Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbezogenen Daten im Rahmen eines Arztsuche-und Arztbewertungsportals im Internet (www.jameda.de), wenn der Portalbetreiber seine Stellung als "neutraler" Informationsmittler verlässt.
Die Whois-Datenbank wie man sie noch vor einem Jahr gekannt hat, ist seit dem ersten Geltungstag der DSGVO (25.05.2018) Geschichte. Umfangreiche Informationen über den Inhaber und zusätzliche Ansprechpartner im Zusammenhang mit einem Domainnamen gehören damit der Vergangenheit an. Der (vermeintliche) Überfluss an zu vielen Daten führte zu einer deutlich abgespeckten Version. Das Landgericht Bonn hat hierzu entschieden, dass auch die Daten des technischen (Tech-C) und administrativen (Admin-C) Kontakts zu diesen unnötigen Daten zu zählen sind und deren Erhebung damit gegen die von der DSGVO anvisierten Datensparsamkeit verstößt.
Die Geltung der DSGVO führt jedenfalls im journalistischen Bereich nicht zur Unanwendbarkeit der Regelungen des KUG. Denn Art. 85 der Verordnung sieht für die Verarbeitung personenbezogener Daten zu journalistischen Zwecken vor, dass nationale Regelungen in diesem Bereich zulässig sein können, sofern sie sich einfügen (sog. „Öffnungsklausel“).
Beruft sich eine im Rahmen einer Bildberichterstattung abgebildete Person auf sein Datenschutzrecht, so ist bei Bildnissen der Zeitgeschichte weiterhin nach dem KUG eine umfassende Interessenabwägung widerstreitender Grundrechtspositionen vorzunehmen.
Werden im Rahmen einer Fanseite auf Facebook u.a. mittels Cookies personenbezogene Daten erhoben, so trägt neben Facebook selbst auch der Betreiber einer solchen Fanpage die Verantwortung im Hinblick auf etwaige Datenschutzverstöße. Denn der Fanpage-Betreiber trägt durch das Erstellen seiner Seite aktiv dazu bei, dass überhaupt personenbezogene Daten der Besucher seiner Seite durch Facebook verarbeitet werden und zieht aus diesen gewonnen Informationen seinen Nutzen, indem er beispielsweise zielgruppenorientierte Werbung schalten kann. Erschwerend kommt hinzu, dass der Fanpage-Betreiber Facebook auch die Möglichkeit verschafft, ebenso auf den Geräten derjenigen Besucher Cookies zu platzieren, die selbst nicht auf der Plattform registriert sind.
Die Voreinstellung von StayFriends, die besagt, dass die genannten Daten der Nutzer auch außerhalb der Website sichtbar sind, verstößt gegen § 4 Abs. 1 BDSG sowie § 12 Abs. 1 TMG. Die Nutzer geben durch das Akzeptieren der Datenschutzbestimmungen keine Einwilligung zur derartigen Nutzung ihrer Daten ab. Dazu bedarf es gem. § 4 Abs. 1 S. 2 BDSG einer umfassenden Aufklärung über die Nutzung.
Die Veräußerung apothekenpflichtiger Produkte über eine Handelsplattform (hier: Amazon) verletzt datenschutzrechtliche Vorschriften des Bundesdatenschutzgesetzes (BDSG). Bei der Bestellung solcher Medikamente fallen personenbezogene Daten an, die Hinweise auf Krankheiten oder Gesundheitszustände des Kunden geben könnten. Dabei handelt es sich gem. § 3 Abs. 9 BDSG um besondere Arten personenbezogener Daten. Diese dürfen nur mit vorheriger, ausdrücklicher Einwilligung des Betroffenen oder von Personen verarbeitet werden, die der ärztlichen oder sonstigen Geheimhaltung unterliegen. Diese Voraussetzungen sind beim Vertrieb über eine Handelsplattform nicht gegeben.
Verwendet ein Pharmaunternehmen einen Bestellbogen für Therapieallergene, ohne vorher die Zustimmung der betroffenen Patienten bezüglich der Übermittlung und Verarbeitung ihrer Daten einzuholen, so liegt ein wettbewerbswidriger Verstoß gegen eine Marktverhaltensregelung vor. Die Parteien machten vor dem LG Hamburg wechselseitig wettbewerbsrechtliche Unterlassungsansprüche aufgrund von Verstößen gegen das Datenschutzrecht geltend. In diesem Zusammenhang wurden sowohl Klägerin als auch Beklagte dazu verurteilt, die Verwendung von Bestellbögen zu unterlassen, wenn die betroffenen Patienten nicht zuvor ausdrücklich in die Verarbeitung ihrer Daten eingewilligt haben.
Diverse Klauseln der Facebook Ireland Ltd. betreffend u.a. die Datenerhebung, -verarbeitung und -nutzung (auch Kontovoreinstellungen) sind unzulässig, da sie weder auf eine Rechtsgrundlage gestützt werden können, noch eine entsprechende ausdrückliche Einwilligung vorliegt. Für eine Einwilligung erforderlich wäre eine „informierte Entscheidung“ des jeweiligen Nutzers, die ihrerseits voraussetzt, dass der Nutzer zuvor umfassend über den Zusammenhang und Zweck der Datenverarbeitung und auch die Tragweite seiner Erklärung in Kenntnis gesetzt wird. Diese Vorgaben hat die Facebook Ireland Ltd. auf verschiedene Weise nicht erfüllt, womit die Klauseln als unzulässig einzustufen sind.
Die Datenerhebung und -verarbeitung deutscher WhatsApp-Nutzer durch Facebook verstößt möglicherweise gegen nationales Datenschutzrecht, insbesondere gegen § 4 Abs. 1 BDSG. Damit ist die Facebook betreffende Untersagungsverfügung mit dem Inhalt, dass personenbezogene Daten der WhatsApp-Nutzer mit deutscher Telefonnummer (allein) gestützt auf die im Rahmen einer Änderung der Datenschutzrichtlinien erteilte Einwilligung nicht erhoben oder gespeichert werden dürfen, nicht offensichtlich rechtswidrig. Unabhängig davon, ob in diesem Zusammenhang deutsches oder irisches Datenschutzrecht anzuwenden ist oder ob Hamburgs Datenschutzbeauftragter eine derartige Eingriffsbefugnis überhaupt zusteht, überwiegt hier jedenfalls das öffentliche Interesse an der Einhaltung des BDSG das Aussetzungsinteresse von Facebook, womit die Datennutzung - jedenfalls vorläufig - weiterhin untersagt bleibt.
Personenbezogene Daten sind gem. § 35 Abs. 2 Satz 2 Nr. 1 BDSG zu löschen, wenn ihre Speicherung unzulässig ist. Unzulässig ist die Speicherung dann, wenn schutzwürdige Interessen wie etwa das informationelle Selbstbestimmungsrecht eines Betroffenen verletzt werden. Die Speicherung und Veröffentlichung von Daten eines Arztes und weiteren praxisbezogenen Informationen durch den Betreiber eines Ärztebewertungsprofils (hier: jameda) sowie die von Nutzern über den Arzt abgegebenen Bewertungen ist zwar grundsätzlich auch gegen den Willen des Arztes aufgrund des Informationsinteresses der Öffentlichkeit zulässig (vgl. Urteil des BGH vom 23.09.2014, Az.: VI ZR 358/13). Unterscheidet der Betreiber jedoch zwischen einem kostenlosen Basisprofil, welches ohne Zutun des Arztes, sondern durch den Plattformbetreiber selbst erstellt wird, bietet dabei jedoch gleichzeitig auch ein kostenpflichtiges „Premium-Paket“ an, wodurch auf dem Basisprofil Anzeigen für zahlende Ärzte mit gebuchtem „Premium-Paket“ in der direkten Umgebung geschaltet werden, ist der Plattformbetreiber kein „neutraler“ Informationsmittler mehr, womit Ärzte mit einem Basisprofil ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ vorweisen können und ihnen die Löschung ihrer Daten zugebilligt werden muss.
