Datenschutzrecht: Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Das Landgericht Frankfurt am Main (2-03 O 65/16) konnte sich zu den Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung äussern und dabei klären, dass auch eine in Form eines Rahmvertrags geschlossene und in eine Anlage gefasste Vereinbarung dem Schriftformerfordernis genügt. Soweit zu prüfen ist, ob eine Datenschutzvereinbarung auch die im Katalog des § 11 II 2 BDSG enthaltenen Mindestangaben enthält ist dabei nicht schematisch der Inhalt des §11 Abs.2 BDSG zu prüfen, sondern es ist inhaltlich zu prüfen, ob die dortigen Kriterien letztlich in der Datenschutzvereinbarung enthalten sind. Das liest sich dann beispielsweise so:

In § 1 ist der Vertragsgegenstand festgelegt, in § 7 Vertragsbeginn und -dauer (vgl. § 11 II 2 Nr. 1 BDSG). Gleichfalls in § 1 werden die erfassten Daten und Zweck und Umfang der Erhebung, Verarbeitung und Speicherung geregelt, ebenso wie der Kreis der Betroffenen (vgl. § 11 II 2 Nr. 2 BDSG). § 2 regelt die Pflichten von C auch im Sinne von § 9 BDSG, wobei konkrete Maßnahmen beschrieben werden und erfüllt damit die Voraussetzungen von § 11 II 2 Nr. 3 BDSG und § 11 II 2 Nr. 5 BDSG. In § 2 Ziffer 5 ist die Berechtigung und Verpflichtung zur Berichtigung, Löschung und Sperrung von personenbezogenen Daten geregelt (vgl. § 11 II 2 Nr. 4 BDSG). Unterauftragsverhältnisse sind in § 4 geregelt (vgl. § 11 II 2 Nr. 6 BDSG), § 5 räumt der Beklagten entsprechende Kontrollrechte ein (§ 11 II 2 Nr. 7 BDSG). § 2 Ziffer 5 sieht eine Unterrichtungspflicht von C in Fällen schwerwiegender Störungen des Betriebsablaufs, schwerwiegender Verstöße gegen die gesetzlichen oder in der Datenschutzvereinbarung geregelten Verpflichtung zum Datenschutz sowie bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten der Beklagten vor (vgl. § 11 II Nr. 8 BDSG). Nach § 2 Ziffer 1 hat sich die Beklagte eine umfassende Weisungsbefugnis gegenüber C vorbehalten (vgl. § 11 II 2 Nr. 9 BDSG). Des Weiteren sieht § 6 eine Regelung zur Rückgabe von Datenträgern und Löschung von gespeicherten Daten vor (§ 11 II 2 Nr. 10 BDSG).

Hinweis: Ab dem 25.05.2018 gilt die Datenschutzgrundverordnung, die als Nachfolgeregelung die „Auftragsverarbeitung“ vorsieht.

Wirksamkeit einer Einwilligung in Werbeanrufe

Rechtsanwalt Ferner Alsdorf - Vertragsrecht

Werberecht: Beim Oberlandesgericht Köln (6 U 182/16) ging es um die Wirksamkeit einer Einwilligung in Werbeanrufe. Eine solche Einwilligung setzt eine Willensbekundung voraus, die ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erfolgt ist – das Gericht konnte nun klarstellen, wann eine Einwilligung vorliegt, die „für den konkreten Fall“ und „in Kenntnis der Sachlage“ erteilt wird:

„Für den konkreten Fall“ wird eine Einwilligung erteilt, wenn sich aus ihr klar ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden (BGH GRUR 2013, 531 Rn. 24 – Einwilligung in Werbeanrufe II). Es muss klar sein, welche Produkte und Dienstleistungen welcher Unternehmen erfasst werden (vgl. Köhler/Bornkamm-Köhler, a.a.O., § 7 Rn. 149c). „In Kenntnis der Sachlage“ wird eine Einwilligung erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht (…) Vor Prüfung der Unwirksamkeit ist der Inhalt der Einwilligungserklärung durch Auslegung zu ermitteln. Dabei ist die Unklarheitenregel des § 305 Abs. 2 BGB zu berücksichtigen. Im Rahmen der Unterlassungsklage nach UWG oder UKlaG ist allerdings bei mehreren Auslegungsmöglichkeiten diejenige zugrunde zu legen, die zur Unwirksamkeit der Klausel führt (…) Die Einwilligung muss „für den konkreten Fall“ und „in Kenntnis der Sachlage“ erteilt werden, was bedeutet, dass der Verbraucher nicht nur wissen muss, dass seine Erklärung ein Einverständnis darstellt, sondern auch, worauf sie sich bezieht. Maßgebend ist dabei nicht die konkrete Vorstellung eines einzelnen Verbrauchers, sondern die Sichtweise des angemessen gut informierten und angemessen aufmerksamen und verständigen Durchschnittsverbrauchers oder des durchschnittlichen Mitglieds der angesprochenen Verbrauchergruppe (Köhler/Bornkamm-Köhler, a.a.O., § 7 Rn. 149b).

Vorliegend scheiterte es daran, dass die telefonische Kontaktaufnahme zu Kunden ausbedungen wurde auch zu einem Zeitpunkt, der nach dem Vertragende liegt (wenn ich mit zeitlicher Befristung) – das überschritt das zulässige Maß mit dem OLG Köln. Allerdings hob der BGH (III ZR 196/17) die Entscheidung später wieder auf und stellte fest:

Es widerspricht den Voraussetzungen des § 7 Abs. 2 Nr. 2 und 3 UWG nicht, wenn sich die in Allgemeinen Geschäftsbedingungen enthaltene Einwilligung eines Verbrauchers in die Kontaktaufnahme zu Werbezwecken auf mehrere Werbekanäle bezieht. Eine eigene Einwilligungserklärung für jeden Werbekanal ist nicht erforderlich.

„Wirksamkeit einer Einwilligung in Werbeanrufe“ weiterlesen

Oberlandesgericht Nürnberg: Verwertung von Dashcam-Aufzeichnungen im Zivilprozess

Rechtsanwalt Ferner Alsdorf - Persönlichkeitsrecht

Das Oberlandesgericht Nürnberg hat entschieden, dass Aufzeichnungen von Kameras, welche in Fahrtrichtung fest auf dem Armaturenbrett installiert sind („Dashcam“), in einem Zivilprozess
verwertet werden dürfen. Das Interesse des Beweisführers an einem effektiven Rechtsschutz und seinem Anspruch auf rechtliches Gehör überwiege das Interesse des Unfallgegners an dessen Persönlichkeitsrecht insbesondere dann, wenn andere zuverlässige Beweismittel nicht zur Verfügung stünden. Es handelt sich soweit ersichtlich um die erste Entscheidung eines Oberlandesgerichts zu dieser Frage.
„Oberlandesgericht Nürnberg: Verwertung von Dashcam-Aufzeichnungen im Zivilprozess“ weiterlesen

Kündigungsschutz: Verwertungsverbot bei Überwachung des Arbeitnehmers mittels Keylogger

Rechtsanwalt Ferner Alsdorf - Kündigungsschutz

Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht, dies hat das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017 (Aktenzeichen 2 AZR 681/16) unter Bestätigung einer Entscheidung des Landesarbeitsgerichts Hamm, 16 Sa 1711/15, entschieden.

Anmerkung: Das Landesarbeitsgericht hatte vorher noch recht umfassend ausgeführt, dass eine offene Maßnahme immer der verdeckten (und dauerhaft verdekcten sowieso) vorzuziehen ist. Vor der installation eines Keyloggers hätten mit dem LAG insbesondere ohnehin vorhandene Daten wie etwa Internetverlauf und Mailverkehr ausgelesen werden können und sollen.
„Kündigungsschutz: Verwertungsverbot bei Überwachung des Arbeitnehmers mittels Keylogger“ weiterlesen

WLAN-Störerhaftung abgeschafft: Drittes Gesetz zur Änderung des Telemediengesetzes (2017)

Fachanwalt für IT-Recht Jens Ferner in Alsdorf, Aachen

Seit dem 13. Oktober 2017 ist es dank einer Änderung des Telemediengesetzes möglich, möglichst ohne Haftung ein freies WLAN anzubieten: In seinem nunmehr dritten Anlauf versucht der Gesetzgeber es zu erleichtern, dass offene WLAN zur Verfügung gestellt werden. Grundsätzlich zeichnet sich ab, dass die Haftung für die Überlassung des Internetzugangs deutlich entschärft ist und gerade Cafés und Hotels hier nun endlich moderne eigene Lösungen bereit halten können. Auch in Familien zeichnet sich eine deutliche Entspannung ab, wobei die Haftung für minderjährige Kinder weiterhin im Raum steht.

Insgesamt lässt sich schon jetzt sagen: Öffnen Sie Ihr WLAN, gerade Cafés, Restaurants und Hotels dürfen Ihren Besuchern nun endlich den Mehrwert bieten, den man so lange erwartet hat. Weiter Unten finden Sie eine Checkliste hinsichtlich der bestehenden sonstigen Umstände auf die man achten sollte.

Im Folgenden Ausführungen von mir zum neuen Haftungsmodell sowie die alte und die zukünftige Fassung der §§7,8 TMG. 

Links dazu:

Datenschutzrecht: Weitergabe personenbezogener Daten stellt Persönlichkeitsrechtsverletzung dar

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Das Landgericht Düsseldorf (5 O 400/16) konnte im Zuge eines Erlasses einer einstweiligen Verfügung klarstellende Worte in aller Kürze zur Persönlichkeitsrechtsverletzung durch die Weitergabe Personenbezoegener Daten (hier: Kontodaten über einen Messenger) verlieren:

Durch die Weitergabe der Kontodaten der Verfügungsklägerin liegt ein Eingriff in deren Allgemeines Persönlichkeitsrecht vor, welches als sonstiges Recht durch§ 823 Abs. 1 BGB geschützt wird. Der Verfügungsbeklagte hat nicht dargelegt, dass dieser Eingriff durch ein berechtigtes Interesse an der Weitergabe der Kontodaten gerechtfertigt ist. Soweit er im Rahmen der persönlichen Anhörung angab, es sei ihm darum gegangen sein Geld zurückzuerhalten, gibt es dafür den Rechtsweg. Es ist nicht ersichtlich, warum er die sensiblen Kontodaten der Verfügungsklägerin an deren Geschäftspartner oder sonstige Dritte weiterleiten muss, um das gewährte Darlehen zurückzuerhalten. Der Verfügungsbeklagte kann gerichtliche Hilfe in Anspruch nehmen, wenn er der Auffassung ist, die Verfügungsklägerin käme ihren Rückzahlungsverpflichtungen nicht nach.

Unter Anwendung des Bundesdatenschutzgesetztes ergibt sich nichts anderes. Gemäß § 28 Abs. 1 und 2 BDSG ist die Übermittlung personenbezogener Daten ebenfalls nur zulässig, wenn ein berechtigtes Interesse vorliegt. Gemäß § 27 Abs. 1 S. 1 Nr. 1 BDSG ist die Vorschrift auf nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 S. 1 BDSG anwendbar, es sei denn die Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Als persönliche Tätigkeit ist zwar die Verwaltung des eigenen Vermögens anzusehen. Diesen privilegierten Bereich hat der Verfügungsbeklagte jedoch durch die Weitergabe der Kontodaten an Dritte verlassen. Die Ansprüche aus dem BDSG und der Anspruch auf Unterlassung nach §§ 1004, 823 BGB stehen nebeneinander (Palandt/ Sprau, BGB, 76. Auflage 2017, § 823 BGB, Rn. 85).

Die Entscheidung ist inhaltlich kurz und vollkommen richtig, auch scheinbar harmlose Daten (vorliegend ging es um einen Screenshot von einem Kontostand) sind geschützt und es besteht bereits bei erstmaliger Verletzungshandlung ein Unterlassungsanspruch.

Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Es ist ein zumindest inhaltlich dringend gebotener Schritt: Hinter dem sperrigen Namen „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ verbirgt sich der Versuch des Gesetzgebers, die berufsrechtlichen Schweigepflichten mit der heutigen Arbeitsweise zu vereinen. Die bestehenden Unsicherheiten bei der Nutzung moderner Technologien, hier insbesondere bei der Nutzung von Cloud-Diensten, sollen beseitigt werden:

Insbesondere die Digitalisierung hat es in den letzten Jahrzehnten möglich und erforderlich gemacht, in weiterem Umfang als bisher anfallende Unterstützungstätigkeiten nicht durch eigenes Personal erledigen zu lassen, sondern durch darauf spezialisierte Unternehmen oder selbständig tätige Personen. Hierzu gehören beispielsweise auch die Einrichtung, der Betrieb, die Wartung und die Anpassung informationstechnischer Anlagen. Die Heranziehung dritter, außerhalb der eigenen Sphäre stehender Personen zu diesen unterstützenden Tätigkeiten ist für Berufsgeheimnisträger aber nicht ohne rechtliches Risiko, sofern diese Personen damit von geschützten Geheimnissen Kenntnis erlangen können.

Doch während die Gesetzesänderung eigentlich Strafbarkeiten vermeiden soll, dürfte im Ergebnis vielmehr eine Verschärfung unter Stärkung des Datenschutzrechts zu erwarten sein.
„Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ weiterlesen

Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht“, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch“, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.““ – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die „Privacy by Design“ als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

Datenschutzrecht: Kündigung eines Datenschutzbeauftragten

Rechtsanwalt Ferner Alsdorf - Arbeitsrecht

Wenn in einem Unternehmen ein Mitarbeiter als „interner“, „betrieblicher“ Datenschutzbeauftragter eingesetzt wird, so genießt dieser einen besonderen Kündigungsschutz, der mitunter für Verunsicherung bei Arbeitgebern führt und im §4f BDSG normiert ist:

Ist (…) ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

Einige ausgewählte Entscheidungen zeigen die wesentlichen Fragen zu dem Thema auf.

„Datenschutzrecht: Kündigung eines Datenschutzbeauftragten“ weiterlesen

Datenschutzrecht: Anordnung der Aufsichtsbehörde und Auskunftspflichten

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Im Datenschutzrecht wird die Kontrolle über Datenverarbeitungen durch die jeweils zuständigen Aufsichtsbehörden ausgeübt. Unternehmen, die datenschutzrechtliche relevante Vorgänge durchführen unterliegen insoweit der Kontrolle der Aufsichtsbehörde und können hier mit Anordnungen oder Anfragen konfrontiert sein. Wenn ein solches Schreiben in einem Unternehmen eingeht, in dem der Datenschutz bisher keine grosse Rolle gespielt hat, herrscht dann erst einmal Überraschung – gleichwohl muss man solche Schreiben durchaus ernst nehmen.
„Datenschutzrecht: Anordnung der Aufsichtsbehörde und Auskunftspflichten“ weiterlesen

Verwaltungsgericht Göttingen: Anlassloser Einsatz von Dashcams ist rechtswidrig

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Beim VG Göttingen (1 B 171/16) ging es um eine datenschutzaufsichtliche Anordnung einer Aufsichtsbehörde, mit der einem Betroffenen aufgegeben werden sollte

  • die Verwendung von Onboard-Videokameras jeden Typs in von ihm im öffentlichen Verkehr als Fahrer oder Beifahrer genutzten Kraftfahrzeugen so zu gestalten, dass eine Erhebung und Verarbeitung personenbezogener Daten anderer Verkehrsteilnehmer mit den Videokameras anlässlich der widmungsgemäßen Nutzung von öffentlichen Verkehrsflächen ausgeschlossen ist;
  • auf in seinem Besitz befindlichen Datenträgern gespeicherte Daten über im öffentlichen Straßenverkehr erhobene Videosequenzen, die aus der Verwendung von Onboard-Videokameras stammen und die nicht ausschließlich persönlichen und familiären Zwecken dienen, innerhalb einer Frist von sieben Tagen nach Bekanntgabe der Verfügung zu löschen;

Dies verbunden mit einem Zwangsgeld. Der Betroffene ist durchaus bekannt, weil er im Laufe der vergangenen Jahre ca. 50.000 Verkehrsordnungswidrigkeiten bei den zuständigen Stellen anzeigte. Dabei griff er auf mit der Dashcam erstellte Aufnahmen zurück. Das Verwaltungsgericht konnte sich nun zu den datenschutzrechtlichen Aspekten äussern und stellte eine Rechtswidrigkeit von Fortlaufenden Dashcam-Aufnahmen fest.

„Verwaltungsgericht Göttingen: Anlassloser Einsatz von Dashcams ist rechtswidrig“ weiterlesen

Auftragsdatenverarbeitung: BGH zur ADV im Datenschutzrecht

Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100

Der Bundesgerichtshof (IV ZR 292/14) hatte Gelegenheit, sich zur Auftragsdatenverarbeitung zu äußern. Es ging dabei um die Frage, ob ein von einem Versicherer beauftragter Arzt selber Daten erhebt oder lediglich als „verlängerter Arm“ tätig ist und somit datenschutzrechtliche Ansprüche gegen den Versicherer zu richten sind, was der BGH im Kern bejaht:

Auftragsdatenverarbeitung liegt vor, wenn die für die Datenverarbeitung verantwortliche Stelle eine andere Stelle damit betraut, Daten zu erheben, zu verarbeiten oder zu nutzen (Plath in Plath, BDSG § 11 Rn. 22). Dabei kommt es auf die Rechtsnatur der Betrauung nicht an. Insbesondere ist kein Auftrag im Sinne des § 662 BGB erforderlich (Bergmann/Möhrle/Herb, Datenschutzrecht § 11 BDSG Rn. 8 (Stand: No- vember 2009); Gabel in Taeger/Gabel, BDSG 2. Aufl. § 11 Rn. 11; Plath aaO Rn. 21). Entscheidend ist vielmehr, dass der Auftragnehmer ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig wird (Petri in Simitis, BDSG 8. Aufl. § 11 Rn. 22; Gabel aaO Rn. 12). Dies ist jedenfalls gegeben, wenn sich der Auftragnehmer nach Maßgabe des § 11 BDSG den Weisungen des Auftraggebers unterwirft (so die sog. Vertragstheorie; vgl. Gabel aaO Rn. 15 f.; Plath aaO Rn. 29) und sich seine Tätigkeit in einer reinen Hilfsfunktion für die Erfüllung der Zwecke und Aufgaben des Auftraggebers erschöpft, ohne dass ihm die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten notwendig ist, übertragen wird (so die sog. Funktionsübertragungstheorie; vgl. Bergmann/Möhrle/ Herb aaO Rn. 8, 10; Gola/Klug/Körffer in Gola/Schomerus, BDSG 12. Aufl. § 11 Rn. 9; Petri aaO Rn. 22; Spoerr in Wolff/Brink, Daten- schutzrecht § 11 Rn. 41).

Dem entspricht die Tätigkeit des beauftragten Arztes im Rahmen der Untersuchungsobliegenheit nach § 9 Abs. 3 MB/KK 2009. Seine Aufgabe beschränkt sich darauf, den Versicherungsnehmer nach den Weisungen des Versicherers ärztlich zu begutachten und die so gewonnenen Gesundheitsdaten dem Versicherer zur Verfügung zu stellen. Der Arzt ist mithin nicht als „Herr der Daten“, sondern lediglich als „verlängerter Arm“ des Versicherers anzusehen, wie es für einen Auftragsdatenverarbeiter charakteristisch ist (…)