Kontaktaufnahme per E-Mail oder Kontaktformular: bitte ohne Einwilligung

Posted on by

Immer wieder lese ich im Internet Datenschutzhinweise, in denen etwas steht wie:

„Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über die auf der Webseite angegebene E-Mailadresse des Kundenservice Kontakt aufzunehmen. Ihre Angaben werden zur Beantwortung Ihrer Anfrage verarbeitet. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit uns erfolgt nach Art. 6 Abs. 1 S. 1 lit. a DSGVO auf Grundlage Ihrer freiwillig erteilten Einwilligung.“

Ähnliche Texte gibt es auch zur Kommunikation via Kontaktformular (was ja im Hintergrund oft auch nur eine Mail auslöst).

Verwendung ohne Not

Und jedes Mal, wenn ich solche Angaben lese, denke ich: ihr glaubt doch nicht wirklich, dass so eine Kontaktaufnahme als Einwilligung nach Art. 6 Abs. 1 DSGVO gewertet werden kann? Wie soll das gehen? Wie dokumentiert ihr die Einwilligung? Wo findet man den Text der Einwilligungserklärung?

Wie so oft im Datenschutzrecht, werden solche Placebo-Hinweise aus Un- und fehlender Fachkenntnis oder mangelndem Willen zur richtigen Beratung in der Sache einfach „rausgefeuert“. Oft auch übernommen aus falschen Standardmustern.

Mit potentiellen Risiken

Für die Unternehmen, Vereine oder öffentliche Stellen, die solche Hinweise verwenden, kann dies (im worst case) durchaus negative Konsequenzen haben. Bsp: jemand ist mit dem Kundenservice nicht zufrieden und beschwert sich bei der Aufsichtsbehörde. Diese schreibt dem Verantwortlichen und fragt etwa nach der Rechtsgrundlage der Verwendung der Daten des Anfragenden. Wenn man nun antwortet „Einwilligung“, dann wird man diese im Zweifel auch nachweisen können müssen. Kann man aber nicht. Wenn man antwortet, „Sorry, wir haben uns vertan. Es ist doch eine andere Rechtsgrundlage“, dann hat man in den Datenschutzhinweisen falsch informiert. Beide Ergebnisse sind nicht gut – und absolut vermeidbar.

Es geht sehr viel ohne Einwilligung

Für mich sind solche Situationen (Anfrage von interessierten Personen per Mail oder Kontaktformular) aber eigentlich ein Paradebeispiel der Rechtsgrundlage nach Art. 6 Abs.  1 f) DSGVO, also der Interessenabwägung. Und für öffentliche Stellen dann ggfs. noch nach Art. 6 Abs. 1 e) DSGVO, zur Aufgabenwahrnehmung.

Nach ErwG 47 DSGVO sind vor allem zwei Aspekte bei Art. 6 Abs. 1 f) DSGVO relevant:

  • Vernünftige Erwartungen des Betroffenen: gerade in der oben beschrieben Situation weiß doch der Betroffene, dass er Kontakt aufnimmt. Er weiß auch, dass seine Angaben zur Kommunikation genutzt werden. Er erwartet diese Datenverwendung auch.
  • Kann der Betroffene absehen, „dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“: ja natürlich kann er das. Denn er initiiert die Kontaktaufnahme.

Und auch Art. 6 Abs. 1 b) DSGVO, also die Anbahnung eines Vertrags oder die Durchführung (Kommunikation mit Kunden) kann je nach Situation als Rechtsgrundlage dienen.

Auch deutsche Aufsichtsbehörden sind bei der Frage der Rechtsgrundlage gegen die Einwilligung.

Die hessische Datenschutzbehörde (TB 2024, S. 127) geht etwa davon aus: „Hier ist ganz deutlich Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO die passende und richtige Rechtsgrundlage für die Datenverarbeitung…“. Eine „Einwilligung der Dienstenutzenden in die Verarbeitung ihrer Daten ist in solchen Fällen offensichtlich nicht notwendig“.

Zu Kontaktformularen auf Websites vertritt etwa das BayLDA (TB 2017/18, S. 56) die Ansicht: „Grundsätzlich bedarf es keiner Einwilligung durch den Nutzer, da die Datenverarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt werden kann“.

Natürlich muss man neben der Rechtsgrundlage auch die übrigen Vorgaben der DSGVO beachten (etwas den Grundsatz der Datenminimierung bei Kontaktformularen, also welche Daten man von Betroffenen erfragt). Aber auch dies ist meiner Erfahrung nach wirklich kein Hexenwerk.

Externe „Spam-Mail“ zu einer Sicherheitslücke: Österreichische Datenschutzbehörde verhängt Bußgeld gegen Unternehmen wegen unterlassener Meldung einer Datenpanne

Posted on by

Am 4. September 2025 erließ die österreichische Datenschutzbehörde (DSB) eine Entscheidung in einem Fall, in dem ein Unternehmen es versäumt hatte, die DSB gemäß Art. 33 DSGVO über eine Datenschutzverletzung zu informieren.

Sachverhalt

Eine unbekannte Person entdeckte eine Sicherheitslücke auf der Subdomain der Website des Unternehmens, die es aufgrund fehlender technischer Sicherheitsvorkehrungen ermöglichte, personenbezogene Daten (u. a. Namen, E-Mail-Adressen, Telefonnummern, Geschlecht) zu extrahieren. Die Person informierte das Unternehmen per E-Mail, doch die Nachricht wurde von einer Mitarbeiterin fälschlicherweise als Spam behandelt und erreichte weder die Geschäftsleitung noch die IT-Abteilung. Nachdem keine Antwort erfolgt, schickte eine andere Person (Vertreter eines Vereins) eine zweite E-Mail, diesmal mit der österreichischen DSB in „CC“.

Das Unternehmen handelte daraufhin schnell, um die Sicherheitslücke zu schließen, und die Person, die die Sicherheitslücke gemeldet hatte, bestätigte die Löschung aller Dateien, auf die sie zugegriffen hatte. Die IT-Abteilung des Unternehmens dokumentierte den Vorfall, aber das Unternehmen meldete keine Datenschutzverletzung an die DSB.

Entscheidung der Datenschutzbehörde

Die DSB leitete eine Untersuchung ein und fragte das Unternehmen, warum sie nicht gemäß Art. 33 DSGVO über die Verletzung informiert worden sei. Das Unternehmen argumentierte, dass keine weitere Benachrichtigung erforderlich sei, da die Datenschutzbehörde bereits in der zweiten E-Mail in „CC“ gesetzt wurde.

Die DSB widersprach dieser Ansicht und stellte klar, dass eine externe E-Mail über ein potenzielles Sicherheitsproblem keine gültige Benachrichtigung gemäß Art. 33 DSGVO darstellt. Art. 33 DSGVO enthalte keine Ausnahme für einen solchen Fall, dass Dritte die Aufsichtsbehörde über eine Datenschutzverletzung informieren.

Wenn eine dritte Person die DSB über einen Vorfall informiert, handelt es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden.“

Zudem ging es noch um die Frage, wann der Verantwortliche Kenntnis von der Datenschutzverletzung erlangte – mit der ersten „Spam-Mail“ oder aber erst mit der zweiten Mail?

Die DSB geht davon aus, dass der Verantwortliche bereits durch den ersten Hinweis, welcher von einer Mitarbeiterin als „Spam-Nachricht“ eingestuft wurde, Kenntnis erlangte. Die unterlassene interne Weiterleitung der Nachricht, muss sich der Verantwortliche zurechnen lassen.

Die Beschuldigte übersieht hierbei, dass das Verhalten ihrer Arbeitnehmerin ihr unmittelbar zugerechnet wird. Für die Strafbarkeit nach Art. 83 DSGVO ist im Falle einer juristischen Person nämlich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans erforderlich“.

Fazit

Natürlich werden in der Praxis nicht alle Hinweise auf eine mögliche Sicherheitsverletzung wirklich echt sein. Jedoch sollten Verantwortliche darauf achten, interne Vorgaben und Prozesse vorzuhalten, dass die Einschätzung darüber, ob eine solche Nachricht „echt“ ist, durch fachliche geschulte Mitarbeiter, etwa in der IT-Abteilung, bei Compliance oder im Datenschutz, erfolgt.

„Zu viel Aufwand“ zählt nicht – EDSA lehnt Verhältnismäßigkeitsprüfung bei Auskunftsanfragen ab

Posted on by

Wenn Unternehmen oder öffentliche Stellen mit Auskunftsanträgen nach Art. 15 DSGVO konfrontiert sind, kann sich deren Erfüllung in der Praxis manchmal als extrem aufwendig herausstellen. Schließlich müssen in diesem Fall intern alle personenbezogenen Daten zu der betroffenen Person herausgesucht werden. Gerade im Verhältnis zwischen Arbeitgeber und Arbeitnehmern kann dies, bei langjährigen Arbeitsverhältnissen, zu nicht zu unterschätzenden Aufwänden führen.

Im Rahmen einer Stellungnahme zum Entwurf des Durchführungsbeschlusses der Kommission über den angemessenen Schutz personenbezogener Daten im Vereinigten Königreich befasste sich der EDSA – kurz, aber eindeutig – mit der Frage, ob bei der Erfüllung von Auskunftsanfragen ein Verhältnismäßigkeitskriterium angewendet werden darf. Konkret also, ob ein Verantwortlicher berechtigt sein kann, eine Anfrage nicht vollständig zu erfüllen, weil die Suche nach den Daten in internen Systemen zu aufwendig wäre.

Art. 15 Abs. 1A UK GDPR führt eine Verhältnismäßigkeitsprüfung ein, wie es in der britischen Rechtsprechung entwickelt wurde. Nach Absatz 1A

„hat die betroffene Person nur Anspruch auf eine solche Bestätigung, personenbezogene Daten und sonstige Informationen, die der Verantwortliche auf Grundlage einer angemessenen und verhältnismäßigen Suche nach den in diesem Absatz beschriebenen personenbezogenen Daten und sonstigen Informationen bereitstellen kann.“

Verantwortliche müssen daher nur „angemessene und verhältnismäßige Suchvorgänge“ durchführen, um Auskunftsanfragen zu erfüllen.

Der EDSA hebt hervor, dass eine solche Verhältnismäßigkeitsprüfung im EU-Datenschutzrahmen nicht vorgesehen ist:

„Das Unionsrecht sieht keinen allgemeinen Vorbehalt der Verhältnismäßigkeit in Bezug auf den Aufwand vor, den der Verantwortliche zur Erfüllung von Betroffenenanfragen nach Art. 12 DSGVO zu leisten hat, sondern enthält nur die in Absatz 5 genannten Ablehnungsgründe.“

Ist der Versuch einer Datenverarbeitung bereits eine „Verarbeitung“ im Sinne der DSGVO?

Posted on by

In seinem Urteil vom 4.10.2024 (Rs. C‑548/21) hatte der EuGH u.a. die Frage zu beantworten, ob der Anwendungsbereich der Richtlinie (EU) 2016/680 eröffnet ist und eine „Verarbeitung“ nach Art. 3 Nr. 2 der Richtlinie vorliegt, wenn Polizeibehörden versuchen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – auch wenn dieser Versuch scheitert und Daten faktisch nicht verarbeitet werden.

Zwar erging die Entscheidung zu Art. 3 Nr. 2 der Richtlinie 2016/680 (der Schwesterrichtlinie der DSGVO für den polizeilichen Bereich). Die Definition der „Verarbeitung“ ist jedoch deckungsgleich mit jener Definition in Art. 4 Nr. 2 DSGVO. Daher sind die Erwägungen des EuGH auch auf die DSGVO übertragbar.

„Verarbeitung“ bezeichnet nach Art. 3 Nr. 2 der Richtlinie und auch Art. 4 Nr. 2 der DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wortlaut

Der EuGH betrachtet zunächst den Wortlaut der Norm. Insbesondere aus der Verwendung der Begriffe „jeder … Vorgang“, „jede … Vorgangsreihe“ und „eine andere Form der Bereitstellung“, ergebe sich, dass der Unionsgesetzgeber den Ausdruck „Verarbeitung“ und damit den sachlichen Anwendungsbereich der Richtlinie weit fassen wollte.

Zudem fügt der EuGH hinzu, dass die Aufzählung an Verarbeitungsformen in der Definition bewusst nicht abschließend sei.

Bereits diese, den Wortlaut betreffenden Gesichtspunkte sprechen nach Auffassung des EuGH somit für eine Auslegung,

wonach Polizeibehörden, wenn sie ein Telefon sicherstellen und versuchen, auf diesem Telefon gespeicherte personenbezogene Daten auszulesen oder abzufragen, eine Verarbeitung im Sinne von Art. 3 Nr. 2 der Richtlinie 2016/680 vornehmen, auch wenn es ihnen aus technischen Gründen nicht gelingen sollte, auf diese Daten zuzugreifen“.

Allein der Versuch einer Verarbeitung stellt also bereits die Verarbeitung dar, auch wenn es faktisch gerade nicht zu der beabsichtigten Verarbeitung kommt.

Grundsatz der Zweckbindung

Zudem betrachtet der EuGH auch den Kontext, in dem Art. 3 Nr. 2 der Richtlinie steht.

Nach Art. 4 Abs. 1 b) sehen die Mitgliedstaaten vor, dass personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. In der DSGVO entspricht dies dem Grundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO.

Die Wirksamkeit dieses Grundsatzes setzt nach Ansicht des EuGH aber zwingend voraus, dass der Zweck der Datenerhebung

„schon dann ermittelt wird, wenn die zuständigen Behörden versuchen, auf personenbezogene Daten zuzugreifen, da ein solcher Versuch, wenn er erfolgreich ist, es ihnen u. a. ermöglichen kann, die fraglichen Daten unverzüglich zu erheben, auszulesen oder abzufragen“.

Der EuGH betrachtet hier also nicht isoliert den Versuch, sondern bezieht auch die Folge des erfolgreichen Versuchs (= Zugriff auf Daten) mit ein. Bei erfolgreichem Versuch kommt es zur Verarbeitung. Da dazwischen keine weiteren Schritte liegen, können die datenschutzrechtlichen nur bereits vorab erfüllt werden. Nach erfolgreichem Versuch wäre es etwa für eine Information des Betroffenen zu spät.

Im Ergebnis stellt der EuGH fest, dass ein Versuch von Polizeibehörden, für die Zwecke strafrechtlicher Ermittlungen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen, in den Anwendungsbereich der Richtlinie 2016/680 fällt. Auch der Generalanwalt hatte in seinen Schlussanträgen diese Ansicht vertreten. Seines Erachtens führt eine Polizeibehörde, die ein Telefon sicherstellt, auf dem solche Daten gespeichert sind, und daran hantiert, um auf die Daten zuzugreifen, einen „Verarbeitungsvorgang“ durch, auch wenn dieser aus technischen Gründen infolge der Verschlüsselung erfolglos bleibt.

Fazit

Ich denke, dass für den EuGH bei seiner Auslegung ein wichtiger Aspekt war, dass der erfolgreiche Versuch direkt zur Verarbeitung geführt hätte. Datenschutzrechtliche Pflichten konnten dann nur bereits vor dem Versuch ordentlich beachtet und erfüllt werden.

Vorbeugende Beschwerde bei der Datenschutzbehörde zulässig?

Posted on by

In seinen Schlussanträgen vom 25.9.2025 (Rs. C‑474/24) befasst sich Generalanwalt Spielmann u.a. auch mit der interessanten Frage, ob Betroffene nach Art. 77 eine Beschwerde bei einer Datenschutzbehörde gegen eine Verarbeitung einlegen können, die noch nicht stattfindet – also eine Art vorbeugende Beschwerde.

Wortlaut sieht diesen Fall nicht explizit vor

Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, „wenn [sie] der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Der Wortlaut der Norm sieht zumindest nicht ausdrücklich den Fall vor, in dem die Verarbeitung noch nicht stattgefunden hat. Es wird der Ausdruck „verstößt“ im Präsens verwendet, was nach Ansicht des Generalanwalt zu bedeuten scheint, dass die Verarbeitung bereits stattgefunden haben muss. Jedoch schließt er die Möglichkeit, dass auch eine künftige Verarbeitung umfasst sein kann, als solche nicht aus).

Zweck der Beschwerde

Danach widmet sich der Generalanwalt im Rahmen der Auslegung dem Sinne und Zweck des Art. 77 DSGVO.

Eine Beschwerde durch Betroffene soll dazu führen, dass Datenschutzbehörden tätig werden, um ihre Aufgaben zu erfüllen und ihre Befugnisse wahrzunehmen.

Der Generalanwalt verweist auf Art. 58 Abs. 1 DSGVO, wonach jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse zur Bearbeitung eingereichter Beschwerden zur Verfügung stehen. Zu den Befugnissen der Aufsichtsbehörde nach Art. 58 Abs. 2 a) DSGVO gehört es, einen Verantwortlichen zu „warnen“, dass „beabsichtigte“ Verarbeitungsvorgänge „voraussichtlich“ gegen die DSGVO verstoßen.

Dass die DSGVO hier vorsieht, dass eine Aufsichtsbehörde auch eine zukünftige Verarbeitung prüfen kann, sieht der Generalanwalt als Teil eines Ansatzes,

den man als „vorbeugenden Schutz“ der Rechte der betroffenen Person bezeichnen kann“.

Vorbeugende Pflichten der DSGVO

Zudem stellt der Generalanwalt heraus, dass der Verantwortliche, bestimmte Verpflichtungen erfüllen und insbesondere die betroffene Person vor der Verarbeitung informieren muss.

Aus diesen kontextbezogenen Gesichtspunkten leitet der Generalanwalt ab, ein vorsorglicher oder präventiver Ansatz der Aufsichtsbehörden bei der Bearbeitung von Beschwerden im Kontext der DSGVO nicht von vornherein ausgeschlossen werden kann.

Ziele der DSGVO

Zuletzt betrachtet der Generalanwalt bei seiner Auslegung des Art. 77 DSGVO auch die generellen Ziele der DSGVO. Aus ErwG 10 geht hervor, dass sie darauf abzielt, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten.

Würde man die den Aufsichtsbehörden in Art. 57 Abs. 1 f) DSGVO auferlegte Verpflichtung, sich mit Beschwerden zu befassen, durch eine Auslegung von Art. 77 Abs. 1 DSGVO einschränken, nach der jede Möglichkeit ausgeschlossen wäre, eine Beschwerde bei einer Aufsichtsbehörde „im Vorfeld einer Verarbeitung“ einzureichen, könnte dies den Zielen dieser Verordnung zuwiderlaufen.

Zulässigkeit der vorbeugenden Beschwerde – aber …

Insgesamt geht der Generalanwalt daher davon aus, dass eine gemäß Art. 77 DSGVO eingelegte Beschwerde zulässig sein kann, obwohl die Verarbeitung personenbezogener Daten der betroffenen Person zum Zeitpunkt der Einreichung ihrer Beschwerde bei der Aufsichtsbehörde noch nicht stattgefunden hat.

Rein praktisch stellt sich dann natürlich die Frage, „wie früh“ die Beschwerde eingelegt werden kann? Wie konkret muss also die geplante Verarbeitung feststehen?

Einschränkend zur generellen Zulässigkeit der vorbeugenden Beschwerde geht der Generalanwalt davon aus, dass der geltend gemachte Verstoß gegen die DSGVO dafür geeignet sein muss und dass die betreffende Verarbeitung

nicht rein hypothetischer Natur sein darf“.

So wäre seiner Ansicht nach etwa eine Beschwerde, die sich auf die in Art. 12 DSGVO vorgesehene Informationspflicht oder auf das in Art. 15 DSGVO vorgesehene Auskunftsrecht bezieht, beispielsweise vor Beginn einer Datenverarbeitung zulässig.

Der Generalanwalt fügt danach ein Beispiel an, wann eine vorbeugende Beschwerde jedoch unzulässig ist. Hierbei stellt er auf den konkret geltend gemachten Verstoß und auch die Möglichkeit des Verantwortlichen ab, diesen Verstoß zu beseitigen.

Im vorliegenden Fall legte die Betroffene eine Beschwerde zur Löschung von Daten nach Art. 17 DSGVO sein, wobei die Daten noch nicht veröffentlicht waren. Die Betroffene hat angegeben, dass die Veröffentlichung ihrer Daten „mit ziemlicher Sicherheit unmittelbar bevorstehe“.

Konkret zu dieser Beschwerde geht der Generalanwalt davon aus, dass die auf das Recht auf Löschung gemäß Art. 17 DSGVO gestützte Beschwerde unzulässig war, weil sie eine Verarbeitung (hier die Veröffentlichung der personenbezogenen Daten der betroffenen Person) betrifft, die, auch wenn sie unmittelbar bevorsteht, weder zum Zeitpunkt der Einreichung der Beschwerde bei der Aufsichtsbehörde noch zum Zeitpunkt des Erlasses der Entscheidung dieser Aufsichtsbehörde vorlag.

Eine auf Löschung der Daten gerichtete Beschwerde setze naturgemäß voraus, dass die betreffende Verarbeitung, in diesem Fall die Veröffentlichung der Daten, tatsächlich stattgefunden hat. Dem Verantwortlichen dürfte es nämlich unmöglich sein, aufgrund einer solchen Beschwerde tätig zu werden und Daten zu löschen, wenn diese noch nicht veröffentlicht wurden.

Bundesverwaltungsgericht Österreich: Falsche Einschätzung des Datenschtzbeauftragten wird dem Verantwortlichen im Bußgeldverfahren zugerechnet

Posted on by

Das Bundesverwaltungsgericht Österreich musste sich in seiner Entscheidung vom 27. Dezember 2024 (Aktenzeichen W258 2227269-1/39E) mit der Rechtmäßigkeit des Verkaufs personenbezogener Daten, darunter auch Angaben zu politischen Affinitäten der betroffenen Personen befassen. Eine wichtige Frage war hier, ob bestimmte Informationen „personenbezogene Daten“ darstellen.


Sachverhalt
Im Jahr 2019 leitete die österreichische Aufsichtsbehörde eine Untersuchung ein, nachdem Medienberichte behauptet hatten, ein Unternehmen habe personenbezogene Daten, einschließlich Angaben zu „politischen Affinitäten“, verkauft. Daraufhin wurde ein Verwaltungsstrafverfahren wegen des Verdachts der unrechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten ohne Einwilligung, weiterer rechtswidriger Verarbeitungen, Versäumnissen bei der Datenschutz-Folgenabschätzung, sowie unzureichender Transparenz eingeleitet. Nachdem gegen das Unternehmen eine Geldbuße verhängt wurde, legte es Rechtsmittel gegen den Bescheid beim Bundesverwaltungsgericht ein, welches die Entscheidung zunächst aufhob. Diese Aufhebung kassierte allerdings der österreichische Verwaltungsgerichtshof unter Verweis auf das EuGH-Urteil in der Rechtssache C-807/21. Damit landete der Fall wieder beim Bundesverwaltungsgericht.


Entscheidung
Das Urteil ist insbesondere in Bezug auf die Haftung des Verantwortlichen für Fehleinschätzungen des eigenen Datenschutzpersonals und des Datenschutzbeauftragten bemerkenswert.

Im Rahmen der subjektiven Voraussetzungen zur Verhängig einer Geldbuße gemäß Art. 83 DSGVO ist es erforderlich, dass der Verantwortliche einen in Art. 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. Das BVwG geht hier von einem fahrlässigen Verhalten aus, welches u.a. aus den Fehleinschätzungen der Datenschutzmanagerin und der Datenschutzbeauftragten abgeleitet wird.

Kein Ausschluss der Zurechnung durch das existierende Kontrollsystem

Zwar geht das BVwG davon aus, dass sich das Unternehmen auf organisatorischer Seite mit beachtlichen Ressourcen-Aufwand auf die Anwendbarkeit der DSGVO vorbereitet hat.

So wurde intern die datenschutzrechtliche Bewertung wie folgt gegliedert:

  • Erstbeurteilung einer Datenverwendung in dem jeweiligen Fachbereich einerseits.
  • Verpflichtenden Einbindung der Datenschutzbeauftragten andererseits.

Dieses System scheint nach Auffassung des BVwG auf den ersten Blick zweckmäßig zu sein, zumal die Fachbereiche den besten Einblick in die von Ihnen vorgenommenen Datenverwendung haben und die Datenschutzbeauftragte eine rechtlich unabhängige Kontrolle ermöglichen sollte.

„Im konkreten Fall gestaltet sich diese Aufteilung allerdings als problematisch, weil die Erstbeurteilung damit Personen auferlegt worden ist, die – wenngleich datenschutzrechtlich ausgebildeten – juristischen Laien sein konnten/bzw waren und – als aus dem Fachbereich kommend – ein starkes Interesse an der Durchführung der geplanten „eigenen“ Datenverarbeitungen haben können.“

Hieraus folgte nach Ansicht des Gerichts „die beachtliche Gefahr grundlegender juristischer Fehlinterpretationen aufgrund fehlender allgemeiner juristischer Kenntnisse„.

Das BVwG geht daher hinsichtlich des Kontrollsystemens davon aus, dass dies nicht ausreichend war.

„entgegen ihrer Meinung lag damit auch kein wirksames Überwachungs- und Kontrollsystem vor, dass eine verschuldensbegründende Zurechnung an die Beschwerdeführerin ausschließen könnte“

Fehlerhafte Einschätzungen der Mitarbeiter

Hinsichtlich der Datenverarbeitungen sind die Datenschutzmanagerin und die Datenschutzbeauftragte davon ausgegangen, dass es sich bei statistischen Werten nicht um personenbezogene Daten handelt, und zwar auch dann, wenn sie konkreten Personen zugeschrieben werden.

Nach Auffassung des BVwG war diese Rechtsansicht

„insbesondere vor dem Hintergrund der bereits vor Anwendbarkeit der DSGVO zur in diesen Aspekten vergleichbaren Datenschutz-Richtlinie (95/46/EG) und dem DSG 2000 vorliegenden Judikatur der Datenschutzkommission, der Datenschutzbehörde (…) und des EuGH (EuGH 22.06.2017, C-434/16, Nowak) unvertretbar“

Das Gericht geht in seiner Begründung danach u.a. darauf ein, welches Verhalten den beteiligten Personen vorzuwerfen ist.

„Der Datenschutzmanagerin ist vorzuwerfen, dass sie bei ihrer Meinungsbildung auffallend sorglos war, zumal sie eine einschlägige datenschutzrechtliche Entscheidung denkunmöglich interpretiert…“

„Die weiteren von der Datenschutzmanagerin ergriffen Recherchetätigkeiten waren ungeeignet ihren Fehler aufzudecken,…“

„Der Datenschutzbeauftragten ist vorzuwerfen, dass sie sich – in offenbarer Unkenntnis der bestehenden Rechtsprechung sowie trotz einer neuen Rechtslage – auf ihre bestehende (irrige) Meinung verlassen hat, dass es sich bei statistischen Daten auch dann um keine personenbezogenen Daten handelt, wenn sie konkreten Personen zugeschrieben werden, und keine eigenen relevanten Recherchen durchgeführt hat.“

Die führte im Ergebnis dazu, dass das Unternehmen die „ XXXX -Affinitäten“ nicht weiter dahingehend überprüft hat, ob es sich tatschlich um eine besondere Kategorie von Daten nach Art. 9 Abs. 1 DSGVO handelt und ob und unter welchen Voraussetzungen ihre Verarbeitung zulässig sein könnte.

Hieraus folgert das BVwG:

„Dieses fahrlässige Verhalten muss sich die Beschwerdeführerin zurechnen lassen; eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin, ist hierfür nicht erforderlich (EuGH 05.12.2023, C-807/21, Deutsche Wohnen SE, Rz 77).“

Bedeutung für die Praxis
Die Entscheidung zeigt, dass Verantwortliche auch für fehlerhafte Einschätzungen bzw. Handlungen ihrer Datenschutzbeauftragten haften müssen. Bereits in der Entscheidung C-807/21 (Deutsche Wohnen) hat der EuGH klargestellt, dass Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans des Verantwortlichen voraussetzt. Diese Position wurde vom Kammergericht Berlin in seiner Entscheidung vom 22. Januar 2024 bestätigt. Die vorliegende Entscheidung folgt dem Ansatz, dass die Unternehmen auch für solche Verstöße haften, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person gehandelt hatte.

Das BVwG geht sogar noch einen Schritt weiter: Trotz der (zumindest teilweise) unabhängigen Stellung der Datenschutzbeauftragten haften die Unternehmen auch für deren Verstöße, zumindest solange diese Verstöße in den Bereich ihrer gesetzlichen Pflichten gem. Art. 39 DSGVO fallen.

Geht es um Rechtsansichten (wie hier, bei der Auslegung und Anwendung der DSGVO), sollten Verantwortliche und Auftragsverarbeiter daher darauf achten, internes Personal entsprechend zu qualifizieren oder extern spezialisierten Fachrat einzuholen.

Zudem sind die Ansichten des BVwG zu dem Compliance/Konrollsystem sehr praxisrelevant.

Erlaubte oder geduldete private Nutzung von E-Mail und Internet durch Arbeitnehmer – BNetzA lehnt Anwendung des Fernmeldegeheimnisses ab

Posted on by

Weiter rechtlich umstritten und damit in der Praxis ein wichtiges Beratungsthema ist die Frage, ob Arbeitgeber, die ihren Mitarbeitern die private Nutzung des betrieblichen E-Mail-Postfaches oder des Internets am Arbeitsplatz gestatten oder dies zumindest dulden, als „Anbieter von Telekommunikationsdiensten“ gelten. Die Folge wäre, dass für Arbeitgeber nach § 3 Abs. 2 Nr. 1 oder 2 TDDDG das Fernmeldegeheimnis zu beachten wäre. Inklusive des strafrechtlichen Verbots nach § 206 Abs. 1 StGB.

Kurzer Rückblick
Nach § 3 Abs. 2 Nr. 1 und 2 TDDDG sind zur Wahrung des Fernmeldegeheimnisses

  • Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken, oder auch
  • Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken, verpflichtet.

Im Juli 2024 hatte ich hier im Blog zuletzt zu dem Thema geschrieben. Dort habe ich auch auf die (alte) Ansicht der DSK verwiesen, wonach für Arbeitgeber bei erlaubter oder geduldeter Privatnutzung des Internets oder von E-Mail-Postfächern das Fernmeldegeheimnis gelten soll. Die DSK (und auch einige Gerichte in der Vergangenheit) gehen davon aus, dass Arbeitgeber in diesen Fällen als „Anbieter von Telekommunikationsdiensten“ anzusehen sind.

In dem Blogbeitrag habe ich auch die neue, abweichende Ansicht der LDI NRW dargestellt. Nach der LDI gilt das Fernmeldegeheimnis in diesen Fällen nicht.

Die DSK hat sich zu dem Thema bislang jedoch nicht neu geäußert.

Rechtlicher Hintergrund
Wie oben beschrieben, gibt § 3 Abs. 2 TDDDG vor, für wen das Fernmeldegeheimnis gilt. In beiden Varianten, die ggfs. für die Situation der privaten Nutzung von betrieblichen Arbeitsmitteln relevant sein könnten (Nr. 1 und Nr. 2), ist stets erforderlich, dass ein „Telekommunikationsdienst“ vorliegt.

Anbieter von Telekommunikationsdiensten“ ist nach § 3 Nr. 1 TKG „jeder, der Telekommunikationsdienste erbringt“.

Und „Telekommunikationsdienste“ werden in § 3 Nr. 61 TKG legal definiert als „in der Regel gegen Entgelt über Telekommunikationsnetze erbrachte Dienste, die – mit der Ausnahme von Diensten, die Inhalte über Telekommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen: a) Internetzugangsdienste, b) interpersonelle Telekommunikationsdienste und c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden“.

Die Definition verlangt also auch, dass der Dienst „in der Regel gegen Entgelt erbracht wird“.

Ansicht der BNetzA
Neuen Rückenwind erhält die Ansicht, dass auf Arbeitgeber das Fernmeldegeheimnis keine Anwendung findet, nun aber von der Bundesnetzagentur (BNetzA). Die Aufsichtsbehörde hat mit Stand Juli 2025 ein „Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS)“ (PDF) veröffentlicht.

Dort setzt sich die BNetzA auch mit dem Tatbestandsmerkmal „in der Regel gegen Entgelt erbracht wird“ auseinander (ab S. 11 ff.). Sie verweist für die Auslegung des Begriffs auf die Rechtsprechung des EuGH, der von einem weiten Entgeltbegriff ausgehe. Von einer Entgeltlichkeit der Dienstleistung kann bereits dann ausgegangen werden, wenn es sich um wirtschaftliche Tätigkeiten handelt, die einen Teil des Wirtschaftslebens ausmachen. Das Tatbestandsmerkmal „gewöhnlich bzw. in der Regel gegen Entgelt“ diene nach der Rechtsprechung des EuGH einer Abgrenzung von wirtschaftlichen zu rein privaten Sachverhalten.

Und hier kommt die BNetzA dann auch zu dem für uns wichtigen Fall: Arbeitgeber erlaubt oder duldet die private Nutzung von betrieblichem E-Mail-Postfach.

Die Ansicht der BNetzA: “Ebenfalls nicht erfasst sind in der Regel Angebote zwischen Arbeitgeber und Arbeitnehmer.“

Die BNetzA begründet ihre Auffassung damit, dass es sich regemäßig um ein Arbeitsmittel handele, welches der Arbeitnehmer auch privat nutzt. Dies stelle jedoch keine „eigenständige wirtschaftliche Tätigkeit des Arbeitgebers“ dar.

„Auch die private Nutzungsmöglichkeit, zum Beispiel eines E-Mail-Dienstes durch den Arbeitnehmer führt nicht dazu, dass das Angebot des Arbeitgebers vorrangig auf einen geschäftlichen Vorteil oder eine andere Form der Entgeltung gerichtet wäre.“

Fazit
Die Tendenz in der rechtlichen Diskussion um die Anwendung des Fernmeldegeheimnisses auf Arbeitgeber entwickelt sich zurecht immer mehr in die Richtung, § 3 Abs. 2 TDDDG hier nicht als einschlägig anzusehen. Die Folge ist, dass „nur“ datenschutzrechtliche Vorgaben der DSGVO und z.B. des BDSG zu beachten sind. Jedoch keine Verbote nach § 3 Abs. 1 TDDDG oder nach § 206 StGB.

Verwaltungsgericht: Rechtsmissbräuchliche Instrumentalisierung der Datenschutzbehörde – hier: Beschwerde gegen gegnerische Anwaltskanzlei

Posted on by

Das Verwaltungsgericht Hamburg hat sich in einem Beschluss (Beschl. v. 6.8.2025 – 17 K 3445/24, aktuell nur bei BeckRS 2025, 20692 verfügbar) sehr deutlich zu einem möglichen Anspruch eines Betroffenen auf Einschreiten der Datenschutzbehörde gegen eine gegnerische Anwaltskanzlei geäußert.

Hintergrund

Der Kläger des Verfahrens befand sich offensichtlich mit einem Unternehmen in einer zivilrechtlichen Auseinandersetzung in Bezug auf einen Schadenersatzanspruch. Das Unternehmen wurde von einer Anwaltskanzlei vertreten.

In einem Schreiben der Kanzlei an den Kläger verwendete diese irrtümlich „428/23“ als Zeichen des Klägers und speicherte das Schreiben mit diesem unzutreffenden Zeichen bei sich. Hiergegen legte der Kläger eine Beschwerde bei der Datenschutzbehörde in Hamburg ein. Die Aufsichtsbehörde wollte sich jedoch entweder mit der Beschwerde gar nicht befassen (ggfs. unter Berufung auf die EuGH Rechtsprechung) oder zumindest keine Maßnahmen ergreifen.

Der Kläger erhob darauf hin gegen die Datenschutzbehörde Klage beim Verwaltungsgericht. Da er einen Anspruch auf Behandlung seiner Beschwerde nach Art. 57 Abs. 1 f) DSGVO, Art. 77 DSGVO habe.

Entscheidung

Das Verwaltungsgericht musste, da die Parteien den Rechtsstreit für erledigt erklärt hatten, nur noch über die Kosten und dort über die Erfolgsaussuchten der Klage des Betroffenen entscheiden.

Die Ansicht des Gerichts fällt mehr als deutlich aus.  Der Kläger trägt die gesamten Kosten, da er mit seiner Klage wahrscheinlich unterlegen wäre.

Seine datenschutzrechtliche Beschwerde dürfte … als rechtsmissbräuchliche Instrumentalisierung des Beklagten, nur um der Beschwerdegegnerin in feindseliger Haltung Nachteile zuzufügen.“

Das VG geht hier also von einer missbräuchlichen Geltendmachung des Beschwerderechts nach der DSGVO aus. Hierzu führt das Gericht auch einige Faktoren an, die aus seiner Sicht für eine Missbräuchlichkeit der Geltendmachung der Beschwerde sprachen.

Erstens

Die Beschwerde des Klägers diente allein dazu, der Rechtsanwaltskanzlei der Gegenseite, an die der Kläger einen Schadensersatzanspruch gerichtet hatte, Probleme und Aufwand zu bereiten.“

Für das VG war es hier also offensichtlich, dass es dem Kläger gerade nicht um Fragen des Datenschutzes ging, sondern die DSGVO nur als Instrument genutzt wurde, um Probleme zu bereiten.

Zweitens

Die datenschutzrechtliche Beschwerde an den Beklagten hat der Kläger erkennbar dazu genutzt, die Rechtsanwaltskanzlei, die in der zivilrechtlichen Auseinandersetzung mit ihm für die Gegenseite tätig war, weiter zu eskalieren, ohne hierdurch einen relevanten Vorteil für sich zu gewinnen.“

Zudem geht das VG davon aus, dass es dem Kläger erkennbar nur um eine weitere Eskalationsstufe des Streits ging. Also er gerade nicht Zwecke des Datenschutzes verfolgte.

Dies begründet das Gericht u.a. auch damit „kein auch nur ansatzweise anzuerkennendes rechtliches Interesse des Klägers daran“ bestehe, dass die Rechtsanwaltskanzlei das Schreiben und die Speicherung entsprechend berichtigt und hierzu die Kanzlei mit einem aufsichtsbehördlichen Verfahren zu überziehen.

Drittens

Zudem argumentiert das VG mit dem Sinn und Zweck des Datenschutzrechts.

„Das Datenschutzrecht mit der Einrichtung des Datenschutzbeauftragten als staatliche Stelle ist nicht dazu bestimmt, völlig belanglose Irrtümlichkeiten bei der Verarbeitung von Daten…, behördlich verfolgen zu lassen, nur um mit dem Mittel der Datenschutzaufsicht eine aus einem anderen Grund bestehende Auseinandersetzung, hier der Streit um einen zivilrechtlichen Schadensersatz, böswillig auf dieses weitere Konfliktfeld auszuweiten.“

Das Gericht sieht anscheinend die Kombination aus Zweck und Mittel auch als Faktor für den Missbrauch.

Fazit

Die Begründung des VG ist sehr deutlich. Man mag, mit Blick auf die Rechtsprechung des EuGH zur Geltendmachung des Auskunftsrechts, welches danach keine Begründung erfordert, eventuell auch gegen das Gericht argumentieren. Aus Sicht der Verantwortlichen kann die Begründung jedoch auch gut auf Situationen übertragen werden, in denen Betroffene im Streit mit der „Aufsichtsbehörde drohen“ – und das passiert in der Praxis leider regelmäßig.

Anwendung der neuen EuGH-Rechtsprechung: keine Information über „berechtigte Interessen“ – keine Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO

Posted on by

In letzter Zeit hat der EuGH einige relevante Aussagen zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO getroffen. Die Tendenz des Gerichts ist hierbei recht streng. Bekanntlich verknüpft der EuGH die Frage, ob sich ein Unternehmen überhaupt auf diese Rechtsgrundlage berufen kann, auch mit der Transparenzanforderung des Art. 13 Abs. 1 d) DSGVO.

Danach muss der Verantwortliche zum Zeitpunkt der Erhebung von personenbezogenen Daten, wenn die Verarbeitung auf Art. 6 Abs. 1 f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, der betroffenen Person mitteilen.

Rechtssache „Mousse“

In der Rechtssache C‑394/23 („Mousse“, Rz. 52) verknüpft der EuGH die Erfüllung der Transparenzpflicht mit der Rechtsgrundlage nach Art. 6 Abs. 1 f) DSGVO.

Wie der Generalanwalt in Nr. 58 seiner Schlussanträge ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung gerechtfertigt werden kann.“

Zu den erwähnten Schlussanträgen des Generalanwalts hatte ich hier im Blog berichtet (Blogbeitrag). Er ist sogar noch deutlicher als der EuGH:

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.“

Koninklijke Nederlandse Lawn Tennisbond

Bereits zuvor, im Oktober 2024, hat der EuGH (Rechtssache C-621/22) im Hinblick auf die Frage, ob sich ein Verantwortlicher auf Art. 6 Abs. 1 f) DSGVO berufen kann, eine strenge Ansicht vertreten (Rz. 50).

Sollte ein solches Interesse als berechtigt angesehen werden, müsste der Verantwortliche zudem allen anderen ihm obliegenden Pflichten aus der DSGVO nachkommen, damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann.“

Im Unterschied zur Entscheidung „Mousse“ verknüpft der EuGH hier die Möglichkeit, sich auf Art. 6 Abs. 1 f) DSGVO zu berufen, sogar nicht nur mit der Erfüllung der Transparenzpflicht des Art. 13 Abs. 1 d) DSGVO, sondern mit der Einhaltung aller (!) Pflichten aus der DSGVO. Man kann sicher gut darüber diskutieren, ob nun z.B. ein Verstoß gegen Art. 30 Abs. 1 DSGVO, weil es einen Fehler im Verzeichnis gibt, direkt dazu führen sollte, dass ein Verantwortlicher nicht mehr die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO nutzen kann – die Tendenz beim EuGH zu dieser Frage scheint zumindest derzeit aber klar.

Anwendung der Vorgaben in der Praxis

Und wie kommt diese Rechtsprechung in der Praxis an? Sie scheint auf jeden Fall von Gerichten und Aufsichtsbehörden angewendet zu werden – mit entsprechenden (negativen) Folgen für Verantwortliche.

Beispiel 1 – Aufsichtsbehörde Berlin

In ihrem letzten Newsletter berichtet die Datenschutzbehörde Berlin, dass sie die Vorgaben des EuGH aus der Entscheidung „Mousse“ konkret anwendet und eine Rechtmäßigkeit auf Basis von Art. 6 Abs. 1 f) DSGVO ablehnt, wenn Verantwortliche nicht über die berechtigten Interessen informieren. Konkret ging es um Prüfverfahren im Rahmen der Datenverarbeitung für Zwecke des Einsatzes von KI.

Dieser Verstoß gegen die Informationspflichten nach Art. 13 bzw. Art. 14 DSGVO kann sich unmittelbar auf die Rechtmäßigkeit der Datenverarbeitung auswirken. Gerade wenn sich Verantwortliche auf die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen berufen, gehen wir nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) davon aus, dass dies unzulässig ist, wenn betroffenen Personen nicht einmal das berechtigte Interesse mitgeteilt wird, auf das sich die Verantwortlichen berufen.“

Beispiel 2 – Bundesverwaltungsgericht Österreich

Und auch die jüngste Rechtsprechung scheint die neuen Vorgaben des EuGH umzusetzen. In einer Entscheidung des Bundesverwaltungsgerichts Österreich vom 11. Juni 2025 (W211 2308914-1) verweist das Gericht auf die EuGH-Rechtsprechung. Es ging in dem Verfahren um die Frage, ob eine umfassende Videoüberwachung auf Art. 6 Abs. 1 f) DSGVO gestützt werden konnte. Die Datenschutzbehörde Österreich lehnte dies ab. Das Gericht folgt der Argumentation und sieht Art. 6 Abs. 1 f) DSGVO als nicht anwendbar, da der Verantwortliche nicht über die „berechtigten Interessen“ informierte.

Auf Basis der neuen Rechtsprechung des EuGH ist es im Fall einer Rechtfertigung gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich, dass der:die Verantwortliche in der Phase der Erhebung der in Rede stehenden Daten gemäß Art. 13 DSGVO das konkrete berechtigte Interesse den Betroffenen mitgeteilt hat (vgl. EuGH 09.01.2025, C-394/23 (Mousse), EU:C:2025:2, Rz 52, 63, 64).“

Bereits aufgrund dieses rezenten Judikats des EuGH kann – umgelegte auf den konkreten Sachverhalt – nicht von einer für den vorbrachten Zweck erforderlichen und somit rechtmäßigen Datenverarbeitung ausgegangen werden, welche auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann.“

Fazit

Die Tendenz ist klar: berechtigte Interessen sollten in jedem Fall so konkret wie möglich in Datenschutzhinweisen bzw. entsprechenden Informationen angegeben werden, wenn sich ein Verantwortlicher auf die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO stützen möchte. Ein Nachschieben dieser Information scheint aufgrund des Wortlauts von Art. 13 Abs. 1 DSGVO („zum Zeitpunkt der Erhebung dieser Daten“) wohl nicht möglich.

Zum Cookie-Banner-Urteil des VG Hannover: Gericht verpflichtet nicht zu „Alles ablehnen“-Schaltfläche

Posted on by

In den letzten Tagen wurde vermehrt über die Entscheidung des Verwaltungsgerichts Hannover (Urteil vom 19.März 2025, Az: 10 A 5385/22) zur unzulässigen Gestaltung eines Cookie-Banners auf der Webseite eines Verlagshauses berichtet. 

In der Berichterstattung war zu lesen, dass das Gericht entschieden hätte, dass Cookie-Banner eine „Alles ablehnen“-Schaltfläche zwingend vorhalten müssten. 

Und sogar die im Verfahren involvierte Aufsichtsbehörde aus Niedersachsen betitelt ihre Pressemeldung dazu leider wie folgt: „Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss“. Die Behörde führt dort weiter aus: „Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt“. Diese Aussage kann ich der Entscheidung des Gerichts nicht entnehmen. 

Meines Erachtens ist diese Auslegung des Urteils und sind die Aussagen in der Pressemitteilung jedoch falsch. Das Gericht hat gerade nicht entschieden, dass es zwingend (und stets) eine Pflicht gibt, das Cookie-Banner eine solche Schaltfläche vorhalten müssen. 

Dies möchte ich kurz anhand der Aussagen des Gerichts und dem zugrundeliegenden Sachverhalt begründen. 

Erstens

Bereits die Leitsätze des Urteils geben eine Auslegung für eine Pflicht zu einem „Alles ablehnen“-Button nicht her. 

Das Gericht stellt fest, dass eine Einwilligung nicht freiwillig erteilt wird (und damit unwirksam ist), wenn es wie hier die Gestaltung eines Cookie-Einwilligungsbanners mit zwei Ebenen betrifft, bei welchem auf erster Ebene nur die Auswahlmöglichkeiten „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ bestehen. Es ist meines Erachtens sehr wichtig zu verstehen, was das Gericht geprüft hat: einen Cookie-Banner, der auf der ersten Eben schlicht keine Ablehnungsmöglichkeit vorsah. 

Die Pflicht, eine „Alles ablehnen“-Schaltfläche vorzuhalten, wird aber gar nicht angesprochen. 

Im Übrigen hat auch die Aufsichtsbehörde selbst, in ihrem Bescheid gegenüber dem Unternehmen, dies gar nicht verlangt. In dem Bescheid vom 23.11.2022 verpflichtet die Aufsichtsbehörde das Unternehmen 

auf der Website www.noz.de die Anforderungen an wirksame – insbesondere informierte und freiwillige – Einwilligungen gemäß Art. 4 Nr. 11 und Art. 7 DSGVO umzusetzen, soweit es für die Rechtmäßigkeit des Einsatzes von lokalen Speicherobjekten, Tracking-Techniken und Drittdiensten erforderlich ist“.

Es geht um eine Umgestaltung, die zur Einholung wirksamer Einwilligungen führen soll. Wie dies konkret geschieht, wird nicht vorgegeben. 

Zweitens

Das Gericht prüft, ob durch die damals verwendete Gestaltung des Banners auf der Webseite eine wirksame Einwilligung nach Art. 4 Nr. 11 DSGVO eingeholt werden konnte. Dies lehnt das Gericht unter mehreren Gesichtspunkten ab. 

Zum einen, da die „Informiertheit“ der Betroffenen nicht gegeben war. Das Gericht verweist auf die Rechtsprechung des EuGH, der als Mindestinformationen eine Angabe der Funktionsdauer sowie Angaben zu eventuellen Empfängern der in den Cookies enthaltenen Informationen verlangt (C-673/17).

„Daran gemessen ist zu bezweifeln, ob das Merkmal der Informiertheit für die mittels des Einwilligungsbanners der Klägerin erteilten Einwilligungen der Nutzer vorliegt.“

Zum anderen fehlt nach Ansicht des Gerichts auch eine erforderliche „freiwillige Entscheidung“. 

„Jedenfalls beruhen die von der Klägerin eingeholten Einwilligungen nicht auf einer freiwilligen Entscheidung der Nutzer.“ 

Es fehle etwa an einer tatsächlichen Wahlmöglichkeit, also dass Betroffene ohne Nachteile auf die Erteilung der Einwilligung verzichten können.

Und dann kommt die entscheidende Aussage des Gerichts. 

Ob aus diesen Vorschriften herzuleiten ist, dass die Möglichkeit zur Ablehnung von Cookies in gleicher Weise wie die Einwilligung in das Setzen von Cookies gestaltet sein muss, ist durch die Rechtsprechung noch keiner abschließenden Klärung zugeführt worden (vgl. Sesing, MMR 2021, S. 544 (547) m.w.N.; OLG Köln, Urteil vom 3. November 2023 – I-6 U 58/23 –, juris Rn. 50). Jedenfalls darf aber das Cookie-Banner nicht so gestaltet sein, dass es den Nutzer gezielt zur Abgabe der Einwilligung hinlenkt und von der Ablehnung der Cookies abhält“.

Juristisch entscheidet sich das Gericht also gar nicht, ob es eine Pflicht zur Möglichkeit der Ablehnung auf erster Ebene, wie die Akzeptieren-Schaltfläche, geben muss. Das muss es auch nicht, da die Einwilligung bereits aus anderen Gründen nicht wirksam war. Deutlich wird dies auch durch die Einleitung des zweiten Satzes: „Jedenfalls…“. Es kommt dem Gericht also für seine Begründung nicht auf die Klärung der Frage an, ob es eine „Alles ablehnen-Schaltfläche“ braucht. 

Die Kritik des Gerichts, in Bezug auf die fehlende Wahlmöglichkeit, richtet sich etwa auf den erheblichen Mehraufwand für Betroffene, wenn sie die Einwilligung nicht erteilen möchten. Hierzu das Gericht: 

Während die umfassende Einwilligung auf erster Ebene gleich durch zwei Buttons („Alle akzeptieren“ sowie „Akzeptieren & schließen x“) erteilt werden kann, muss für eine Ablehnung zunächst auf erster Ebene der Button „Einstellungen“ ausgewählt werden. Auf zweiter Ebene des Banners folgen fünf verschiedene Drop Down Menus mit weiteren Unterpunkten,…

Das Gericht geht in seiner Begründung auch ausdrücklich davon aus, dass „eine Ablehnungsoption auf erster Ebene nicht besteht“ – fügt jedoch nicht an, dass allein dies bereits einen Verstoß gegen die DSGVO oder das TDDDG darstellen würde. Wie gesagt, das musste es auch nicht. 

Fazit

Die Frage, ob zwingend eine „Alles ablehnen-Schaltfläche“ vorzuhalten ist, hat auch das VG Hannover (verständlicherweise) nicht adressiert. Weil es auf diese Frage nicht ankam. Dass die zuständige Aufsichtsbehörde in ihrer Pressemitteilung aus dem Urteil eine solche Pflicht ableitet bzw. dem Gericht im Grunde diese Aussage zuspricht, finde ich sehr schade.

(P.S.: zudem würde mich die Meinung der Aufsichtsbehörde dazu interessieren, ob denn eine „Alles ablehnen-Schaltfläche“ tatsächlich auch gesetzeskonform und nicht selbst irreführend ist? Denn: wenn ich Nutzern suggeriere, dass sie alle Cookies ablehnen können, obwohl ich auch technisch erforderliche Cookies nutze, die man nicht ablehnen kann, dann stelle eine solche Schaltfläche aus meiner Sicht eine falsche Information dar)