KDG – Gesetz über den kirchlichen Datenschutz – Katholische Kirche


GESETZ ÜBER DEN KIRCHLICHEN DATENSCHUTZ (KDG)

in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017 (Amtsblatt Nr. 4/2018, Seite 351ff)

(Anmerkung: Kirchlicher Gesetzgeber ist der Bischof eines jeden Bistums. Das KDG wurde also im Amtsblatt eines jeden Bistums veröffentlicht. Mit dem KDG wird die Öffnungsklausel in Art. 91 DSGVO wahrgenommen)

Inhaltsübersicht

Präambel

Kapitel 1 Allgemeine Bestimmungen

§ 1 Schutzzweck
§ 2 Sachlicher Anwendungsbereich
§ 3 Organisatorischer Anwendungsbereich
§ 4 Begriffsbestimmungen

Kapitel 2 Grundsätze

§ 5 Datengeheimnis
§ 6 Rechtmäßigkeit der Verarbeitung personenbezogener Daten
§ 7 Grundsätze für die Verarbeitung personenbezogener Daten
§ 8 Einwilligung
§ 9 Offenlegung gegenüber kirchlichen und öffentlichen Stellen
§ 10 Offenlegung gegenüber nicht kirchlichen und nicht öffentlichen Stellen
§ 11 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 12 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
§ 13 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Kapitel 3 Informationspflichten des Verantwortlichen und Rechte der betroffenen Person

Abschnitt 1 Informationspflichten des Verantwortlichen

§ 14 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
§ 15 Informationspflicht bei unmittelbarer Datenerhebung
§ 16 Informationspflicht bei mittelbarer Datenerhebung

Abschnitt 2 Rechte der betroffenen Person

§ 17 Auskunftsrecht der betroffenen Person
§ 18 Recht auf Berichtigung
§ 19 Recht auf Löschung
§ 20 Recht auf Einschränkung der Verarbeitung
§ 21 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
§ 22 Recht auf Datenübertragbarkeit
§ 23 Widerspruchsrecht
§ 24 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
§ 25 Unabdingbare Rechte der betroffenen Person

Kapitel 4 Verantwortlicher und Auftragsverarbeiter

Abschnitt 1 Technik und Organisation; Auftragsverarbeitung

§ 26 Technische und organisatorische Maßnahmen
§ 27 Technikgestaltung und Voreinstellungen
§ 28 Gemeinsam Verantwortliche
§ 29 Verarbeitung personenbezogener Daten im Auftrag
§ 30 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Abschnitt 2 Pflichten des Verantwortlichen

§ 31 Verzeichnis von Verarbeitungstätigkeiten
§ 32 Zusammenarbeit mit der Datenschutzaufsicht
§ 33 Meldung an die Datenschutzaufsicht
§ 34 Benachrichtigung der betroffenen Person
§ 35 Datenschutz-Folgenabschätzung und vorherige Konsultation

Abschnitt 3 Betrieblicher Datenschutzbeauftragter

§ 36 Benennung von betrieblichen Datenschutzbeauftragten
§ 37 Rechtsstellung des betrieblichen Datenschutzbeauftragten
§ 38 Aufgaben des betrieblichen Datenschutzbeauftragten

Kapitel 5 Übermittlung personenbezogener Daten an und in Drittländer oder an internationale Organisationen

§ 39 Allgemeine Grundsätze
§ 40 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses oder bei geeigneten Garantien
§ 41 Ausnahmen

Kapitel 6 Datenschutzaufsicht

§ 42 Bestellung des Diözesandatenschutzbeauftragten als Leiter der Datenschutzaufsicht
§ 43 Rechtsstellung des Diözesandatenschutzbeauftragten
§ 44 Aufgaben der Datenschutzaufsicht
§ 45 Zuständigkeit der Datenschutzaufsicht bei über- und mehrdiözesanen Trägern
§ 46 Zusammenarbeit mit anderen Datenschutzaufsichten
§ 47 Beanstandungen durch die Datenschutzaufsicht

Kapitel 7 Beschwerde, gerichtlicher Rechtsbehelf, Haftung und Sanktionen

§ 48 Beschwerde bei der Datenschutzaufsicht
§ 49 Gerichtlicher Rechtsbehelf gegen eine Entscheidung der Datenschutzaufsicht oder gegen den Verantwortlichen oder den Auftragsverarbeiter
§ 50 Haftung und Schadenersatz
§ 51 Geldbußen

Kapitel 8 Vorschriften für besondere Verarbeitungssituationen

§ 52 Videoüberwachung
§ 53 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
§ 54 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken
§ 55 Datenverarbeitung durch die Medien

Kapitel 9 Übergangs- und Schlussbestimmungen

§ 56 Ermächtigungen
§ 57 Übergangsbestimmungen
§ 58 Inkrafttreten, Außerkrafttreten, Überprüfung

Präambel

Aufgabe des Datenschutzes ist es, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten bei der Verarbeitung dieser Daten zu schützen.
Dieses Gesetz über den Kirchlichen Datenschutz (KDG) wird erlassen aufgrund des verfassungsrechtlich garantierten Rechts der Katholischen Kirche, ihre Angelegenheiten selbstständig innerhalb der Schranken des für alle geltenden Gesetzes zu ordnen und zu verwalten. Dieses Recht ist auch europarechtlich geachtet und festgeschrieben in Art. 91 und Erwägungsgrund 165 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) – EU-DSGVO, Art. 17 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV). In Wahrnehmung dieses Rechts stellt dieses Gesetz den Einklang mit der EU-DSGVO her.

Kapitel 1 Allgemeine Bestimmungen


§ 1 Schutzzweck
Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, und den freien Verkehr solcher Daten zu ermöglichen.


§ 2 Sachlicher Anwendungsbereich
(1) Dieses Gesetz gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Soweit besondere kirchliche oder besondere staatliche Rechtsvorschriften auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor, sofern sie das Datenschutzniveau dieses Gesetzes nicht unterschreiten.
(3) Die Verpflichtung zur Wahrung des Beicht- und Seelsorgegeheimnisses, anderer gesetzlicher Geheimhaltungspflichten oder anderer Berufs- oder besonderer Amtsgeheimnisse, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. Im Interesse einer besseren Lesbarkeit wird nicht ausdrücklich in geschlechtsspezifischen Personenbezeichnungen differenziert. Die gewählte männliche Form schließt eine adäquate weibliche Form gleichberechtigt ein.


§ 3 Organisatorischer Anwendungsbereich
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende kirchliche Stellen:
a) die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände,
b) den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform,
c) die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform.
(2) Dieses Gesetz findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt, unabhängig davon, wo die Verarbeitung stattfindet, wenn diese im Rahmen oder im Auftrag einer kirchlichen Stelle erfolgt.


§ 4 Begriffsbestimmungen
Im Sinne dieses Gesetzes bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als  identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „besondere Kategorien personenbezogener Daten“ personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft ist keine besondere Kategorie personenbezogener Daten.
3. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
4. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
5. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
6. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und
organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
7. „Anonymisierung“ die Verarbeitung personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können;
8. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
9. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
10. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
11. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht;
12. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
13. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
14. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
15. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
16. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
17. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
18. „Drittland“ ein Land außerhalb der Europäischen Union oder des europäischen Wirtschaftsraums;
19. „Unternehmen“ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
20. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
21. „Datenschutzaufsicht“ die von einem oder mehreren Diözesanbischöfen gemäß §§ 42 ff. errichtete unabhängige, mit der Datenschutzaufsicht beauftragte kirchliche Behörde;
22. „Diözesandatenschutzbeauftragter“ den Leiter der Datenschutzaufsicht;
23. „Betrieblicher Datenschutzbeauftragter“ den vom Verantwortlichen oder vom Auftragsverarbeiter benannten Datenschutzbeauftragten;
24. „Beschäftigte“ insbesondere
a) Kleriker und Kandidaten für das Weiheamt,
b) Ordensangehörige, soweit sie auf einer Planstelle in einer Einrichtung der eigenen Ordensgemeinschaft oder aufgrund eines Gestellungsvertrages tätig sind,
c) in einem Beschäftigungsverhältnis oder in einem kirchlichen Beamtenverhältnis stehende Personen,
d) zu ihrer Berufsbildung tätige Personen mit Ausnahme der Postulanten und Novizen,
e) Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobungen (Rehabilitanden),
f) in anerkannten Werkstätten für Menschen mit Behinderungen tätige Personen,
g) nach dem Bundesfreiwilligendienstgesetz oder dem Jugendfreiwilligendienstegesetz oder in vergleichbaren Diensten tätige Personen sowie Praktikanten,
h) Personen, die wegen ihrer wirtschaftlichen Unselbstständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
i) sich für ein Beschäftigungsverhältnis Bewerbende sowie Personen, deren Beschäftigungsverhältnis beendet ist.

Kapitel 2 Grundsätze


§ 5 Datengeheimnis
Den bei der Verarbeitung personenbezogener Daten tätigen Personen ist untersagt, diese unbefugt zu verarbeiten (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis und die Einhaltung der einschlägigen Datenschutzregelungen schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.


§ 6 Rechtmäßigkeit der Verarbeitung personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Dieses Gesetz oder eine andere kirchliche oder eine staatliche Rechtsvorschrift erlaubt sie oder ordnet sie an;
b) die betroffene Person hat in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
c) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
d) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
e) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
f) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im kirchlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
g) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um einen Minderjährigen handelt. Lit. g) gilt nicht für die von öffentlich-rechtlich organisierten kirchlichen Stellen in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Verarbeitung für einen anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, ist nur rechtmäßig, wenn
a) eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt und kirchliche Interessen nicht entgegenstehen,
b) die betroffene Person eingewilligt hat,
c) offensichtlich ist, dass es im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
d) Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
e) die Daten allgemein zugänglich sind oder der Verantwortliche sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung offensichtlich überwiegt,
f) es zur Abwehr einer Gefahr für die öffentliche Sicherheit oder erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist,
g) es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
h) es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte eines Dritten erforderlich ist,
i) es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder
j) der Auftrag der Kirche oder die Glaubwürdigkeit ihres Dienstes dies erfordert.
(3) Eine Verarbeitung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Revision, der Durchführung von Organisationsuntersuchungen für den Verantwortlichen, im kirchlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken dient. Das gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer kirchlichen oder staatlichen Rechtsvorschrift, so ist die Verarbeitung nur rechtmäßig, wenn die Verarbeitung zu einem anderen Zweck mit demjenigen Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.
(5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage verarbeitet werden, dürfen nur für diese Zwecke verwendet werden.
(6) Die Verarbeitung von besonderen Kategorien personenbezogener Daten für andere Zwecke ist nur zulässig, wenn dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das kirchliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Bei dieser Abwägung ist im Rahmen des kirchlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen.
(7) Die Verarbeitung von besonderen Kategorien personenbezogener Daten zu den in § 11 Absatz 2 lit. h) und Absatz 3 genannten Zwecken richtet sich nach den für die in § 11 Absatz 2 lit. h) und Absatz 3 genannten Personen geltenden Geheimhaltungspflichten.


§ 7 Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein; insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und der Aufwand nicht außer Verhältnis zum angestrebten Schutzzweck steht;
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
(2) Der Verantwortliche ist für die Einhaltung der Grundsätze des Absatz 1 verantwortlich und muss dies nachweisen können.


§ 8 Einwilligung
(1) Wird die Einwilligung bei der betroffenen Person eingeholt, ist diese auf den Zweck der Verarbeitung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht.
(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen dieses Gesetz darstellen.
(3) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 2 Satz 1 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 1 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszweckes ergibt, schriftlich festzuhalten.
(4) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.
(5) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(6) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(7) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
(8) Personenbezogene Daten eines Minderjährigen, dem elektronisch eine Dienstleistung oder ein vergleichbares anderes Angebot von einer kirchlichen Stelle gemacht wird, dürfen nur verarbeitet werden, wenn der Minderjährige das sechzehnte Lebensjahr vollendet hat. Hat der Minderjährige das sechzehnte Lebensjahr noch nicht vollendet, ist die Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Personensorgeberechtigten erteilt wird. Der für die Verarbeitung Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Personensorgeberechtigten oder mit dessen Zustimmung erteilt wurde. Hat der Minderjährige das dreizehnte Lebensjahr vollendet und handelt es sich ausschließlich um ein kostenfreies Beratungsangebot einer kirchlichen Stelle, so ist für die Verarbeitung der personenbezogenen Daten des Minderjährigen eine Einwilligung durch den Personensorgeberechtigten oder dessen Zustimmung nicht erforderlich.


§ 9 Offenlegung gegenüber kirchlichen und öffentlichen Stellen
(1) Die Offenlegung personenbezogener Daten im Sinne des § 4 Ziffer 3. gegenüber kirchlichen Stellen im Geltungsbereich des § 3 ist zulässig, wenn
a) sie zur Erfüllung der in der Zuständigkeit der offenlegenden oder der empfangenden kirchlichen Stelle liegenden Aufgaben erforderlich ist und
b) die Voraussetzungen des § 6 vorliegen.
(2) Die Offenlegung personenbezogener Daten auf Ersuchen der empfangenden kirchlichen Stelle ist darüber hinaus nur zulässig, wenn dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person und der Aufgaben oder Geschäftszwecke der beteiligten kirchlichen Stellen angemessen ist.
(3) Die Verantwortung für die Zulässigkeit der Offenlegung trägt die offenlegende kirchliche Stelle. Erfolgt die Offenlegung auf Ersuchen der empfangenden kirchlichen Stelle, trägt diese die Verantwortung. In diesem Falle prüft die offenlegende kirchliche Stelle nur, ob das Ersuchen im Rahmen der Aufgaben der empfangenden kirchlichen Stelle liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Offenlegung besteht.
(4) Die empfangende kirchliche Stelle darf die offengelegten Daten für den Zweck verarbeiten, zu dessen Erfüllung sie ihr offengelegt werden. Eine Verarbeitung für andere Zwecke ist nur unter den Voraussetzungen des § 6 Absatz 2 zulässig.
(5) Für die Offenlegung personenbezogener Daten gegenüber öffentlichen Stellen gelten die Absätze 1 bis 4 entsprechend, sofern sichergestellt ist, dass bei der empfangenden öffentlichen Stelle ausreichende Datenschutzmaßnahmen getroffen werden.
(6) Sind mit personenbezogenen Daten, die nach Absatz 1 und Absatz 2 offengelegt werden dürfen, weitere personenbezogene Daten der betroffenen Person oder eines Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Offenlegung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der betroffenen Person oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Verarbeitung dieser Daten durch die empfangende kirchliche Stelle ist unzulässig.
(7) Absatz 6 gilt entsprechend, wenn personenbezogene Daten innerhalb einer kirchlichen Stelle offengelegt werden.


§ 10 Offenlegung gegenüber nicht kirchlichen und nicht öffentlichen Stellen
(1) Die Offenlegung personenbezogener Daten gegenüber nicht kirchlichen Stellen, nicht öffentlichen Stellen oder sonstigen Empfängern ist zulässig, wenn
a) sie zur Erfüllung der in der Zuständigkeit der offenlegenden kirchlichen Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 6 zulassen würden, oder
b) der Empfänger ein berechtigtes Interesse an der Kenntnis der offenzulegenden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Offenlegung hat, es sei denn, dass Grund zu der Annahme besteht, dass durch die Offenlegung die Wahrnehmung des Auftrags der Kirche gefährdet würde.
(2) Die Verantwortung für die Zulässigkeit der Offenlegung trägt die offenlegende kirchliche Stelle.
(3) In den Fällen der Offenlegung nach Absatz 1 li. b) unterrichtet die offenlegende kirchliche Stelle die betroffene Person von der Offenlegung ihrer Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass sie davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person nicht geboten erscheint, wenn die Unterrichtung die öffentliche Sicherheit gefährden oder dem kirchlichen Wohl Nachteile bereiten würde.
(4) Der Empfänger darf die offengelegten Daten nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihm gegenüber offengelegt werden. Die offenlegende kirchliche Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung für andere Zwecke ist zulässig, wenn eine Offenlegung nach Absatz 1 zulässig wäre und die offenlegende kirchliche Stelle zugestimmt hat.


§ 11 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach kirchlichem oder staatlichen Recht oder nach einer Dienstvereinbarung nach der Mitarbeitervertretungsordnung, die geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsehen, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d) die Verarbeitung erfolgt durch eine kirchliche Stelle im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der kirchlichen Einrichtung oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der kirchlichen Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage kirchlichen Rechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen kirchlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des kirchlichen oder staatlichen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage kirchlichen oder staatlichen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
j) die Verarbeitung ist auf der Grundlage des kirchlichen oder staatlichen Rechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im kirchlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich.
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 lit. h) genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem kirchlichen oder staatlichen Recht dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach kirchlichem oder staatlichem Recht einer Geheimhaltungspflicht unterliegt.
(4) In den Fällen des Absatzes 2 sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.


§ 12 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von § 6 Absatz 1 ist nur zulässig, wenn dies nach kirchlichem oder staatlichem Recht zulässig ist.


§ 13 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieses Gesetzes zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.
(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die §§ 17 bis 22 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Bestimmungen niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.

Kapitel 3 Informationspflichten des Verantwortlichen und Rechte der betroffenen Person

Abschnitt 1 Informationspflichten des Verantwortlichen


§ 14 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person innerhalb einer angemessenen Frist alle Informationen gemäß den §§ 15 und 16 und alle Mitteilungen gemäß den §§ 17 bis 24 und 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache, ggf. auch mit standardisierten Bildsymbolen, zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Minderjährige richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den §§ 17 bis 24. In den Fällen des § 13 Absatz 2 darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den §§ 17 bis 24 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den §§ 17 bis 24 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei der Datenschutzaufsicht Beschwerde zu erheben oder einen gerichtlichen Rechtsbehelf einzulegen.
(5) Informationen gemäß den §§ 15 und 16 sowie alle Mitteilungen und Maßnahmen gemäß den §§ 17 bis 24 und 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den §§ 17 bis 23 stellt, so kann er unbeschadet des § 13 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.


§ 15 Informationspflicht bei unmittelbarer Datenerhebung
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des betrieblichen Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf § 6 Absatz 1 lit. g) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an oder in ein Drittland oder an eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission oder im Falle von Übermittlungen gemäß § 40 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf § 6 Absatz 1 lit. b) oder § 11 Absatz 2 lit. a) beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei der Datenschutzaufsicht;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß § 24 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(4) Die Absätze 1 bis 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt oder die Informationserteilung an die betroffene Person einen unverhältnismäßigen Aufwand erfordern würde und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des
Einzelfalls, ins
besondere wegen des Zusammenhangs, in dem die Daten erhoben wurden, als gering anzusehen ist.
(5) Die Absätze 1 bis 3 finden auch dann keine Anwendung,
a) wenn und soweit die Daten oder die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss,
b) wenn die Erteilung der Information die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen oder
c) wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird.


§ 16 Informationspflicht bei mittelbarer Datenerhebung
(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person über die in § 15 Absätze 1 und 2 genannten Informationen hinaus mit
a) die zu ihr erhobenen Daten und
b) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen.
(2) Der Verantwortliche erteilt die Informationen
a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 1 zur Verfügung.
(4) Die Absätze 1 bis 3 finden keine Anwendung, wenn und soweit
a) die betroffene Person bereits über die Informationen verfügt,
b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im kirchlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder soweit die in Absatz 1 genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
c) die Erlangung oder Offenlegung durch kirchliche Rechtsvorschriften, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
d) die personenbezogenen Daten gemäß dem staatlichen oder dem kirchlichen Recht dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
(5) Die Absätze 1 bis 3 finden keine Anwendung, wenn die Erteilung der Information
a) im Falle einer kirchlichen Stelle im Sinne des § 3 Abs. 1 lit. a)
(1) die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben gefährden würde oder
(2) die Information dem kirchlichen Wohl Nachteile bereiten würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss,
b) im Fall einer kirchlichen Stelle im Sinne des § 3 Absatz 1 lit. b) oder c) die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde und nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt.
(6) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat.

Abschnitt 2 Rechte der betroffenen Person


§ 17 Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei der Datenschutzaufsicht;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß § 24 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an oder in ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß § 40 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
(5) Das Recht auf Auskunft der betroffenen Person gegenüber einem kirchlichen Archiv besteht nicht, wenn das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts mit vertretbarem Verwaltungsaufwand ermöglichen.
(6) Das Recht auf Auskunft der betroffenen Person besteht ergänzend zu Absatz 5 nicht, wenn
a) die betroffene Person nach § 15 Absatz 4 oder 5 oder nach § 16 Absatz 5 nicht zu informieren ist oder
b) die Daten
(1) nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder
(2) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
(7) Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen oder rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherte Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des § 20 einzuschränken.
(8) Wird der betroffenen Person durch eine kirchliche Stelle im Sinne des § 3 Absatz 1 lit. a) keine Auskunft erteilt, so ist sie auf Verlangen dem Diözesandatenschutzbeauftragten zu erteilen, soweit nicht die Bischöfliche Behörde im Einzelfall feststellt, dass dadurch kirchliche Interessen erheblich beeinträchtigt würden.
(9) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine kirchliche Stelle im Sinne des § 3 Absatz 1 lit. a) weder automatisiert verarbeitet noch nicht automatisiert verarbeitet und in einem Dateisystem gespeichert werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.


§ 18 Recht auf Berichtigung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
(2) Das Recht auf Berichtigung besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im kirchlichen Interesse verarbeitet werden. Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzufügen.


§ 19 Recht auf Löschung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
b) die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß § 6 Absatz 1 lit. b) oder § 11 Absatz 2 lit. a) stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
c) die betroffene Person legt gemäß § 23 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß § 23 Absatz 2 Widerspruch gegen die Verarbeitung ein;
d) die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
e) die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem staatlichen oder dem kirchlichen Recht erforderlich, dem der Verantwortliche unterliegt.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach kirchlichem oder staatlichem Recht, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im kirchlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß § 11 Absatz 2 lit. h) und i) sowie § 11 Absatz 3;
d) für im kirchlichem Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung von Rechtsansprüchen sowie zur Ausübung oder Verteidigung von Rechten.
(4) Ist eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich, tritt an die Stelle des Rechts auf Löschung das Recht auf Einschränkung der Verarbeitung gemäß § 20. Dies gilt nicht, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Als Einschränkung der Verarbeitung gelten auch die Sperrung und die Eintragung eines Sperrvermerks.


§ 20 Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
b) die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten;
c) der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung von Rechtsansprüchen oder zur Ausübung oder Verteidigung von Rechten oder
d) die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß § 23 eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung von Rechtsansprüchen oder zur Ausübung oder Verteidigung von Rechten oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen kirchlichen Interesses verarbeitet werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
(4) Die in Absatz 1 lit. a), b) und d) vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im kirchlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen und die Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind.


§ 21 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach §§ 18, 19 Absatz 1 und 20 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.


§ 22 Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
a) die Verarbeitung auf einer Einwilligung gemäß § 6 Absatz 1 lit. b) oder § 11 Absatz 2 lit. a) oder auf einem Vertrag gemäß § 6 Absatz 1 lit. c) beruht und
b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
(3) Die Ausübung des Rechts nach Absatz 1 lässt § 19 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im kirchlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
(4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
(5) Das Recht auf Datenübertragbarkeit besteht nicht, soweit dieses Recht voraussichtlich die Verwirklichung der im kirchlichen Interesse liegenden Archivzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind.


§ 23 Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von § 6 Absatz 1 lit. f) oder g) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung von Rechtsansprüchen oder der Ausübung oder Verteidigung von Rechten. Das Recht auf Widerspruch gegenüber einer Stelle im Sinne des § 3 Absatz 1 lit a) besteht nicht, soweit an der Verarbeitung ein zwingendes kirchliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung oder Fundraising zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
(5) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im kirchlichen Interesse liegenden Aufgabe erforderlich.


§ 24 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von kirchlichen Rechtsvorschriften, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 lit. a) und c) genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht § 11 Absatz 2 lit. a) oder g) gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.


§ 25 Unabdingbare Rechte der betroffenen Person
(1) Die Rechte der betroffenen Person auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
(2) Sind die Daten der betroffenen Person automatisiert in einer Weise gespeichert, dass mehrere Verantwortliche speicherungsberechtigt sind, und ist die betroffene Person nicht in der Lage, festzustellen, welcher Verantwortliche die Daten gespeichert hat, so kann sie sich an jeden dieser Verantwortlichen wenden. Dieser Verantwortliche ist verpflichtet, das Vorbringen der betroffenen Person an den Verantwortlichen, der die Daten gespeichert hat, weiterzuleiten. Die betroffene Person ist über die Weiterleitung und den Verantwortlichen, an den weitergeleitet wurde, zu unterrichten.

Kapitel 4 Verantwortlicher und Auftragsverarbeiter

Abschnitt 1 Technik und Organisation; Auftragsverarbeitung


§ 26 Technische und organisatorische Maßnahmen
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung unter anderem des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und einen Nachweis hierüber führen zu können. Diese Maßnahmen schließen unter anderem ein:
a) die Pseudonymisierung, die Anonymisierung und die Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
(4) Die Einhaltung eines nach dem EU-Recht zertifizierten Verfahrens kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen gemäß Absatz 1 nachzuweisen.
(5) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte um sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach kirchlichem oder staatlichem Recht zur Verarbeitung verpflichtet.


§ 27 Technikgestaltung und Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung technische und organisatorische Maßnahmen, die geeignet sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieses Gesetzes zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft technische und organisatorische Maßnahmen, die geeignet sind, durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, zu verarbeiten. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere geeignet sein, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3) Ein nach dem EU-Recht genehmigtes Zertifizierungsverfahren kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.


§ 28 Gemeinsam Verantwortliche
(1) Legen mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtungen gemäß diesem Gesetz erfüllt, insbesondere wer den Informationspflichten gemäß den §§ 15 und 16 nachkommt.
(2) Die Vereinbarung gemäß Absatz 1 enthält die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber der betroffenen Person. Über den wesentlichen die Verarbeitung personenbezogener Daten betreffenden Inhalt der Vereinbarung wird die betroffene Person informiert.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieses Gesetzes bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.



§ 29 Verarbeitung personenbezogener Daten im Auftrag
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieses Gesetzes erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem kirchlichen Recht, dem Recht der Europäischen Union oder dem Recht ihrer Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem
a) Gegenstand der Verarbeitung
b) Dauer der Verarbeitung,
c) Art und Zweck der Verarbeitung,
d) die Art der personenbezogenen Daten,
e) die Kategorien betroffener Personen und
f) die Pflichten und Rechte des Verantwortlichen
festgelegt sind.
(4) Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das kirchliche Recht, das Recht der Europäischen Union oder das Recht ihrer Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen kirchlichen Interesses verbietet;
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) alle gemäß § 26 erforderlichen Maßnahmen ergreift;
d) die in den Absätzen 2 und 5 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den §§ 15 bis 25 genannten Rechte der betroffenen Person nachzukommen;
f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 26, 33 bis 35 genannten Pflichten unterstützt;
g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem kirchlichen Recht oder dem Recht der Europäischen Union oder dem Recht ihrer Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Paragraphen niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen dieses Gesetz oder gegen andere kirchliche Datenschutzbestimmungen oder Datenschutzbestimmungen der Europäischen Union oder ihrer Mitgliedstaaten verstößt.
(5) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem kirchlichen Recht oder dem Recht der Union oder dem Recht des betreffenden Mitgliedstaats der Europäischen Union dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß den Absätzen 3 und 4 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieses Gesetzes erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
(6) Die Einhaltung nach europäischem Recht genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 5 nachzuweisen.
(7) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3, 4 und 5 ganz oder teilweise auf den in den Absatz 8 genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter erteilten Zertifizierung sind.
(8) Die Datenschutzaufsicht kann Standardvertragsklauseln zur Regelung der in den Absätzen 3 bis 5 genannten Fragen festlegen.
(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 bis 5 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Maßgebend sind die Formvorschriften der §§ 126 ff. BGB.
(10) Ein Auftragsverarbeiter, der unter Verstoß gegen dieses Gesetz die Zwecke und Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
(11) Der Auftragsverarbeiter darf die Daten nur innerhalb der Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten. Abweichend von Satz 1 ist die Verarbeitung in Drittstaaten zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß § 40 Absatz 1 vorliegt oder wenn die Datenschutzaufsicht selbst oder eine andere Datenschutzaufsicht festgestellt hat, dass dort ein angemessenes Datenschutzniveau besteht.
(12) Die Absätze 1 bis 11 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.


§ 30 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach kirchlichem Recht, dem Recht der Europäischen Union oder dem Recht ihrer Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Abschnitt 2 Pflichten des Verantwortlichen


§ 31 Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie des betrieblichen Datenschutzbeauftragten, sofern ein solcher zu benennen ist;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) gegebenenfalls die Verwendung von Profiling;
e) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
f) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und der dort getroffenen geeigneten Garantien;
g) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
h) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 26 dieses Gesetzes.
(2) Jeder Auftragsverarbeiter ist vertraglich zu verpflichten, ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen, das folgende Angaben zu enthalten hat:
a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines betrieblichen Datenschutzbeauftragten, sofern ein solcher zu benennen ist;
b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und der dort getroffenen geeigneten Garantien;
d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 26 dieses Gesetzes.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Der Verantwortliche und der Auftragsverarbeiter stellen dem betrieblichen Datenschutzbeauftragten und auf Anfrage der Datenschutzaufsicht das in den Absätzen 1 und 2 genannte Verzeichnis zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten für Unternehmen oder Einrichtungen, die 250 oder mehr Beschäftigte haben. Sie gilt darüber hinaus für Unternehmen oder Einrichtungen mit weniger als 250 Beschäftigten, wenn durch die Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet werden, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besondere Datenkategorien gemäß § 11 bzw. personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des § 12 beinhaltet.


§ 32 Zusammenarbeit mit der Datenschutzaufsicht
Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage der Datenschutzaufsicht mit dieser bei der Erfüllung ihrer Aufgaben zusammen.


§ 33 Meldung an die Datenschutzaufsicht
(1) Der Verantwortliche meldet der Datenschutzaufsicht unverzüglich die Verletzung des Schutzes personenbezogener Daten, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt. Erfolgt die Meldung nicht binnen 72 Stunden, nachdem die Verletzung des Schutzes personenbezogener Daten bekannt wurde, so ist ihr eine Begründung für die Verzögerung beizufügen.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese unverzüglich dem Verantwortlichen.
(3) Die Meldung gemäß Absatz 1 enthält insbesondere folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des betrieblichen Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagene
Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(4) Wenn und soweit die Informationen nach Absatz 3 nicht zeitgleich bereitgestellt werden können, stellt der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung.
(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Datenschutzaufsicht die Überprüfung der Einhaltung der Bestimmungen der Absätze 1 bis 4 ermöglichen.


§ 34 Benachrichtigung der betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in § 33 Absatz 3 lit. b), c) und d) genannten Informationen und Maßnahmen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen getroffen und auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
b) der Verantwortliche hat durch nachträglich getroffene Maßnahmen sichergestellt, dass die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 nicht mehr gefährdet sind;
c) die Benachrichtigung erfordert einen unverhältnismäßigen Aufwand. In diesem Fall hat ersatzweise eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Datenschutzaufsicht unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.


§ 35 Datenschutz-Folgenabschätzung und vorherige Konsultation
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des betrieblichen Datenschutzbeauftragten ein, sofern ein solcher benannt wurde.
(3) Ist der Verantwortliche nach Anhörung des betrieblichen Datenschutzbeauftragten der Ansicht, dass ohne Hinzuziehung der Datenschutzaufsicht eine Datenschutz-Folgenabschätzung nicht möglich ist, kann er der Datenschutzaufsicht den Sachverhalt zur Stellungnahme vorlegen.
(4) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß § 12 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
(5) Die Datenschutzaufsicht soll eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung gemäß Absatz 1 durchzuführen ist. Sie kann ferner eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.
(6) Die Listen der Datenschutzaufsicht sollen sich an den Listen der Aufsichtsbehörden des Bundes und der Länder orientieren. Gegebenenfalls ist der Austausch mit staatlichen Aufsichtsbehörden zu suchen.
(7) Die Datenschutz-Folgenabschätzung umfasst insbesondere:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass dieses Gesetz eingehalten wird.
(8) Der Verantwortliche holt gegebenenfalls die Stellungnahme der betroffenen Person zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder kirchlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
(9) Falls die Verarbeitung auf einer Rechtsgrundlage im kirchlichen Recht, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 5 nicht.
(10) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
(11) Der Verantwortliche konsultiert vor der Verarbeitung die Datenschutzaufsicht, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hat, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Abschnitt 3 Betrieblicher Datenschutzbeauftragter


§ 36 Benennung von betrieblichen Datenschutzbeauftragten
(1) Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. a) benennen schriftlich einen betrieblichen Datenschutzbeauftragten.
(2) Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. b) und c) benennen schriftlich einen betrieblichen Datenschutzbeauftragten, wenn
a) sich bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß § 12 besteht.
(3) Für mehrere kirchliche Stellen im Sinne des § 3 Absatz 1 kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer betrieblicher Datenschutzbeauftragter benannt werden.
(4) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des betrieblichen Datenschutzbeauftragten. Die Benennung von betrieblichen Datenschutzbeauftragten nach Absatz 1 ist der Datenschutzaufsicht anzuzeigen.
(5) Der betriebliche Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags oder einer sonstigen Vereinbarung erfüllen. Ist der betriebliche Datenschutzbeauftragte Beschäftigter des Verantwortlichen, finden § 42 Absatz 1 Satz 1 2. Halbsatz und § 42 Absatz 1 Satz 2 entsprechende Anwendung.
(6) Zum betrieblichen Datenschutzbeauftragten darf nur benannt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
(7) Zum betrieblichen Datenschutzbeauftragten soll derjenige nicht benannt werden, der mit der Leitung der Datenverarbeitung beauftragt ist oder dem die Leitung der kirchlichen Stelle obliegt. Andere Aufgaben und Pflichten des Benannten dürfen im Übrigen nicht so umfangreich sein, dass der betriebliche Datenschutzbeauftragte seinen Aufgaben nach diesem Gesetz nicht umgehend nachkommen kann.
(8) Soweit keine Verpflichtung für die Benennung eines betrieblichen Datenschutzbeauftragten besteht, hat der Verantwortliche oder der Auftragsverarbeiter die Erfüllung der Aufgaben nach § 38 in anderer Weise sicherzustellen.


§ 37 Rechtsstellung des betrieblichen Datenschutzbeauftragten
(1) Der betriebliche Datenschutzbeauftragte ist dem Leiter der kirchlichen Stelle unmitlelbar zu unterstellen. Er ist bei der Erfüllung seiner Aufgaben auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
(2) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der betriebliche Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Sie unterstützen den betrieblichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Mittel und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben der Verantwortliche oder der Auftragsverarbeiter dem betrieblichen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen in angemessenem Umfang zu ermöglichen und deren Kosten zu übernehmen. § 43 Absätze 9 und 10 gelten entsprechend.
(3) Betroffene Personen können sich jederzeit und unmittelbar an den betrieblichen Datenschutzbeauftragten wenden.
(4) Ist ein betrieblicher Datenschutzbeauftragter benannt worden, so ist die Kündigung seines Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche den Verantwortlichen oder den Auftragsverarbeiter zur Kündigung aus wichtigem Grund ohne Einhaltung der Kündigungsfrist berechtigen. Nach der Abberufung als betrieblicher Datenschutzbeauftragter ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass der Verantwortliche oder der Auftragsverarbeiter zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
(5) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass die Wahrnehmung anderer Aufgaben und Pflichten durch den betrieblichen Datenschutzbeauftragten nicht zu einem Interessenkonflikt führt.


§ 38 Aufgaben des betrieblichen Datenschutzbeauftragten
Der betriebliche Datenschutzbeauftragte wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann er sich in Zweifelsfällen an die Datenschutzaufsicht gem. §§ 42 ff. wenden. Er hat insbesondere
a) die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
b) den Verantwortlichen oder den Auftragsverarbeiter zu unterrichten und zu beraten,
c) die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen,
d) auf Anfrage des Verantwortlichen oder des Auftragsverarbeiters diesen bei der Durchführung einer Datenschutz-Folgenabschätzung zu beraten und bei der Überprüfung, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung erfolgt, zu unterstützen und
e) mit der Datenschutzaufsicht zusammenzuarbeiten.

Kapitel 5 Übermittlung personenbezogener Daten an und in Drittländer oder an internationale Organisationen


§ 39 Allgemeine Grundsätze
Jede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Gesetz niedergelegten Bedingungen einhalten. Dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation.


§ 40 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses oder bei geeigneten Garantien
(1) Eine Übermittlung personenbezogener Daten an oder in ein Drittland oder an eine internationale Organisation ist zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt und dieser Beschluss wichtigen kirchlichen Interessen nicht entgegensteht.
(2) Liegt ein Angemessenheitsbeschluss nach Absatz 1 nicht vor, ist eine Übermittlung personenbezogener Daten an oder in ein Drittland oder an eine internationale Organisation auch dann zulässig, wenn
a) in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
b) der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.
Der Verantwortliche und der Auftragsverarbeiter haben die Übermittlung nach lit. a) und b) zu dokumentieren und die kirchliche Datenschutzaufsicht über Übermittlungen nach lit. b) zu unterrichten.


§ 41 Ausnahmen
Falls weder ein Angemessenheitsbeschluss nach § 40 Absatz 1 noch geeignete Garantien nach § 40 Absatz 2 bestehen, ist eine Übermittlung personenbezogener Daten an oder in ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
(1) die betroffene Person hat in die Übermittlung eingewilligt;
(2) die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder dem Auftragsverarbeiter oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich;
(3) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen oder dem Auftragsverarbeiter mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrages verantwortlich;
(4) die Übermittlung ist aus wichtigen Gründen des öffentlichen oder kirchlichen Interesses notwendig;
(5) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich;
(6) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

Kapitel 6 Datenschutzaufsicht


§ 42 Bestellung des Diözesandatenschutzbeauftragten als Leiter der Datenschutzaufsicht
(1) Der Diözesanbischof bestellt für den Bereich seiner Diözese einen Diözesandatenschutzbeauftragten als Leiter der Datenschutzaufsicht; die Bestellung erfolgt für die Dauer von mindestens vier, höchstens acht Jahren und gilt bis zur Aufnahme der Amtsgeschäfte durch den Nachfolger. Die mehrmalige erneute Bestellung ist zulässig. Die Bestellung für mehrere Diözesen und/oder Ordensgemeinschaften ist zulässig.
(2) Zum Diözesandatenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Er soll die Befähigung zum Richteramt gemäß dem Deutschen Richtergesetz haben und muss der Katholischen Kirche angehören. Der Diözesandatenschutzbeauftragte ist auf die gewissenhafte Erfüllung seiner Pflichten und die Einhaltung des kirchlichen und des für die Kirchen verbindlichen staatlichen Rechts zu verpflichten.
(3) Die Bestellung kann vor Ablauf der Amtszeit widerrufen werden, wenn Gründe nach § 24 Deutsches Richtergesetz vorliegen, die bei einem Richter auf Lebenszeit dessen Entlassung aus dem Dienst rechtfertigen, oder Gründe vorliegen, die nach der Grundordnung des kirchlichen Dienstes im Rahmen kirchlicher Arbeitsverhältnisse in der jeweils geltenden Fassung eine Kündigung rechtfertigen. Auf Antrag des Diözesandatenschutzbeauftragten nimmt der Diözesanbischof die Bestellung zurück.


§ 43 Rechtsstellung des Diözesandatenschutzbeauftragten
(1) Der Diözesandatenschutzbeauftragte ist in Ausübung seiner Tätigkeit an Weisungen nicht gebunden und nur dem kirchlichen Recht und dem für die Kirchen verbindlichen staatlichen Recht unterworfen. Die Ausübung seiner Tätigkeit geschieht in organisatorischer und sachlicher Unabhängigkeit. Die Dienstaufsicht ist so zu regeln, dass dadurch die Unabhängigkeit nicht beeinträchtigt wird.
(2) Der Diözesandatenschutzbeauftragte übt sein Amt hauptamtlich aus. Er sieht von allen mit den Aufgaben seines Amtes nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere mit seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Dem steht eine Bestellung als Diözesandatenschutzbeauftragter für mehrere Diözesen und/oder Ordensgemeinschaften nicht entgegen.
(3) Das der Bestellung zum Diözesandatenschutzbeauftragten zugrunde liegende Dienstverhältnis kann während der Amtszeit nur unter den Voraussetzungen des § 42 Absatz 3 beendet werden. Dieser Kündigungsschutz wirkt für den Zeitraum von einem Jahr nach der Beendigung der Amtszeit entsprechend fort, soweit ein kirchliches Beschäftigungsverhältnis fortgeführt wird oder sich anschließt.
(4) Dem Diözesandatenschutzbeauftragten wird die für die Erfüllung seiner Aufgaben angemessene Personal- und Sachausstattung zur Verfügung gestellt, damit er seine Aufgaben und Befugnisse wahrnehmen kann. Er verfügt über einen eigenen jährlichen Haushalt, der gesondert auszuweisen ist und veröffentlicht wird. Er unterliegt der Rechnungsprüfung durch die dafür von der Diözese bestimmte Stelle, soweit hierdurch seine Unabhängigkeit nicht beeinträchtigt wird.
(5) Der Diözesandatenschutzbeauftragte wählt das notwendige Personal aus, das von einer kirchlichen Stelle, ggf. der Datenschutzaufsicht selbst, angestellt wird. Die von ihm ausgewählten und von der kirchlichen Stelle angestellten Mitarbeiter unterstehen der Dienst- und Fachaufsicht des Diözesandatenschutzbeauftragten und können nur mit seinem Einverständnis von der kirchlichen Stelle gekündigt, versetzt oder abgeordnet werden. Die Mitarbeiter sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine anderen mit ihrem Amt nicht zu vereinbarenden entgeltlichen oder unentgeltlichen Tätigkeiten aus.
(6) Der Diözesandatenschutzbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere kirchliche Stellen übertragen oder sich deren Hilfe bedienen. Diesen dürfen personenbezogene Daten der Mitarbeiter übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(7) Die Datenschutzaufsicht ist oberste Dienstbehörde im Sinne des § 96 Strafprozessordnung. Der Diözesandatenschutzbeauftragte trifft die Entscheidung über Aussagegenehmigungen für sich und seinen Bereich in eigener Verantwortung. Die Datenschutzaufsicht ist oberste Aufsichtsbehörde im Sinne des § 99 Verwaltungsgerichtsordnung.
(8) Der Diözesandatenschutzbeauftragte benennt aus dem Kreis seiner Mitarbeiter einen Vertreter, der im Fall seiner Verhinderung die unaufschiebbaren Entscheidungen trifft.
(9) Der Diözesandatenschutzbeauftragte, sein Vertreter und seine Mitarbeiter sind auch nach Beendigung ihrer Aufträge verpflichtet, über die ihnen in dieser Eigenschaft bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
(10) Der Diözesandatenschutzbeauftragte, sein Vertreter und seine Mitarbeiter dürfen, wenn ihr Auftrag beendet ist, über solche Angelegenheiten ohne Genehmigung des amtierenden Diözesandatenschutzbeauftragten weder vor Gericht noch außergerichtlich Aussagen oder Erklärungen abgeben. Die Genehmigung, als Zeuge auszusagen, wird in der Regel erteilt. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen.


§ 44 Aufgaben der Datenschutzaufsicht
(1) Die Datenschutzaufsicht wacht über die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz.
(2) Die in § 3 Absatz 1 genannten kirchlichen Stellen sind verpflichtet, im Rahmen ihrer Zuständigkeit
a) den Anweisungen der Datenschutzaufsicht Folge zu leisten,
b) die Datenschutzaufsicht bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihr ist dabei insbesondere Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme, und während der Dienstzeit zum Zwecke von Prüfungen Zutritt zu allen Diensträumen, die der Verarbeitung und Aufbewahrung automatisierter Dateien dienen, zu gewähren.
c) Untersuchungen in Form von Datenschutzüberprüfungen durch die Datenschutzaufsicht zuzulassen.
(3) Darüber hinaus hat die Datenschutzaufsicht im Rahmen ihres Zuständigkeitsbereichs insbesondere folgende Aufgaben:
a) Die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Minderjährige;
b) kirchliche Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
c) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz entstehenden Pflichten sensibilisieren;
d) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den anderen Datenschutzaufsichten sowie staatlichen und sonstigen kirchlichen Aufsichtsbehörden zusammenarbeiten;
e) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle oder einer Organisation befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten; zur Erleichterung der Einlegung von Beschwerden hält die Datenschutzaufsicht Musterformulare in digitaler und Papierform bereit.
f) mit anderen Datenschutzaufsichten zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes zu gewährleisten;
g) Untersuchungen über die Anwendung dieses Gesetzes durchführen, auch auf der Grundlage von Informationen einer anderen Datenschutzaufsicht oder einer anderen Behörde;
h) maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
i) gegebenenfalls eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß § 35 entweder keine oder für die eine Datenschutz-Folgenabschätzung durchzuführen ist;
j) Beratung in Bezug auf die in § 35 genannten Verarbeitungsvorgänge leisten;
k) interne Verzeichnisse über Verstöße gegen dieses Gesetz und die im Zusammenhang mit diesen Verstößen ergriffenen Maßnahmen führen und
l) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
(4) Die Datenschutzaufsicht kann Empfehlungen zur Verbesserung des Datenschutzes geben. Sie kann im Rahmen ihrer Zuständigkeit Muster für Standardvertragsklauseln zur Verfügung stellen.
(5) Die Tätigkeit der Datenschutzaufsicht ist für die betroffene Person unentgeltlich. Bei offensichtlich unbegründeten Anträgen kann jedoch die Datenschutzaufsicht ihre weitere Tätigkeit auf einen neuerlichen Antrag der betroffenen Person hin davon abhängig machen, dass eine angemessene Gebühr für den Verwaltungsaufwand entrichtet wird.
(6) Die Datenschutzaufsicht erstellt jährlich einen Tätigkeitsbericht, der dem Bischof vorgelegt und der Öffentlichkeit zugänglich gemacht wird. Der Tätigkeitsbericht soll auch eine Darstellung der wesentlichen Entwicklungen des Datenschutzes im nichtkirchlichen Bereich enthalten.


§ 45 Zuständigkeit der Datenschutzaufsicht bei über- und mehrdiözesanen Rechtsträgern
(1) Handelt es sich bei dem Rechtsträger einer kirchlichen Stelle im Sinne des § 3 Absatz 1 um einen über- oder mehrdiözesanen kirchlichen Rechtsträger, so gilt das Gesetz über den kirchlichen Datenschutz der Diözese und ist die Datenschutzaufsicht der Diözese zuständig, in der der Rechtsträger der kirchlichen Stelle seinen Sitz hat. Bei Abgrenzungsfragen gegenüber dem Bereich der Ordensgemeinschaften erfolgt eine Abstimmung zwischen dem Diözesandatenschutzbeauftragten und dem Ordensdatenschutzbeauftragten.
(2) Verfügt der über- oder mehrdiözesane kirchliche Rechtsträger im Sinne des § 3 Absatz 1 über eine oder mehrere rechtlich unselbständige Einrichtungen, die in einer anderen Diözese als der Diözese ihren Sitz haben, in der der Rechtsträger seinen Sitz hat, so gilt das Gesetz über den kirchlichen Datenschutz der Diözese, in der der Rechtsträger seinen Sitz hat.


§ 46 Zusammenarbeit mit anderen Datenschutzaufsichten
Um zu einer möglichst einheitlichen Anwendung der Datenschutzbestimmungen beizutragen, wirkt die Datenschutzaufsicht auf eine Zusammenarbeit mit den anderen Datenschutzaufsichten sowie den staatlichen und den sonstigen kirchlichen Aufsichtsbehörden hin.


§ 47 Beanstandungen durch die Datenschutzaufsicht
(1) Stellt die Datenschutzaufsicht Verstöße gegen Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so macht sie diese aktenkundig und beanstandet sie durch Bescheid unter Setzung einer angemessenen Frist zur Behebung gegenüber dem Verantwortlichen.
(2) Hat die Datenschutzaufsicht die Feststellung getroffen, dass eine Datenschutzverletzung objektiv vorliegt, kann der betroffenen Person im Verfahren vor den staatlichen Zivilgerichten über den Schadensersatz das Fehlen einer solchen nicht entgegengehalten werden.
(3) Wird die Beanstandung nicht fristgerecht behoben, so verständigt die Datenschutzaufsicht die für die kirchliche Stelle zuständige Aufsicht und fordert sie zu einer Stellungnahme gegenüber der Datenschutzaufsicht auf. Diese Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandungen der Datenschutzaufsicht getroffen worden sind.
(4) Die Datenschutzaufsicht kann von einer Beanstandung absehen oder auf eine Stellungnahme der die Aufsicht führenden Stelle verzichten, wenn es sich um unerhebliche Mängel handelt, deren Behebung mittlerweile erfolgt ist. Die Datenschutzaufsicht kann außerdem auf eine Stellungnahme der die Aufsicht führenden Stelle verzichten, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im kirchlichen Interesse notwendig erscheint.
(5) Der Bescheid gemäß Absatz 1 kann Anordnungen enthalten, um einen rechtmäßigen Zustand wiederherzustellen oder Gefahren für personenbezogene Daten abzuwehren. Insbesondere ist die Datenschutzaufsicht befugt anzuordnen:
a) Verarbeitungsvorgänge auf bestimmte Weise und innerhalb einer von der Datenschutzaufsicht zu bestimmenden Frist mit diesem Gesetz in Einklang zu bringen,
b) die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
c) eine vorübergehende oder endgültige Beschränkung sowie ein Verbot der Verarbeitung,
d) personenbezogene Daten zu berichtigen oder zu löschen oder deren Verarbeitung zu beschränken und die Empfänger dieser Daten entsprechend zu benachrichtigen,
e) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation,
f) den Anträgen der betroffenen Person auf Ausübung der ihr nach diesem Gesetz zustehenden Rechte zu entsprechen.
Der Verantwortliche hat diese Anordnungen binnen der genannten Frist – falls eine solche nicht bezeichnet ist, unverzüglich – umzusetzen.
(6) Die Datenschutzaufsicht ist befugt, zusätzlich zu oder anstelle von den in Absatz 5 genannten Maßnahmen eine Geldbuße zu verhängen. Näheres regelt § 51.
(7) Mit der Beanstandung kann die Datenschutzaufsicht Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.
(8) Bevor eine Beanstandung, insbesondere in Verbindung mit der Anordnung von Maßnahmen nach Absätzen 5 oder 6 erfolgt, ist dem Verantwortlichen innerhalb einer angemessenen Frist Gelegenheit zu geben, sich zu den für die Entscheidung erheblichen Tatsachen zu äußern. Von der Anhörung kann abgesehen werden, wenn sie nach den Umständen des Einzelfalls nicht geboten, insbesondere wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im kirchlichen Interesse notwendig erscheint.

Kapitel 7 Beschwerde, gerichtlicher Rechtsbehelf, Haftung und Sanktionen


§ 48 Beschwerde bei der Datenschutzaufsicht
(1) Jede betroffene Person hat unbeschadet eines anderweitigen Rechtsbehelfs das Recht auf Beschwerde bei der Datenschutzaufsicht, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften dieses Gesetzes oder gegen andere Datenschutzvorschriften verstößt. Die Einhaltung des Dienstwegs ist dabei nicht erforderlich.
(2) Auf ein solches Vorbringen hin prüft die Datenschutzaufsicht den Sachverhalt. Sie fordert den Verantwortlichen, den Empfänger und/oder den Dritten zur Stellungnahme auf, soweit der Inhalt des Vorbringens den Tatbestand einer Datenschutzverletzung erfüllt.
(3) Niemand darf gemaßregelt oder benachteiligt werden, weil er sich im Sinne des Absatz 1 an die Datenschutzaufsicht gewendet hat.
(4) Die Datenschutzaufsicht unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach § 49.


§ 49 Gerichtlicher Rechtsbehelf gegen eine Entscheidung der Datenschutzaufsicht oder gegen den Verantwortlichen oder den Auftragsverarbeiter
(1) Jede natürliche oder juristische Person hat unbeschadet des Rechts auf Beschwerde bei der Datenschutzaufsicht (§ 48) das Recht auf einen gerichtlichen Rechtsbehelf gegen einen sie betreffenden Bescheid der Datenschutzaufsicht. Dies gilt auch dann, wenn sich die Datenschutzaufsicht nicht mit einer Beschwerde nach § 48 befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde gemäß § 48 in Kenntnis gesetzt hat.
(2) Jede betroffene Person hat unbeschadet eines Rechts auf Beschwerde bei der Datenschutzaufsicht (§ 48) das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieses Gesetzes zustehenden Rechte infolge einer nicht im Einklang mit diesem Gesetz stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
(3) Für gerichtliche Rechtsbehelfe gegen eine Entscheidung der Datenschutzaufsicht oder einen Verantwortlichen oder einen Auftragsverarbeiter ist das kirchliche Gericht in Datenschutzangelegenheiten zuständig.


§ 50 Haftung und Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen dieses Gesetz ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen die kirchliche Stelle als Verantwortlicher oder Auftragsverarbeiter.
(2) Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus diesem Gesetz nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3) Ein Verantwortlicher oder ein Auftragsverarbeiter ist von der Haftung gemäß Absatz 1 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(4) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
(5) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten kirchlichen Stellen als Verantwortlicher oder Auftragsverarbeiter den Schaden verursacht hat, so haftet jede als Verantwortlicher für den gesamten Schaden.
(6) Mehrere Ersatzpflichtige haften als Gesamtschuldner im Sinne des Bürgerlichen Gesetzbuches.
(7) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.
(8) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.


§ 51 Geldbußen
(1) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.
(2) Die Datenschutzaufsicht stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Paragraphen für Verstöße gegen dieses Gesetz in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(3) Geldbußen werden je nach den Umständen des Einzelfalls verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß § 26 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Aufttragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Datenschutzaufsicht, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Datenschutzaufsicht bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen (§ 47 Absatz 5), wenn solche Maßnahmen angeordnet wurden;
j) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(4) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieses Gesetzes, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
(5) Bei Verstößen werden im Einklang mit Absatz 3 Geldbußen von bis zu 500.000 EUR verhängt.
(6) Gegen kirchliche Stellen im Sinne des § 3 Absatz 1, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, werden keine Geldbußen verhängt; dies gilt nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen.
(7) Die Datenschutzaufsicht leitet einen Vorgang, in welchem sie einen objektiven Verstoß gegen dieses Gesetz festgestellt hat, einschließlich der von ihr verhängten Höhe der Geldbuße an die nach staatlichem Recht zuständige Vollstreckungsbehörde weiter. Unbeschadet ihrer jeweiligen Rechtsform ist die Datenschutzaufsicht Inhaber der Bußgeldforderung und mithin Vollstreckungsgläubiger. Die nach staatlichem Recht zuständige Vollstreckungsbehörde ist an die Feststellung der Datenschutzaufsicht hinsichtlich des Verstoßes und an die von dieser festgesetzten Höhe der Geldbuße gebunden. Sofern das staatliche Recht die Zuständigkeit einer solchen Vollstreckungsbehörde nicht vorsieht, erfolgt die Vollstreckung auf dem Zivilrechtsweg.

Kapitel 8 Vorschriften für besondere Verarbeitungssituationen


§ 52 Videoüberwachung
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
a) zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts oder
b) zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen.
(2) Der Umstand der Beobachtung und der Verantwortliche sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.
(3) Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung gemäß §§ 15 und 16 zu benachrichtigen.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen.


§ 53 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten eines Beschäftigten einschließlich der Daten über die Religionszugehörigkeit, die religiöse Überzeugung und die Erfüllung von Loyalitätsobliegenheiten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
(2) Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind oder eine Rechtsvorschrift dies vorsieht.
(3) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten verarbeitet werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet oder für die Verarbeitung in einer solchen Datei erhoben werden.
(4) Die Beteiligungsrechte nach der jeweils geltenden Mitarbeitervertretungsordnung bleiben unberührt.


§ 54 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken
(1) Für Zwecke der wissenschaftlichen oder historischen Forschung oder der Statistik erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.
(2) Die Offenlegung personenbezogener Daten an andere als kirchliche Stellen für Zwecke der wissenschaftlichen oder historischen Forschung oder der Statistik ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten und die Vorschriften der Absätze 3 und 4 einzuhalten. Der kirchliche Auftrag darf durch die Offenlegung nicht gefährdet werden.
(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.
(4) Die Veröffentlichung personenbezogener Daten, die zum Zwecke wissenschaftlicher oder historischer Forschung oder der Statistik übermittelt wurden, ist nur mit Zustimmung der übermittelnden kirchlichen Stelle zulässig. Die Zustimmung kann erteilt werden, wenn
a) die betroffene Person eingewilligt hat oder
b) dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist, es sei denn, dass Grund zu der Annahme besteht, dass durch die Veröffentlichung der Auftrag der Kirche gefährdet würde oder schutzwürdige Interessen der betroffenen Person überwiegen.


§ 55 Datenverarbeitung durch die Medien
(1) Soweit personenbezogene Daten von kirchlichen Stellen ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet werden, gelten von den Vorschriften dieses Gesetzes nur die §§ 5, 26 und 50. Soweit personenbezogene Daten zur Herausgabe von Adressen-, Telefon- oder vergleichbaren Verzeichnissen verarbeitet werden, gilt Satz 1 nur, wenn mit der Herausgabe zugleich eine journalistisch-redaktionelle oder literarische Tätigkeit verbunden ist.
(2) Führt die journalistisch-redaktionelle Verarbeitung personenbezogener Daten zur Veröffentlichung von Gegendarstellungen der betroffenen Person, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.
(3) Wird jemand durch eine Berichterstattung in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten auf die berichtenden oder einsendenden Personen oder die Gewährsleute von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann. Die betroffene Person kann die Berichtigung unrichtiger Daten verlangen.

Kapitel 9 Übergangs- und Schlussbestimmungen


§ 56 Ermächtigungen
Die zur Durchführung dieses Gesetzes erforderlichen Regelungen trifft der Generalvikar. Er legt insbesondere fest:
a) den Inhalt eines Musters der schriftlichen Verpflichtungserklärung gemäß § 5 Satz 2 und
b) die technischen und organisatorischen Maßnahmen gemäß § 26.


§ 57 Übergangsbestimmungen
(1) Die bisherige Bestellung des Diözesandatenschutzbeauftragten, dessen Amtszeit noch nicht abgelaufen ist, bleibt unberührt, soweit hierbei die Regelungen der §§ 42 ff. Beachtung finden. Entsprechendes gilt für den bestellten Vertreter des Diözesandatenschutzbeauftragten.
(2) Bisherige Bestellungen der betrieblichen Datenschutzbeauftragten, deren Amtszeiten noch nicht abgelaufen sind, bleiben unberührt, soweit hierbei die Regelungen der §§ 36 ff. Beachtung finden.
(3) Vereinbarungen über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag nach § 8 der Anordnung über den Kirchlichen Datenschutz (KDO) in der bisher geltenden Fassung gelten fort. Sie sind bis zum 31.12.2019 an dieses Gesetz anzupassen.
(4) Verzeichnisse von Verarbeitungstätigkeiten gemäß § 31 sind bis zum 30.06.2019 zu erstellen.
(5) Die nach § 22 der Anordnung über den kirchlichen Datenschutz (KDO) erlassene Durchführungsverordnung (KDO-DVO) (Amtsblatt 11/2016, S. 587) bleiben, soweit sie den Regelungen dieses Gesetzes nicht entgegenstehen, bis zu einer Neuregelung, längstens bis zum 30.06.2019, in Kraft.


§ 58 Inkrafttreten, Außerkrafttreten, Überprüfung
(1) Dieses Gesetz tritt am 24.05.2018 in Kraft. Gleichzeitig tritt die Anordnung über den kirchlichen Datenschutz vom 20.02.2014 außer Kraft.
(2) Dieses Gesetz soll innerhalb von drei Jahren ab Inkrafttreten überprüft werden.

Veröffentlicht unter Alle Beiträge | Kommentare deaktiviert für KDG – Gesetz über den kirchlichen Datenschutz – Katholische Kirche

Das geht uns alle an: Darf man ohne Einwilligung andere Leute fotografieren?


Darf man ohne Einwilligung andere Leute fotografieren?

Fotografierender Minderjähriger

Minderjähriger ohne Einwilligung der Eltern

Gleich zu Beginn der Hinweis, dass zwei Dinge strikt zu unterscheiden sind: nämlich das fotografieren („knipsen“) und die Veröffentlichung und Verbreitung eines Fotos.

Hier geht es ausschließlich um die Frage „Darf ich andere Leute knipsen?“.

Die Frage des „Fotografieren-dürfens“ hat sich zuletzt in den Medien immer wieder mal im Zusammenhang von Fotografien in Schulen oder Kindergärten gestellt, nachdem z.B. in einer Schule das Fotografieren durch Eltern und Dritte gänzlich verboten wurde.

Es gibt aber Anlass diese Frage viel grundlegender zu stellen.

Wenn jemand einen anderen Menschen digital fotografiert und der Abgebildete ist auf dem Foto identifizierbar, dann ist das eine Verabeitung personenbezogener Daten. Es stellt sich deswegen auch die Frage, ob vom Fotografen die Regelungen der Datenschutzgrundverordnung (DSGVO) zu beachten sind, der Anwendungsbereich der DSGVO also grundsätzlich eröffnet ist.

In Art. 2 Abs. 2 lit. c) DSGVO (wird oft „Haushaltsausnahme“ genannt) ist folgendes geregelt:

„Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten […]

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, […]“

Werden Daten also zu persönlichen oder familiären Tätigkeiten verarbeitet, so findet die DSGVO keine Anwendung.

Sollte man meinen.

Der Thüriger Landesbeauftragte für den Datenschutz und die Informationssicherheit, Herr Dr. Lutz Haase, hat sich, wie der Radiosender MDRJump auf seiner Homepage am 2.8.2018 berichtet, in einem Interview wie folgt geäußert:

„Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.“

MDRJump hatte zuvor, was wohl allgemeine Meinung ist, konstatiert:

„Fest steht: Wer Fotos im privaten Rahmen (Familienfeiern, Grillfeste im Garten oder beim Arbeitseinsatz am Eigenheim) macht und diese auch nicht veröffentlichen will, braucht keine Genehmigung.“

Dann aber festgestellt,

„Anders sieht es aus, wenn auch Nachbarn oder fremde Menschen auf den Fotos sind.“

Diese Feststelllung wurde dann durch den Thüringischen Landesbeauftagten für Datenschutz mit seiner obigen Aussage untermauert. Hier noch mal der Text:

„Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.“

Nun, man kann dieser Rechtsansicht mit guten Argumenten entgegentreten (hier eine gute Zusammenfassung). Man kann einwenden, dass das Gesetz in Art. 2 Abs. 2 lit. c) DSGVO von persönlichen und familiären „Tätigkeiten“ spricht und die statuierte Ausnahme nicht an einem lokalen Bezug fest macht, z.B. in den eigenen Wohnräumen oder auf dem eigenen Grundstück. Womöglich ist so ein lokaler Bezug auch gar nicht gemeint gewesen denn es kann ja schließlich keinen Unterschied machen, ob ich meine Familie im Wohnzimmer oder im Wald fotografiere.

Oder doch? Es könnte ja just in diesem Moment ein unbekannter Jogger ins Bild huschen. Und darf ich meine Kamera im Garten zum Fotografieren der planschenden Kinder noch so ausrichten, das ihr Blick auch in Richtung des Nachbargrundstücks geht? Was ist, wenn der böse Nachbar gerade, wenn es Klick macht durch die Hecke schaut und sich mal wieder beobachtet fühlt, obwohl ich ihn doch gar nicht knipsen wollte?

Wohlgemerkt, es geht nur um Bilder, die zuhause auf der Festplatte oder als Abzüge im Schrank landen sollen.

Übrigens: Auch ohne die Anwendbarkeit des DSGVO darf man nicht schrankenlos andere Leute fotografieren. Eine deutliche Grenze setzt z.B. § 201a StGB, nach dem es schlicht strafbar ist, andere Menschen in bloßstellenden Situationen zu fotografieren. Außerdem gibt es Rechtsprechung dazu, wann bereits das fotografieren anderer unzulässig ist.

Wie lösen wir das Problemchen?

Tja, auch wenn jetzt eine rege Rechtsdikussion einsetzen mag, wird es bis zur verbindlichen Klärung durch den EuGH wohl viele Jahre dauern. Und ob der Gesetzgeber hier zeitnah eine Klarstellung triftt, darf mit Fug und Recht bezweifelt werden. Also werden wir vorerst die Unklarheiten aushalten müssen und, wie es so schön heißt, in besonnener Selbstbehauptung  standhalten. Ich jedenfalls werde das private Fotografieren auch außerhalb meines Wohnzimmers in den bereits vorhandenen rechtlichen Grenzen nicht einstellen. Basta.


 

Veröffentlicht unter Alle Beiträge, Datenschutz | Kommentare deaktiviert für Das geht uns alle an: Darf man ohne Einwilligung andere Leute fotografieren?

Wie funktioniert Transportverschlüsselung bei E-Mails denn jetzt nun wirklich?


Wie funktioniert Transportverschlüsselung bei E-Mails denn jetzt nun wirklich?

Immer noch ein Thema für Rechtsanwältinnen und Rechtsanwälte, aber auch andere Berufsgeheimnisträger und letztlich für alle, die zumindest mit besonders geschützten Daten, wie Gesundheitsdaten, umgehen, ist die Frage, ob und wenn ja wie E-Mails verschlüsselt (Transportverschlüsselung oder Ende-zu-Ende-Verschlüsselung) werden müssen.

Die Verschlüsselung ist eine technisch-organisatorische Maßnahme, um die zu verarbeitenden Daten z.B. vor unberechtigtem Zugriff zu schützen. Es muss dabei nach Art. 32 DSGVO ein „angemessenes Schutzniveau“  gewährleistet sein. Um das zu bestimmen, ist eine Abwägung zahlreicher Kriterien nötig. Das soll hier aber nicht das Thema sein. Vielmehr geht es um die Frage, ob die sog. Transportverschlüsselung (TLS oder STARTTLS) als Verschlüsselungsmethode per se ausreicht. Es soll dabei unterstellt werden, dass alle in Deutschland ansässigen E-Mail-Provider z.B. TLS 2.0 anbieten und auch ihre Server richtig konfiguriert haben.

 

Das Thema hat zuletzt Herr Kollege Rechtsanwalt Dr. Hendrik Schöttle in den BRAK-Mitteilungen 3/2018, S. 118, (als PDF hier) aufgegriffen. Er beschreibt die Transportverschlüsselung so:

„Bei der Transportverschlüsselung werden die E-Mails auf dem Weg vom Client-Rechner des Absenders zum E-Mail-Server des Absenders, von dort zum E-Mail-Server des Empfängers und zum Client-Rechner des Empfängers verschlüsselt, sie liegen auf den Client-Rechnern und auf den Mailservern allerdings unverschlüsselt vor. Damit sind die E-Mails auf dem Weg durch das Internet vor einer Kenntnisnahme Dritter geschützt, nicht jedoch auf den Client-Rechnern und den E-Mail-Servern.“

Ich denke, das ist insofern korrekt, wobei das Thema „unverschlüsselte (IMAP-)Postfächer“ hier ebenfalls außen vor bleiben soll.

Herr Kollege Dr. Schöttle führt ferner (in Fußnote 6) aus:

„Um Missverständnissen vorzubeugen, sei an dieser Stelle klargestellt, dass die an der Übermittlung beteiligten Knotenrechner im Internet keine Möglichkeit haben, den Inhalt der E-Mail einzusehen, da er für den Transport verschlüsselt wurde.“

Diese Anmerkung hat mich stutzig gemacht, denn ursprünglich ging auch ich davon aus. Nachdem ich mich etwas in das Thema hineingebohrt hatte, fand ich aber die folgenden gegenteiligen Aussagen:

https://www.msxfaq.de/signcrypt/smtpsicher.htm

1. MSXFAQ.de schreibt:

„Aber dies ist es nur eine direkte Sicherung der Übertragung zwischen den Mailservern. Auf einem SMTP-Relay würde die Nachricht wieder in Klarschrift liegen, ebenso wie in der Maildatenbank des Senders und Empfängers und dem Weg zwischen Server und Client. Das Verfahren mit TLS und SSL eignet sich daher eher dazu das Abhören von Mails auf dem Transportweg zu erschweren und die Gegenstellen zu autorisieren (Zertifikate!!). Das könnte auch das leidige Thema Spam mindern. Allerdings ist es utopisch zu glauben, dass in absehbarer Zeit alle Mailserver ein Zertifikat hätten.“

2. Im Privacy-Handbuch steht:

„Das hat nichts mit einer Verschlüsselung des Inhalts der E-Mail zu tun. Es wird nur die Datenübertragung zum Mailserver verschlüsselt und es wird sichergestellt, dass man wirklich mit dem gewünschten Serververbunden ist. Auf die Transportverschlüsselung zwischen den Mailservern können die Nutzer keinen Einfluss nehmen.“

https://virtual-privacy.org/index.php/e-mail-die-technik

3. Virtual-privacy.org führt aus:

„Auf ihrem Weg durchqueren die Daten von Erik zahlreiche Zwischenknoten, also andere Rechnereinheiten (Server) oder Verbindungseinheiten (z.B. sog. „Switches“), die als „weiterleitende Schaltstellen“ fungieren. Dafür müssen die Daten kurz gespeichert werden (können aber technisch gesehen auch an jeder Stelle für immer gespeichert bleiben).“

https://de.wikipedia.org/wiki/SMTPS

 

4. Auf Wikipedia liest man dazu:

„Eine Ende-zu-Ende-Sicherheit wird dadurch allerdings nicht erreicht, da alle Mailserver und Mailrelays die E-Mail im Klartext verarbeiten (müssen). Eine Sicherheit der E-Mail auf Anwendungsebene ist durch SMTPS nicht erreichbar.“

 

Jetzt frage ich mich: Was stimmt denn nun?

Wie immer man die Stationen zwischen Sende- und Empfangs-E-Mailserver auch nennen mag, mail-hop, SMTP-Relay oder Switches, ist die Frage:

Liegen die transportverschlüsselten E-Maildaten dort unverschlüsselt vor?

Wenn ja, können Sie von dem Betreiber des SMTP-Relay gelesen oder gespeichert werden? Kann eine transportverschlüsselte E-Mail dort z.B. von einem Nachrichtendienst „abgehört“ werden?

Das sollte einmal klipp und klar geklärt werden, um den Einsatzbereich einer Transportverschlüsselung dann auch rechtlich bewerten zu können.

Veröffentlicht unter Alle Beiträge, Datenschutz | Kommentare deaktiviert für Wie funktioniert Transportverschlüsselung bei E-Mails denn jetzt nun wirklich?

Auskunftsanfrage nach Art. 15 und Datenschutzinformation Art. 13 DSGVO


In den letzten Tagen wurde immer mal wieder von obskuren Auskunftsverlangen nach Art. 15 DSGVO berichtet. Ein Merkmal war z.B., der Anfrager war dem Namen nach gar nicht bekannt,  behauptete aber erst kürzlich die Website des Verantwortlichen besucht zu haben. Art. 15 DSGVO gibt der betroffenen Person ein Auskunftsrecht, auch über den Umstand, ob überhaupt personenbezogene Daten gespeichert werden. Jetzt ist es so, dass auch die Anfrage selbst ein Datenverarbeitungsvorgang ist über den der Betroffene nach Art. 13 DSGVO zu informieren ist.

Eine solche Datenschutzinformation habe ich einmal entworfen, die ich mit folgender Vorgehensweise zur Diskussion stelle:

Vorgehensweise:

  • Anfrage wegen Auskunftsrecht kommt per E-Mail
  • Per E-Mail wird der Eingang der Anfrage bestätigt und die Datenschutzinformation mit der Bitte um Eingangsbestätigung per Rück-E-Mail dem Anfrager geschickt
  • Wenn die Bestätigung kommt,  wird die Anfrage fristgerecht beantwortet.
  • Bestätigt der Anfrager den Eingang der Datenschutzinformation nicht, wird nach 3 Tagen erinnern mit Frist von weiteren 3 Tagen und der Ankündigung, dass bei Nichtbeantwortung begründete Zweifel an der Identität bestehen (Art. 12 Abs. 6 DSGVO) und die Anfrage nicht beantwortet wird, da eine mißbräuchliche Nutzung der Absender-E-Mail-Adresse vorliegen könnte.
  • Wenn die Bestätigung dann kommt,  wird die Anfrage fristgerecht beantwortet.

 

Hier das Muster:

**************************************

Datenschutzinformationen bei Anfrage nach Art. 15 DSGVO Stand xxxxx

Verantwortliche Stelle: [eintragen]

Wenn Sie von mir Auskunft nach Art. 15 DSGVO verlangen, verarbeite ich Ihre Anfrage und die damit übermittelten Daten sowie in diesem Zusammenhang geführte Korrespondenz. Rechtsgrundlage für die vorgenannte Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. c) DSGVO. Die Bereitstellung der in dieser Datenschutzinformation genannten personenbezogenen Daten in Bezug auf die Verarbeitung Ihrer Anfragedaten ist gesetzlich, aber nicht vertraglich vorgeschrieben. Gesetzliche Regelungen zur Bereitstellung von Daten zur Bearbeitung Ihrer Anfrage finden Sie in Art. 12, 15, 23 DSGVO und § 34 BDSG. Sie sind aber nicht verpflichtet, mir personenbezogenen Daten zur Auskunftsbearbeitung bereitzustellen. Stellen Sie die erforderlichen personenbezogenen Daten aber nicht oder nur teilweise bereit, kann ich Ihre Anfrage allerdings nicht oder nicht vollständig bearbeiten. Die zum Zweck der Auskunftserteilung an Sie und zu deren Vorbereitung gespeicherten Daten werden nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet; für andere Zwecke wird die Verarbeitung nach Maßgabe des Art. 18 DSGVO eingeschränkt. Die Anfragedaten und die Korrespondenz hierzu lösche ich in Anbetracht der Regelung in § 199 Abs. 4 BGB und etwaigen Zustellzeiten spätestens nach 10 Jahren und 6 Monaten. Die Frist beginnt mit Ablauf des Jahres, in dem letztmalig korrespondiert wurde. Sofern wegen Ihrer Anfrage eine Behörde ein Verfahren gegen mich eröffnet oder Sie Ansprüche gegen mich erheben, verarbeite ich die Anfragedaten zum Zwecke der Geltendmachung, Ausübung, Verteidigung oder Abwehr von Rechtsansprüchen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit f) DSGVO.
Eine Übermittlung Ihrer Anfrage an Dritte findet nicht statt, es sei denn, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c) DSGVO eine gesetzliche Verpflichtung besteht oder Sie gesondert hierin einwilligen. Im Falle eines behördlichen Verfahrens oder der Erhebung von Ansprüchen gegen mich, kann je nach Anlass eine Weitergabe an Dritte erfolgen, z.B. Rechtsanwalt, Aufsichtsbehörde, Gericht, Strafverfolgungsbehörden. Rechtswidrige Zusendungen (z.B. Spam) können von mir an Rechtsverfolgungsorgane weitergeleitet werden.

Sie haben das Recht:
1. gemäß Art. 15 DSGVO Auskunft über Ihre von mir verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei mir erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
2. gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei mir gespeicherten personenbezogenen Daten zu verlangen;
3. gemäß Art. 17 DSGVO die Löschung Ihrer bei mir gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
4. gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrecht-mäßig ist, Sie aber deren Löschung ablehnen und ich die Daten nicht mehr benötige, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
5. gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie mir bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
6. gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber mir zu widerrufen. Dies hat zur Folge, dass ich die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen darf und
7. gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.
8. von Ihrem Widerspruchsrecht nach Art. 21 DSGVO Gebrauch zu machen.
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von mir umgesetzt wird. Ich verarbeitete die personenbezogenen Daten nicht mehr, es sei denn, ich kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

********************************************

Veröffentlicht unter Alle Beiträge, Datenschutz | Kommentare deaktiviert für Auskunftsanfrage nach Art. 15 und Datenschutzinformation Art. 13 DSGVO

Neue Versicherungen rund um die DSGVO Teil 1


Neue Versicherungen rund um die DSGVO Teil 1

Passend zum Wirksamwerden der DSGVO kommen die Tage neue Tarife oder Tarifbausteine auf den Markt, die ich hier kurz betrachten möchte. Die Leistungen und Merkmale des Tarifs sind verkürzt dargestellt, da ich schnell eine Übersicht auf die Beine stellen wollte. Wen die genauen Einzelheiten interessieren, der muss sich die Versicherungsbedingungen in Ruhe anschauen.

 

Tarif „VOV D&O-Datenschutzversicherung aktiv“ der VOV

Die „VOV Versicherungsgemeinschaft“, bestehend aus sechs Versicherungsunternehmen, hat den Tarif „VOV D&O-Datenschutzversicherung aktiv“ aufgelegt. Vermittelt und verwaltet wird der Vertrag vom Assekuradeur VOV GmbH in Köln. Die Versicherung ist eine D&O – Directors & Officers-Versicherung, die aber auch dem Unternehmen als Versicherungsnehmerin Leistungen bietet.

Informationen zu dem Tarif, wie z.B.Versicherungsbedingungen und Produktinformationsblatt, finden Sie hier auf dieser Website.

 

Was bietet der Tarif?

„Die VOV D&O-Datenschutzversicherung aktiv gewährt […] Versicherungsschutz für den Fall, dass

  • versicherte Personen (Interner Datenschutzbeauftragter und
    natürliche Personen in Organtätigkeit)
  • wegen einer bei der versicherten Tätigkeit begangenen und
  • während der Vertragslaufzeit dieses Versicherungsvertrags
  • behördlich verfolgten Datenschutzverletzung
  • auf Ersatz eines Vermögensschadens in Anspruch genommen werden (Versicherungsfall).

Der Versicherungsschutz umfasst

  • die Prüfung der Haftpflichtfrage,
  • die Abwehr von unberechtigten Haftpflichtansprüchen sowie
  • die Befriedigung begründeter Haftpflichtansprüche.“

(Quelle: „Produktinformation AVB-DVA 1.0“, S. 5f.)

Der Tarif schließt als Assistanceleistung einen „Datenschutz Club“ mit einer Plattform für (Mitarbeiter-)Schulung rund um die DSGVO ein.

Neben Ihrer Funktion als D&O-Versicherung stellt dieser Tarif aber auch dem Unternehmen, also der Versicherungsnehmerin, selbst Versicherungssummen zur Verfügung, vgl. § 2 Ziff. 4 AVB-DVA, vgl. unten „vorbeugender Versicherungsschutz“.

 

Was ist der Versicherungsfall?

Versicherungsfall ist nicht die Datenschutzverletzung, sondern die erstmalige Inanspruchnahme auf Ersatz eines Vermögensschadens wegen einer behördlich verfolgten Datenschutzverletzung.

 

Welche Personen sind versichert?

Nach § 5 AVB-DVA sind Arbeitnehmer als interne Datenschutzbeauftrage, die im Zeitpunkt der vorgeworfenen Datenschutzverletzung bestellt waren, versichert. Versichert sind auch Mitglieder oder stellvertretende Mitglieder der Geschäftsführung, des Vorstands, Aufsichtsrats, Beirats, Verwaltungsrats oder Kuratoriums der Versicherungsnehmerin, die bei Versicherungsbeginn zu diesem Kreis gehören oder danach hinzugekommen sind.

In diesem Zusammenhang wird noch die Frage der persönlichen Haftung und ihres Umfang eines als Arbeitnehmer beschäftigten internen Datenschutzbeauftagten zu beleuchten sein.

 

Welche Tätigkeit ist versichert?

„Versicherte Tätigkeit ist das Handeln oder Unterlassen versicherter Personen in ihren in § 5 jeweils aufgeführten Funktionen“ (§ 6 AVB-DVA).

 

Was sind die Versicherungsleistungen?

Abwehrkosten im Versicherungsfall

Gem. § 2 Ziff. 1.3 AVB-DVA übernimmt die VOV im Versicherungsfall die Kosten der
außergerichtlichen und gerichtlichen Abwehr des gegen eine versicherte Person erhobenen Anspruchs (Abwehrkosten). Zu den Abwehrkosten gehören insbesondere die Kosten der
Prüfung der Haftpflichtfrage, Anwalts-, Sachverständigen-, Zeugen- und Gerichtskosten, Reisekosten sowie Schadenermittlungskosten.

Freistellung von Schadensersatz und Zinsen im Versicherungsfall

Die VOV stellt eine versicherte Person von dem gegen sie erhobenen Schadenersatzanspruch frei, soweit dieser durch rechtskräftiges Urteil, Anerkenntnis oder Vergleich mit Bindungswirkung für die VOV festgestellt worden ist.

Übernahme von Kosten zur Minderung von Reputationsschäden
versicherter Personen

Droht in einem Versicherungsfall ein das berufliche Ansehen einer versicherten Person beeinträchtigender Reputationsschaden, übernimmt die VOV die Kosten, die erforderlich
sind, um den Reputationsschaden durch Beauftragung einer PR-Agentur abzuwenden oder zu mindern. Versichert sind außerdem die Kosten, die dadurch entstehen, dass die Geltendmachung von Unterlassungs- oder Widerrufsansprüchen erforderlich ist.

Diese PR-Agenur wird von der VOV ausgewählt und gestellt.

Unterstützung bei Zeugenvernehmung

Die VOV übernimmt die Kosten eines Rechtsanwalts, der bei einer Zeugenvernehmung einer versicherten Person hinzugezogen wird, um die Gefahr einer Selbstbelastung der versicherten Person zu verhindern oder zu verringern.

Ansprüche bei Anzeige von Umständen

Die Versicherungsnehmerin und die versicherten Personen können Umstände anzuzeigen, aufgrund derer einer versicherten Person wegen einer Datenschutzverletzung oder des Vorwurfs einer Datenschutzverletzung mit hinreichender Wahrscheinlichkeit ein Versicherungsfall droht, § 2 Ziff. 1.1 AVB-DVA. Durch eine solche Umstandsanzeige wirkt ein später eingetretener Versicherungsfall auf den Zeitpunkt der Anzeige zurück.

Kosten zur Vermeidung eines Versicherungsfalls

Die versicherte Person hat das Recht, von der VOV zur Vermeidung des Eintritts des Versicherungsfalls die Übernahme der Kosten eines Rechtsanwalts zu verlangen, wenn sie der VOV Umstände nach Maßgabe von Ziffer 1.1. anzeigt.

 

Sonstige Leistungsfälle

Der Tarif bietet aber nicht nur Versicherungsschutz für Versicherungsfälle, sondern auch für sonstige Leistungsfälle (die dann natürlich auch technisch gesehen Versicherungsfälle sind). Das ist in § 1 Nr. 2 AVB-DVA geregelt und es lohnt sich das mal etwas aufzudröseln.

§ 1 Nr. 2 AVB-DVA sagt (etwas gekürzt):

„Soweit die VOV Versicherungsschutz für Leistungen gewährt, deren Voraussetzung nicht ein Versicherungsfall, sondern ein sonstiger Leistungsfall […] ist, gelten […] die für Versicherungsfälle getroffenen Regelungen entsprechend.“

Die Regelung verweist dabei auf „z.B. Unterstützung bei Verfahren/Untersuchungen der Datenschutzaufsichtsbehörden gemäß § 2 Ziffer 4.3“ und natürlich „vorbehaltlich etwaiger im Zusammenhangmit dem sonstigen Leistungsfall getroffener abweichender Bestimmungen“.

Also machen wir und einmal auf die Suche nach den sonstigen Leistungsfällen.

 

Vorbeugender Versicherungsschutz für das Unternehmen

Fündig wird man unter § 2 Ziff. 4.2. AVB-DVA mit dem Titel „Vorbeugender Versicherungsschutz“:

„Die VOV gewährt nach den nachfolgenden Bestimmungen Leistungen zur Abwendung und Minderung eines drohenden Haftpflichtanspruchs und zur Vorbereitung einer erfolgversprechenden Anspruchsabwehr (vorbeugender Versicherungsschutz).“

Vorbeugender Versicherungsschutz (verkürzt dargestellt) tritt in Kraft, wenn

  • ein Dritter  auf Basis einer behaupteten Datenschutzverletzung einen Anspruch (keine Abmahnung, keine Auskunft) erhebt

oder

  • wenn ein behördliches Verfahren, welches eine mögliche Datenschutzverletzung
    zum Gegenstand hat, eingeleitet wird. „Dies gilt auch dann, wenn wegen einer Datenschutzverletzung von Vertragspartnern, Erfüllungsgehilfen
    und Dienstleistern der Versicherungsnehmerin (verbundene
    Dritte) gegen diese ermittelt wird und eine Ausweitung
    der Ermittlung auf die Versicherungsnehmerin droht.

Bei Fallgruppe 1 muss also noch kein von einer Behörde verfolgter Datenschutzverstoß vorliegen.

 

Welche Leistungen gibt es beim vorbeugenden Versicherungsschutz?

  1. Die VOV stellt der Versicherungsnehmerin  einen auf das Datenschutzrecht spezialisierten Rechtsanwalt und trägt die Verfahrens- und Anwaltskosten
  • zur Hilfestellung bei der Erfüllung etwaiger Meldepflichten aus Anlass eines Datenschutzvorfalls,
  • zur Begleitung des Verfahrens und Verteidigung der Versicherungsnehmerin und/oder etwa betroffener versicherter Personen einschließlich etwa notwendiger Unternehmensstellungnahmen,
  • zur Erfüllung der datenschutzrechtlichen Rechenschaftspflicht der Versicherungsnehmerin und
  • zur vorbereitenden Aufarbeitung und Dokumentation der betroffenen Datenschutzverfahren und
  • zur vorsorglichen Anmeldung und Sicherung von Regressansprüchen der Versicherungsnehmerin und/oder versicherten Personen gegen verbundene Dritte, nicht aber gegenüber versicherten Personen, hinsichtlich derer die VOV auf Einhaltung der gesetzlichen Anspruchswahrungsobliegenheit(§ 86 Abs. 2 VVG) verzichtet,

Um das hier deutlich zu machen: Die VOV wählt den Anwalt aus, den sie auch stellt und bezahlt. An diese Auswahl sind die Versicherungsnehmerin, wie auch die versicherten Personen, grundsätzlich gebunden! Es gibt also bedingungsgemäß keine freie Anwaltswahl. Zu beachten ist hier aber eine mögliche Interessenkollision, da das Unternehmen als Versicherungsnehmerin nicht nur gleichgerichtete Interessen mit den versicherten Personen verfolgen muss.

 

Unterstützung bei Verfahren/Untersuchungen
der Datenschutzaufsichtsbehörden

Nach § 2 Ziff. 4.3 AVB-DVA erstattet die VOV der Versicherungsnehmerin diejenigen
erforderlichen Kosten, die ihr bei einem Verfahren oder einer Untersuchung durch die Datenschutzaufsichtsbehörde durch die Beauftragung eines Rechtsanwalts zur rechtsberatenden Begleitung folgender behördlicher Maßnahmen entstehen:

  • Anweisung zur Bereitstellung von allen Informationen, die für die Erfüllung der Aufgaben der Behörde erforderlich sind,
  • Durchführung einer behördlichen Untersuchung in Form von Datenschutzüberprüfungen,
  • Durchführung einer Überprüfung der nach Artikel 42 Abs. 7 Datenschutz-Grundverordnung (DSGVO) erteilten Zertifizierungen, oder
  • behördliches Verlangen nach Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung der Aufgaben der Behörde notwendig sind oder behördliches Verlangen nach Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte der Versicherungsnehmerin.

 

In § 3 Ziff. 6 AVB-DVA finden sich diverse Risikoausschlüsse für eine wissentliche Datenschutzverletzung, für Strafen, Geldbußen, Entschädigungen mit Strafcharakter,  Nicht EU-Ausland und Abmahnungen.

 

Was ist bei der Antragstellung zu beachten?

Mit Antragstellung ist ein Fragebogen (hier zu finden) auszufüllen. Das sind Fragen, die der Versicherer im Sinne von § 19 VVG stellt. Werden hier falsche Angaben gemacht, kann der Versicherer seine Rechte aus § 21 VVG geltend machen oder gar den Vertrag wegen arglistiger Täuschung anfechten. Ist also besonders auf die richtige Beantwortung zu achten, will man etws von dem gekauften Verischerungsschutz haben.

Bemerkenswert ist da die Frage Nr. 6 des Fragebogens:

„Können Sie bestätigen, dass die Handlungsanforderungen der EU-Datenschutzgrundverordnung (DSGVO) in der Gesellschaft umgesetzt sind?“

Offen gesagt, ich kann mir derzeit nicht vorstellen, dass ein Verantwortlicher im Brustton der Überzeugung diese Frage mit einem „Ja“ beantworten kann. Es ist also ein Beiblatt auszufüllen, was bedeutet die VOV ist mit Antragstellung genaustens über alle Maßnahmen zur Umsetzung der DSGVO zu informieren. Das muss man natürlich wollen und man sollte bei Offenlegung des eigenen Datenschutzmanagementkonzepts auch Sicherheitsaspekte beachten.


In Teil 2 folgt ein Statement zur Rechtsschutzversicherung Roland JurData. Stay tuned!

Veröffentlicht unter Alle Beiträge, Datenschutz, Sachversicherungen | Kommentare deaktiviert für Neue Versicherungen rund um die DSGVO Teil 1

Volltext: Urteil des OLG Köln vom 11.11.2016 (Az. 6 U 176/16) zum Provisionsabgabeverbot


Urteil des OLG Köln vom 11.11.2016 (Az. 6 U 176/16) zum Provisionsabgabeverbot


OBERLANDESGERICHT KÖLN
IM NAMEN DES VOLKES URTEIL

In dem Rechtsstreit …des Herrn …

Klägers und Berufungsklägers,

Prozessbevollmächtigter: Rechtsanwalt Hilpüsch in Mössingen –

gegen

die Fa. …,

Beklagte und Berufungsbeklagte, –

Prozessbevollmächtigter: Rechtsanwalt … –

hat der 6. Zivilsenat des Oberlandesgerichts Köln auf die mündliche Verhandlung vom 21.10.2016 durch seine Mitglieder …für Recht erkannt:

Die Berufung des Klägers gegen das am 14.10.2015 verkündete Urteil der 4. Kammer für Handelssachen des Landgerichts Köln – 84 0 65/15 – wird zurückgewiesen.

Die Kosten des Berufungsverfahrens werden dem Kläger auferlegt.

Das Urteil ist vorläufig vollstreckbar.

Die Revision wird nicht zugelassen.

Gründe:

I.

Die Parteien sind miteinander konkurrierende Versicherungsmakler. Die Beklagte bietet über das Internet die Übernahme der Betreuung von bereits bestehenden Versicherungsverträgen an, bei der sie dann an den Kunden 50 % der Vergütungen, insbesondere der Bestandsprovisionen, auszahlt, die sie von den Versicherungsunternehmen zukünftig erhält. In ihren AGB hat die Beklagte Regelungen zum Verzicht auf Beratung und Ausschluss der Haftung aufgenommen.

Der Kläger hat in der Weitergabe der hälftigen Vergütung an den Kunden einen Verstoß gegen das sog. „Provisionsabgabeverbot“ gesehen und die AGB der Beklagten für unwirksam gehalten. Er hat nach erfolgloser Abmahnung die Beklagte zuletzt auf Unterlassung der Verwendung der AGB, Unterlassung der Gewährung einer Sondervergütung und Kostenerstattung in Anspruch genommen.

Die Beklagte hat ihre AGB verteidigt und im Übrigen die Ansicht vertreten, dass das „Provisionsabgabeverbot“ zu unbestimmt und verfassungswidrig sei.

Das Landgericht hat mit Urteil vom 14.10.2016, auf das wegen der weiteren Einzelheiten gemäß § 540 Abs. 1 ZPO Bezug genommen wird, die Beklagte antragsgemäß zur Unterlassung bezüglich der Verwendung der AGB und Zahlung der insoweit angefallenen Abmahnkosten verurteilt. Im Übrigen hat es unter Bezugnahme auf eine Entscheidung des VG Frankfurt zur verfassungsrechtlichen Unwirksamkeit des „Provisionsabgabeverbots“ die Klage abgewiesen.

Mit seiner Berufung verfolgt der Kläger weiterhin die Unterlassungsklage wegen des Verstoßes gegen das seiner Ansicht nach wirksame „Provisionsabgabeverbot“. Das Landgericht habe nicht berücksichtigt, dass Gegenstand des Verfahrens vor dem VG Frankfurt nur die Sondervergütung für den Bereich Lebensversicherung gewesen sei, und dass das VG Frankfurt dabei auch nur ganz konkret zu prüfen gehabt habe, ob ein Rabatt auf den Ausgabeaufschlag der fondspezifischen Kosten eine solche Sondervergütung darstelle. Das vorliegende Verfahren betreffe demgegenüber die Abgabe von Teilen der Bestandsprovision in allen Versicherungssparten. Außerdem hätten das Landgericht und das VG Frankfurt verkannt, dass bei der Auslegung des Begriffs der Sondervergütung neben der langjährigen Konkretisierung durch die Rechtsprechung die Definition in § 1 Abs. 2 der Rechtsverordnung vom 17.08.1982 über das Verbot von Sondervergütungen und Begünstigungsverträgen in der Schadensversicherung heranzuziehen sei.

Der Kläger beantragt, das angefochtene Urteil abzuändern und die Beklagte zu verurteilen,

1. es bei Androhung eines Gericht für jeden Fall der Zuwiderhandlung zu verhängenden Ordnungsgeldes bis zu einer Höhe von 250.000,00 €‚ ersatzweise Ordnungshaft, oder Ordnungshaft bis zu 6 Monaten, im Falle wiederholter Zuwiderhandlung bis zu insgesamt 2 Jahren, zu verhängen gegen die Geschäftsführer der Beklagten, künftig

als geschäftliche Handlung bei der Tätigkeit als Versicherungsvermittlerin zu unterlassen, an Versicherungsnehmer in irgendeiner Form Sondervergütungen zu gewähren oder eine solche Abgabe Interessenten, Kunden oder Mitgliedern in Aussicht zu stellen, insbesondere für den Fall, dass diese die Beklagte mit der Verwaltung und Betreuung von Versicherungsverträgen betrauen, einen Teil, gleich in welcher Höhe, der der Beklagten zustehenden Provision bzw. Courtage abzugeben, insbesondere eine regelmäßige Vergütung, die die Beklagte von den Versicherungsgesellschaften der Kunden oder Interessenten erhält, ihnen zur Hälfte, z.B. als Aktivitätsprämie, zu erstatten oder eine solche Erstattung in Aussicht zu stellen;

2. an ihn außergerichtliche Rechtsverfolgungskosten in Höhe von 674,14 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 28.11.2014 zu zahlen.

Die Beklagte beantragt,

die Berufung zurückzuweisen,
hilfsweise
ihr eine Umstellfrist von 12 Monaten, beginnend ab Rechtskraft des Urteils, zuzubilligen.

Sie wiederholt und vertieft ihr Vorbringen dazu, dass das „Provisionsabgabeverbot“ bereits ihre Tätigkeit als Maklerin nicht erfasse und zudem verfassungs- sowie europarechtswidrig sei. Außerdem rügt sie die Unzuständigkeit des Senats im Hinblick auf kartellrechtliche Fragen.

II.

Die zulässige Berufung ist nicht begründet.

1. Der Kläger hat keinen Unterlassungsanspruch aus § 8 Abs. 1, Abs. 3 UWG, § 3 Abs. 1 UWG (a.F. und n.F.), § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. i.V.m.
– der Bekanntmachung des Reichsaufsichtsamts für Privatversicherung vom 08.03.1934 betreffend Lebensversicherung (Verbot der Gewährung von Sondervergütungen und des Abschlusses von Begünstigungsverträgen; VerRafP 1934, S. 99),
– der Bekanntmachung des Reichsaufsichtsamts für Privatversicherung vom 05.06.1934 betreffend Krankenversicherung (Verbot der Gewährung von Sondervergütungen und des Abschlusses von Begünstigungsverträgen; VerRafP 1934, S. 100),
– der Verordnung des Bundesaufsichtsamts für das Versicherungswesen vom 17.08.1982 über das Verbot von Sondervergütungen und Begünstigungsverträgen in der Schadensversicherung (VerBAV 1982, S. 456).

a) Bei den Anordnungen des Reichsaufsichtsamtes für Privatversicherung vom 08.03.1934 und 05.06.1934 handelt es sich um Rechtsverordnungen, die seit Inkrafttreten des Grundgesetzes als Bundesrecht fortgelten (s. BGH MDR 2004, 1104, Juris-Tz. 20, m.w.N.). Alle drei Rechtsverordnungen beruhen auf der Ermächtigung nach § 81 VAG a.F. (zuletzt Abs. 3, zuvor Abs. 2), der inhaltlich § 298 Abs. 4 VAG n.F. entspricht. Danach ist das Bundesministerium der Finanzen u.a. berechtigt, durch Rechtsverordnung allgemein oder für einzelne Versicherungszweige den Versicherungsunternehmen und Vermittlern von Versicherungsverträgen zu untersagen, dem Versicherungsnehmer in irgendeiner Form Sondervergütungen zu gewähren. Das Bundesministerium der Finanzen hat die ihm eingeräumte Ermächtigung zulässig auf die Bundesanstalt für Finanzdienstleistungsaufsicht übertragen. Diese bzw. ihre Vorgängerbehörde haben die drei o.a. Verbote eingeführt. Die Verbote bezüglich der Gewährung von Sondervergütungen wurden und werden regelmäßig – auch vom Gesetzgeber selbst (s. BT-Dr. 12/6959 S. 83, BT-Dr. 12/7595, S. 109) – als „Provisionsabgabeverbot“ bezeichnet.

b) Ein Unterlassungsanspruch scheitert daran, dass das sog. „Provisionsabgabeverbot“ keine Marktverhaltensregelung i.S.d. § 3a UWG (4 Nr. 11 UWG a.F.) – mehr – darstellt, so dass ein Verstoß gegen die o.a. gesetzlichen Vorschriften lauterkeitsrechtlich nicht zu beanstanden ist.

Eine gesetzliche Vorschrift ist als Marktverhaltensregelung zu bewerten, wenn sie auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Als Marktverhalten ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs eines Unternehmens dient, und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (Köhler/Bornkamm, UWG, 34. Aufl., § 3a Rn. 1.62). Eine Außenwirkung auf dem Markt ist bei der Bewerbung der Dienstleistung der Beklagten mit einer Zahlungsrückerstattung zwar gegeben (a.A. insoweit Schwintowski ZfV 2014, 576, 578), es fehlt jedoch bei der gebotenen Auslegung der Normen (vgl. Köhler/Bornkamm, UWG, 34. Aufl., § 3a Rn. 1.61, 163ff.) an der erforderlichen Zweckbestimmung.

aa) Sinn und Zweck der 1934 eingeführten Verbote der Gewährung von Sondervergütungen war es, eine weitere Steigerung der Verwaltungskosten der Versicherungsunternehmen zu vermeiden (s.u.). Dies bezweckte auch unmittelbar einen Schutz der Interessen der Verbraucher, so dass das Provisionsabgabeverbot damals eine Marktverhaltensvorschrift darstellte.

bb) Das damalige gesetzgeberische Motiv ist inzwischen überholt (s. BT-Dr. 12/6959, 5. 83:

„Das Verbot von Begünstigungsverträgen und Sondervergütungen ist seit langem umstritten. Ursprünglicher Anlaß der in der Notsituation des Jahres 1923 in das VAG eingefügten Bestimmung war es, eine weitere Steigerung der Verwaltungskosten der Versicherungsunternehmen zu vermeiden. Dies ist inzwischen überholt; die Erfahrungen der Aufsichtsbehörde haben gezeigt, daß Verwaltungskosten durch ein Begünstigungsverbot nicht in nennenswertem Umfang gesenkt werden können.“).

Soweit der BGH im Jahr 1984 noch das „Provisionsabgabeverbot“ im Ergebnis als Marktverhaltensvorschrift verstanden haben dürfte (Urteil vom 19.12.1984, 1 ZR 181/82, VersR 1985, 425:

„Zutreffend sind die Vorinstanzen davon ausgegangen, daß ein Verstoß gegen die Anordnung vom 8.3.1934, die die rechtsgeschäftliche Gestaltungsfreiheit der Versicherungsunternehmen und Versicherungsvermittler bei Abschluß und Ausgestaltung der Versicherungsverträge einschränkt und insoweit gleiche Wettbewerbsbedingungen unter den Wettbewerbern schafft, dann wettbewerbswidrig ist i.S. von § 1 UWG, wenn sich ein Wettbewerber bewußt und planmäßig über sie hinwegsetzt, obwohl für ihn erkennbar ist, daß er dadurch einen sachlich nicht gerechtfertigten Vorsprung vor gesetzestreuen Mitbewerbern erlangen kann.“),

kann dies vor dem Hintergrund des Urteils vom 17.06.2004 im Verfahren III ZR 271/03 (MDR 2004, 1104) nicht mehr aufrecht erhalten werden. Der BGH hat zwischenzeitlich entschieden, dass ungeachtet des aus den o.a. Vorschriften folgenden Verbots die Provisionsabgabe zivilrechtlich erlaubt ist. Das durch die Anordnung des Reichsaufsichtsamtes für Privatversicherung vom 08.03.1934 gegenüber den Lebensversicherungsunternehmen und den Vermittlern von Lebensversicherungsverträgen ausgesprochene Verbot, Versicherungsnehmern in irgendeiner Form Sondervergütungen zu gewähren, enthalte kein gesetzliches Verbot mit Nichtigkeitsfolge i.S.d. § 134 BGB (MDR 20014, 1104, Juris-Tz. 31ff.:

„(1) Die Frage, ob der in einem Rechtsgeschäft liegende Verstoß gegen ein gesetzliches Verbot nach § 134 BGB zur Nichtigkeit des Rechtsgeschäfts führt, ist, wenn eine ausdrückliche Regelung fehlt, nach Sinn und Zweck der jeweiligen Verbotsvorschrift zu beantworten. Entscheidend ist, ob das Gesetz sich nicht nur gegen den Abschluß des Rechtsgeschäfts wendet, sondern auch gegen seinen wirtschaftlichen Erfolg. Der Umstand, daß eine Handlung unter Strafe gestellt oder als Ordnungswidrigkeit mit einer Geldbuße bedroht ist, bewirkt dabei nicht unabweislich die Nichtigkeit des bürgerlich-rechtlichen Geschäfts. Vielmehr sind für jede einzelne Vorschrift Normrichtung und -zweck zu ermitteln und zu werten (vgl. Senatsurteile BGHZ 118, 142, 144 f; 152, 10, 11 f).

Verträge, durch deren Abschluß beide Vertragspartner ein gesetzliches Verbot verletzen, sind im allgemeinen nichtig. Eine für alle Beteiligten geltende Straf- oder Bußgeldandrohung gibt einen gewichtigen Hinweis darauf, daß die Rechtsordnung einem das Verbot mißachtenden Vertrag die Wirksamkeit versagen will. Betrifft das Verbot hingegen nur eine der vertragschließenden Parteien, so ist ein solcher Vertrag in der Regel wirksam (vgl. Senatsurteil BGHZ 118, 142, 145).

(2) Die von den vorbeschriebenen Grundsätzen ausgehende Prüfung des Verbots, dem Versicherungsnehmer Sondervergütungen zu gewähren (Absatz 1 der Anordnung vom 8. März 1934), ergibt, daß es sich nicht um ein gesetzliches Verbot im Sinne des § 134 BGB handelt. Das entspricht der vorherrschenden Auffassung in der obergerichtlichen Rechtsprechung (vgl. OLG Frankfurt VersR 1995, 92, 94 [Revision durch BGH, Beschluß vom 19. Oktober 1994 – IV ZR 39/94BGHR BGB § 626 Abs. 1 Versicherungsmakler 1, nicht angenommen]; OLG Hamburg VersR 1995, 817 f; OLG Celle VersR 1994, 856; a.A. OLG Köln VersR 1991, 1373 ff; OLG Hamburg VerBAV 2000, 163, 165; offengeblieben in BGH, Beschluß vom 28. November 1996 – IX ZR 204/95NJW-RR 1997, 1381). Ein ähnliches Meinungsbild zeigt sich im Schrifttum (vgl. Kollhosser in Prölss, VAG 11. Aufl. 1997 § 81 Rn. 98; Goldberg/Müller, VAG 1980 § 81 Rn. 59; Bähr in Fahr/Kaulbach/Bähr, VAG 3. Aufl. 2003 § 81 Rn. 34; Fromm/Goldberg, VAG 1966 § 81 Anm. 9 II; MünchKommBGB/Mayer-Maly/Armbrüster 4. Aufl. 2001 § 134 Rn. 68; Palandt/Heinrichs, BGB 63. Aufl. 2004 § 134 Rn. 24; BK/Gruber, VV 1999 Anhang zu § 48 Rn. 21; Dreher VersR 1995, 1 ff; Winter aaO S. 1061 ff; a.A. Bruck/Möller, VVG 8. Aufl. 1961 Vor § 43- 48 Anm. 310; Staudinger/Sack, BGB <2003> § 134 Rn. 306; Erman/Palm BGB 11. Aufl. 2004 § 134 Rn. 101; Schwintowski VuR 2002, 200 f). In diesem Sinne dürfte auch eine Stellungnahme des Bundesaufsichtsamtes für das Versicherungswesen (Geschäftsberichte des Bundesaufsichtsamtes 1958/1 959 S. 24) zu verstehen sein.

(a) Das in der Anordnung bestimmte Verbot, Sondervergütungen zu gewähren, richtet sich, wie auch von der Mindermeinung in Rechtsprechung und Schrifttum nicht verkannt wird, einseitig an die Versicherungsunternehmer und die Vermittler, nicht aber an den Versicherungsnehmer. Dafür spricht zunächst der Wortlaut der Anordnung. Danach ist “den Versicherungsunternehmungen und den Vermittlern von Versicherungsverträgen“ untersagt, dem Versicherungsnehmer in irgendeiner Form Sondervergütungen “zu gewähren“ (Absatz 1 der Anordnung). Zudem können nur die Vermittler von Versicherungsverträgen und möglicherweise die das Versicherungsunternehmen vertretenden Personen ( 9 OWiG ) Täter einer nach § 144a Abs. 1 Nr. 3 VAG bußgeldbedrohten Zuwiderhandlung gegen die Anordnung sein (vgl. Dreher aaO S. 2; Winter aaO; Goldberg/Müller aaO § 81 Rn. 61; Kollhosser aaO § 144a Rn. 12; s. auch BGHZ 93, 177, 181).

(b) Richtet sich das gesetzliche Verbot wie hier die Anordnung vom 8. März 1934 nur gegen einen der Vertragspartner, nämlich gegen die Versicherungsunternehmen und die Vermittler, kann das Rechtsgeschäft nur dann als nichtig angesehen werden, wenn es mit dem Sinn und Zweck des Verbotsgesetzes unvereinbar wäre, die durch das Rechtsgeschäft getroffene Regelung hinzunehmen und bestehen zu lassen (vgl. Senatsurteil BGHZ 118, 142, 145). Davon kann bezüglich der Anordnung vom 8. März 1934 indessen nicht ausgegangen werden.

Ursprünglicher Anlaß der in der Notsituation des Jahres 1923 in das Versicherungsaufsichtsgesetz eingefügten Ermächtigung zum Erlaß von Vorschriften über das Verbot von Begünstigungsverträgen und Sondervergütungen ( 81 Abs. 2 Satz 4 und 5 VAG) war es, eine weitere Steigerung der Verwaltungskosten der Versicherungsunternehmen zu vermeiden (vgl. Begründung der Bundesregierung zu dem Entwurf eines Dritten Durchführungsgesetzes/EWG zum VAG BT-Drucks. 12/6959 S. 83; BGHZ 93, 177, 180 f und Kollhosser aaO § 81 Rn. 69 f jeweils m.w.N aus der Entstehungsgeschichte; Verlautbarung des Bundesaufsichtsamtes für das Versicherungswesen VersR 1989, 942). Diese gesetzgeberischen Motive dürften inzwischen überholt sein (vgl. BT-Drucks. aaO). Der Fortbestand der Ermächtigung zum Erlaß des Begünstigungs- und Provisionsabgabeverbotes wurde bei der Beratung des Dritten Durchführungsgesetzes/EWG zum VAG vom 21. Juli 1994 (BGBI. 1 5. 1630) nur noch damit gerechtfertigt, daß eine Aufgabe des Verbotes die Qualität der Beratung beeinträchtigen und die Existenz vieler Versicherungsvermittler gefährden könnte. Ferner wurde die Gefahr einer Verminderung der Markttransparenz gesehen (vgl. Beschlußempfehlung und Bericht des Finanzausschusses zu diesem Gesetzentwurf BT-Drucks. 12/7595 5. 104 und 109; Dreher VersR 1995, 1, 2). Das Verbot der Gewährung von Sondervergünstigungen dient mithin nicht mehr – was für ein mit der Nichtigkeitsfolge bewehrtes Provisionsabgabeverbot hätte sprechen können – dem Erhalt der Bonität der Versicherungsunternehmen. Es geht vielmehr um allgemeine Interessen des Verbraucherschutzes und die (finanziellen) Interessen der Vermittler. Deren Durchsetzung erfordert jedoch nicht – über die aufsichtsrechtlichen Mittel und die Bußgeldbewehrung hinaus – die Nichtigkeit (§ 134 BGB) der entgegen dem (einseitigen) Verbot eingegangenen Provisionsteilungsverpflichtung. Das wird nicht zuletzt daran deutlich, daß dieses Verbot nicht allgemein gilt. Ihm unterliegen die Versicherungsunternehmen, die der Aufsicht des Bundesaufsichtsamtes für das Versicherungswesen unterstehen, nicht jedoch diejenigen, die von den Ländern beaufsichtigt werden (vgl. Bähr aaO Rn. 34; Winter aaO S. 1064; Dreher VersR 1995, 1, 3).“).

Das „Provisionsabgabeverbot“ schränkt mithin die rechtsgeschäftliche Gestaltungsfreiheit im Verhältnis Versicherungsmakler / Versicherungsnehmer gerade nicht ein. Provisionsvereinbarungen jeglicher Art sind zivilrechtlich unbedenklich und wirksam, so dass, das verwaltungsrechtliche „Provisionsabgabeverbot“ zu einer Art Obliegenheit der Vermittlerschaft gegen sich selbst wird. Entschließt sich ein Vermittler, das ihn schützende Verbot aufzugeben und eine Provisionsteilungsvereinbarung mit dem Versicherungsnehmer einzugehen, so wird die privatautonome Willensbildung durch das „Provisionsabgabeverbot“ nicht berührt, weil sich deren Schutzzweck nicht auf den individuellen Kunden erstreckt (vgl. Schwintowski ZfV 2014, 576, 577 f.).

Die Differenzierung zwischen zivilrechtlicher Wirksamkeit der Provisionsteilungsvereinbarung einerseits und dem verwaltungs-/aufsichtsrechtlichen Verbot andererseits ist auch im Wettbewerbsrecht zu berücksichtigen und führt dazu, dass das „Provisionsabgabeverbot“ nicht mehr als Marktverhaltensregelung bewertet werden kann, weder im Verhältnis Versicherungsmakler / Versicherungsnehmer, noch im Verhältnis der Versicherungsmakler untereinander.

Die Ermächtigung zum Erlass von Vorschriften über das Verbot von Sondervergütungen wird derzeit nur noch mit dem Erhalt der Qualität der Beratung, dem Schutz der Existenz vieler Versicherungsvermittler sowie der Gefahr einer Verminderung der Markttransparenz gerechtfertigt (vgl. BGH MDR 2004, 1104, Juris-Tz. 36; BT-Dr. 12/7595, S. 104, 109:

„Gleichfalls einstimmig beschlossen wurde der Verzicht auf die Aufhebung des Begünstigungs- und Provisionsabgabeverbots. Der Ausschuß hat sich bei dieser ‘Entscheidung insbesondere davon leiten lassen, daß eine Aufgabe dieses Verbots die Qualität der Beratung beeinträchtigen und die Existenz vieler Versicherungsvermittler gefährden könnte. …

Die im Regierungsentwurf vorgesehene Aufhebung des Begünstigungs- und Provisionsabgabeverbots verbessert trotz verstärkten Wettbewerbs nicht unbedingt die Lage der Versicherungskunden; denn sie würde u.a. dazu führen, daß sich die Markttransparenz, die schon durch die Aufhebung der behördlichen Genehmigung der allgemeinen Versicherungsbedingungen zurückgehen wird, noch weiter vermindert. Ferner wird die Gefahr gesehen, daß Versicherungsvermittler bei Abgabe eines Teils ihrer Provision nicht mehr die gleiche Mühe für eine kundenorientierte Beratung aufwenden. Die bestehende Rechtslage, die ohnehin beide Verbote nicht festschreibt, sondern nur zu ihrem Erlaß ermächtigt, soll daher aufrechterhalten bleiben, zumal die Aufhebung durch die Richtlinien nicht geboten ist.“).

Der Schutz der Existenz / finanziellen Interessen der Versicherungsvermittler betrifft zwar einen Teil der Marktteilnehmer, nämlich die Gruppe der Mitbewerber, deren Interesse dient eine Norm i.S.d. § 3a UWG jedoch nur dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt. Das Interesse der Mitbewerber an der Einhaltung einer Vorschrift durch alle auf dem betreffenden Markt tätigen Unternehmen ist für sich allein dagegen nicht ausreichend, da die Schaffung gleicher Voraussetzungen für alle Mitbewerber in der Regel nicht der Zweck, sondern die Folge einer gesetzlichen Regelung ist (s. Köhler/Bornkamm, UWG, 34. Aufl., § 3a Rn. 1.65 f.). Im vorliegenden Fall ist die Herstellung gleicher Wettbewerbsbedingungen allenfalls Folge des „Provisionsabgabeverbotes“ – wobei diese Folge durch die nach der Rechtsprechung des BGH zulässigen rechtsgeschäftlichen Vereinbarungen zwischen den Versicherungsvermittler und den Versicherungsnehmern faktisch unterlaufen werden kann -‚ aber gerade nicht dessen Sinn und Zweck (vgl. BT-Dr. 12/6959, S. 83:

„… ist darauf hinzuweisen, daß die Sicherung der bisherigen Provisionseinkünfte der Versicherungsvermittler nicht Ziel des VAG ist.“).

Im Gegenteil liegt mit dem Eingriff in die freie Preisgestaltung / Berufsausübungsfreiheit eine Beschränkung des freien Wettbewerbs vor, deren – vor allem auch europarechtliche – Zulässigkeit seit längerem ernsthaft in Frage gestellt wird (vgl. BGH MDR 2004, 1104, Juris-Tz. 30, m.w.N.; Schwintowski, VuR 2012, 240 ff.).

Beratungsqualität und Markttransparenz zielen zwar vordergründig auf den Verbraucherschutz ab. Dem Interesse der Verbraucher dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt sowie darüber hinaus auch dann, wenn sie den Schutz von Interessen, Rechten und Rechtsgütern der Verbraucher bezweckt (s. Köhler/Bornkamm, UWG, 34. Aufl., § 3a Rn. 1.67). Im vorliegenden Fall sind der Erhalt der Qualität der Beratung und die Gefahr der Verminderung der Markttransparenz ausweislich der Gesetzeshistorie allerdings nur zur Rechtfertigung der – auch nach Ansicht des Gesetzgebers wettbewerbsrechtlich problematischen – Aufrechterhaltung des „Provisionsabgabeverbotes“ herangezogen worden (s.o. BT-Dr. 12/7595, 5. 104, 109 sowie BT-Dr. 12/6959, S. 83:

„Das Verbot von Begünstigungsverträgen und Sondervergütungen ist seit langem umstritten. Ursprünglicher Anlaß …ist inzwischen überholt … Später wurde der Grund für das Begünstigungsverbot im Gleichbehandlungsgrundsatz, in der „versicherungstechnischen Prämiengerechtigkeit“ gesehen. In einer wettbewerbsorientierten Wirtschaft kann es aber ebensowenig Aufgabe einer Versicherungsaufsichtsbehörde sein, für eine „gerechte“ Prämie zu sorgen wie in der übrigen Wirtschaft die Aufgabe des Staates, für einen „gerechten“ Preis Sorge zu tragen. Das Begünstigungsverbot wirkt sich jedenfalls dann wettbewerbshemmend aus, wenn es dahin verstanden wird, daß auch der Eintritt in Konkurrentenpreise oder die Reaktion auf preisgünstige Prämien von Anbietern auf Teilmärkten verboten sein soll. Zudem hat die Aufsichtsbehörde in der Schadensversicherung zu wenig Einblick in die Prämienkalkulation, um zuverlässig beurteilen zu können, ob wirklich eine unberechtigte Begünstigung vorliegt. Die Durchsetzung des Verbots hat daher in der Vergangenheit auch erhebliche Schwierigkeiten gemacht. Die Gefahr, daß bei Aufhebung des Verbots nachfragemächtige Organisationen nicht gerechtfertigte Preisnachlässe durchsetzen könnten, ist in der Vergangenheit vielfach überzeichnet worden. Mißbräuchen einer Monopolstellung kann auch durch das Kartellrecht begegnet werden. Dem Argument, daß die Aufhebung des Begünstigungsverbots den Berufsstand des selbständigen Versicherungsvermittlers gefährde, ist entgegenzuhalten, daß die Sicherung von Einkunftsmöglichkeiten nicht mit Hilfe des VAG gewährleistet werden kann, dessen Aufgabe es ausschließlich ist, die Belange der Versicherten ausreichend zu wahren. Zu den besonderen Verhältnissen in der Lebens- und Krankenversicherung wird auf die Begründung zu Nummer 9 und 11 verwiesen. Die vorgeschlagene Aufhebung umfaßt auch das Verbot der Sondervergütungen. Soweit damit Sondervergütungen des Versicherer selbst an den Versicherungsnehmer verboten sind, besteht kein grundsätzlicher Unterschied zum Begünstigungsverbot. Die Besonderheit liegt vielmehr darin, daß es z.Z. auch den Versicherungsvermittlern verboten ist, Sondervergütungen zu gewähren (sog. Provisionsabgabeverbot). Das Provisionssystem und die Provisionshöhe sind nicht gesetzlich geregelt; die Provisionen sind Wettbewerbspreise. Das gilt auch dann, wenn Versicherungsvermitt1er vom Versicherer den Teil der Provision ersetzt verlangen, den sie an ihre Versicherungskunden weitergegeben haben. Auch in diesem Zusammenhang ist darauf hinzuweisen, daß die Sicherung der bisherigen Provisionseinkünfte der Versicherungsvermittler nicht Ziel des VAG ist.“).

Dass das Verbot das Informationsinteresse und die Entscheidungsfreiheit der Verbraucher tatsächlich schützt, ist jedoch nicht feststellbar. Der Verbraucher kann eine informationsgeleitete Entscheidung im Gegenteil besser dann treffen, wenn ihm der Preis für das Produkt als solches sowie die für die Beratung und/oder sonstigen Leistungen des Versicherungsvermittlers anfallenden Kosten bekannt sind. Das gegenwärtige System ist jedenfalls bezüglich der Versicherungsmaklercourtagen, die von den Versicherungsunternehmen den Versicherungsmaklern gezahlt werden, und deren Höhe gegenüber den Versicherungsnehmern weder absolut noch relativ offengelegt wird, gerade nicht transparent. Auch die Qualität – und Zielrichtung – der Beratung kann u.U. abhängig davon sein, ob der Makler an dem Produkt selbst eher viel oder wenig verdient. Die Gefahr, dass der Makler die Beratung an den eigenen finanziellen Interessen ausrichtet statt an denen seiner Kunden, ist jedenfalls nicht von der Hand zu weisen. Insgesamt werden sich bei einer Bemessung der Entgelte für die Beratungsleistungen nach den Regeln des freien Wettbewerbs am Markt langfristig angemessenere Beträge entwickeln als durch das „Provisionsabgabeverbot“, das in erster Linie die finanziellen Interessen der bereits am Markt befindlichen Versicherungsvermittler absichert.

  1. Der Zahlungsanspruch folgt dem Schicksal des Unterlassungsanspruch, § 12 Abs. 1 UWG.

III.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit auf § 708 Nr. 10, 713 ZPO.

Das Urteil betrifft die tatrichterliche Übertragung allgemein anerkannter Auslegungs- und Rechtsanwendungsgrundsätze auf einen Einzelfall, so dass kein Anlass besteht, gemäß § 543 Abs. 2 ZPO die Revision zuzulassen.

Gegenstandswert für das Berufungsverfahren: 10.000,00 €


Siehe hierzu auch meinen Beitrag vom 11.11.2016 „OLG Köln: Das „Provisionsabgabeverbot“ ist keine Marktverhaltensregel mehr“


 

Veröffentlicht unter Alle Beiträge, Urteile, Versicherungsrecht allgemein, Wettbewerbsrecht | Kommentare deaktiviert für Volltext: Urteil des OLG Köln vom 11.11.2016 (Az. 6 U 176/16) zum Provisionsabgabeverbot

OLG Köln: Das „Provisionsabgabeverbot“ ist keine Marktverhaltensregel im Sinne des UWG mehr


OLG Köln: Das „Provisionsabgabeverbot“ ist keine Marktverhaltensregel im Sinne des UWG mehr

Mit Urteil vom 11.11.2016 (Az. 6. U 176/15) hat das OLG Köln im Berufungsverfahren entschieden, dass das „Provisionsabgabeverbot“ keine Marktverhaltensregel im Sinne des § 3a UWG (bis zum 9.12.2015 § 4 Nr. 11 UWG) mehr sei und deswegen von Markteilnehmern nicht mehr beachtet werden müsse. Das in drei Rechtsverordnungen konkretisierte „Provisionsabgabeverbot“, deren Geltung erst kürzlich vom Gesetzgeber bis zum 1.7.2017 verlängert wurden, sei allenfalls noch eine von den Marktteilnehmern sanktionslos zu beachtende Obliegenheit gegen sich selbst.

Vorausgegangen war ein Streit zwischen einem Versicherungsmakler und einem Fintech-Unternehmen, welches seinen Kunden Bestandsprovisionen anteilig zurückgewährt.

Die Normen zum „Provisionsabgabevebot“ würden zwar Außenwirkung auf die Marktteilnehmer (Vermittler und Verbraucher) entfalten, es fehle ihnen aber an der jeweils erforderlichen Zweckbestimmung.

Dies gelte zum einen für die Vermittler als Marktteilnehmer untereinander, deren Existenz und finanzielle Interessen zwar geschützt würden, dieser Schutz aber nicht Zweck der Regelung, sondern allenfalls deren Folge sei.

In Bezug auf die Verbraucher als Teil der Marktteilnehmer würden die Zwecke „Erhaltung der Beratungsqualität“ und „Markttransparenz“ zwar vordergründig auf den Verbraucherschutz abzielen, nach Ansicht des OLG Köln gelte aber:

„Dass das Verbot das Informationsinteresse und die Entscheidungsfreiheit der Verbraucher tatsächlich schützt, ist jedoch nicht feststellbar“.

Interessant ist die vom OLG Köln gegebene Begründung:

„Der Verbraucher kann eine informationsgeleitete Entscheidung im Gegenteil besser dann treffen, wenn ihm der Preis für das Produkt als solches sowie die für die Beratung und/oder sonstigen Leistungen des Versicherungsvermittlers anfallenden Kosten bekannt sind. Das gegenwärtige System ist jedenfalls bezüglich der Versicherungsmaklercourtagen, die von den Versicherungsunternehmen den Versicherungsmaklern gezahlt werden, und deren Höhe gegenüber den Versicherungsnehmern weder absolut noch relativ offengelegt wird, gerade nicht transparent. Auch die Qualität – und Zielrichtung – der Beratung kann u.U. abhängig davon sein, ob der Makler an dem Produkt selbst eher viel oder wenig verdient. Die Gefahr, dass der Makler die Beratung an den eigenen finanziellen Interessen ausrichtet statt an denen seiner Kunden, ist jedenfalls nicht von der Hand zu weisen. Insgesamt werden sich bei einer Bemessung der Entgelte für die Beratungsleistungen nach den Regeln des freien Wettbewerbs am Markt langfristig angemessenere Beträge entwickeln als durch das „Provisionsabgabeverbot“ das in erster Linie die finanziellen Interessen der bereits am Markt befindlichen Versicherungsvermittler absichert.“

Transparente Preise – transparente Produkte

Das ist harter Stoff, weist aber vielleicht den Gesetzgeber – im Rahmen der IDD-Beratungen – in die richtige Richtung. Denn wenn die Produktpreise transparent sein sollen, insbesondere damit sich „langfristig angemessenere Preise“ entwickeln, dann müssen auch die Produkte selbst, auf die der Versicherungsmakler zurückgreift, transparenter werden. Das wird aber nur mit einem Gebot an die Versicherer gehen. Der Gesetzgeber und die Rechtsprechung schreiben dem Versicherungsmakler zahlreiche Pflichten vor. Mit dieser Bürde geht es nicht einher, wenn der Wettbewerb bei Versicherungen auf den Preis reduziert wird. Denn sicher ist es nicht so, dass derjenige Versicherungsmakler seine Kunden gut beraten wird, der möglichst wenig verdient.

Fazit:

Das „Provisionsabgabeverbot“ war also irgendwann einmal eine auch wettbewerbsrechtliche zu beachtende Marktverhaltensregel. Durch gesetzgeberische Schusseligkeit oder Absicht und liederliche Pflege durch die zuständigen Stellen wurde es aber so in Mitleidenschaft gezogen, dass ihm nunmehr durch das OLG Köln die Eigenschaft als Marktverhaltensregel abgesprochen werden konnte.

Veröffentlicht unter Alle Beiträge, Allgemein, Versicherungsrecht allgemein, Versicherungsvermittler, Wettbewerbsrecht | Verschlagwortet mit | Kommentare deaktiviert für OLG Köln: Das „Provisionsabgabeverbot“ ist keine Marktverhaltensregel im Sinne des UWG mehr

LG Düsseldorf: PKV-Tarifwechsel nach § 204 VVG ohne Gewerbeerlaubnis ist wettbewerbswidrig


Wettbewerbsrecht: PKV-Tarifwechsel nach § 204 VVG ohne Gewerbeerlaubnis ist wettbewerbswidrig

PKV-Tarifwechsel – trau schau wem

Der Tarifwechsel in der privaten Krankenversicherung nach § 204 VVG ist ganz eindeutig „in“. Dementsprechend ist die Zahl der Anbieter, die dem Kunden in einem solchen Fall unter die Arme (böse Zungen behaupten: „Vor allem ins Portemonnaie“) greifen wollen, gestiegen. Dabei wird schon mal übersehen, dass nicht jeder an einem solchen Tarifwechsel mitwirken darf. Voraussetzung ist nämlich entweder eine Erlaubnis als Versicherungsmakler oder Versicherungsberater. Diese Erlaubnis hatte ein Anbieter aus der Nähe von Düsseldorf allerdings nicht für nötig gehalten und ohne eine der genannten Erlaubnisse ganz gezielt um Kundschaft für einen PKV-Tarifwechsel auf seiner Homepage geworben und potentiele Kunden kontaktiert.

Anbieten von Tarifwechsel ohne Erlaubnis ist wettbewerbswidrig

Nachdem auf eine außergerichtliche wettbewerbsrechtliche Abmahnung keine Reaktion erfolgte, erließ das Landgericht Düsseldorf – Az. 37 O 87/15 – mit Beschluss vom 29.9.2015 eine einstweilige Verfügung:

„Der Beklagte wird unter Androhung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes von 5,00 EUR bis zu einer Höhe von 250.000,00 Euro, ersatzweise Ordnungshaft, oder Ordnungshaft bis zur Dauer von sechs Monaten, verurteilt es zu unterlassen, zu Zwecken des Wettbewerbs ohne die erforderliche Erlaubnis nach § 34d Abs. l Satz 1 GewO den Abschluss von Versicherungsverträgen als Versicherungsmakler zu vermitteln oder nach § 34e Abs. 1 Satz 1 GewO über Versicherungen zu beraten, insbesondere in beiden vorgenannten Fällen die Tarifoptimierung/den Tarifwechsel bei Privaten Krankenversicherungen nach § 204 VVG anzubieten und/oder durchzuführen.

Geschäftliches Handeln ohne eine vorgeschriebene Erlaubnis kann unter zwei rechtlichen Gesichtspunkten wettbewerbswidrig sein. Zum einen als irreführende geschäftliche Handlung durch Verstoß gegen § 5 Abs. 1 Satz 2 Nr. 3 UWG (Täuschung über die Zulassung), zum anderen als unlautere geschäftliche Handlung durch Zuwiderhandlung gegen eine Rechtsvorschrift gemäß § 3a UWG i.V.m. § 34d Abs. 1 GewO, § 34e Abs. 1 GewO 144 Abs. 1 Nr. 1 GewO (Vorsprung durch Rechtsbruch).

Kopf in den Sand stecken hilft nicht weiter

Nach der Zustellung einer einstweiligen Verfügung konnte sich der Verfügungsbeklagte überlegen, ob er die einstweilige Verfügung als endgültige Regelung in der Form einer sog. „Abschlusserklärung“ anerkennen wollte. Macht er das binnen zwei Wochen, entstehen auch keine weiteren Kosten. Die Sache ist dann abgeschlossen, er muss sich natürlich an die einstweilige Verfügung halten, sonst droht ein gerichtliches Ordnungsgeld.

Im vorliegenden Fall verstrich die 2-Wochen-Frist jedoch ungenutzt, so dass der Verfügungsbeklagte mit einem – kostenauslösenden – sog. Abschlussschreiben zur Abgabe der Abschlusserkärung aufgefordert wurde. Wieder erfolgte keine Reaktion, auch auf eine weitere Erinnerung hin nicht.

Es drohte nun auch die Verjährung des wettbewerbsrechtlichen Unterlassungsanspruchs nach 6 Monaten (§ 11 UWG), weswegen als nächster Schritt die sog. Hauptsacheklage erhoben werden musste, wodurch weitere Kosten entstanden, zumal der Beklagten nun auch einen Rechtsanwalt beauftragte, um auf die erhobenen Vorwürfe zu erwidern.

Anerkenntsnis kurz vor dem Termin

Es wurde Verhandlungstermin anberaumt, Reisepläne geschmiedet und Fahrkarten gekauft. Pünktlich zwei Tage vor der Verhandlung kam dann die Aufhebung des Termins, weil der Beklagte den Anspruch nun doch anerkannt hatte.

Das Landgericht Düsseldorf – Az. 38 O 36/16 – hat dann am 22.7.2016 im Wege des Anerkenntnisurteils entschieden:

„Der Beklagte wird unter Androhung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes von 5,00 EUR bis zu einer Höhe von 250.000,00 Euro, ersatzweise Ordnungshaft, oder Ordnungshaft bis zur Dauer von sechs Monaten, verurteilt, es zu unterlassen, zu Zwecken des Wettbewerbs ohne die erforderliche Erlaubnis nach § 34d Abs. 1 Satz 1 GewO den Abschluss von Versicherungsverträgen als Versicherungsmakler zu vermitteln oder nach § 34e Abs. 1 Satz 1 GewO über Versicherungen zu beraten, insbesondere in beiden vorgenannten Fällen die Tarifoptimierung/den Tarifwechsel bei privaten Krankenversicherungen nach § 204 VVG anzubieten und/oder durchzuführen.

Die Kosten des Rechtsstreits werden dem Beklagten auferlegt.

Dieses Urteil ist vorläufig vollstreckbar“

Dieses Ergebnis wäre auch preiswerter zu erreichen gewesen

Abgesehen von diesen beiden Verfahren vor dem Landgericht, mussten die zu erstattenden außergerichtlichen Kosten der Abmahnung ebenfalls gerichtlich im Mahnbescheidsverfahren geltend gemacht und nachgehend vollstreckt werden. So haben sich die Gesamtkosten für den Beklagten von anfänglich rund 900,00 EUR auf rund 4.500,00 EUR erhöht. Durch Abgabe der Unterlassungserklärung hätte der Beklagte die Verfünffachung der Kosten vermeiden können. Aber er wurde wohl zu spät anwaltlich beraten.

Veröffentlicht unter Alle Beiträge, Private Krankenversicherung (PKV), Urteile, Versicherungsvermittler, Wettbewerbsrecht | Kommentare deaktiviert für LG Düsseldorf: PKV-Tarifwechsel nach § 204 VVG ohne Gewerbeerlaubnis ist wettbewerbswidrig

Abmahnung: Fidentus GmbH lässt Versicherungsmakler wegen Facebooks „Gefällt-mir“-Button abmahnen


Abmahnung wegen Facebooks „Gefällt-mir“-Button

Mir liegen zwei Schreiben der Anwaltskanzlei FAREDS, Hamburg, vom 22.6.2016 vor, die im Auftrag der Fa. Fidentus GmbH, ihres Zeichens Honorar-Finanzanlagenberaterin, Versicherungsmaklerin und Darlehensvermittlerin, die Verwendung des Facebook „Gefällt-mir“-Buttons abgemahnt hat.

Die Abmahnung wurde gegen Unternehmen ausgesprochen, die ebenfalls als Versicherungsmakler oder als Finanzanlagenvermittler tätig sind.

Hintergrund ist das Urteil des Landgerichts Düsseldorf, Urteil vom 09.03.2016, Az. 12 O 151/15, dass die Verwendung des sog. Seiten-Plug-Ins von Facebook auf einer Webseite als wettbewidrig angesehen hat. Die damit zusammenhängenden Rechtsfragen sind bislang höchstrichterlich noch nicht geklärt. Es ist jedoch klar, dass datenschutzrechtliche Fragestellungen immer mehr zum Gegenstand des Wettbewerbsrechts werden. Aus diesem Grund ist es dringend angeraten, den eigenen Webauftritt zu überprüfen und ggf. vorsorglich zu entschärfen.

Michael Hilpüsch
-Rechtsanwalt –

awoka anwaltskanzlei
für versicherungskunden

72116 Mössingen
Bernhard-Schlegel-Str. 14

Tel 07473-9239320
Fax 07473-9239324
E-Mail kanzlei@awoka.de

Veröffentlicht unter Alle Beiträge, Allgemein, Wettbewerbsrecht | Kommentare deaktiviert für Abmahnung: Fidentus GmbH lässt Versicherungsmakler wegen Facebooks „Gefällt-mir“-Button abmahnen

E-Mail-Werbung: Zugang der Abmahnung per Telefax – LG Berlin, Az. 52 O 363/15


E-Mail-Werbung: Zugang der Abmahnung per Telefax

Urteil des LG Berlin vom 17.3.2016 -Az. 52 0 363/15

 

Der Sachverhalt in Kürze:

Das Landgericht Berlin hatte sich in seinem Urteil mit dem Fall auseinanderzusetzen, dass der Rechtsanwalt des Antragstellers das Abmahnschreiben wegen einer unerwünschten Werbe-E-Mail per Telefax an den Antragsgegner übermittelte. Hierauf erfolgte keine Reaktion, weswegen eine Einstweilige Verfügung beantragt und im Beschlusswege auch erlassen wurde. Die Antragsgegnerin hat Widerspruch gegen die Kostentragung eingelegt, da sie kein Abmahnschreiben erhalten und deswegen auch keinen Anlass für die Einstweilige Verfügung gegeben habe.

 

 Leitsätze:

  1. Der Empfänger eines Abmahnschreibens trägt dafür, dass ihm das Abmahnschreiben nicht zugegangen ist, als Voraussetzungen einer für ihn günstigen Kostenentscheidung im Sinne des § 93 ZPO, die Darlegungs- und Beweislast.
  2. Im Rahmen der sekundären Darlegungslast ist der Kläger lediglich gehalten, substantiiert darzulegen, dass das Abmahnschreiben abgesandt worden ist.
  3. Kann nicht festgestellt werden, ob das Abmahnschreiben dem Beklagten zugegangen ist oder nicht, ist für eine Kostenentscheidung nach § 93 ZPO kein Raum (BGH, Beschluss vom 21.12.2006, 1 ZB 17/06)

 

Tenor:

1. Die einstweilige Verfügung vom 29.10.2015 wird im Kostenausspruch bestätigt.

2. Die Antragsgegnerin hat die weiteren Kosten des Verfahrens zu tragen.

 

Tatbestand

Die Antragsgegnerin übermittelte dem Antragsteller am 23.9.2015 eine Werbe-E-Mail. Mit Telefax seines Prozessbevollmächtigten vom 1.10.2015, 18.10 Uhr forderte der Antragsteller die Antragsgegnerin vergeblich zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Dabei speicherte er das zu versendende Schriftstück auf dem Computer als PDF-Datei; dieses wurde dann über einen als Drucker installierten Fax-Treiber aufbereitet und an eine FritzfaxSoftware übergeben und über einen Faxserver versandt.

Die Antragsgegnerin verwendet für die Erfassung von Fax-Schreiben ausschließlich ein Fax-to-Scan-Verfahren, bei dem alle Faxe automatisch elektronisch per E-Mail an einen oder mehrere Empfänger im Unternehmen der Antragsgegnerin gehen.

Auf Antrag des Antragstellers hat die Kammer (Einzelrichter) der Antragsgegnerin durch einstweilige Verfügung vom 29.10.2015 unter Androhung der gesetzlichen Ordnungsmittel untersagt, mit dem Antragsteller per E-Mail zum Zwecke der Werbung Kontakt aufzunehmen, ohne dass dessen Einverständnis vorliegt und ihr die Kosten des Verfahrens auferlegt.
Gegen diese einstweilige Verfügung hat die Antragsgegnerin Widerspruch beschränkt auf die Kostenentscheidung eingelegt.

Der Antragsteller behauptet, das Abmahnschreiben sei der Antragsgegnerin am 1.10.2015 per Telefax zugegangen. Das ergebe sich aus dem aus der Anlage Ast 6 ersichtlichen Faxsendebericht sowie aus der aus der Anlage Ast 7 ersichtlichen Journalübersicht. Wenn dies nicht so gewesen wäre, hätte die Faxsoftware eine Fehlermeldung protokolliert. Bisher habe er zu keinem Faxvorgang, der durch die Faxsoftware mit dem Status „versandt“ markiert worden sei, die Rückmeldung erhalten, das per Fax verschickte Schreiben sei nicht ordnungsgemäß eingegangen. Es werde bestritten, dass die Antragsgegnerin die Datei nicht habe öffnen können. Im Übrigen würde dies auch nichts an dem Zugang des Faxes ändern. Es seien diverse Fehler möglich, die zulasten der Antragsgegnerin gingen, z.B. könnten die nötigen Updates fehlen.

Der Antragsteller beantragt, wie erkannt.

Die Antragsgegnerin beantragt,

die einstweilige Verfügung vom 29.10.2015 in Ziff. 2 (Kostenentscheidung) abzuändern und die Kosten des Rechtsstreits dem Antragsteller aufzuerlegen.

Die Antragsgegnerin behauptet, die Abmahnung vom 1.10.2015 sei ihr nicht zugegangen bzw. technisch nicht angekommen, jedenfalls nicht in der Weise, dass sie die Möglichkeit gehabt hätte, vom Inhalt des Faxschreibens Kenntnis zu nehmen. Die an diesem Tag grundsätzlich funktionierende Hard-/Software habe die Faxdatei des einkommenden Faxes nicht öffnen können, da die einkommende Faxdatei fehlerhaft gewesen sei. Allein das Sendprotokoll des Antragstellers beweise den Zugang nicht. Daraus sei nicht ersichtlich, ob beispielsweise beim Konvertieren der Datei in ein PDF Konvertierungsfehler passiert seien, die zur Unleserlichkeit für den Faxempfänger führe.
Mit Beschluss vom 18.1.2016 hat die Kammer (Einzelrichter) mit Zustimmung der Parteien gemäß § 128 ZPO angeordnet, dass eine Entscheidung im schriftlichen Verfahren ergehen soll.
Wegen der weiteren Einzelheiten des Parteivortrages wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.

 

Entscheidungsgründe

Der auf die Kostenentscheidung aus der einstweiligen Verfügung vom 29.10.2015 beschränkte Widerspruch ist zulässig, aber nicht begründet.

Die Antragsgegnerin hat die Kosten des Verfahrens gemäß § 91 ZPO zu tragen.

§ 93 ZPO ist nicht anwendbar.

Von dem Grundsatz, dass die unterliegende Partei die Kosten des Rechtsstreits zu tragen hat, macht § 93 ZPO eine Ausnahme, wenn ein Beklagter keine Veranlassung zur Klage gegeben hat und den geltend gemachten Anspruch sofort anerkannt hat. Zwar hat die Antragsgegnerin den Unterlassungsanspruch hier sofort anerkannt, indem sie den Widerspruch gegen die einstweilige Verfügung auf die Kosten beschränkt hat.

Sie hat jedoch durch ihr Verhalten Anlass zur Beantragung der einstweiligen Verfügung gegeben.

Nach allgemeiner Auffassung in der obergerichtlichen Rechtsprechung und der Literatur gibt der  Schuldner eines persönlichkeitsrechtlichen Unterlassungsanspruchs, der auf eine Abmahnung nicht reagiert, regelmäßig Anlass zur Klageerhebung im Sinne von § 93 ZPO. Den Beklagten, der auf die Klageerhebung hin eine strafbewehrte Unterlassungserklärung abgegeben hat und geltend macht, ihm sei die Abmahnung des Klägers nicht zugegangen, trifft grundsätzlich die Darlegungs- und Beweislast für die Voraussetzungen einer dem Kläger die Prozesskosten auferlegenden Entscheidung nach § 93 ZPO. Im Rahmen der sekundären Darlegungslast ist der Kläger lediglich gehalten, substantiiert darzulegen, dass das Abmahnschreiben abgesandt worden ist. Kann nicht festgestellt werden, ob das Abmahnschreiben dem Beklagten zugegangen ist oder nicht, ist für eine Kostenentscheidung nach § 93 ZPO kein Raum (BGH, Beschluss vom 21.12.2006, 1 ZB 17/06).

Im vorliegenden Fall hat die Antragsgegnerin der ihr obliegenden Darlegungslast nicht genügt.

Sie hat in ihrem Kostenwiderspruch vorgebracht, die Faxabmahnung sei ihr nicht in einer Weise zugegangen, dass sie die Möglichkeit gehabt hätte, vom Inhalt des Faxschreibens Kenntnis zu nehmen, da ihre Hard-/Software die Faxdatei des einkommenden Faxes nicht habe öffnen können, da die einkommende Faxdatei fehlerhaft gewesen sei. Der Antragsteller meint, der erfolgreiche Versand des Faxes ergebe sich aus dem aus der Anlage Ast 6 ersichtlichen Faxsendebericht sowie aus der aus der Anlage Ast 7 ersichtlichen Journalübersicht. Tatsächlich heißt es dort, dass das streitgegenständliche Fax versandt worden ist und über die Dauer von 3:58 Minuten 7 Seiten übertragen worden sind. Bei dem erkennbaren Teil des aus der Anlage Ast 6 ersichtlichen Schriftsatzes handelt es sich auch um den Beginn des Abmahnschreibens. Damit ist der Antragsteller der ihn treffenden (sekundären) Darlegungslast nachgekommen. Die Antragsgegnerin hätte nunmehr glaubhaft machen müssen, dass ihm das Abmahnschreiben nicht bzw. nicht in einer für ihn verwertbaren Form zugegangen ist. Das ist ihr nicht gelungen.

Das Sendeprotokoll bestätigt grundsätzlich zwar nur die Herstellung einer Verbindung, nicht die Übermittlung bestimmter Daten (vgl. Zöller-Stöber/Greger, ZPO, 23. Aufl., vor § 230 Rdn. 2 m.w.N.). Aus dem eigenen Vortrag der Antragsgegnerin und aus den von ihr eingereichten eidesstattlichen Versicherungen ihrer Mitarbeiter ergibt sich aber, dass das Fax eingegangen ist und lediglich nicht geöffnet werden konnte. Insofern unterscheidet sich der Fall auch von der Entscheidung des SG Dortmund vom 19.5.2015, auf die beide Parteien verweisen, bei dem der Zugang des Fax-Schreibens allerdings von dem dortigen Beklagten in Abrede gestellt worden ist. Die Antragsgegnerin hat nicht substantiiert dargetan, dass die behauptete Beschädigung der empfangenen Datei nicht auf einem Fehler ihrer Anlage beruht. Es sind diverse Fehler möglich, die zu Lasten der Antragsgegnerin gehen würden. Beispielsweise könnte die von der Antragsgegner-Software generierte Datei keine PDF sein, das Dateiformat könnte nicht unterstützt werden, die nötigen Updates könnten fehlen oder die Datei könnte nicht korrekt dekodiert worden sein.

Die Kostenentscheidung beruht auf § 97 ZPO.

Veröffentlicht unter Alle Beiträge, Allgemein, E-Mail-Werbung, Urteile | Verschlagwortet mit , , , , | Kommentare deaktiviert für E-Mail-Werbung: Zugang der Abmahnung per Telefax – LG Berlin, Az. 52 O 363/15