Anwendung der neuen EuGH-Rechtsprechung: keine Information über „berechtigte Interessen“ – keine Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO

Posted on by

In letzter Zeit hat der EuGH einige relevante Aussagen zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO getroffen. Die Tendenz des Gerichts ist hierbei recht streng. Bekanntlich verknüpft der EuGH die Frage, ob sich ein Unternehmen überhaupt auf diese Rechtsgrundlage berufen kann, auch mit der Transparenzanforderung des Art. 13 Abs. 1 d) DSGVO.

Danach muss der Verantwortliche zum Zeitpunkt der Erhebung von personenbezogenen Daten, wenn die Verarbeitung auf Art. 6 Abs. 1 f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, der betroffenen Person mitteilen.

Rechtssache „Mousse“

In der Rechtssache C‑394/23 („Mousse“, Rz. 52) verknüpft der EuGH die Erfüllung der Transparenzpflicht mit der Rechtsgrundlage nach Art. 6 Abs. 1 f) DSGVO.

Wie der Generalanwalt in Nr. 58 seiner Schlussanträge ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung gerechtfertigt werden kann.“

Zu den erwähnten Schlussanträgen des Generalanwalts hatte ich hier im Blog berichtet (Blogbeitrag). Er ist sogar noch deutlicher als der EuGH:

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.“

Koninklijke Nederlandse Lawn Tennisbond

Bereits zuvor, im Oktober 2024, hat der EuGH (Rechtssache C-621/22) im Hinblick auf die Frage, ob sich ein Verantwortlicher auf Art. 6 Abs. 1 f) DSGVO berufen kann, eine strenge Ansicht vertreten (Rz. 50).

Sollte ein solches Interesse als berechtigt angesehen werden, müsste der Verantwortliche zudem allen anderen ihm obliegenden Pflichten aus der DSGVO nachkommen, damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann.“

Im Unterschied zur Entscheidung „Mousse“ verknüpft der EuGH hier die Möglichkeit, sich auf Art. 6 Abs. 1 f) DSGVO zu berufen, sogar nicht nur mit der Erfüllung der Transparenzpflicht des Art. 13 Abs. 1 d) DSGVO, sondern mit der Einhaltung aller (!) Pflichten aus der DSGVO. Man kann sicher gut darüber diskutieren, ob nun z.B. ein Verstoß gegen Art. 30 Abs. 1 DSGVO, weil es einen Fehler im Verzeichnis gibt, direkt dazu führen sollte, dass ein Verantwortlicher nicht mehr die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO nutzen kann – die Tendenz beim EuGH zu dieser Frage scheint zumindest derzeit aber klar.

Anwendung der Vorgaben in der Praxis

Und wie kommt diese Rechtsprechung in der Praxis an? Sie scheint auf jeden Fall von Gerichten und Aufsichtsbehörden angewendet zu werden – mit entsprechenden (negativen) Folgen für Verantwortliche.

Beispiel 1 – Aufsichtsbehörde Berlin

In ihrem letzten Newsletter berichtet die Datenschutzbehörde Berlin, dass sie die Vorgaben des EuGH aus der Entscheidung „Mousse“ konkret anwendet und eine Rechtmäßigkeit auf Basis von Art. 6 Abs. 1 f) DSGVO ablehnt, wenn Verantwortliche nicht über die berechtigten Interessen informieren. Konkret ging es um Prüfverfahren im Rahmen der Datenverarbeitung für Zwecke des Einsatzes von KI.

Dieser Verstoß gegen die Informationspflichten nach Art. 13 bzw. Art. 14 DSGVO kann sich unmittelbar auf die Rechtmäßigkeit der Datenverarbeitung auswirken. Gerade wenn sich Verantwortliche auf die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen berufen, gehen wir nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) davon aus, dass dies unzulässig ist, wenn betroffenen Personen nicht einmal das berechtigte Interesse mitgeteilt wird, auf das sich die Verantwortlichen berufen.“

Beispiel 2 – Bundesverwaltungsgericht Österreich

Und auch die jüngste Rechtsprechung scheint die neuen Vorgaben des EuGH umzusetzen. In einer Entscheidung des Bundesverwaltungsgerichts Österreich vom 11. Juni 2025 (W211 2308914-1) verweist das Gericht auf die EuGH-Rechtsprechung. Es ging in dem Verfahren um die Frage, ob eine umfassende Videoüberwachung auf Art. 6 Abs. 1 f) DSGVO gestützt werden konnte. Die Datenschutzbehörde Österreich lehnte dies ab. Das Gericht folgt der Argumentation und sieht Art. 6 Abs. 1 f) DSGVO als nicht anwendbar, da der Verantwortliche nicht über die „berechtigten Interessen“ informierte.

Auf Basis der neuen Rechtsprechung des EuGH ist es im Fall einer Rechtfertigung gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich, dass der:die Verantwortliche in der Phase der Erhebung der in Rede stehenden Daten gemäß Art. 13 DSGVO das konkrete berechtigte Interesse den Betroffenen mitgeteilt hat (vgl. EuGH 09.01.2025, C-394/23 (Mousse), EU:C:2025:2, Rz 52, 63, 64).“

Bereits aufgrund dieses rezenten Judikats des EuGH kann – umgelegte auf den konkreten Sachverhalt – nicht von einer für den vorbrachten Zweck erforderlichen und somit rechtmäßigen Datenverarbeitung ausgegangen werden, welche auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann.“

Fazit

Die Tendenz ist klar: berechtigte Interessen sollten in jedem Fall so konkret wie möglich in Datenschutzhinweisen bzw. entsprechenden Informationen angegeben werden, wenn sich ein Verantwortlicher auf die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO stützen möchte. Ein Nachschieben dieser Information scheint aufgrund des Wortlauts von Art. 13 Abs. 1 DSGVO („zum Zeitpunkt der Erhebung dieser Daten“) wohl nicht möglich.

Zum Cookie-Banner-Urteil des VG Hannover: Gericht verpflichtet nicht zu „Alles ablehnen“-Schaltfläche

Posted on by

In den letzten Tagen wurde vermehrt über die Entscheidung des Verwaltungsgerichts Hannover (Urteil vom 19.März 2025, Az: 10 A 5385/22) zur unzulässigen Gestaltung eines Cookie-Banners auf der Webseite eines Verlagshauses berichtet. 

In der Berichterstattung war zu lesen, dass das Gericht entschieden hätte, dass Cookie-Banner eine „Alles ablehnen“-Schaltfläche zwingend vorhalten müssten. 

Und sogar die im Verfahren involvierte Aufsichtsbehörde aus Niedersachsen betitelt ihre Pressemeldung dazu leider wie folgt: „Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss“. Die Behörde führt dort weiter aus: „Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt“. Diese Aussage kann ich der Entscheidung des Gerichts nicht entnehmen. 

Meines Erachtens ist diese Auslegung des Urteils und sind die Aussagen in der Pressemitteilung jedoch falsch. Das Gericht hat gerade nicht entschieden, dass es zwingend (und stets) eine Pflicht gibt, das Cookie-Banner eine solche Schaltfläche vorhalten müssen. 

Dies möchte ich kurz anhand der Aussagen des Gerichts und dem zugrundeliegenden Sachverhalt begründen. 

Erstens

Bereits die Leitsätze des Urteils geben eine Auslegung für eine Pflicht zu einem „Alles ablehnen“-Button nicht her. 

Das Gericht stellt fest, dass eine Einwilligung nicht freiwillig erteilt wird (und damit unwirksam ist), wenn es wie hier die Gestaltung eines Cookie-Einwilligungsbanners mit zwei Ebenen betrifft, bei welchem auf erster Ebene nur die Auswahlmöglichkeiten „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ bestehen. Es ist meines Erachtens sehr wichtig zu verstehen, was das Gericht geprüft hat: einen Cookie-Banner, der auf der ersten Eben schlicht keine Ablehnungsmöglichkeit vorsah. 

Die Pflicht, eine „Alles ablehnen“-Schaltfläche vorzuhalten, wird aber gar nicht angesprochen. 

Im Übrigen hat auch die Aufsichtsbehörde selbst, in ihrem Bescheid gegenüber dem Unternehmen, dies gar nicht verlangt. In dem Bescheid vom 23.11.2022 verpflichtet die Aufsichtsbehörde das Unternehmen 

auf der Website www.noz.de die Anforderungen an wirksame – insbesondere informierte und freiwillige – Einwilligungen gemäß Art. 4 Nr. 11 und Art. 7 DSGVO umzusetzen, soweit es für die Rechtmäßigkeit des Einsatzes von lokalen Speicherobjekten, Tracking-Techniken und Drittdiensten erforderlich ist“.

Es geht um eine Umgestaltung, die zur Einholung wirksamer Einwilligungen führen soll. Wie dies konkret geschieht, wird nicht vorgegeben. 

Zweitens

Das Gericht prüft, ob durch die damals verwendete Gestaltung des Banners auf der Webseite eine wirksame Einwilligung nach Art. 4 Nr. 11 DSGVO eingeholt werden konnte. Dies lehnt das Gericht unter mehreren Gesichtspunkten ab. 

Zum einen, da die „Informiertheit“ der Betroffenen nicht gegeben war. Das Gericht verweist auf die Rechtsprechung des EuGH, der als Mindestinformationen eine Angabe der Funktionsdauer sowie Angaben zu eventuellen Empfängern der in den Cookies enthaltenen Informationen verlangt (C-673/17).

„Daran gemessen ist zu bezweifeln, ob das Merkmal der Informiertheit für die mittels des Einwilligungsbanners der Klägerin erteilten Einwilligungen der Nutzer vorliegt.“

Zum anderen fehlt nach Ansicht des Gerichts auch eine erforderliche „freiwillige Entscheidung“. 

„Jedenfalls beruhen die von der Klägerin eingeholten Einwilligungen nicht auf einer freiwilligen Entscheidung der Nutzer.“ 

Es fehle etwa an einer tatsächlichen Wahlmöglichkeit, also dass Betroffene ohne Nachteile auf die Erteilung der Einwilligung verzichten können.

Und dann kommt die entscheidende Aussage des Gerichts. 

Ob aus diesen Vorschriften herzuleiten ist, dass die Möglichkeit zur Ablehnung von Cookies in gleicher Weise wie die Einwilligung in das Setzen von Cookies gestaltet sein muss, ist durch die Rechtsprechung noch keiner abschließenden Klärung zugeführt worden (vgl. Sesing, MMR 2021, S. 544 (547) m.w.N.; OLG Köln, Urteil vom 3. November 2023 – I-6 U 58/23 –, juris Rn. 50). Jedenfalls darf aber das Cookie-Banner nicht so gestaltet sein, dass es den Nutzer gezielt zur Abgabe der Einwilligung hinlenkt und von der Ablehnung der Cookies abhält“.

Juristisch entscheidet sich das Gericht also gar nicht, ob es eine Pflicht zur Möglichkeit der Ablehnung auf erster Ebene, wie die Akzeptieren-Schaltfläche, geben muss. Das muss es auch nicht, da die Einwilligung bereits aus anderen Gründen nicht wirksam war. Deutlich wird dies auch durch die Einleitung des zweiten Satzes: „Jedenfalls…“. Es kommt dem Gericht also für seine Begründung nicht auf die Klärung der Frage an, ob es eine „Alles ablehnen-Schaltfläche“ braucht. 

Die Kritik des Gerichts, in Bezug auf die fehlende Wahlmöglichkeit, richtet sich etwa auf den erheblichen Mehraufwand für Betroffene, wenn sie die Einwilligung nicht erteilen möchten. Hierzu das Gericht: 

Während die umfassende Einwilligung auf erster Ebene gleich durch zwei Buttons („Alle akzeptieren“ sowie „Akzeptieren & schließen x“) erteilt werden kann, muss für eine Ablehnung zunächst auf erster Ebene der Button „Einstellungen“ ausgewählt werden. Auf zweiter Ebene des Banners folgen fünf verschiedene Drop Down Menus mit weiteren Unterpunkten,…

Das Gericht geht in seiner Begründung auch ausdrücklich davon aus, dass „eine Ablehnungsoption auf erster Ebene nicht besteht“ – fügt jedoch nicht an, dass allein dies bereits einen Verstoß gegen die DSGVO oder das TDDDG darstellen würde. Wie gesagt, das musste es auch nicht. 

Fazit

Die Frage, ob zwingend eine „Alles ablehnen-Schaltfläche“ vorzuhalten ist, hat auch das VG Hannover (verständlicherweise) nicht adressiert. Weil es auf diese Frage nicht ankam. Dass die zuständige Aufsichtsbehörde in ihrer Pressemitteilung aus dem Urteil eine solche Pflicht ableitet bzw. dem Gericht im Grunde diese Aussage zuspricht, finde ich sehr schade.

(P.S.: zudem würde mich die Meinung der Aufsichtsbehörde dazu interessieren, ob denn eine „Alles ablehnen-Schaltfläche“ tatsächlich auch gesetzeskonform und nicht selbst irreführend ist? Denn: wenn ich Nutzern suggeriere, dass sie alle Cookies ablehnen können, obwohl ich auch technisch erforderliche Cookies nutze, die man nicht ablehnen kann, dann stelle eine solche Schaltfläche aus meiner Sicht eine falsche Information dar)

Estnische Datenschutzbehörde: Direktmarketing-E-Mails mit fehlerhaftem Opt-out-Link – Kundenservice muss der betroffenen Person helfen (und sie nicht auf die App-Einstellungen verweisen)

Posted on by

In einer Entscheidung vom 18. Februar 2025 berichtet die estnische Datenschutzaufsichtsbehörde (DPI) über einen Fall wegen eines Verstoßes gegen Art. 7 Abs. 3 DSGVO durch ein Unternehmen.

Sachverhalt
Der Beschwerdeführer erhielt einen Newsletter an seine E-Mail-Adresse, der einen Abmeldelink enthielt, der aber nicht funktionierte. Nach Angaben des Beschwerdeführers wandte er sich mehrmals an den Kundenservice, woraufhin ihm mitgeteilt wurde, dass er seine Profileinstellungen in der App ändern müsse, um den Newsletter abzubestellen.

Der für die Verarbeitung Verantwortliche erklärte, dass alle Direktmarketing-Angebote einen Abmeldelink enthalten, der Abmeldelink gerade in der dem Beschwerdeführer zugesandten Mail jedoch einen technischen Fehler aufwies. Nach Anfrage durch die Datenschutzbehörde wurde die E-Mail-Adresse des Betroffenen dann manuell aus dem Verteiler entfernt. Das Kundenserviceteam hat jedoch die Zusendung von Direktwerbung vorher nicht manuell unterbunden, als der Betroffene den Verantwortlichen um Unterstützung bat.

Entscheidung
Die estnische Datenschutzbehörde verwarnte den Verantwortlichen nach Art. 58 Abs. 2 b) DSGVO wegen eines Verstoßes gegen Art. 7 Abs. 3 DSGVO.

Zur Begründung führte die Aufsichtsbehörde aus:

Wenn ein Opt-out-Link verwendet wird, um ein Angebot kostenlos und auf einfache Weise abzulehnen, muss sichergestellt werden, dass der Opt-out-Link funktioniert.

Wendet sich der Kunde an den Verantwortlichen und bittet um Unterstützung bei der Unterbindung von Direktwerbung, weil der Opt-out-Link nicht funktioniert oder nicht vorhanden ist, muss der Verantwortliche, wenn der Kunde dies wünscht, die Zusendung von Direktwerbung manuell unterbinden.

Der für die Verarbeitung Verantwortliche darf

den Kunden nicht anweisen, zusätzlich andere elektronische Schnittstellen (z. B. eine App) zu nutzen, wenn der Kunde dies nicht wünscht.“

Fazit
Der Fall zeigt, dass Verantwortliche auf Betroffenenanfragen nicht vorschnell ablehnend reagieren sollte, weil entsprechende Einstellungsmöglichkeiten etwa im Kundenkonto möglich sind. Nach Art. 12 Abs. 2 DSGVO hat der Verantwortliche die Ausübung der Rechte nach Art. 15-22 DSGVO zu erleichtern. Es gibt mittlerweile durchaus auch Ansichten, die für die Ausübung von Betroffenenrechten einen Verweis auf Self-Service Tools für Nutzer als zulässig ansehen. Für das Unternehmen im konkreten Fall könnte man hier auch noch in die Waagschale werfen, dass der Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO nicht in Art. 12 Abs. 2 DSGVO referenziert wird. Gleichzeitig gibt aber Art. 7 Abs. 3 DSGVO vor, dass der Widerruf der Einwilligung so einfach sein muss, wie deren Erteilung. Am Ende sollte man aus Sicht des Verantwortlichen überlegen, ob man zur Vermeidung einer Eskalation (=Beschwerde bei der Aufsichtsbehörde), entsprechende Nutzerwünsche nicht doch direkt umsetzt.

DSGVO Update: EU-Kommission plant Anpassungen der Pflicht zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten – was sind die Vorschläge?

Posted on by

In den letzten Monaten wurde bereits öffentlich bekannt, dass die EU-Kommission offen für eine Anpassung einzelner Pflichten der DSGVO ist und diese noch in 2025 vorschlagen möchte. Ziel soll vor allem eine Entlastung von kleinen Unternehmen und NGOs sein.

Ein konkreter Entwurf zu den Anpassungen des Gesetzes wurde noch nicht vorgelegt. Jedoch ergibt sich aus einem nun gemeinsam vom EDSA und dem EDSB veröffentlichten Brief vom 8.5.25 (PDF) an die Kommission, welche Änderungen wohl anstehen könnten. Mit dem Brief nehmen der EDSA und der EDSB Stellung zu einem „Entwurf eines Vorschlags der Kommission zur Vereinfachung der Verzeichnisführungspflicht gemäß der Verordnung (EU) 2016/679 (DSGVO)“ (Commission draft proposal on the simplification of record-keeping obligation under Regulation (EU) 2016/679 (GDPR)).

Welche Änderungen plant die Kommission?
Die vorgeschlagenen Änderungen ergeben sich quasi mittelbar aus den Antworten in dem Brief.

  • Die in Art. 30 Abs. 5 DSGVO vorgesehene Ausnahmeregelung für die Verpflichtung zur Führung von Verzeichnissen über die Verarbeitung, die derzeit für Unternehmen oder Organisationen mit weniger als 250 Beschäftigten (einschließlich kleiner und mittlerer Unternehmen oder KMU) gilt, soll auf „kleine Midcap-Unternehmen“ (SMC) ausgedehnt werden. Von der Ausnahme erfasst wären damit auch Unternehmen mit weniger als 500 Beschäftigten und einem bestimmten Jahresumsatz sowie auf Organisationen wie gemeinnützige Organisationen mit weniger als 500 Beschäftigten.

Neuerung: Anhebung der rein formellen Grenze der Beschäftigtenanzahl, ab der Unternehmen ein Verzeichnis führen müssen.

  • Zudem soll Art. 30 Abs. 5 DSGVO dahingehend geändert werden, dass diese Ausnahmeregelung nicht gilt, wenn die Verarbeitung „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“ – in der aktuellen Fassung ist lediglich von einer „Verarbeitung, die wahrscheinlich ein Risiko zur Folge hat“ die Rede.

Neuerung: Anhebung der Risikogrenze, wann ein Verzeichnis zu führen ist. Nur noch, wenn ein „hohes Risiko“ vorliegt.

  • Zudem sollen bestimmte Ausnahmen von der Ausnahmeregelung, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, gestrichen werden. Insbesondere durch Streichung der Verweise auf die gelegentliche Verarbeitung und möglicherweise auch des Verweises auf die Verarbeitung besonderer Datenkategorien.

Neuerung: Entfernen von Rückausnahmen, wie etwa wenn die Verarbeitung nur gelegentlich erfolgen würde.

  • Zudem gehen EDSA und EDSB davon aus, dass ein Erwägungsgrund klarstellen würde, dass die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung im Bereich des Beschäftigungsverhältnisses, der sozialen Sicherheit oder des Sozialschutzes (gemäß Art. 9 Abs. 2 b) DSGVO) nicht der Verpflichtung unterliegt, ein Verzeichnis dieser Verarbeitungstätigkeiten zu führen.

Neuerung: Allein die Verarbeitung von Gesundheitsdaten und ähnlichen sensiblen Informationen von Beschäftigten soll nicht zu einer Pflicht führen, ein Verzeichnis zu erstellen; solange diese Verarbeitung Bezug zum Beschäftigungsverhältnis aufweist.

Einschätzungen von EDSA und EDSB
Vorläufig unterstützen der EDSA und der EDSB die Vorschläge – vorbehaltlich einer tieferen Prüfung des finalen Vorschlags.

Völlig zu Recht wird aber auch darauf hingewiesen, dass eine solche Erleichterung bezüglich der Pflicht zur Führung des Verzeichnisses gerade nicht dazu führt, dass Organisationen und Unternehmen dann die DSGVO gar nicht mehr einhalten müssten. Natürlich gelten die übrigen Pflichten auch weiterhin. Die Anpassung der DSGVO wäre also sehr gezielt und spezifisch auf eine konkrete Pflicht.

Zudem weisen der EDSA und der EDSB darauf hin, dass selbst sehr kleine Unternehmen immer noch eine risikoreiche Verarbeitung vornehmen können und es daher wichtig ist, einen risikobasierten Ansatz beizubehalten. Nach Ansicht der Aufsichtsbehörden kann eine nicht gelegentliche Verarbeitung und die Verarbeitung besonderer Kategorien personenbezogener Daten, je nach dem Ergebnis der Bewertung aller relevanten Kriterien, immer noch zu einem wahrscheinlich hohen Risiko führen kann.

Eigene Einschätzung
Der Vorschlag der Kommission zielt insbesondere in die (auch auf nationaler Ebene angedachte) Richtung der Entbürokratisierung – im Sinne von weniger Nachweis- und Dokumentationspflichten.

Wenn diese Vorschläge tatsächlich zur Anpassung der DSGVO führen, wird in der Praxis von besonderer Bedeutung sein, wie genau und verständlich die Rückausnahmen gestaltet sind. Die Aufsichtsbehörden erwähnen bereits ein wichtiges Beispiel: so kann etwa auch ein kleines Unternehmen mit 50 Mitarbeitern dennoch verpflichtet sein, ein Verzeichnis zu führen, wenn es als Kerngeschäft (nicht nur gelegentlich) mit sensiblen Daten, etwa Gesundheitsinformationen von Kunden umgeht.

Zudem bin ich persönlich sehr gespannt darauf, wie die Politik derartige Änderungen „verkauft“. Ich ahne leider, mit Blick auf entsprechende Aussagen in der Vergangenheit, etwa zur Anhebung der Grenze zu Benennung eines Datenschutzbeauftragten in Deutschland, dass hier etwa öffentlich z.B. ganz generell von der Entlastung von datenschutzrechtlichen Pflichten gesprochen wird – wobei es sich nur um eine einzelne Pflicht nach Art. 30 DSGVO handelt. Und übrige gesetzliche Anforderungen der DSGVO weiter einzuhalten sind.

Zudem muss man als Unternehmen in jedem Fall beachten, dass die in einem Verzeichnis nach Art. 30 DSGVO enthaltenen Angaben die Umsetzungen vieler weiterer pflichten der DSGVO erleichtern. Bsp: Informationen in den Datenschutzerklärungen ach Art. 13 DSGVO decken sich zu einem guten Teil mit Angaben aus dem Verzeichnis nach Art. 30 DSGVO. Nur weil ein Unternehmen das Verzeichnis nach Art. 30 DSGVO nicht mehr vorhalten muss, bedeutet dies aber nicht, dass es nicht mehr seine Mitarbeiter oder Kunden nach Art. 13 DSGVO informieren müsste – diese Angaben müssen trotzdem erfolgen und das bedeutet, dass Unternehmen diese Informationen trotzdem intern irgendwie und irgendwo zusammensammeln müssen. Eine konsistente Reform der DSGVO müsste also bei den Erleichterungen eigentlich durch verschiedene Pflichten gehen, um tatsächlich weniger Aufwand für Unternehmen zu erreichen.

Landesarbeitsgericht: Ausschluss eines Betriebsratsmitglieds aus dem Betriebsrat wegen eines groben Verstoßes gegen datenschutzrechtliche Pflichten

Posted on by

Welche Folgen kann ein gesetzwidriger Umgang mit Beschäftigtendaten für Betriebsratsmitglieder haben? In gravierenden Fällen kann der Arbeitgeber den Ausschluss des Mitglieds aus dem Betriebsrat verlangen (§ 23 Abs. 1 BetrVG). Einen solchen Fall hatte das Landesarbeitsgericht Hessen (LAG) hat mit Beschluss vom 10.3.2025 (Az. 16 TaBV 109/24) zu entscheiden. Das LAG bestätigte eine Entscheidung des Arbeitsgerichts Wiesbaden, wonach ein Betriebsratsmitglied wegen grober Verstöße gegen datenschutzrechtliche Pflichten aus dem Betriebsrat auszuschließen ist. 

Sachverhalt

Im September 2023 stellte der Arbeitgeber fest, dass im dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisiert an dessen (private) GMX-Adresse weitergeleitet werden. Der Arbeitgeber sah hierin einen Datenschutzverstoß und erteilte dem Betriebsratsvorsitzenden eine Abmahnung. 

Danach stellte der Arbeitgeber erneut fest, dass der Betriebsratsvorsitzende unter anderem Termine an eine neue private E-Mail-Adresse weitergeleitet hat. Zudem wurde ermittelt, dass eine E-Mail mit einer vollständigen Personalliste von der privaten E-Mail-Adresse des Betriebsratsvorsitzenden an seinen dienstlichen E-Mail Account sowie an die E-Mail-Adresse des Betriebsrats versandt wurde. Diese E-Mail enthielt eine Excel-Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern.

Damit dies möglich war, musste der Betriebsratsvorsitzende diese Personalliste vorher von seinem dienstlichen E-Mail Account als Mitarbeiter oder von dem des Betriebsrats an seine private E-Mail-Adresse verschickt haben. Diese E-Mail hat der Betriebsratsvorsitzende (auch aus dem -elektronischen- Papierkorb) gelöscht.

Danach beantragte der Arbeitgeber beim Arbeitsgericht den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat.

Der Betriebsratsvorsitzende und der Betriebsrat haben behauptet, der Betriebsratsvorsitzende habe die E-Mail vom 07.11.2023 nur deshalb an seinen privaten E-Mail-Account geschickt, um eine zeitnahe Bearbeitung der Excel-Tabelle zu Hause auf seinem größeren Bildschirm zu ermöglichen. Nach erfolgter Bearbeitung habe er die Daten vollständig auf seinen privaten Speichermedien gelöscht. Er habe seinen Betriebsratskollegen eine Gegenüberstellung der aktuellen Betriebsvereinbarung „Vergütungsordnung“ und dem Entwurf des Betriebsrats sowie der Konzern- Rahmenvereinbarung für die Betriebsratssitzung zur Verfügung stellen wollen.

Das Arbeitsgericht gab dem Antrag des Arbeitgeber statt, wogegen der Betriebsrat und der Vorsitzende Beschwerde einlegten.

Entscheidung

Das LAG lehnt die Beschwerden des Betriebsratsvorsitzenden und des Betriebsrats als unbegründet ab. 

Datenschutzrechtliche Pflichten des Betriebsrates

Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten.

Das LAG geht daher davon aus, dass der Betriebsrat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten hat.

Im konkreten Fall lag durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail-Account mindestens eine Erhebung der Daten im Sinne von Art. 4 Nr. 2 DSGVO vor. 

Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.“

§ 26 Abs. 1 BDSG unionsrechtswidrig?

Das LAG befasst sich zunächst kurz mit der Frage, ob § 26 Abs. 1 BDSG, nach dem Urteil des EuGH vom 30.3.2023 zu § 23 HDSIG, noch angewendet werden darf – oder als unionrechtswidrig anzusehen und damit nicht anwendbar ist.  

Im Ergebnis lässt das LAG die Frage offen und prüft die Rechtsmäßigkeit der Datenverarbeitung durch den Betriebsratsvorsitzenden sowohl nach § 26 Abs. 1 BDSG als auch nach den direkt anwendbaren Vorgaben der Art. 5 und 6 DGSVO. 

Jedoch zeigt das LAG klare Tendenzen dafür, dass § 26 Abs. 1 BDSG wohl nicht mehr angewendet werden kann:

Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.“

Keine Erforderlichkeit der Verarbeitung

Im Falle einer Anwendung von § 26 Abs. 1 S. 1 BDSG geht das LAG von dem Fehlen der Erforderlichkeit der Weiterleitung der Daten an die private E-Mail-Adresse aus. 

Es wäre des Betriebsratsvorsitzenden möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten.

Die Weiterleitung auf private Systeme, sieht das LAG hier daher keine Veranlassung.

Verstöße gegen Art. 5 und 6 DSGVO

Zunächst geht das LAG von einem Verstoß gegen Art. 5 Abs. 1 a) DSGVO aus. Die Verarbeitung muss auf „rechtmäßige Weise“ erfolgen. Dies bedeutet u.a., dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruhen muss.

Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür.“

Zudem erfolgte die Verarbeitung der Daten nicht in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. 

„Auch eine derartige Information der Beschäftigten ist nicht erfolgt.“ 

Die Betroffenen hatten keine Kenntnis von der Weiterleitung ihrer Daten. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail-Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.

Zudem geht das LAG bei der Weiterleitung der personenbezogenen (Entgelt-) Daten sämtlicher Beschäftigter an die private E-Mail-Adresse von einem Verstoß gegen Art. 5 Abs. 1 c) DSGVO (Grundsatz der Datenminimierung) aus. Dieser Grundsatz wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, 

weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und -wie ausgeführt- keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.“

Zuletzt prüft das LAG, ob eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Weiterleitung vorlag. 

Weder lag eine Einwilligung der Beschäftigten vor, noch bestand eine rechtliche Verpflichtung, die Daten an die private E-Mail-Adresse zu senden. 

Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.“

Auch eine Rechtfertigung auf der Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO lehnt das LAG ab. 

Grober Verstoß im Sinne des § 23 BetrVG

Zuletzt teilt das LAG auch die Ansicht des Arbeitsgerichts, dass die Pflichtverletzung im vorliegenden Fall auch „grob“ im Sinne von § 23 Abs. 1 BetrVG war. 

Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte.“ 

Das LAG stellt hierbei auf die Art und damit die Sensibilität der Daten ab. Mit dem Umgang solcher Daten müsse allergrößte Sensibilität verbunden sein. 

Zum wertet das LAG negativ, dass dem Betriebsratsvorsitzenden bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail-Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. 

Zuletzt verweist das LAG auch auf das persönliche Fehlverhalten des Betriebsratsvorsitzenden. Dieser zeigte sich als unbelehrbar.

Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen.“ 

Amtsgericht: Betroffene haben keinen Anspruch auf einen Nachweis der Löschung von Daten

Posted on by

Kann der Betroffene von dem Verantwortlichen verlangen, einen Nachweis über die Löschung personenbezogener Daten zu erhalten? Diese Frage stellt sich in der Praxis häufiger, etwa wenn Kunden oder (ehemalige) Mitarbeiter nach einer Löschbestätigung durch ein Unternehmen oder eine öffentliche Stelle vermuten, dass Daten nicht gelöscht wurden.

Das Amtsgericht (AG) hat sich in seinem Urteil vom 03.03.2025 (Az. 3 C 1099/24) nun mit dieser Frage befasst.

Sachverhalt

In dem Verfahren stritten die Beteiligten (jeweils natürlich Personen) über die Anfertigung von Videos durch den Beklagten. Dieser wollte per Videoaufnahmen nachweisen, dass auf dem Grundstück des Nachbarn gewerbliche Tätigkeiten vorgenommen wurden – obwohl die Häuser in einem reinen Wohngebiet liegen. Auf den Videos war auch der Kläger erkennbar.

U.a. beantragte der Kläger, die Videos zu löschen und dies nachzuweisen.

Entscheidung

Das AG hat einen Anspruch des Betroffenen auf Nachweis der Löschung ihm gegenüber abgelehnt.

Aus Art. 5 Abs. 2 DSGVO, der Rechenschaftspflicht, ergebe sich

lediglich eine abstrakte Nachweispflicht und kein Anspruch des Klägers“.

Die Rechenschaftspflicht obliege dem Verantwortlichen und bürde ihm auch die Darlegungs- und Beweislast in Streitfällen auf.

Daraus ergibt sich aber noch kein Anspruch den Nachweis ohne einen Streitfall vorzulegen“.

Unter anderem verweist das AG darauf, dass im Gesetz ein Gläubiger der Rechenschaftspflicht nicht vorgesehen sei.

Interessant war dann die Frage, ob denn nicht die Löschung als Vorgang in Bezug auf personenbezogene Daten eine Datenverarbeitung nach Art. 4 Nr. 2 DSGVO darstellt. Denn dann könnte der Kläger ja eventuell über den Auskunftsanspruch nach Art. 15 DSGVO verlangen, hierüber informiert zu werden.

Jedoch lehnt das AG eine solche Argumentation ab. Soweit die Löschung eine Datenverarbeitung darstelle (meine Anmerkung: das tut sie in jedem Fall, wie sich aus Art. 4 Nr. 2 DSGVO ergibt) und daher ein Auskunftsanspruch bestehe,

würde das dazu führen, dass die Daten nicht rückstandslos gelöscht werden, da noch ein Löschnachweis verbleiben muss“.

Dieses Ergebnis widerspreche aber dem erklärten Ziel – nämlich der Löschung der Daten.

Das AG schlägt als Alternative vor, dass der Beklagte die Möglichkeit habe, die Löschung durch eidesstattliche Versicherung nach den §§ 259 Abs. 2; 260 Abs. 2 BGB glaubhaft zu machen.

Eine Vorlage zu dieser Frage an den EuGH lehnt das AG leider ab.

Es handele sich hier nur um einen untergeordneten Nebenanspruch und das Gericht hält es für unzweckmäßig das Verfahren für (aus Erfahrung des Gerichts) zwei Jahre auszusetzen.

Ein weiteres mögliches Argument, welches gegen einen personenbezogenen Nachweis der erfolgten Löschung spricht, würde sich meines Erachtens aus Art. 11 Abs. 1 DSGVO ergeben. Danach ist der Verantwortliche nicht verpflichtet, personenbezogene Daten nur deshalb zu verarbeiten, um die Einhaltung der DSGVO nachweisen zu können.

Bundesarbeitsgericht: Kein Schadenersatz allein wegen verspäteter DSGVO-Auskunft 

Posted on by

In seinem Urteil vom 20.02.2025 (Az. 8 AZR 61/24) hatte sich das BAG mit der Frage zu befassen, ob eine verspätete Auskunft (und damit ein Verstoß gegen Art. 12 Abs. 3, Art. 15 DSGVO) per se zu einem Anspruch auf Schadenersatz führt oder die Verspätung zumindest einen Kontrollverlust indiziert – der dann als immaterieller Schaden nach Art. 82 DSGVO geltend gemacht werden kann. 

In beiden Fällen lehnte das BAG einen Anspruch nach Art. 82 DSGVO ab. 

Sachverhalt

Der Kläger war der Ansicht, die Beklagte habe mit einer nach Art. 12 Abs. 3 DSGVO verspäteten Auskunft gegen die DSGVO verstoßen. Er habe deshalb einen Anspruch auf Schadenersatz. Es bestehe ein immaterieller Schaden in Form eines wochenlangen Kontrollverlusts bzgl. der Datenverarbeitung. Er habe deshalb etwaige Rechte nicht ausüben können. Er habe auch Angst, dass die Beklagte „Schindluder“ mit seinen Daten treibe. Außerdem sei er wegen des durch die Beklagte verursachten Aufwands der Rechtsverfolgung „genervt“.

Entscheidung

Das BAG orientiert sich bei seiner Entscheidung an den relevanten Urteilen und Aussagen des EuGH zum Anspruch nach Art. 82 DSGVO. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Daran fehlet es hier.

Kontrollverlust wegen der Verspätung?

Der Kläger vertrat die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden darstelle. 

Die Ansicht des BAG: „Dies ist aber unzutreffend.“

Zwar geht das BAG (mit dem EuGH) davon aus, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, bereits für sich genommen einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann (so etwa EuGH, C-687/21). 

Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen“.

Nach Ansicht des BAG versteht der EuGH unter einem Kontrollverlust 

nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt“.

Wichtig ist hierbei das Erfordernis „begründet“. 

Das bloße Berufen auf eine bestimmte Gefühlslage reiche dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“.

Und allein eine verspätete Auskunftserteilung genügt dem BAG für diese Begründetheit nicht.

Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft“.

Auch lasse eine ungerechtfertigte Verzögerung ohne weitere Anhaltspunkte gerade nicht auf einen Datenmissbrauch schließen.

Negative Gefühle und genervt sein

Zudem habe das Landesarbeitsgericht auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

Zunächst stellt das BAG auch bezüglich dieser Schadenskategorie dar, dass ein immaterieller Schaden zwar durchaus allein in negativen Gefühlen bestehen kann. Dies betreffe Konstellationen, in denen der bloße Verstoß gegen die DSGVO zu der Befürchtung eines Datenmissbrauchs führt.

Jedoch löse die verspätete Erfüllung des Auskunftsanspruchs geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DSGVO aus. 

Wäre aber schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. 

Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt.“ 

Gerade diese Annahme (Verstoß stets auch ein Schaden) lehnt das BAG mit Verweis auf die Rechtsprechung des EuGH ab. Der EuGH hat bereits entschieden, dass allein ein Verstoß gegen die DSGVO noch nicht der Schaden im Sinne des Art. 82 DSGVO sein kann. Der EuGH unterscheidet strikt zwischen Verstoß und Schaden.

Möglich ist nach Ansicht des BAG durchaus eine Situation, in der ein Verstoß gegen die DSGVO ggf. 

so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten)“. 

Aber das Gericht müsse stets im Einzelfall prüfen, ob dies angenommen kann oder ob der Schaden gesondert begründet werden muss.

Zudem geht das BAG davon aus, dass der Verstoß gegen Art. 15 DSGVO für sich genommen keinen immateriellen Schaden begründet, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht.

Denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll“.

Zuletzt lehnt das BAG den Schaden auch mit Blick auf behauptete Emotionen wie Ärger oder Frust („genervt sein“) ab. Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

Generalanwalt am EuGH: DSGVO-Rechtsgrundlagen sind nicht (!) auf Bestandskundenwerbung per E-Mail anwendbar – Wichtige Aussagen für das E-Mail-Marketing

Posted on by

§ 7 Abs. 3 UWG spielt in der Praxis des Direktmarketings per E-Mail eine wichtige Rolle. Unter den dort genannten Voraussetzungen dürfen Bestandskunden auch ohne vorherige Einwilligung per E-Mail für Marketingzwecke kontaktiert werden. Generalanwalt (GA) Szpunar hat sich in seinen Schlussanträgen vom 27.3.25 (C-654/23) nun mit mehreren wichtigen Fragen zur Anwendbarkeit der europäischen Vorgabe des § 7 Abs. 3 UWG, Art. 13 Abs. 2 RL 2002/58 (sog. ePrivacy Richtlinie), befasst. Im Kern geht es um drei relevante Fragen und Aussagen:

  • Was ist „Direktwerbung“? (A)
  • Liegt auch bei der Bereitstellung von personenbezogenen Daten ein „Verkauf eines Produkts oder einer Dienstleistung“ vor? (B)
  • Sind bei der Verwendung der E-Mail-Adresse zusätzliche die Vorgaben des Art. 6 Abs. 1 DSGVO zu beachten? (C)

In der Darstellung benenne ich jeweils in Klammern immer kurz die Norm des § 7 Abs. 3 UWG, für die die Auslegung relevant ist.

Der EuGH muss in dem Verfahren noch entscheiden. Die Schlussanträge geben aber sicherlich schon eine gewisse Tendenz vor.

Sachverhalt

Das Verfahren aus Rumänien betraf die Betreiberin einer Online-Plattform, auf der Besucher eine festgelegte Höchstanzahl von Artikeln (sechs Artikel zum Zeitpunkt des Sachverhalts) kostenlos und ohne weitere Schritte unternehmen zu müssen aufrufen konnten.

Zudem wurde das Abonnement eines Premium-Dienstes angeboten. Dies setzte voraus, dass der Nutzer ein kostenloses Benutzerkonto auf der Plattform einrichtete. Die Einrichtung eines Kontos erforderte, dass der Nutzer eine E-Mail-Adresse angab und die Vertragsbedingungen für die Erbringung des Premium-Dienstes akzeptierte.

Mit diesem Abonnement des Premium-Dienstes erhielt der Nutzer das Recht auf Zugang zu zwei zusätzlichen Artikeln pro Monat und auf Erhalt eines täglichen E-Mail-Newsletters mit der Bezeichnung „Personal Update“ (es sei denn, der Nutzer hatte die Option gewählt, diesen Dienst nicht in Anspruch zu nehmen) sowie – gegen Gebühr und als Option – das Recht auf Zugang zu allen Artikeln des Mediums.

Der Newsletter „Personal Update“ enthielt im Wesentlichen Einzelheiten zu den neuen Rechtsvorschriften des Vortages mit Hyperlinks zu den entsprechenden im Rahmen des Mediums erschienenen Artikeln.

Nutzer konnten im Rahmen der Kontoerstellung angeben, dass sie den Newsletter nicht erhalten möchten. Es war ein Kästchen zum Ankreuzen vorgesehen, Zudem enthielt jeder Newsletter eine Opt-out Möglichkeit.

A. Was ist „Direktwerbung“?

(Voraussetzung nach § 7 Abs. 3 Nr. 2 UWG)

Zunächst prüft der GA, ob es sich bei dem Newsletter „Personal Update“ um Direktwerbung im Sinne des Art. 13 Abs. 2 ePrivacyRL (§ 7 Abs. 3 UWG) handelt.

Die rumänische Datenschutzbehörde vertrat die Auffassung, dass dies nicht der Fall sei, da der Inhalt rein redaktioneller Natur sei.

Der GA ist anderer Ansicht. Seiner Ansicht nach bietet der Newsletter „Personal Update“ den Nutzern durch die Bereitstellung von Hyperlinks zu Artikeln auf der Internetseite der Veröffentlichung

einen „Teaser“ zu Artikeln an, um die Nutzer zu verlocken, die acht Artikel, die sie monatlich kostenlos lesen können, schneller zu konsumieren.“

Der GA stellt hierbei auch auf den Zweck der Newsletters ab. Die Strategie, die von Herausgebern verfolgt wird, bestehe darin, die Nutzer zu verlocken, letzten Endes ein vollständiges Abonnement zu erwerben. Dies wird durch den Newsletter erreicht.

Indem die Nutzer zum Kauf eines vollständigen Abonnements verlockt werden, wird mit dem Newsletter „Personal Update“ daher das kommerzielle Ziel verfolgt, durch das Modell der weichen Bezahlschranke Einnahmen zu erzielen.“

Der Newsletter ist daher als „Direktwerbung“ anzusehen.

B. Erlangung der fraglichen E-Mail-Adressen „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“

(Voraussetzung nach § 7 Abs. 3 Nr. 1 UWG)

Sodann stellt sich der GA die Frage, ob die E-Mail-Adresse vorliegend entsprechend Art. 13 Abs. 2 ePrivacyRL im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erlangt wurde.

Der Begriff „Verkauf“ sei nach einer allgemein anerkannten Definition eine Vereinbarung, die notwendigerweise die Zahlung eines Entgelts für eine Ware oder einen Dienst mit sich bringe.

Aber, und diese Ansicht ist sehr wichtig: im Zusammenhang mit RL 2000/31 hat der EuGH bereits entschieden (15.9.16, C-484/14), dass die Vergütung für einen Dienst nicht notwendigerweise von denjenigen bezahlt wird, denen der Dienst zugutekommt.

Dies ist dann der Fall,

wenn eine unentgeltliche Leistung von einem Anbieter zu Werbezwecken erbracht wird, da die Kosten dieser Tätigkeit dann in den Verkaufspreis der beworbenen Güter oder Dienstleistungen einbezogen werden“.

Und so liege der Fall hier. Wie im erwähnten Urteil, werden die Kosten der Zurverfügungstellung des Dienstes in den Verkaufspreis für die Hauptleistung – im vorliegenden Fall das vollständige Abonnement – einbezogen.

Diese indirekte Form der Vergütung erfüllt die Voraussetzung der Zahlung eines Entgelts im Sinne der Definition des Gerichtshofs für „Verkauf“.“

Der GA belässt es aber nicht bei dieser Interpretation von „Verkauf“, sondern nimmt auch eine weitere Konstellation in den Blick – das Bezahlen mit Daten.

dass im heutigen digitalen Zeitalter Daten selbst als eine Ware behandelt werden“.

Nach Ansicht des GA ist es daher vorstellbar, dass es für eine Datenerhebung „im Zusammenhang mit einem Verkauf“ ausreicht, dass der Nutzer anstelle einer finanziellen Gegenleistung seine persönlichen Daten im Austausch gegen eine für ihn wertvolle Ware oder einen für ihn wertvollen Dienst zur Verfügung stellt.

Bedeutet für uns: die Preisgabe von personenbezogenen Daten (etwa E-Mail-Adresse) zur Anmeldung für einen kostenlosen Dienst, kann als Verkauf im Sinne von § 7 Abs. 3 UWG angesehen werden.

C. Sind bei der Verwendung der E-Mail-Adresse zusätzliche die Vorgaben des Art. 6 Abs. 1 DSGVO zu beachten?

Und zuletzt kommt eigentlich das „schönste“ Thema. Das Verhältnis von Art. 13 Abs. 2 ePrivacyRL (also bei uns § 7 Abs. 3 UWG) zur DSGVO und konkret zu den Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO. Benötige ich für Bestandskundenwerbung per E-Mail eine Rechtsgrundlage nach Art 6 Abs. 1 DSGVO? Oder auch: was regelt Art. 95 DSGVO?

Art. 95 DSGVO stellt klar, dass die DSGVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen keine zusätzlichen Pflichten auferlegt, soweit sie besonderen, in der ePrivacyRL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Das Verhältnis zwischen der RL 2002/58 und der DSGVO wird daher durch den Grundsatz lex specialis derogat legi generali geregelt: Immer dann, wenn es eine spezifische Bestimmung in der RL 2002/58 gibt, die Verpflichtungen enthält, mit denen dasselbe Ziel verfolgt wird wie mit den entsprechenden Bestimmungen der DSGVO, ist die Bestimmung der RL 2002/58 anzuwenden.“

Diese Ansicht ist nicht unbedingt überraschend. Auch der EDSA geht grundsätzlich von diesem Verhältnis zwischen ePrivacyRL und DSGVO aus (Stellungnahme 5/2019, Rz. 45)

Extrem relevant ist jedoch die Ansicht des GA dazu, wie weit die, wenn man so will, „Spezialität“ der ePrivacyRL reicht. Was sie also erfasst und damit die DSGVO verdrängt.

Der GA geht davon aus, dass Art. 13 Abs. 2 ePrivacyRL,

was die automatische Direktwerbung im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung anbelangt, die Voraussetzungen und die Zwecke der Verarbeitung sowie die Rechte der betroffenen Person abschließend“ regelt.

Dies folgert der GA unter anderem auch aus Art. 13 Abs. 1 ePrivacyRL, der im Grundsatz eine Einwilligung für Werbung per E-Mail verlangt.

Und was bedeutet die Ansicht des GA? Man könnte etwas überspitzt sagen: „Datenschutzbehörde will not like“.

Daher kann die Rechtmäßigkeit der Verarbeitung auf der Grundlage von Art. 13 Abs. 2 der RL 2002/58 festgestellt werden. Ein Rückgriff auf die DSGVO, insbesondere auf deren Art. 6 Abs. 1 Buchst. a bis f, ist weder möglich noch erforderlich.“

Im es kurz zu machen: der GA geht davon aus, dass man für die Verwendung einer E-Mail-Adresse für Bestandskundenwerbung nach § 7 Abs. 3 UWG gerade (keine !) Rechtsgrundlage nach der DSGVO benötigt. Natürlich nur, wenn man die gesetzlichen Vorgaben des UWG einhält.

Damit stellt sich der GA auch gegen die Ansicht der deutschen DSK, etwa in der OH-Direktwerbung, und auch deutscher Gerichte. Die DSK geht etwa davon aus:

  • Weil nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO eine Verarbeitung personenbezogener Daten nur zulässig ist, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) für die jeweilige Werbeform mit zu berücksichtigen

Folgt man dem GA, gibt es hier gar keine datenschutzrechtliche Beurteilung nach Art. 6 Abs. 1 DSGVO, da dieser nicht anwendbar ist.

Das ist im Ergebnis schon ein ziemlicher Knaller, wenn Sie mich fragen. Zwei Einschränkungen muss ich natürlich machen. Erstens, muss noch der EuGH entscheiden. Zweitens, gilt der Vorrang der ePrivacyRL / des UWG natürlich wirklich nur für Ziele und Pflichten, die sie regelt. Bsp: Datenschutzhinweise nach Art. 12 / 13 DSGVO wird es wohl auch weiterhin geben müssen.

Zuletzt noch eine weiterführende Idee, die aber nicht Teil des Verfahrens war: wenn mir Art. 13 Abs. 2 ePrivacyRL / § 7 Abs. 3 UWG vorgeben, dass ich nur für „für eigene ähnliche Produkte oder Dienstleistungen“ werben darf, muss ich als Unternehmen dann nicht zwingend eine Art Profil des Bestandskunden anlegen bzw. mindestens eine Kaufhistorie vorhalten? Um prüfen zu können, was er gekauft hat. Ist dann auch diese Verarbeitung, quasi implizit, aus dem Anwendungsbereich herausgenommen? Warten wir nun erst einmal, was der EuGH sagt.

Datenschutzrechtliche Folgen der „Mitnahme“ von Kundendaten zum Konkurrenten und deren Verwendung durch Unternehmen

Posted on by

In ihrem neuen Tätigkeitsbericht 2024 berichtet die Sächsische Datenschutzbehörde über ein aufsichtsbehördliches Verfahren gegen ein Unternehmen A aus dem Pflegebereich, welches Kundendaten eines konkurrierenden Unternehmens B von einer neuen Mitarbeiterin erhalten hatte. Diese Mitarbeiterin hatte die Kunden zuvor bei Unternehmen B betreut und war zu Unternehmen A gewechselt – samt der Kundendaten.

Datenschutzrechtliche Folgen für die Mitarbeiterin

Die Aufsichtsbehörde prüfte u.a., ob sie gegen die Mitarbeiterin vorgehen müsste. Dies scheiterte jedoch daran, dass das Verhalten der ehemaligen Mitarbeiterin in Ermangelung eines Wohnsitzes im Freistaat Sachsen nicht im Zuständigkeitsbereich der Aufsichtsbehörde erfolgt ist.

Wie etwa die jüngste Entscheidung des OLG Stuttgart zum Bußgeld gegen Mitarbeiter zeigt (Blogbeitrag hier), besteht für Mitarbeiter, die etwa entgegen vertraglicher Regelungen Kundendaten „mitnehmen“, auf jeden Fall ein rechtliches Risiko, selbst als Verantwortlicher eingestuft und Ziel aufsichtsbehördlicher Maßnahmen, inkl. eines Bußgeldes, zu werden.

Datenschutzrechtliche Folgen für das Unternehmen A

Die sächsische Behörde konzentrierte sich dann auf die Ermittlung gegenüber dem Unternehmen A, welches im Rahmen seiner Anhörung eingeräumt hatte, dass es die Kundendaten in sein Datensystem übernommen und sämtliche Kunden angeschrieben hatte. Von den angeschriebenen Kunden entschieden sich rund 38 % für einen Wechsel zu dem sächsischen Unternehmen.

Für die Speicherung und Verwendung der Kontaktdaten sah die Aufsichtsbehörde hier jedoch keinen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO einschlägig und bewertete die Datenverarbeitung damit als rechtswidrig.

  • Eine Einwilligung der Kunden, von dem neuen Unternehmen angeschrieben zu werden, lag nicht vor.
  • Die Speicherung und Nutzung der Kontaktdaten konnte auch nicht auf Art. 6 Abs. 1 b) DSGVO gestützt werden, da die Kontaktaufnahme mit dem Ziel des Abschlusses eines neuen Vertrages nicht von den Kunden selbst, sondern von dem sächsischen Unternehmen ausgegangen war.
  • Zudem konnte das Unternehmen kein eigenes und ein gegenüber den angeschriebenen Kunden vorrangig zu berücksichtigendes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO nachweisen.

Zudem geht die Aufsichtsbehörde von einem Verstoß gegen den Datenschutzgrundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO aus. Da die Kundendaten allein für die Betreuung der Kunden durch das konkurrierende Unternehmen B nach dem alten bestehenden Pflegevertrag gedacht waren,

stellt die Übernahme und die Nutzung der Daten zur Kontaktaufnahme durch das sächsische Unternehmen eine nicht mit diesem Zweck zu vereinbarende Nutzung und damit einen Verstoß gegen Art. 5 Abs. 1 Buchst. b DSGVO dar.“

Spannend ist aus meiner Sicht die von der Aufsichtsbehörde festgesetzte Maßnahme in diesem Verfahren. Oder aus Sicht des Unternehmens: was mich in einem solchen Fall erwartet.

Und diesbezüglich ist das sächsische Unternehmen aus meiner Sicht sehr glimpflich davongekommen.

Die Behörde verlangte von dem sächsischen Unternehmen, zumindest die Daten von den

Kunden vollständig zu löschen, mit denen kein neues Vertragsverhältnis begründet werden konnte.“

Bedeutet: im Ergebnis musste das Unternehmen 62 % der erhaltenen Daten löschen.

Das Verfahren wurde mit einer Verwarnung abgeschlossen. Weitere Folgen gab es jedoch nicht. Also auch kein Bußgeld.

Folgen für die Praxis

Aus Sicht von Unternehmen ist das Vorgehen der Aufsichtsbehörde für mich als sehr wohlwollend einzustufen. Das Unternehmen A darf ja im Ergebnis unzulässig erlangte und verwendete Daten nutzen und damit nun Umsatz generieren. Rein datenschutzrechtlich betrachtet, bietet der Sachverhalt schon auch andere, strengere Ansätze.

  • Die vorgelagerte unzulässige Speicherung und Verwendung von Kontaktdaten, immerhin von 100 % der Daten, könnte sanktioniert werden.
  • Die nachgelagerte weitere Speicherung von 62 % der Kundendaten könnte sanktioniert werden. Diese Daten scheinen ja noch vorhanden gewesen zu sein, obwohl Kunden entweder nicht reagiert oder evtl. sogar ablehnend reagiert haben.
  • Da die Kontaktdaten in der Absicht verwendet werden, um sich zu bereichern, könnte ein Straftatbestand nach § 42 BDSG erfüllt sein.

Spannend ist für mich in diesem Fall auch die (wohl) eingenommene Position der Aufsichtsbehörde, dass sich vorgelagerte datenschutzrechtlich Verstöße nicht auf eine nachgelagerte Datenverwendung auswirken. Zumindest wenn danach auf Grundlage von Art. 6 Abs. 1 b) DSGVO Daten verarbeitet werden.

Um einen Extremfall zu bilden: wenn ich ein neues, „aggressives“ Start up bin und in einen Markt möchte, versuche ich so schnell es geht an Kundendaten der Konkurrenz zu gelangen, kontaktiere die Kunden und versuche, so viele Verträge wie möglich zu schließen. Die „nicht aktivierten“ Leads werden gelöscht. Risiko für das Unternehmen nach dem oben geschilderten Fall: eine Verwarnung.

Im Ergebnis also eine aus Sicht von Unternehmen sehr pragmatische Herangehensweise der Aufsichtsbehörde. Ob jedoch alle Aufsichtsbehörden in Deutschland so vorgehen würden, möchte ich zumindest bezweifeln. So etwa der Hinweis der Aufsichtsbehörde aus Thüringen, die in einem ähnlichen Fall sogar entsprechend § 43 Abs. 2 BDSG alt (jetzt  § 42 Abs. 2 BDSG) einen Strafantrag gestellt hat, da die Daten mit Bereicherungsabsicht verwendet wurden.

Daher sollten Unternehmen in jedem Fall immer eine Risikobetrachtung vornehmen, wenn Daten der Konkurrenz für eigene Zwecke genutzt werden sollen.

Hat die Datenschutzbehörde NRW das Thema „Herausgabe von E-Mails im Rahmen der Auskunft“ geklärt?

Posted on by

Werden in der Praxis Auskunftsanspräche nach Art. 15 DSGVO geltend gemacht, stellt sich oft die Frage, wie weit der Begriff „personenbezogene Daten“ und auch jener der „Kopie“ in Art. 15 Abs. 3 DSGVO zu verstehen sind, wenn es um eine mögliche Herausgabe von E-Mails geht. Der Klassiker ist hierbei etwa die Auskunft eines ehemaligen Mitarbeiters, der mehrere Jahre im Unternehmen gearbeitet und hunderte oder tausende E-Mails erzeugt hat.  

Vorgaben des EuGH

Eine klare Aussage des EuGH, ob E-Mails an sich im Rahmen des Art. 15 DSGVO herauszugeben sind, wenn etwa im AN-Feld oder im CC-Feld die personalisierte E-Mail-Adresse des Betroffenen vorkommt, fehlt bisher.

Die Vorgaben des EuGH sind:

  • Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen.
  • Der Begriff „Kopie“ bezeichnet die originalgetreue Reproduktion oder Abschrift, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, nicht ausreicht.
  • Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben.
  • Es kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten.

Und wie ist vor diesem Hintergrund eine E-Mail zu beauskunften, in deren AN-Feld oder etwa im CC der Name des Betroffenen als E-Mail-Adresse vorhanden ist? Ist dann nur die E-Mail-Adresse zu beauskunften oder ist erforderlich, dass die ganze Mail (etwa als Ausdruck oder als PDF) herausgegeben wird?

Ansicht der LDI NRW zu Namen in Briefköpfen

In ihrem letzten Tätigkeitsbericht 2023 befasst sich die LDI NRW zwar nicht mit der Auskunft zu E-Mails, jedoch mit einer aus meiner Sicht durchaus vergleichbaren Situation: müssen Dokumente / Briefe an einen Betroffenen herausgegeben werden, wenn sein Name in dem Briefkopf enthalten ist, der auf den Dokumenten steht, der Inhalt der Dokumente aber sonst keinen Bezug zur Person aufweist? Übertragen auf unseren E-Mail-Fall also etwa, wenn die E-Mail-Adresse im AN- oder CC-Feld vorhanden ist.

Die LDI NRW war mit einem Fall befasst, in dem sich ein Rechtsanwalt auf sein Auskunftsrecht nach Art. 15 DSGVO gegenüber einer Versicherung berief. Er verlangte Kopien des gesamten Schriftverkehrs zwischen der Versicherung und einer Kanzlei, in der er Partner war. Er begründete seinen Auskunftsanspruch damit, dass sein Name, wie es das Berufsrecht vorschreibt, als Partner auf dem Briefbogen der Kanzlei genannt ist.

Entscheidend kommt es aus Sicht der LDI hierbei auf die Vorgabe des EuGH an, dass eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten nur dann erforderlich ist, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Zwar stelle die Nennung des Namens des Anwalts auf den Schreiben an die Versicherung ist ein personenbezogenes Datum dar. In unserem Fall, die E-Mail-Adresse.

Der Auskunftsanspruch erstreckt sich aber deswegen nicht automatisch auf alle Inhalte einer umfassenden Korrespondenz.“

In unserem Fall: nur weil eine E-Mail in einem AN- oder CC-Feld die E-Mail-Adresse erhält, erstreckt sich das Auskunftsrecht noch nicht per se auf den Inhalt der E-Mails.

Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sieht die LDI (mit dem EuGH) nur dann als erforderlich an, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Im vorliegenden Fall kam die LDI zu dem Schluss:

Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.“

Um meine Frage aus der Überschrift zu beantworten: nein, die LDI hat das Thema nicht geklärt – zumindest nicht direkt. Jedoch lässt sich die Ansicht und Argumentation der LDI auf E-Mail-Sachverhalte übertragen. Allein der Umstand, dass eine personalisierte E-Mail-Adresse in E-Mails enthalten ist, bedeutet nicht, dass diese E-Mails als Ganzes herauszugeben sind.