" … Zwischen den Parteien besteht kein Streit darüber, dass das Schadensgutachten vom 15.11.2011 personenbezogene Daten über den Kl. in Form seines Namens nebst Anschrift, der Eigentumsverhältnisse an dem betroffenen Pkw und dem Kfz-Kennzeichen enthält."
2.) Der Kl. begehrt von der Bekl. zu 2) Auskunft darüber, welche Daten über ihn bei ihr gespeichert sind.
Nach § 34 BDSG hat die verantwortliche Stelle hat dem Betr. auf Verlangen u.a. Auskunft zu erteilen über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen (Abs. 1 Nr. 1).
Dass die Bekl. zu 2) diesen Auskunftsanspruch des Kl. erfüllt hätte, ist nicht ersichtlich. Dem Vortrag der Bekl. zu 2) lassen sich Angaben dazu, welche Daten über den Kl. bei ihr gespeichert sind, nicht entnehmen.
3.) Soweit der Kl. daneben Auskunft zu der Frage verlangt, welche Daten über ihn die Bekl. zu 2) an Dritte weitergegeben hat, kommt ein Anspruch nach § 34 Abs. 1 Nr. 2; BDSG in Betracht, wonach die verantwortliche Stelle dem Betr. auf Verlangen Auskunft zu erteilen hat über den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden. Insoweit besteht jedoch kein Rechtsschutzbedürfnis des Kl. Die Auskunft ist erteilt; dem Prozessvortrag der Bekl. lässt sich entnehmen, dass die Bekl. zu 2) das Schadensgutachten vom 15.11.2011 an die Fa. C E weitergegeben hat bzw. es von dort an die DEKRA gelangt ist; auf die Erläuterung im Schriftsatz des Prozessbevollmächtigten der Bekl. vom 25.2.2013 wird Bezug genommen. Das Gericht versteht den Vortrag der Bekl. dabei dahin, dass eine Weitergabe an weitere Stellen nicht erfolgt ist.
4.) Soweit der Kl. weiter von der Bekl. zu 2) verlangt es zu unterlassen, ohne seine vorherige Einwilligung ihn betreffende Daten an Dritte weiterzugeben, ist die Klage aus § 1004 BGB in entsprechender Anwendung begründet.
Nach dem Sachvortrag der Bekl. in diesem Prozess war die Weitergabe von Daten des Kl. nicht rechtmäßig und verletzte ihn in seinem Recht auf informationelle Selbstbestimmung.
Unstreitig hat der Kl. eine Einwilligung zur Weitergabe seiner Daten durch die Bekl. zu 2) an Dritte nach §§ 4, 4a BDSG nicht erteilt.
Ohne Erfolg beruft sich die Bekl. zu 2) hier auf das Vorliegen einer Auftragsdatenverarbeitung i.S.d. § 11 BDSG. Zwar nähme eine solche den betroffenen Empfängern die Eigenschaft als “Dritter‘ i.S.d. § 3 Abs. 8 S. 3 BDSG. Die Voraussetzungen einer wirksamen Vereinbarung sind aber jedenfalls hinsichtlich der Fa. C E GmbH nicht vorgetragen.
Das Gericht geht zwar, dem Vortrag der Bekl. zu 2) folgend, dass die vorgelegte Vereinbarung zwischen der HUK-COBURG und der C E GmbH (Bl. 95 ff d.A.) auch für sie maßgeblich ist, weil die HUK-COBURG eine entsprechende Beteiligung an ihr hat.
Der Inhalt der Vereinbarung wird jedoch den Anforderungen des § 11 Abs. 2 Nr. 1 und 2 BDSG nicht gerecht. Dort heißt es:
“(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insb. im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betr., … .‘
Zu den vorgenannten Punkten enthält die vorgelegte Vereinbarung keine hinreichenden Ausführungen. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung der Daten durch die Fa. C E sind nicht geregelt. In der Präambel wird nur darauf hingewiesen, dass der Auftraggeber mit dem Auftragnehmer einen Dienstleistungsvertrag zur Erbringung von Service- und Organisationsleistungen geschlossen hat. Welchen Gegenstand diese im einzelnen haben bzw. was das inhaltlich bedeutet, bleibt unklar. Es ergäbe sich vermutlich aus dem Dienstleistungsvertrag selbst, den vorzulegen die Bekl. zu 2) aber auf eine entsprechende Beanstandung durch den Kl. unter dem Gesichtspunkt des Geschäftsgeheimnisses abgelehnt hat (Schriftsatz vom 25.4.2013).
Das Gericht hält die Erfüllung der Anforderungen des Katalogs nach § 11 Abs. 2 BDSG für konstitutiv, d.h. ein Verstoß macht die Vereinbarung über die Auftragsdatenverarbeitung unwirksam. Es ist nicht ersichtlich, welche andere Folgerung aus einem Verstoß gezogen werden sollte. Für die Einhaltung der in § 11 Abs. 2 vorgesehenen Schriftform wird eine konstitutive Wirkung vertreten und mit dem Bedürfnis nach Rechtssicherheit und Rechtsklarheit begründet (Gola/Schomerus, BDSG, 10. Aufl. 2010, § 11 Rn 17; vgl. Härtung, Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, VersR 2012, 400). Dieses Bedürfnis besteht aber gerade auch hinsichtlich Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung der Daten. Der Betr. muss erkennen können, zu welchem Zweck die verantwortliche Stelle die Daten an einen Dritten – im tatsächlichen Sinne – weitergibt.
Danach kommt es nicht mehr dar...