OLG Naumburg: Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen

Das OLG Naumburg hatte in einem aktuellen Urteil (abrufbar bei der Deutsche Apotheker Zeitung (DAZ), Urteil vom 07.11.2019 – 9 U 6/19, pdf) gleich mehrere interessante datenschutzrechtliche Fragen zu prüfen. Es ging unter anderem um den Streit zum wettbewerbsrechtlichen Vorgehen gegen Datenschutzverstöße durch Wettbewerber und auch die Reichweite des Begriffs „Gesundheitsdaten“ bei Internetbestellungen.

Sachverhalt

Der Kläger macht gegen den Beklagten Unterlassungsansprüche, Auskunftsansprüche und die Feststellung einer Schadensersatzverpflichtung aus Wettbewerbsrecht wegen des Vertriebes apothekenpflichtiger rezeptfreier Medikamente über eine Internethandelsplattform geltend.

Sowohl der Kläger als auch der Beklagte betreiben Apotheken. Der Beklagte handelt sein Sortiment, also auch apothekenpflichtige Medikamente, außerdem auch über die Internet-Plattform „Amazon-Marketplace“.

In der Vorinstanz hatte das LG Magdeburg (Urt. v. 18. 01. 2019 – 36 O 48/18) vertreten, dass wegen möglichen Verstößen gegen die DSGVO keine Ansprüche aus dem UWG geltend gemacht werden können. Dies sieht das OLG nun, zumindest grundsätzlich, anders.

Entscheidung

Nach Ansicht des OLG steht dem Kläger ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1 i.V.m. 3 a UWG) wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

Hierzu prüft das Gericht im Grunde drei aufeinander aufbauende Voraussetzungen.

  • Einordnung der Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG
  • Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO
  • Der Beklagte verarbeitet die Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. Absatz 2 lit. a DSGVO

UWG

Nach Auffassung des Gerichts sind die Regelungen der DSGVO zumindest in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3 a UWG aufzufassen.

Zunächst stellt das OLG dar, dass die Frage, ob Datenschutzbestimmungen nach Anwendbarkeit der DSGVO Marktverhaltensregeln darstellen, bisher in Literatur und Rechtsprechung nicht abschließend geklärt ist. Das Gericht verweist für seine Begründung dann auf das bekannte Urteil des OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17). Dort nahm das OLG Hamburg, im Grunde der Ansicht unter dem alten Datenschutzrecht folgend, an, dass die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Das OLG Naumburg schließt sich dieser Auffassung an. Zwar verweist das OLG darauf, dass die DSGVO in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schütze. Dennoch verfolge die DSGVO auch andere Zielsetzungen.

Etwas irritierend ist hierbei der Verweis auf die Erwägungsgründe der alten, nicht mehr anwendbaren Richtlinie 95/46/EG. Das OLG verweist auf die dortigen Erwägungsgründe 6 bis 8, bezieht sich hierbei aber auf die DSGVO.

Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2).

Das OLG geht hier davon aus, dass der Beklagte die Popularität der Plattform nutzt, um Kunden zu gewinnen. Er setze damit die Plattform als Werbeträger ein. Zudem geht das OLG für seine Begründung davon aus, dass Amazon selbst Daten auswerte – wenn auch anonym -, um zu werben: „Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B“. Dies ziele auf den Markt ab und berühre die wettbewerblichen Interessen der Marktteilnehmer.

Gesundheitsdaten

Im nächsten Prüfschritt befasst sich das OLG dann mit der Frage, ob Bestelldaten von Kunden des Beklagten als „Gesundheitsdaten“ iSd DSGVO einzuordnen sind. Hierbei geht das OLG, meines Erachtens zu Unrecht, von einem sehr weiten Begriff aus.

Zwar gesteht das OLG zu, dass die Daten, die Amazon für den Bestellvorgang erfasst, sicher keine Gesundheitsdaten im engeren Sinne darstellen, wie z.B. ärztliche Befunde. Gleichwohl, so das OLG,

können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.

Meines Erachtens zurecht wandte der Beklagte ein, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne. Die Person, die ein Medikament bestellt, kann dies auch für Dritte tun. Nach Ansicht des OLG senke dies aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reiche nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Denn dies würde zu einer Absenkung des Schutzniveaus führen.

Meiner Auffassung nach ist der hier vom OLG angelegte Maßstab zu weit. Nach Erwägungsgrund 35 DSGVO zählen zu den personenbezogenen Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Genau diese Anforderung ist hier, wenn eine Bestellung für Dritte vorgenommen wird, aber nicht erfüllt. Die betroffene Person ist der Käufer des Medikaments. Wenn diese Person das Medikament etwa für ein Familienmitglied erwirbt, ergibt sich aus dem Kauf noch keine Information zu dem früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person.

Gerne bemühe ich in dieser Diskussion auch oft die Ansicht des OVG Saarlouis (Urteil vom 14.12.2017 – 2 A 662/17). Dort ging es um die Videoüberwachung einer Apotheke und die Frage, ob allein durch Aufnahme der Personen, die die Apotheke betreten, Gesundheitsdaten verarbeitet werden. Dies lehnte das OVG ab.

Bereits das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, stellt aber kein Indiz für das Vorliegen einer Erkrankung dar und bewirkt daher keine Bloßstellung.

Übertragen auf den hiesigen Fall könnte man also argumentieren, dass allein der Kauf eines Medikaments noch kein Indiz für das Vorliegen einer Erkrankung darstelle.

Ebenfalls nicht zu folgen ist der Argumentation das OLG, dass es sich hier nicht um Gesundheitsdaten im engeren Sinne, wohl aber im weiteren Sinne handeln soll. Eine solche Differenzierung kennt die DSGVO nicht.

Geht man vom Vorliegen von Gesundheitsdaten aus, hat dies weitreichende Konsequenzen für die Frage der Zulässigkeit der Verarbeitung dieser Daten, wie sich in der darauffolgenden Prüfung des OLG zeigt.

Verstoß gegen Art. 9 Abs. 1 DSGVO

Das OLG prüft nun konsequenterweise, ob der Beklagte die Gesundheitsdaten rechtmäßig verarbeitet hat.

In einem kleinen einleitenden Teil stellt das OLG fest:

Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO.

In dem hiesigen Verfahren ging es aber nicht um die Datenverarbeitung durch Amazon, sondern um jene des Apothekers. Nach Ansicht des OLG fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

Hier zeigt sich die Folge der Einordnung der Bestelldaten bzw. Kaufdaten eines Kunden als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. In diesem Fall muss zwingend eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Das Gericht stellt fest, dass lit. a eine „ausdrückliche Einwilligung“ vorsieht, die hier nicht vorliegt.

Hinsichtlich der Form der Einwilligung verweist das OLG dann auch noch zusätzlich auf die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung. Diese ergebe sich berufsrechtlich aus § 15 Abs. 2 der Berufsordnung der Apothekenkammer Sachsen-Anhalt.

Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden.

Sollte man hieraus wirklich ein Schriftformerfordernis der datenschutzrechtlichen Einwilligung ableiten, wäre diese nationale Vorgabe meines Erachtens europarechtswidrig. Denn die DSGVO kennt, auch für eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, kein Formerfordernis.

Irritierender Weise geht das OLG in seiner Prüfung allein auf die Ausnahme nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung, ein. Nach Art. 9 Abs. 2 lit. h DSGVO dürfen Gesundheitsdaten ohne Einwilligung verarbeitet werden, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Gerade die Arbeit der Apotheker wird unter die Alternative der „Versorgung oder Behandlung im Gesundheitsbereich“ fallen. Grundlage der Verarbeitung ist dann entweder nationales Recht (ins. § 22 Abs. 1 Nr. 1 lit. b BDSG) oder ein Vertrag zwischen Betroffenem und dem Angehörigen eines Gesundheitsberufs. Hierzu zählen auch die Apotheker. Meines Erachtens bedurfte es hier also gar keine Einwilligung für die Verarbeitung der Gesundheitsdaten (so man denn von ihrem Vorliegen ausgeht). Leider befasst sich das OLG in seinem Urteil nicht mit diesen weiteren Alternativen in Art. 9 Abs. 2 DSGVO.

Ging man davon aus, dass hier nur eine Einwilligung als Ausnahme eingreifen würde, wäre praktische Probleme vorprogrammiert. Was geschieht etwas bei einem Widerruf der Einwilligung? Dürfen Daten aus dem Vertragsverhältnis dann nicht mehr verarbeitet werden?

Kein Schadensersatzanspruch

Zuletzt schließt das OLG dann aber zumindest noch das Vorliegen eines möglichen Schadensersatzanspruches nach § 9 UWG und eines vorbereitenden Auskunftsanspruches aus. Beide setzen ein Verschulden voraus. Das OLG geht hier jedoch, aufgrund der umstrittenen Rechtslage davon aus, dass ein unvermeidbarer Verbotsirrtum anzunehmen ist.

Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

AG Mannheim: Gemeinsame Verantwortlichkeit von Wohnungseigentümern und Verwalter – Anforderungen an die Art. 26-Vereinbarung

Auf europäischer Ebene nimmt die Figur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) durch die Rechtsprechung des Europäischen Gerichtshofs aktuell eine wichtige Rolle ein. Nationale Gerichtsentscheidungen hierzu sind jedoch noch Mangelware. Umso interessanter ist daher ein neues Urteil des Amtsgerichts Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG).

Das AG geht in seinem recht ausführlichen Urteil sowohl auf die Einordnung von an einer Datenverarbeitung beteiligten Parteien ein, als auch auf die Inhalte der Vereinbarung nach Art. 26 DGSVO.

Sachverhalt

Dem Klageverfahren lag ein Streit zwischen Wohnungseigentümern über Beschlüsse der Wohnungseigentümergemeinschaft (WEG) zugrunde, die sich inhaltlich mit der Umsetzung der DSGVO in der WEG befassten. Die Parteien streiten um die Gültigkeit verschiedener Beschlüsse zur Umsetzung der DSGVO aus einer Eigentümerversammlung.

Die WEG wird von einer Immobilienverwaltung (Beigeladene in dem Verfahren) verwaltet. In einer Eigentümerversammlung haben die Eigentümer verschiedene Beschlüsse zur Umsetzung der DGSVO gefasst. U.a. heißt es im Vorwort eines Beschlusses: „Verantwortlicher für alle datenschutzrechtlichen Belange der WEG im Sinne der Datenschutzgrundverordnung ist die Wohnungseigentümergemeinschaft“. Und in einem anderen: „Die Weitergabe von personenbezogenen Informationen durch die Wohnungseigentümergemeinschaft an Dritte (Verwalter, Abrechnungsunternehmen, Handwerker usw.) zum Zwecke der auftragsgemäßen Verarbeitung darf nach Art. 28 DSGVO nur auf der Grundlage Auftragsverarbeitungsvertrages erfolgen.

Die Kläger ordnen die datenschutzrechtlichen Verantwortlichkeiten anders als in den Beschlüssen dargestellt ein. Nur der beauftragte Verwalter erhebe und verwalte im Rahmen seines Verwaltervertrages personenbezogene Daten und sei daher für die Datenverarbeitung innerhalb seines Geschäftsbetriebes (Allein-)Verantwortlicher.

Die Beklagten sind der Ansicht, dass der Verwalter für die Verarbeitung von Daten der Wohnungseigentümergemeinschaft Auftragsverarbeiter, bzw. allenfalls nur gemeinsam mit der Wohnungseigentümergemeinschaft verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO sei, je nach Einordnung der datenschutzrechtlichen Stellung eines Wohnungseigentumsverwalters.

Im Grunde geht es vorliegend also um die Einordnung der datenschutzrechtlichen Verantwortlichkeiten.

Entscheidung

Das AG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts richtet sich die datenschutzrechtliche Vereinbarung wie streitgegenständlich, nach Maßgabe der DSGVO nach Art. 26 DSGVO,

denn zur Überzeugung des Gerichts ist der Verwalter Mitverantwortlicher im Sinne des Art. 26 DSGVO“.

Das AG leitet seine Begründung zunächst aus den Definitionen der DSGVO und der Rechtsprechung des EuGH her.

Gemeinsame Verantwortlichkeit

Zurecht weist das AG darauf hin, dass es für die Bestimmung der Verantwortlichkeit allein maßgeblich ist, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

Leider wird das AG danach in seiner Begründung, wo genau die gemeinsame Verantwortlichkeit liegt, meines Erachtens etwas ungenau. Zuletzt hatte ja der EuGH in FashionID (C-40/17) deutlich gemacht, dass eine gemeinsame Verantwortlichkeit anhand einzelner Verarbeitungsphasen zu bestimmen ist (dort: Erhebung und Übermittlung). Eine gemeinsame Verantwortlichkeit für einen Geschäftsvorgang oö, kann es sicher geben. Jedoch wäre auch dies anhand der innerhalb dieses Vorgangs stattfindenden Verarbeitungsphasen zu bestimmen.

Das AG setzt sich vorliegend jedoch nicht mit einzelnen Verarbeitungsphasen und den Einflussmöglichkeiten der Beteiligten hierauf auseinander.

Nach Ansicht des AG entscheidet die WEG mit der Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung. Der Verwalter bestimme dann in der Folge über das „Wie“ und das „Warum“ der Erhebung und Verarbeitung. Im Rahmen der WEG-Verwaltung erhebe und verarbeite er sodann Daten der WEG, wie etwa Namen und Anschriften der Eigentümer, im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mieter und Nutzer von Wohnraum, Daten von Dienstleistern der WEG wie beispielsweise Handwerker.

Für die Verwaltung des gemeinschaftlichen Eigentums sind, wenn ein Verwalter bestellt ist, die Wohnungseigentümer sowie die Verwaltung oder ein Verwaltungsbeirat verantwortlich, sodass zumindest eine Alleinverantwortlichkeit des Verwalters, auch im Lichter europäischen Rechtsprechung … nicht besteht“.

Dass nach Außen nur der Verwalter agiert, ändert an der Einschätzung des AG zur gemeinsamen Verantwortlichkeit nichts. Das AG verweist hierzu ebenfalls auf die Rechtsprechung des EuGH und den Schutz der Betroffenenrechte:

Die Betroffenen sollen im Außenverhältnis gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten hinausgeht“.

Nach Ansicht des AG geht die Tätigkeit des Verwalters über diese Hilfsfunktionen hinaus, wenn im Rahmen der laufenden Verwaltung für die WEG personenbezogene Daten der WEG verwaltet werden. Da die Wohnungseigentümergemeinschaft die Datenerhebung veranlasst habe, durch Bestellung des WEG-Verwalters, sei deshalb – zum Schutze der Betroffenen – auch nach der weiten Auslegung des EuGH – von einer Mitverantwortlichkeit des Verwalters i.S.d. Art. 26 DSGVO auszugehen.

Abgrenzung zur Auftragsverarbeitung

Danach geht das AG kurz auf die Abgrenzung zur Auftragsverarbeitung ein. Es sei sachfremd und in der Praxis kaum vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gem. § 27 WEG sowie den vertraglich festgelegten Pflichten des Verwalters für jede Maßnahme die Weisung seines Auftragsgebers einholt. Nach Ansicht des AG darf es sich bei der Auftragsverarbeitung nur um eine datenverarbeitende Hilfsfunktion handeln. Das bedeute, dass keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen.

Das AG fokussiert sich bei der Definition des Begriff der Auftragsverarbeitung also sehr stark auf den Inhalt der beauftragten Leistung. Eine ähnliche Sichtweise nimmt auch das BayLDA in seiner Auslegungshilfe zur Auftragsverarbeitung ein (pdf).

Die Leistungen, welche der Verwalter im Rahmen seiner Verwalterbestellung erbringe, gehen nach Ansicht des AG regelmäßig hinaus über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion.

Rechtfolge der gemeinsamen Verantwortlichkeit

Nach der Feststellung des Vorliegens einer gemeinsamen Verantwortlichkeit, befasst sich das AG mit der abzuschließenden Vereinbarung.

Begrüßenswert ist, dass das AG damit seine Sichtweise deutlich macht, dass die Vereinbarung nicht Voraussetzung der gemeinsamen Verantwortlichkeit ist, sondern die Folge ihres Vorliegens.

Beide Verantwortliche müssen in einer transparenten Vereinbarung festlegen, wer von ihnen in welchem Maß den Pflichtenkreis der DSGVO zum Schutz der Betroffenen abdeckt. Dabei geht das AG zurecht davon aus, dass für die Vereinbarung keine bestimmte Form vorgesehen ist.

Jedoch verdeutlicht das AG, dass entsprechend Art. 5 Abs. 2 DSGVO der Nachweis bzgl. des Vorliegens einer der Vereinbarung sowie der vereinbarten Inhalte geführt werden können muss.

Inhalt der Vereinbarung

Nach Auffassung des AG macht eine Mitverantwortlichkeit des Verwalters ein Regelwerk zwischen der WEG und dem Verwalter nach den gesetzlichen Bestimmungen der DSGVO erforderlich.

Dabei muss Regelungsinhalt sein, wer von beiden welche Verpflichtungen gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt“.

Interessant ist zudem der Hinweis des AG, dass die Vereinbarung auch Vorgaben zur Haftung zwischen den Beteiligten im Innenverhältnis enthalten sollte. Dies begründet das AG mit Verweis auf die Bußgeldandrohungen nach Art. 83 DSGVO.

Im Interesse des Verwalters und der WEG müssen daher auch haftungsrechtliche Fragen im Innenverhältnis zwischen WEG und dem Verwalter geklärt werden, denn im Außenverhältnis haften alle Mitverantwortlichen den betroffenen Personen zu gleichen Teilen nach Art. 26 DSGVO“.

Leider lässt das AG den letzten Punkt, die Haftung nach außen zu gleichen Teilen, ohne nähere Begründung. Hier wäre interessant gewesen, woraus da Gericht diese ableitet und warum die Haftung immer zu gleichen Teilen erfolgen soll.

Idee: in einem Vertrag zur Auftragsverarbeitung

Zudem geht das AG noch auf ein interessantes Thema ein.

Nach Ansicht des Gerichts ist es

unschädlich und den gemeinsamen Verantwortlichen auch nicht verwehrt, eine solche Vereinbarung, wie sie Art. 26 DSGVO verlangt, auch im Rahmen eines „Auftragsverarbeitungsvertrags“, der darüber hinaus auch die Anfordernisse des Art. 28 DSGVO erfüllt, auszugestalten“.

Das AG geht also davon aus, dass die Vereinbarung nach Art. 26 DSGVO gleichzeitig auch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO enthalten kann.

Inhalt einer Vereinbarung nach Art. 26 DSGVO kann es jedenfalls durchaus sein, eine Vereinbarung mit identischem Inhalt wie in Art. 28 DSGVO für den Auftragsbearbeitungsvertrag vorgesehen, zu treffen“.

Dies verwundert insofern, als das AG weiter oben eigentlich von einer gemeinsamen Verantwortlichkeit ausgeht und ein Auftragsverarbeitungsverhältnis gerade ablehnt.

Sondervergütung für DSGVO-relevante Tätigkeiten des Verwalters

Zuletzt befasst sich das AG noch mit der Frage, ob der Verwalter für die (neuen) Pflichten als gemeinsam Verantwortlicher zusätzlich eine Vergütung verlangen darf. Das AG sieht hierein keine Probleme.

„…verlangt die Datenschutzgrundverordnung, in Ansehung dessen, dass der Verwalter als Mitverantwortlicher i.S.v. Art. 26 DSGVO anzusehen ist, von den Immobilienverwaltungen zusätzlichen Aufwand, der mit dem Grundhonorar so wie im Verwaltervertrag festgelegt, nicht abgedeckt ist“.

Die Höhe der Vergütung sieht das AG als angemessen an. Sie wurde hier als Pauschale beschlossen. Der Verwalter verlangt einen Betrag in Höhe von 214 EUR bzw. 178,50 EUR brutto jährlich, d.h. pro Einheit einen Betrag in Höhe von 16,22 EUR jährlich. Nach Einschätzung des AG ist dies angemessen.

Es ist mitunter auch gerichtsbekannt, dass allein datenschutzrechtliche Beratung auf der Basis eines Stundensatzes von bis zu 500,00 € netto von ausgewiesenen Fachleuten erfolgt“.

Fazit

Das Urteil des AG ist deshalb so interessant, weil es (so scheint es) das erste Urteil in Deutschland ist, welches sich detailliert mit den Vorgaben nach Art. 26 DSGVO und deren Umsetzung auseinandersetzt. Meines Erachtens ist die Begründung des AG nicht an jeder Stelle voll überzeugend. Dennoch liegt hiermit zumindest einmal Rechtsprechung in diesem gerichtlich noch kaum „beackerten“ Bereich vor.