GPS-Überwachung von Firmenfahrzeugen

 

Leitsatz:

Die GPS-Überwachung von Firmenfahrzeugen ist weder zur Tourenplanung, zur Gewährleistung des Diebstahlschutzes, zur Koordination der Mitarbeiter, noch zum Nachweis gegenüber den eigenen Auftraggebern erforderlich.
 
Gericht: : Verwaltungsgericht Lüneburg, Teilurteil vom 19. März 2019
Aktenzeichen: 4 A 12/19

 

Was war passiert?

Der Betreiber eines Reinigungsunternehmens hat den eigenen Fuhrpark mit einem GPS-System ausgestattet. Dabei speicherte er über einen Zeitraum von 150 Tagen die jeweiligen Start- und Endpunkte, sowie bspw. auch die gefahrene Zeit und den Status der Zündung. Das System ist nicht manuell, z.B. durch einen Schalter, abschaltbar. Auch eine anderweitige Abschaltung ist nur unter beachtlichen Aufwand möglich. Außerdem speicherte er die Kennzeichen der Fahrzeuge, welche wiederum den jeweiligen Arbeitnehmern zugeordnet sind. Eine ehemalige Mitarbeiterin des Reinigungsunternehmens entschied sich, diese Praxis zu melden, woraufhin ein Kontrollverfahren eingeleitet wurde. Daraus folgte ein Bescheid, welcher der Reinigungsfirma z.B. auferlegte, die Erhebung und Nutzung der Beschäftigungsdaten durch GPS-Systeme so zu gestalten, dass eine GPS-Überwachung von Firmenfahrzeugen nicht erfolgt. Gegen diesen Bescheid wehrte sich die Reinigungsfirma mit einer Klage.
 

Entscheidung:

Das Gericht entschied, dass die Verarbeitung der GPS-Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Die Reinigungsfirma trug vor, dass die GPS-Überwachung von Firmenfahrzeugen betrieblich notwendig sei, um z.B. Touren zu planen, Mitarbeiter zu koordinieren, Nachweise gegenüber den Auftraggeber zu erbringen, private Fahrten an Wochenenden zu unterbinden oder generell Diebstahlsschutz zu gewährleisten.

Zur Verhinderung von privaten Fahrten am Wochenende würde die Anweisung Fahrzeugschlüssel abzugeben oder das Führen von Fahrtenbüchern ausreichen.

Die Gewährleistung des Diebstahlschutzes kann nicht für als Begründung für eine GPS-Überwachung von Firmenfahrzeugen herhalten. Nach Ansicht des Gerichts sind GPS-Systeme für den präventiven Diebstahlsschutz völlig ungeeignet. Im Falle eines gestohlenen Fahrzeugs reiche eine anlassbezogene Ortung. Eine andauernde Erfassung von Standortdaten und Speicherung für 150 Tage sei dafür jedenfalls nicht erforderlich.

Auch für die Tourenplanung, welche sich an die Zukunft richtet, seien die erhobenen Bewegungsdaten unwichtig.

Schließlich ist die GPS-Überwachung von Firmenfahrzeugen zur Koordination der Mitarbeiter nicht erforderlich, da weniger eingreifende Maßnahmen in Betracht kämen. Das Gericht schlägt hierfür z.B. die Sicherstellung der telefonischen Erreichbarkeit der Mitarbeiter per Mobiltelefon vor.

Die GPS-Überwachung von Firmenfahrzeugen zum Nachweis gegenüber den Auftraggebern hält das Gericht ebenso für völlig ungeeignet und nicht erforderlich. Durch die Überwachungsdaten könne höchstens nachgewiesen werden, dass sich ein Fahrzeug in der Nähe eines Auftragsobjekts befunden hat, nicht jedoch eine bestimmte Leistung.

Kundenfotos zu Werbezwecken bei Facebook

Leitsatz:

Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist eine Einwilligung zur Veröffentlichung von Kundenfotos zu Werbezwecken notwendig. Es kann daher offen bleiben, ob das Kunsturhebergesetz überhaupt noch anzuwenden ist. In jedem Fall können im Rahmen des Art. 6 Abs. 1 lit. f DSGVO die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung der Interessen und Grundrechte einzubeziehen sein.
 
Gericht: : Landgericht Frankfurt am Main, Urteil vom 13. September 2018
Aktenzeichen: 2-03 O 283/18

 

Was war passiert?

Eine Frau besuchte einen Frisörsalon mit dem Ziel sich die Haare verlängern zu lassen. Im Laufe dieser Prozedur wurde die Kundin von einem Ihr unbekannten Mann fotografiert und gefilmt. Daraufhin stellte die Frau fest, dass der Salonbetreiber sowohl Fotos, als auch ein Video, auf dem die Frau eindeutig zu erkennen ist, auf seiner Facebookseite hochgeladen hatte. Die Kundin sah darin eine Verletzung ihres Persönlichkeitsrechts.
 

Entscheidung:

Das Gericht entschied, dass der Salonbetreiber das Video und die Kundenfotos zu Werbezwecken nicht öffentlich zur Schau stellen darf. Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist die Einwilligung des Gefilmten zur Veröffentlichung notwendig. Eine wirksame Einwilligung konnte der Salonbetreiber jedoch nicht nachweisen.

Das Kunsturhebergesetz lässt allerdings Ausnahmen zu, in denen eine solche Einwilligung entbehrlich ist. Eine solche Ausnahme liegt zum Beispiel bei Bildnissen aus dem Bereich der Zeitgeschichte vor. Diese war bei dem veröffentlichten Video im Friseursalon jedoch nicht gegeben. Da auch keine anderen Ausnahmen greifen, war die Einwilligung in die Aufnahme von Kundenfotos zu Werbezwecken gerade nicht entbehrlich.

Auch die Datenschutzgrundverordnung lässt Ausnahmen für das Erfordernis der Einwilligung zu. So kann die Verarbeitung der Kundenfotos zu Werbezwecken rechtmäßig sein, wenn sie zur Wahrung berechtigter Interessen des Betreibers nach Art. 6 Abs. 1 lit. f DSGVO erforderlich ist. Voraussetzung ist jedoch, dass diese die Interessen oder Grundrechte und Grundfreiheiten der gefilmten Person überwiegen. Bei der zutreffenden Abwägung können die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung einzubeziehen sein. Das Gericht entschied jedoch, dass die Interessen an der Unterlassung der Verarbeitung der Kundenfotos zu Werbezwecken überwiegen. Das filmische Festhalten des Salonbesuchs und das Anfertigen von Kundenfotos zu Werbezwecken widersprechen zudem den vernünftigen Erwartungen eines Kunden.

Die Veröffentlichung der Fotos und des Videos erfolgte daher in rechtswidriger Weise.
 

Richter mit Hammer

Umfang des Auskunftsanspruches nach Art. 15 DSGVO

Leitsatz:

Der Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich nicht auf alle internen Vorgänge. Der Anspruch dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen.
 
Gericht: : Landgericht Köln, Teilurteil vom 18.03.2019
Aktenzeichen: 26 O 25/18

 

Was war passiert?

Eine Versicherungsnehmerin hatte zwei Lebensversicherungsverträge bei Ihrem Versicherer abgeschlossen. Von diesem verlangte Sie nun eine vollständige Datenauskunft nach Art. 15 DSGVO. Dieser kam der Versicherer zum Teil nach, was der Versicherungsnehmerin jedoch nicht ausreichte.
 

Entscheidung:

Das Gericht entschied, dass nach Art. 15 DSGVO grundsätzlich ein umfassender Auskunftsanspruch über die verarbeiteten personenbezogenen Daten eines Betroffenen besteht. Hierzu zählen auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen.

Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich neben den in Art. 15 Abs. 1 DSVO aufgeführten Informationen allerdings nicht auf alle internen Vorgänge, wie zum Beispiel Vermerke oder den gewechselten Schriftverkehr, welche dem Auskunftssuchenden bereits bekannt sind. Auch rechtliche Bewertungen oder Analysen stellen keine vom Anspruch umfassten Daten dar.

Der Anspruch auf Auskunft dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen. Keinesfalls soll dieser dem Betroffenen zu einer vereinfachten Buchführung dienen.
 

Kamera-Attrappe im Hauseingang

 

Leitsatz:

Auch das Anbringen einer bloßen Kamera-Attrappe im Hauseingang eines Mehrparteienhauses kann einen Eingriff in das allgemeine Persönlichkeitsrecht des Gefilmten darstellen.

CCTV Camera security operating in office building.

Videoüberwachung des Arbeitnehmers

Leitsatz:

Solange der Arbeitgeber eine vorsätzliche Pflichtverletzung eines Arbeitnehmers noch rechtlich ahnden kann, darf er die relevanten Aufnahmen aus einer zulässigen offenen Videoüberwachung des Arbeitnehmers aufbewahren. Die Speicherung der Sequenzen bleibt dabei solange erforderlich, wie der mit der Überwachung verfolgte Zweck besteht.
 
Gericht: : Bundesarbeitsgericht, Urteil vom 23. August 2018
Aktenzeichen: 2 AZR 133/18

 

Was war passiert?

Eine Angestellte eines Tabak- und Zeitschriftenhandels wurde verdächtigt Geld für sich vereinnahmt zu haben. Zur Überprüfung dieses Vorwurfs installierte der Arbeitgeber im Februar 2016 offen eine Kamera in seinem Geschäft. Die Auswertung der Aufzeichnungen der Videoüberwachung des Arbeitnehmers erfolgte allerdings erst im August 2016. Die entsprechenden Aufnahmen belasteten die Angestellte eindeutig. Daraufhin wurde der Angestellten fristlos gekündigt, wogegen sie sich zur Wehr setzte.
 

Entscheidung:

Das Gericht entschied, dass trotz des langen Speicherungszeitraums zwischen der Aufnahme im Februar und der Auswertung der Aufnahmen im August, kein Verwertungsverbot für diese Aufnahmen besteht. Grundsätzlich kenne weder die Zivilprozessordnung, noch das Arbeitsgerichtsgesetz Bestimmungen, welche die Verwertbarkeit von rechtswidrig erlangten Beweismitteln einschränken. Ein verfassungsrechtliches Verwertungsgebot scheidet aus, da die Anfertigung und Speicherung der Videoaufnahmen nach dem BDSG-alt rechtmäßig war.

Ein verfassungsrechtliches Verwertungsgebot wäre nur dann anzunehmen, wenn dieses wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist. Insoweit sind auch die Vorgaben aus dem BDSG-alt von Bedeutung. Diese regeln gerade, in welchem Umfang nichtöffentliche Stellen in die geschützten Rechtspositionen eingreifen können. War die betreffende Maßnahme nach den Vorschriften des BDSG-alt zulässig, liegt insoweit keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor.

Die Videoüberwachung des Arbeitnehmers und die anschließende Auswertung der Aufzeichnungen war nach § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz alt (§ 26 BDSG-neu) zulässig. Der Arbeitgeber darf daher grundsätzlich alle Daten speichern und verwenden, die er in einem potenziellen Rechtsstreit um die Wirksamkeit einer Kündigung benötigt.

Die Verarbeitung und Nutzung der Daten war zudem verhältnismäßig. Die Speicherung von Bildsequenzen, die geeignet sind, den mit einer rechtmäßigen Videoaufzeichnung verfolgten Zweck zu fördern, bleibt, grundsätzlich erforderlich, solange der mit der Überwachung verfolgte Zweck besteht. Wenn etwaige Kündigungsrechte noch nicht verwirkt und mögliche Schadensersatzansprüche noch nicht verjährt sind, dann bleibt die Speicherung der relevanten Sequenzen erforderlich.

Nur ausnahmsweise kann eine solche erforderliche Speicherung von solchen Teilen der Aufzeichnung unangemessen sein. Grundsätzlich ist der rechtmäßig gefilmte Vorsatztäter in Bezug auf die Aufdeckung und Verfolgung seiner noch verfolgbaren Tat nicht schutzwürdig. Er wird dies auch nicht durch bloßen Zeitablauf. Das allgemeine Persönlichkeitsrecht kann nicht zu dem alleinigen Zweck in Anspruch genommen werden, sich vor dem Eintritt von Verfall, Verjährung oder Verwirkung der Verantwortung für vorsätzlich rechtswidriges Handeln zu entziehen
 

Kontrollausdruck zur Überprüfung der Fristeingabe

Leitsatz:

Die Überprüfung der Fristeingabe bei einen elektronischen Fristenkalender muss durch einen Ausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Unterbleibt eine derartige Kontrolle, so liegt ein anwaltliches Organisationsverschulden vor.

Gericht:Bundesgerichtshof, Beschluss vom 28.Februar 2019
Aktenzeichen: III ZB 96/18

 

Was war passiert?

Eine Mitarbeiterin eines Rechtsanwaltes hatte den Auftrag, die Vorfrist für eine Berufung und Berufungsbegründung, die Berufungsfristen, sowie die Fristabläufe in der Handakte zu notieren. Die Berufungsbegründungsfrist und die Vorfrist wurde von der zuständigen Mitarbeiterin jedoch nicht im elektronischen Fristenkalender der verwendeten Software gespeichert. Dadurch wurde in einer Streitsache eine Berufungsbegründungsfrist versäumt.

 

Entscheidung:

Das Gericht entschied, dass die alleinige Kontrolle über die elektronische Kalenderführung nicht ausreiche, da ein höheres Fehlerrisiko bestehe. Hierzu können Datenverarbeitungsfehler der EDV oder Eingabefehler durch ein Vertippen gehören. Die Kalenderführung mittels einer Software darf demnach keine geringere Überprüfungssicherheit bieten als die herkömmlichen Aufzeichnungen.

Ein Rechtsanwalt hat daher die Kontrolle der Fristeingabe in einem elektronischen Fristenkalender durch geeignete Organisationsmaßnahmen zu gewährleisten. Dies kann z.B. über einen Kontrollausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Der Kontrollausdruck wird als ein Warnzeichen verstanden, mit dem sich potentiell Eingabe – und Datenverarbeitungsfehler rechtzeitig erkennen und beseitigen lassen. Sofern die Kontrolle der Eingabe nicht mit Hilfe eines Ausdruckes sichergestellt wird, liegt ein anwaltliches Organisationsverschulden vor.

Eine automatisierte programmseitige Eingabekontrolle ist zudem nicht gleich effektiv und sicher wie eine Kontrolle anhand eines Papierausdrucks, da es hier zu einem Augenblicksversagen des Bearbeiters kommen kann. Gründe für ein Augenblicksversagen liegen zum einen in der „menschlichen Natur“ und zum anderen in einem von zahlreichen und intensiven Arbeitsvorgängen geprägten Büroalltag. Nur ein Medienbruch zwischen Eingabe am Bildschirm und Kontrolle mittels eines Ausdrucks gewährleistet mithin ein hohes Maß an Sicherheit in Bezug auf eine zutreffende Fristeingabe und -Speicherung.

 

Richter mit Hammer

Fehlende Datenschutzerklärung nicht abmahnbar

Leitsatz: Eine fehlende Datenschutzerklärung rechtfertigt nicht immer eine Abmahnung nach dem Wettbewerbsrecht.

Gericht: Landgericht Bochum, Urteil vom 7.8.2018
Aktenzeichen: 12 O 85/18

Entscheidung: Das Gericht entschied, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. Eine solche Verletzung liegt nur vor, wenn eine gesetzliche Vorschrift über das Marktverhalten missachtet wurde, die zudem geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts stellt eine fehlende Datenschutzerklärung auf einer Website keinen derartigen Verstoß dar, da die DSGVO in den Art. 77 – 84 insofern eine abschließende Regelung enthält. Speziell in Art. 80 DSGVO ist geregelt, dass betroffene Personen nur bestimmte Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht beauftragen können, um ihre Rechte, wie die Geltendmachung von Schadensersatz, wahrzunehmen. Daraus ergibt sich, dass der Unionsgesetzgeber eine Ausweitung auf Mitbewerber des Verletzers nicht zulassen wollte.

Hintergrund: Das Verhältnis zwischen DSGVO und dem Wettbewerbsrecht bleibt umstritten. In einem Fall vor dem Landgericht Würzburg (Beschluss vom 13.9.2018 – Az.: 11O1741/18) nahm das Gericht eine Wettbewerbsverletzung an, da eine Anwältin neben einer fehlerhaften Datenschutzerklärung auch keine Verschlüsselung für das Kontaktformular auf ihrer Website vorhielt.

The Sound of Facebook

Mit einem neuen Musikdeal macht sich Facebook auf den Weg zur neuen Jukebox. Das Unternehmen schloss dafür mit dem International Copyright Enterprise (ICE) einen Vertrag,

Wie ist der Bandname geschützt?

Neben dem zivilrechtlichen Namenschutz und dem Unternehmenskennzeichenschutz kann der Bandname noch als Marke durch das Markenschutzgesetz abgesichert sein.

Weihnachtsmarkt in Dresden; © Alexander Erdbeer / Fotolia.com

Schutz vor Terroranschlägen ist Aufgabe des Staates

Dies entschied das Verwaltungsgericht Berlin. Die Veranstalterin des Weihnachtsmarktes in Charlottenburg sollte durch entsprechende Vorrichtungen

Richter mit Hammer

Zur Verteilung von GEMA-Einnahmen

Leitsatz: Die Vergütung der Urheber darf von der GEMA nicht um einen pauschalen Verlegeranteil gekürzt werden.

Professionelle (Eis-)Tänzer sind keine Künstler

Das Bundessozialgericht erfindet eine neue Ausrede für Männer.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Anzug eines Orchestermusikers ist Privatsache

Leitsatz: Kleidungsstücke eines Orchestermusikers stellen in der Regel keine typische Berufsbekleidung, sondern bürgerliche Kleidung dar.

scales icon with long shadow

Zur Voraussetzung eines Platzverweises

Leitsatz: Für die Erteilung von Platzverweisen durch die Polizei reicht nicht aus, dass es einen Bezug zu Veranstaltungen gibt,

scales icon with long shadow

Zur Sittenwidrigkeit eines Managementvertrages

Leitsatz: Bei Managementverträgen ist es üblich, dass der Manager an sämtlichen Einnahmen aus der künstlerischen Tätigkeit des Künstlers beteiligt wird, die dieser während der Vertragslaufzeit erzielt.

Richter mit Hammer

Plattenverträge als typische Form der Vermarktung

Leitsatz: Der Abschluss von Plattenverträgen und Bandübernahmeverträgen bei Schlagersängern stellt die typische Form der Vermarktung dar.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zum Rücktritt vom Tourneevertrag

Leitsatz: Wird in einem Tourneevertrag geregelt, dass ein Künstler Aufführungen eines nach objektiven Kriterien bestimmbaren Repertoires schuldet, handelt es sich um einen Werkvertrag.

scales icon with long shadow

Zur Ruhezeit eines Orchestermusikers

Leitsatz: Einem Orchestermusiker steht nach § 13 Abs. 2 TVK keine fünfstündige Ruhezeit vor jeder Aufführung zu, wenn am selben Tag zwei Aufführungen an verschiedenen Aufführungsstätten am Sitz des Orchesters zu absolvieren sind.

Richter mit Hammer

Kein Plagiat von „Hinterm Horizont“

Leitsatz: Sind alle wesentlichen Gestaltungselemente eines Musicals bereits in historischen Ereignissen, einer Autobiografie sowie in Originalsongtexten angelegt, so stellen sie keine eigene geistige Schöpfung dar.

scales icon with long shadow

Gothic gegen Rap

Leitsatz: Wenn Text und Komposition zu einem Gesamtwerk verbunden werden, dann ist ein so verbundenes Werk nicht gegen eine Trennung von Dritten geschützt, da sowohl Text, als auch Musik jeweils gesondert verwertet werden können

scales icon with long shadow

Zum Abspielen eines Liedes im Wahlkampf

Leitsatz: Das Abspielen eines Liedes während einer noch andauernden Wahlkampfveranstaltung steht stets in Zusammenhang mit der Veranstaltung

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Annahme einer Doppelschöpfung

Leitsatz: Im musikalischen Bereich ist bei Anwendung der bestehenden Lehren und Gestaltungsmittel (wie Melodik, Harmonik, Rhythmik, Metrik, Tempo, Phrasierung, Artikulierung, Ornamentik, Kadenz, Periodik, Arrangement) ein weiter Spielraum

scales icon with long shadow

Zur Veranstalter-eigenschaft

Leitsatz: Unabhängig von der Möglichkeit der Programmgestaltung ist eine Veranstalter-eigenschaft dann anzunehmen, wenn der Umfang und das Gewicht der vorgenommenen Tätigkeiten die Annahme rechtfertigen, dass eine Mitwirkung an der Aufführung vorliegt.

Richter mit Hammer

Private-Viewing in der Gaststätte

Leitsatz: Wenn lediglich Mitglieder einer Skatrunde und eines Dartclubs in einer öffentlich zugänglichen Gaststätte Fußballspiele anschauen, dann handelt es sich um eine nicht öffentliche Gesellschaft,

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Abgabepflicht einer Tanzschule

Leitsatz: Eine Tanzschule muss für Honorare, die für selbständige Musiker gezahlt werden, welche auf Abschlussbällen spielen, Künstlersozialabgabe entrichten.

scales icon with long shadow

Kunstfreiheit vs. Totensonntag

Leitsatz: Kunstfreiheit verlangt nicht, dass Kunstwerke jederzeit gewerblich aufgeführt oder vertrieben werden dürfen.

scales icon with long shadow

Zur Erlaubnis von E-Zigaretten in Kneipen

Leitsatz: Bei dem Gebrauch einer E-Zigarette findet kein Verbrennungsprozess, sondern ein Verdampfungsvorgang statt. Die E-Zigaretten sind daher in nordrhein-westfälischen Gaststätten zulässig,

scales icon with long shadow

Zum Streitwert Bootleg II

Leitsatz: Beim Verkauf eines nicht offiziell veröffentlichten bzw. nicht autorisierten DVD-Bildtonträgers (Bootlegs) auf der Internetplattform ebay.de ist der Streitwert auf 10.000 festzusetzen.

Richter mit Hammer

Beteiligung an Erlösen nach Austritt aus Band

Leitsatz: Nach dem Ausscheiden eines Bandmitgliedes gilt eine pauschale Vereinbarung zur Beteiligung an sämtlichen Tonträgererlösen, unabhängig von der Mitwirkung, nicht ohne konkrete weitere Absprache fort.

scales icon with long shadow

Abgabepflicht von Country-Westerntanzverein

Leitsatz: Für eine einheitliche Veranstaltung sprechen neben der Wahrnehmung der Veranstaltung als Einheit in der Öffentlichkeit insbesondere der einheitliche Name,

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zum Verbot des Weiterverkaufs von Tickets

Leitsatz: Ein kommerzieller Weiterverkauf von Konzert-Tickets kann in den AGB untersagt werden.

scales icon with long shadow

Zur Namensnutzung von „Rock am Ring“

Leitsatz: Da der Marek Lieberberg Konzertagentur GmbH & Co. KG ein älteres Werktitelrecht zusteht, hat die Nürburgring GmbH i.E. kein Anspruch auf Unterlassung

Richter mit Hammer

Betrieb YouTube-Portals vom Ausland

Leitsatz: Beim Betrieb eines YouTube-Portals aus dem Ausland ist das Verwenden von Kennzeichen verfassungswidriger Organisationen nicht strafbar.

scales icon with long shadow

Zur Beeinträchtigung privater Veranstalter

Leitsatz: Eine Preisunterbietung ist als wettbewerbliches Mittel grundsätzlich erlaubt und nur dann unlauter, wenn sie in Verdrängungsabsicht geschieht.

scales icon with long shadow

Versicherungspflicht einer Tanzlehrerin

Leitsatz: Bei einem aus mehreren Arbeitsgebieten zusammengesetzten gemischten Berufsbild kann nur dann

scales icon with long shadow

Vergütung von Musiknutzung /Tanzschulen

Leitsatz: Bei der Festsetzung einer Vergütung im Rahmen eines Gesamtvertrages kann eine Orientierung an früheren Verträgen der Parteien erfolgen.

scales icon with long shadow

Zum Streitwert Bootleg I

Leitsatz: Der Streitwert einer Unterlassungsklage wegen eines Angebotes einer Bootleg-LP bei eBay kann bis zu 5.000 Euro betragen.

Richter mit Hammer

Bildberichterstattung Mieterfest

Leitsatz: Auch Fotos, die von Teilnehmern eines lokalen Mieterfest einer Wohnungsbau-genossenschaft gemacht werden, können Bildnisse der Zeitgeschichte sein.

scales icon with long shadow

Zur Abgabepflicht eines Bandleaders

Leitsatz: Wenn ein Bandleader neben der künstlerischen Mitwirkung auch als Vermittler bzw. Vermarkter einer Band auftritt, ist er zur Künstlersozialabgabe verpflichtet.

scales icon with long shadow

Zur Untersagung von YouTube-Sperrtafeln

Leitsatz: Die von YouTube verwendeten Sperrtafeln mit dem Text: „Dieses Video ist in Deutschland leider nicht verfügbar, da es möglicherweise Musik enthält, für die die erforderlichen Musikrechte von der GEMA

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Schutzfähigkeit der Bezeichnung „Event“

Leitsatz: Die Marke „Event“ verfügt über einen von Haus aus verminderten Schutzumfang, da sie die maßgeblichen charakteristischen Dienstleistungen lediglich beschreibt

scales icon with long shadow

Zur Nennung von Musikfestival bei Gewinnspiel

Leitsatz: Wenn ein Unternehmen im freien Handel Eintrittskarten für Musikfestivals erwirbt und diese als Teil eines Gewinnspiels anbietet,

scales icon with long shadow

Zur Rücksichtspflicht bei Gleichnamigkeit

Leitsatz: Die zwischen Gleichnamigen bestehende Gleichgewichtslage verpflichtet beide Beteiligten zur Rücksichtnahme und zur Vermeidung einer weiteren Steigerung der Gefahr von Verwechslungen

Richter mit Hammer

Recht am Bandnamen nach Auflösung der Band

Leitsatz: Derjenige, der unter einem Bandnamen auftritt und dessen künstlerische Leistung damit beworben wird, ist Inhaber des Namensrechtes.

scales icon with long shadow

Keine Kunstfreiheit bei beleidigender Moderation

Leitsatz: Der Moderation bei einer Konzerttournee liegt keine eigene freie schöpferische Gestaltung zugrunde. Ein Künstler kann sich daher nicht auf die Kunstfreiheit berufen, wenn

scales icon with long shadow

Zur Unterscheidung von Konzert und Tanz

Leitsatz: Eine vergnügungssteuerpflichtige Tanzveranstaltung liegt vor, wenn ihr inhaltlicher Charakter für den Besucher erkennbar auf das Vergnügen am Tanz ist.

scales icon with long shadow

Haftung bei unvorhersehbaren Schäden

Leitsatz: Ein Konzertveranstalter haftet nicht für Schäden, mit denen im Vorfeld nicht gerecht werden konnte.

Richter mit Hammer

Ermäßigte Umsatzsteuer für Technoparty

Leitsatz: Im Sinne des Umsatzsteuergesetzes sind Konzerte Aufführungen von Musikstücken, bei denen Instrumente und/oder die menschliche Stimme eingesetzt werden.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Schmerzensgeld wegen Hörschadens

Leitsatz: Ein Veranstalter kann nicht für etwaige Hörschäden bei den Konzertbesuchern verantwortlich gemacht werden, wenn er sich an die Verpflichtungen aus der DIN 15905 hält.

Richter mit Hammer

Absage eines Konzerts wegen Krankheit

Leitsatz
Bei einem Orchesterkonzert ist die Aufführung mit einem anderen gleichwertigen Dirigenten als zumutbar anzusehen. Es liegt daher kein Fall einer Unmöglichkeit vor, wenn

scales icon with long shadow

Zur Wesentlichkeit von Lärm bei Konzert

Leitsatz: Bei nur einmal jährlich stattfindenden Veranstaltungen von kommunaler Bedeutung können selbst Lärmeinwirkungen unwesentlich sein,

scales icon with long shadow

Haftung des Veranstalters beim Stage-Diving

Leitsatz: Wer die Steigerung und das Aufheizen der Stimmung im Lauf des Konzerts mitbekommt und sich gleichwohl bis zum Höhepunkt des Konzerts in vorderster Front aufhält,

Richter mit Hammer

Sorgfaltspflicht zum Schutz vor Hörschäden

Leitsatz: Der Umfang der Verpflichtung eines Veranstalters, Besucher vor Hörschäden zu schützen, kann sich aus der DIN-Norm 15905 Teil 5 ergeben.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Obhutspflicht eines Konzertveranstalters

Leitsatz: Der Konzertveranstalter hat im Rahmen seines als Werkvertrag anzusehenden Gastspielvertrages gegenüber dem Künstler eine Obhuts- und Fürsorgepflicht.