Amtsgericht: Betroffene haben keinen Anspruch auf einen Nachweis der Löschung von Daten

Posted on by

Kann der Betroffene von dem Verantwortlichen verlangen, einen Nachweis über die Löschung personenbezogener Daten zu erhalten? Diese Frage stellt sich in der Praxis häufiger, etwa wenn Kunden oder (ehemalige) Mitarbeiter nach einer Löschbestätigung durch ein Unternehmen oder eine öffentliche Stelle vermuten, dass Daten nicht gelöscht wurden.

Das Amtsgericht (AG) hat sich in seinem Urteil vom 03.03.2025 (Az. 3 C 1099/24) nun mit dieser Frage befasst.

Sachverhalt

In dem Verfahren stritten die Beteiligten (jeweils natürlich Personen) über die Anfertigung von Videos durch den Beklagten. Dieser wollte per Videoaufnahmen nachweisen, dass auf dem Grundstück des Nachbarn gewerbliche Tätigkeiten vorgenommen wurden – obwohl die Häuser in einem reinen Wohngebiet liegen. Auf den Videos war auch der Kläger erkennbar.

U.a. beantragte der Kläger, die Videos zu löschen und dies nachzuweisen.

Entscheidung

Das AG hat einen Anspruch des Betroffenen auf Nachweis der Löschung ihm gegenüber abgelehnt.

Aus Art. 5 Abs. 2 DSGVO, der Rechenschaftspflicht, ergebe sich

lediglich eine abstrakte Nachweispflicht und kein Anspruch des Klägers“.

Die Rechenschaftspflicht obliege dem Verantwortlichen und bürde ihm auch die Darlegungs- und Beweislast in Streitfällen auf.

Daraus ergibt sich aber noch kein Anspruch den Nachweis ohne einen Streitfall vorzulegen“.

Unter anderem verweist das AG darauf, dass im Gesetz ein Gläubiger der Rechenschaftspflicht nicht vorgesehen sei.

Interessant war dann die Frage, ob denn nicht die Löschung als Vorgang in Bezug auf personenbezogene Daten eine Datenverarbeitung nach Art. 4 Nr. 2 DSGVO darstellt. Denn dann könnte der Kläger ja eventuell über den Auskunftsanspruch nach Art. 15 DSGVO verlangen, hierüber informiert zu werden.

Jedoch lehnt das AG eine solche Argumentation ab. Soweit die Löschung eine Datenverarbeitung darstelle (meine Anmerkung: das tut sie in jedem Fall, wie sich aus Art. 4 Nr. 2 DSGVO ergibt) und daher ein Auskunftsanspruch bestehe,

würde das dazu führen, dass die Daten nicht rückstandslos gelöscht werden, da noch ein Löschnachweis verbleiben muss“.

Dieses Ergebnis widerspreche aber dem erklärten Ziel – nämlich der Löschung der Daten.

Das AG schlägt als Alternative vor, dass der Beklagte die Möglichkeit habe, die Löschung durch eidesstattliche Versicherung nach den §§ 259 Abs. 2; 260 Abs. 2 BGB glaubhaft zu machen.

Eine Vorlage zu dieser Frage an den EuGH lehnt das AG leider ab.

Es handele sich hier nur um einen untergeordneten Nebenanspruch und das Gericht hält es für unzweckmäßig das Verfahren für (aus Erfahrung des Gerichts) zwei Jahre auszusetzen.

Ein weiteres mögliches Argument, welches gegen einen personenbezogenen Nachweis der erfolgten Löschung spricht, würde sich meines Erachtens aus Art. 11 Abs. 1 DSGVO ergeben. Danach ist der Verantwortliche nicht verpflichtet, personenbezogene Daten nur deshalb zu verarbeiten, um die Einhaltung der DSGVO nachweisen zu können.

Bundesarbeitsgericht: Kein Schadenersatz allein wegen verspäteter DSGVO-Auskunft 

Posted on by

In seinem Urteil vom 20.02.2025 (Az. 8 AZR 61/24) hatte sich das BAG mit der Frage zu befassen, ob eine verspätete Auskunft (und damit ein Verstoß gegen Art. 12 Abs. 3, Art. 15 DSGVO) per se zu einem Anspruch auf Schadenersatz führt oder die Verspätung zumindest einen Kontrollverlust indiziert – der dann als immaterieller Schaden nach Art. 82 DSGVO geltend gemacht werden kann. 

In beiden Fällen lehnte das BAG einen Anspruch nach Art. 82 DSGVO ab. 

Sachverhalt

Der Kläger war der Ansicht, die Beklagte habe mit einer nach Art. 12 Abs. 3 DSGVO verspäteten Auskunft gegen die DSGVO verstoßen. Er habe deshalb einen Anspruch auf Schadenersatz. Es bestehe ein immaterieller Schaden in Form eines wochenlangen Kontrollverlusts bzgl. der Datenverarbeitung. Er habe deshalb etwaige Rechte nicht ausüben können. Er habe auch Angst, dass die Beklagte „Schindluder“ mit seinen Daten treibe. Außerdem sei er wegen des durch die Beklagte verursachten Aufwands der Rechtsverfolgung „genervt“.

Entscheidung

Das BAG orientiert sich bei seiner Entscheidung an den relevanten Urteilen und Aussagen des EuGH zum Anspruch nach Art. 82 DSGVO. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Daran fehlet es hier.

Kontrollverlust wegen der Verspätung?

Der Kläger vertrat die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden darstelle. 

Die Ansicht des BAG: „Dies ist aber unzutreffend.“

Zwar geht das BAG (mit dem EuGH) davon aus, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, bereits für sich genommen einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann (so etwa EuGH, C-687/21). 

Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen“.

Nach Ansicht des BAG versteht der EuGH unter einem Kontrollverlust 

nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt“.

Wichtig ist hierbei das Erfordernis „begründet“. 

Das bloße Berufen auf eine bestimmte Gefühlslage reiche dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“.

Und allein eine verspätete Auskunftserteilung genügt dem BAG für diese Begründetheit nicht.

Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft“.

Auch lasse eine ungerechtfertigte Verzögerung ohne weitere Anhaltspunkte gerade nicht auf einen Datenmissbrauch schließen.

Negative Gefühle und genervt sein

Zudem habe das Landesarbeitsgericht auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

Zunächst stellt das BAG auch bezüglich dieser Schadenskategorie dar, dass ein immaterieller Schaden zwar durchaus allein in negativen Gefühlen bestehen kann. Dies betreffe Konstellationen, in denen der bloße Verstoß gegen die DSGVO zu der Befürchtung eines Datenmissbrauchs führt.

Jedoch löse die verspätete Erfüllung des Auskunftsanspruchs geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DSGVO aus. 

Wäre aber schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. 

Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt.“ 

Gerade diese Annahme (Verstoß stets auch ein Schaden) lehnt das BAG mit Verweis auf die Rechtsprechung des EuGH ab. Der EuGH hat bereits entschieden, dass allein ein Verstoß gegen die DSGVO noch nicht der Schaden im Sinne des Art. 82 DSGVO sein kann. Der EuGH unterscheidet strikt zwischen Verstoß und Schaden.

Möglich ist nach Ansicht des BAG durchaus eine Situation, in der ein Verstoß gegen die DSGVO ggf. 

so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten)“. 

Aber das Gericht müsse stets im Einzelfall prüfen, ob dies angenommen kann oder ob der Schaden gesondert begründet werden muss.

Zudem geht das BAG davon aus, dass der Verstoß gegen Art. 15 DSGVO für sich genommen keinen immateriellen Schaden begründet, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht.

Denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll“.

Zuletzt lehnt das BAG den Schaden auch mit Blick auf behauptete Emotionen wie Ärger oder Frust („genervt sein“) ab. Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

Generalanwalt am EuGH: DSGVO-Rechtsgrundlagen sind nicht (!) auf Bestandskundenwerbung per E-Mail anwendbar – Wichtige Aussagen für das E-Mail-Marketing

Posted on by

§ 7 Abs. 3 UWG spielt in der Praxis des Direktmarketings per E-Mail eine wichtige Rolle. Unter den dort genannten Voraussetzungen dürfen Bestandskunden auch ohne vorherige Einwilligung per E-Mail für Marketingzwecke kontaktiert werden. Generalanwalt (GA) Szpunar hat sich in seinen Schlussanträgen vom 27.3.25 (C-654/23) nun mit mehreren wichtigen Fragen zur Anwendbarkeit der europäischen Vorgabe des § 7 Abs. 3 UWG, Art. 13 Abs. 2 RL 2002/58 (sog. ePrivacy Richtlinie), befasst. Im Kern geht es um drei relevante Fragen und Aussagen:

  • Was ist „Direktwerbung“? (A)
  • Liegt auch bei der Bereitstellung von personenbezogenen Daten ein „Verkauf eines Produkts oder einer Dienstleistung“ vor? (B)
  • Sind bei der Verwendung der E-Mail-Adresse zusätzliche die Vorgaben des Art. 6 Abs. 1 DSGVO zu beachten? (C)

In der Darstellung benenne ich jeweils in Klammern immer kurz die Norm des § 7 Abs. 3 UWG, für die die Auslegung relevant ist.

Der EuGH muss in dem Verfahren noch entscheiden. Die Schlussanträge geben aber sicherlich schon eine gewisse Tendenz vor.

Sachverhalt

Das Verfahren aus Rumänien betraf die Betreiberin einer Online-Plattform, auf der Besucher eine festgelegte Höchstanzahl von Artikeln (sechs Artikel zum Zeitpunkt des Sachverhalts) kostenlos und ohne weitere Schritte unternehmen zu müssen aufrufen konnten.

Zudem wurde das Abonnement eines Premium-Dienstes angeboten. Dies setzte voraus, dass der Nutzer ein kostenloses Benutzerkonto auf der Plattform einrichtete. Die Einrichtung eines Kontos erforderte, dass der Nutzer eine E-Mail-Adresse angab und die Vertragsbedingungen für die Erbringung des Premium-Dienstes akzeptierte.

Mit diesem Abonnement des Premium-Dienstes erhielt der Nutzer das Recht auf Zugang zu zwei zusätzlichen Artikeln pro Monat und auf Erhalt eines täglichen E-Mail-Newsletters mit der Bezeichnung „Personal Update“ (es sei denn, der Nutzer hatte die Option gewählt, diesen Dienst nicht in Anspruch zu nehmen) sowie – gegen Gebühr und als Option – das Recht auf Zugang zu allen Artikeln des Mediums.

Der Newsletter „Personal Update“ enthielt im Wesentlichen Einzelheiten zu den neuen Rechtsvorschriften des Vortages mit Hyperlinks zu den entsprechenden im Rahmen des Mediums erschienenen Artikeln.

Nutzer konnten im Rahmen der Kontoerstellung angeben, dass sie den Newsletter nicht erhalten möchten. Es war ein Kästchen zum Ankreuzen vorgesehen, Zudem enthielt jeder Newsletter eine Opt-out Möglichkeit.

A. Was ist „Direktwerbung“?

(Voraussetzung nach § 7 Abs. 3 Nr. 2 UWG)

Zunächst prüft der GA, ob es sich bei dem Newsletter „Personal Update“ um Direktwerbung im Sinne des Art. 13 Abs. 2 ePrivacyRL (§ 7 Abs. 3 UWG) handelt.

Die rumänische Datenschutzbehörde vertrat die Auffassung, dass dies nicht der Fall sei, da der Inhalt rein redaktioneller Natur sei.

Der GA ist anderer Ansicht. Seiner Ansicht nach bietet der Newsletter „Personal Update“ den Nutzern durch die Bereitstellung von Hyperlinks zu Artikeln auf der Internetseite der Veröffentlichung

einen „Teaser“ zu Artikeln an, um die Nutzer zu verlocken, die acht Artikel, die sie monatlich kostenlos lesen können, schneller zu konsumieren.“

Der GA stellt hierbei auch auf den Zweck der Newsletters ab. Die Strategie, die von Herausgebern verfolgt wird, bestehe darin, die Nutzer zu verlocken, letzten Endes ein vollständiges Abonnement zu erwerben. Dies wird durch den Newsletter erreicht.

Indem die Nutzer zum Kauf eines vollständigen Abonnements verlockt werden, wird mit dem Newsletter „Personal Update“ daher das kommerzielle Ziel verfolgt, durch das Modell der weichen Bezahlschranke Einnahmen zu erzielen.“

Der Newsletter ist daher als „Direktwerbung“ anzusehen.

B. Erlangung der fraglichen E-Mail-Adressen „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“

(Voraussetzung nach § 7 Abs. 3 Nr. 1 UWG)

Sodann stellt sich der GA die Frage, ob die E-Mail-Adresse vorliegend entsprechend Art. 13 Abs. 2 ePrivacyRL im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erlangt wurde.

Der Begriff „Verkauf“ sei nach einer allgemein anerkannten Definition eine Vereinbarung, die notwendigerweise die Zahlung eines Entgelts für eine Ware oder einen Dienst mit sich bringe.

Aber, und diese Ansicht ist sehr wichtig: im Zusammenhang mit RL 2000/31 hat der EuGH bereits entschieden (15.9.16, C-484/14), dass die Vergütung für einen Dienst nicht notwendigerweise von denjenigen bezahlt wird, denen der Dienst zugutekommt.

Dies ist dann der Fall,

wenn eine unentgeltliche Leistung von einem Anbieter zu Werbezwecken erbracht wird, da die Kosten dieser Tätigkeit dann in den Verkaufspreis der beworbenen Güter oder Dienstleistungen einbezogen werden“.

Und so liege der Fall hier. Wie im erwähnten Urteil, werden die Kosten der Zurverfügungstellung des Dienstes in den Verkaufspreis für die Hauptleistung – im vorliegenden Fall das vollständige Abonnement – einbezogen.

Diese indirekte Form der Vergütung erfüllt die Voraussetzung der Zahlung eines Entgelts im Sinne der Definition des Gerichtshofs für „Verkauf“.“

Der GA belässt es aber nicht bei dieser Interpretation von „Verkauf“, sondern nimmt auch eine weitere Konstellation in den Blick – das Bezahlen mit Daten.

dass im heutigen digitalen Zeitalter Daten selbst als eine Ware behandelt werden“.

Nach Ansicht des GA ist es daher vorstellbar, dass es für eine Datenerhebung „im Zusammenhang mit einem Verkauf“ ausreicht, dass der Nutzer anstelle einer finanziellen Gegenleistung seine persönlichen Daten im Austausch gegen eine für ihn wertvolle Ware oder einen für ihn wertvollen Dienst zur Verfügung stellt.

Bedeutet für uns: die Preisgabe von personenbezogenen Daten (etwa E-Mail-Adresse) zur Anmeldung für einen kostenlosen Dienst, kann als Verkauf im Sinne von § 7 Abs. 3 UWG angesehen werden.

C. Sind bei der Verwendung der E-Mail-Adresse zusätzliche die Vorgaben des Art. 6 Abs. 1 DSGVO zu beachten?

Und zuletzt kommt eigentlich das „schönste“ Thema. Das Verhältnis von Art. 13 Abs. 2 ePrivacyRL (also bei uns § 7 Abs. 3 UWG) zur DSGVO und konkret zu den Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO. Benötige ich für Bestandskundenwerbung per E-Mail eine Rechtsgrundlage nach Art 6 Abs. 1 DSGVO? Oder auch: was regelt Art. 95 DSGVO?

Art. 95 DSGVO stellt klar, dass die DSGVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen keine zusätzlichen Pflichten auferlegt, soweit sie besonderen, in der ePrivacyRL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Das Verhältnis zwischen der RL 2002/58 und der DSGVO wird daher durch den Grundsatz lex specialis derogat legi generali geregelt: Immer dann, wenn es eine spezifische Bestimmung in der RL 2002/58 gibt, die Verpflichtungen enthält, mit denen dasselbe Ziel verfolgt wird wie mit den entsprechenden Bestimmungen der DSGVO, ist die Bestimmung der RL 2002/58 anzuwenden.“

Diese Ansicht ist nicht unbedingt überraschend. Auch der EDSA geht grundsätzlich von diesem Verhältnis zwischen ePrivacyRL und DSGVO aus (Stellungnahme 5/2019, Rz. 45)

Extrem relevant ist jedoch die Ansicht des GA dazu, wie weit die, wenn man so will, „Spezialität“ der ePrivacyRL reicht. Was sie also erfasst und damit die DSGVO verdrängt.

Der GA geht davon aus, dass Art. 13 Abs. 2 ePrivacyRL,

was die automatische Direktwerbung im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung anbelangt, die Voraussetzungen und die Zwecke der Verarbeitung sowie die Rechte der betroffenen Person abschließend“ regelt.

Dies folgert der GA unter anderem auch aus Art. 13 Abs. 1 ePrivacyRL, der im Grundsatz eine Einwilligung für Werbung per E-Mail verlangt.

Und was bedeutet die Ansicht des GA? Man könnte etwas überspitzt sagen: „Datenschutzbehörde will not like“.

Daher kann die Rechtmäßigkeit der Verarbeitung auf der Grundlage von Art. 13 Abs. 2 der RL 2002/58 festgestellt werden. Ein Rückgriff auf die DSGVO, insbesondere auf deren Art. 6 Abs. 1 Buchst. a bis f, ist weder möglich noch erforderlich.“

Im es kurz zu machen: der GA geht davon aus, dass man für die Verwendung einer E-Mail-Adresse für Bestandskundenwerbung nach § 7 Abs. 3 UWG gerade (keine !) Rechtsgrundlage nach der DSGVO benötigt. Natürlich nur, wenn man die gesetzlichen Vorgaben des UWG einhält.

Damit stellt sich der GA auch gegen die Ansicht der deutschen DSK, etwa in der OH-Direktwerbung, und auch deutscher Gerichte. Die DSK geht etwa davon aus:

  • Weil nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO eine Verarbeitung personenbezogener Daten nur zulässig ist, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) für die jeweilige Werbeform mit zu berücksichtigen

Folgt man dem GA, gibt es hier gar keine datenschutzrechtliche Beurteilung nach Art. 6 Abs. 1 DSGVO, da dieser nicht anwendbar ist.

Das ist im Ergebnis schon ein ziemlicher Knaller, wenn Sie mich fragen. Zwei Einschränkungen muss ich natürlich machen. Erstens, muss noch der EuGH entscheiden. Zweitens, gilt der Vorrang der ePrivacyRL / des UWG natürlich wirklich nur für Ziele und Pflichten, die sie regelt. Bsp: Datenschutzhinweise nach Art. 12 / 13 DSGVO wird es wohl auch weiterhin geben müssen.

Zuletzt noch eine weiterführende Idee, die aber nicht Teil des Verfahrens war: wenn mir Art. 13 Abs. 2 ePrivacyRL / § 7 Abs. 3 UWG vorgeben, dass ich nur für „für eigene ähnliche Produkte oder Dienstleistungen“ werben darf, muss ich als Unternehmen dann nicht zwingend eine Art Profil des Bestandskunden anlegen bzw. mindestens eine Kaufhistorie vorhalten? Um prüfen zu können, was er gekauft hat. Ist dann auch diese Verarbeitung, quasi implizit, aus dem Anwendungsbereich herausgenommen? Warten wir nun erst einmal, was der EuGH sagt.

Datenschutzrechtliche Folgen der „Mitnahme“ von Kundendaten zum Konkurrenten und deren Verwendung durch Unternehmen

Posted on by

In ihrem neuen Tätigkeitsbericht 2024 berichtet die Sächsische Datenschutzbehörde über ein aufsichtsbehördliches Verfahren gegen ein Unternehmen A aus dem Pflegebereich, welches Kundendaten eines konkurrierenden Unternehmens B von einer neuen Mitarbeiterin erhalten hatte. Diese Mitarbeiterin hatte die Kunden zuvor bei Unternehmen B betreut und war zu Unternehmen A gewechselt – samt der Kundendaten.

Datenschutzrechtliche Folgen für die Mitarbeiterin

Die Aufsichtsbehörde prüfte u.a., ob sie gegen die Mitarbeiterin vorgehen müsste. Dies scheiterte jedoch daran, dass das Verhalten der ehemaligen Mitarbeiterin in Ermangelung eines Wohnsitzes im Freistaat Sachsen nicht im Zuständigkeitsbereich der Aufsichtsbehörde erfolgt ist.

Wie etwa die jüngste Entscheidung des OLG Stuttgart zum Bußgeld gegen Mitarbeiter zeigt (Blogbeitrag hier), besteht für Mitarbeiter, die etwa entgegen vertraglicher Regelungen Kundendaten „mitnehmen“, auf jeden Fall ein rechtliches Risiko, selbst als Verantwortlicher eingestuft und Ziel aufsichtsbehördlicher Maßnahmen, inkl. eines Bußgeldes, zu werden.

Datenschutzrechtliche Folgen für das Unternehmen A

Die sächsische Behörde konzentrierte sich dann auf die Ermittlung gegenüber dem Unternehmen A, welches im Rahmen seiner Anhörung eingeräumt hatte, dass es die Kundendaten in sein Datensystem übernommen und sämtliche Kunden angeschrieben hatte. Von den angeschriebenen Kunden entschieden sich rund 38 % für einen Wechsel zu dem sächsischen Unternehmen.

Für die Speicherung und Verwendung der Kontaktdaten sah die Aufsichtsbehörde hier jedoch keinen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO einschlägig und bewertete die Datenverarbeitung damit als rechtswidrig.

  • Eine Einwilligung der Kunden, von dem neuen Unternehmen angeschrieben zu werden, lag nicht vor.
  • Die Speicherung und Nutzung der Kontaktdaten konnte auch nicht auf Art. 6 Abs. 1 b) DSGVO gestützt werden, da die Kontaktaufnahme mit dem Ziel des Abschlusses eines neuen Vertrages nicht von den Kunden selbst, sondern von dem sächsischen Unternehmen ausgegangen war.
  • Zudem konnte das Unternehmen kein eigenes und ein gegenüber den angeschriebenen Kunden vorrangig zu berücksichtigendes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO nachweisen.

Zudem geht die Aufsichtsbehörde von einem Verstoß gegen den Datenschutzgrundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO aus. Da die Kundendaten allein für die Betreuung der Kunden durch das konkurrierende Unternehmen B nach dem alten bestehenden Pflegevertrag gedacht waren,

stellt die Übernahme und die Nutzung der Daten zur Kontaktaufnahme durch das sächsische Unternehmen eine nicht mit diesem Zweck zu vereinbarende Nutzung und damit einen Verstoß gegen Art. 5 Abs. 1 Buchst. b DSGVO dar.“

Spannend ist aus meiner Sicht die von der Aufsichtsbehörde festgesetzte Maßnahme in diesem Verfahren. Oder aus Sicht des Unternehmens: was mich in einem solchen Fall erwartet.

Und diesbezüglich ist das sächsische Unternehmen aus meiner Sicht sehr glimpflich davongekommen.

Die Behörde verlangte von dem sächsischen Unternehmen, zumindest die Daten von den

Kunden vollständig zu löschen, mit denen kein neues Vertragsverhältnis begründet werden konnte.“

Bedeutet: im Ergebnis musste das Unternehmen 62 % der erhaltenen Daten löschen.

Das Verfahren wurde mit einer Verwarnung abgeschlossen. Weitere Folgen gab es jedoch nicht. Also auch kein Bußgeld.

Folgen für die Praxis

Aus Sicht von Unternehmen ist das Vorgehen der Aufsichtsbehörde für mich als sehr wohlwollend einzustufen. Das Unternehmen A darf ja im Ergebnis unzulässig erlangte und verwendete Daten nutzen und damit nun Umsatz generieren. Rein datenschutzrechtlich betrachtet, bietet der Sachverhalt schon auch andere, strengere Ansätze.

  • Die vorgelagerte unzulässige Speicherung und Verwendung von Kontaktdaten, immerhin von 100 % der Daten, könnte sanktioniert werden.
  • Die nachgelagerte weitere Speicherung von 62 % der Kundendaten könnte sanktioniert werden. Diese Daten scheinen ja noch vorhanden gewesen zu sein, obwohl Kunden entweder nicht reagiert oder evtl. sogar ablehnend reagiert haben.
  • Da die Kontaktdaten in der Absicht verwendet werden, um sich zu bereichern, könnte ein Straftatbestand nach § 42 BDSG erfüllt sein.

Spannend ist für mich in diesem Fall auch die (wohl) eingenommene Position der Aufsichtsbehörde, dass sich vorgelagerte datenschutzrechtlich Verstöße nicht auf eine nachgelagerte Datenverwendung auswirken. Zumindest wenn danach auf Grundlage von Art. 6 Abs. 1 b) DSGVO Daten verarbeitet werden.

Um einen Extremfall zu bilden: wenn ich ein neues, „aggressives“ Start up bin und in einen Markt möchte, versuche ich so schnell es geht an Kundendaten der Konkurrenz zu gelangen, kontaktiere die Kunden und versuche, so viele Verträge wie möglich zu schließen. Die „nicht aktivierten“ Leads werden gelöscht. Risiko für das Unternehmen nach dem oben geschilderten Fall: eine Verwarnung.

Im Ergebnis also eine aus Sicht von Unternehmen sehr pragmatische Herangehensweise der Aufsichtsbehörde. Ob jedoch alle Aufsichtsbehörden in Deutschland so vorgehen würden, möchte ich zumindest bezweifeln. So etwa der Hinweis der Aufsichtsbehörde aus Thüringen, die in einem ähnlichen Fall sogar entsprechend § 43 Abs. 2 BDSG alt (jetzt  § 42 Abs. 2 BDSG) einen Strafantrag gestellt hat, da die Daten mit Bereicherungsabsicht verwendet wurden.

Daher sollten Unternehmen in jedem Fall immer eine Risikobetrachtung vornehmen, wenn Daten der Konkurrenz für eigene Zwecke genutzt werden sollen.

Hat die Datenschutzbehörde NRW das Thema „Herausgabe von E-Mails im Rahmen der Auskunft“ geklärt?

Posted on by

Werden in der Praxis Auskunftsanspräche nach Art. 15 DSGVO geltend gemacht, stellt sich oft die Frage, wie weit der Begriff „personenbezogene Daten“ und auch jener der „Kopie“ in Art. 15 Abs. 3 DSGVO zu verstehen sind, wenn es um eine mögliche Herausgabe von E-Mails geht. Der Klassiker ist hierbei etwa die Auskunft eines ehemaligen Mitarbeiters, der mehrere Jahre im Unternehmen gearbeitet und hunderte oder tausende E-Mails erzeugt hat.  

Vorgaben des EuGH

Eine klare Aussage des EuGH, ob E-Mails an sich im Rahmen des Art. 15 DSGVO herauszugeben sind, wenn etwa im AN-Feld oder im CC-Feld die personalisierte E-Mail-Adresse des Betroffenen vorkommt, fehlt bisher.

Die Vorgaben des EuGH sind:

  • Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen.
  • Der Begriff „Kopie“ bezeichnet die originalgetreue Reproduktion oder Abschrift, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, nicht ausreicht.
  • Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben.
  • Es kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten.

Und wie ist vor diesem Hintergrund eine E-Mail zu beauskunften, in deren AN-Feld oder etwa im CC der Name des Betroffenen als E-Mail-Adresse vorhanden ist? Ist dann nur die E-Mail-Adresse zu beauskunften oder ist erforderlich, dass die ganze Mail (etwa als Ausdruck oder als PDF) herausgegeben wird?

Ansicht der LDI NRW zu Namen in Briefköpfen

In ihrem letzten Tätigkeitsbericht 2023 befasst sich die LDI NRW zwar nicht mit der Auskunft zu E-Mails, jedoch mit einer aus meiner Sicht durchaus vergleichbaren Situation: müssen Dokumente / Briefe an einen Betroffenen herausgegeben werden, wenn sein Name in dem Briefkopf enthalten ist, der auf den Dokumenten steht, der Inhalt der Dokumente aber sonst keinen Bezug zur Person aufweist? Übertragen auf unseren E-Mail-Fall also etwa, wenn die E-Mail-Adresse im AN- oder CC-Feld vorhanden ist.

Die LDI NRW war mit einem Fall befasst, in dem sich ein Rechtsanwalt auf sein Auskunftsrecht nach Art. 15 DSGVO gegenüber einer Versicherung berief. Er verlangte Kopien des gesamten Schriftverkehrs zwischen der Versicherung und einer Kanzlei, in der er Partner war. Er begründete seinen Auskunftsanspruch damit, dass sein Name, wie es das Berufsrecht vorschreibt, als Partner auf dem Briefbogen der Kanzlei genannt ist.

Entscheidend kommt es aus Sicht der LDI hierbei auf die Vorgabe des EuGH an, dass eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten nur dann erforderlich ist, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Zwar stelle die Nennung des Namens des Anwalts auf den Schreiben an die Versicherung ist ein personenbezogenes Datum dar. In unserem Fall, die E-Mail-Adresse.

Der Auskunftsanspruch erstreckt sich aber deswegen nicht automatisch auf alle Inhalte einer umfassenden Korrespondenz.“

In unserem Fall: nur weil eine E-Mail in einem AN- oder CC-Feld die E-Mail-Adresse erhält, erstreckt sich das Auskunftsrecht noch nicht per se auf den Inhalt der E-Mails.

Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sieht die LDI (mit dem EuGH) nur dann als erforderlich an, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Im vorliegenden Fall kam die LDI zu dem Schluss:

Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.“

Um meine Frage aus der Überschrift zu beantworten: nein, die LDI hat das Thema nicht geklärt – zumindest nicht direkt. Jedoch lässt sich die Ansicht und Argumentation der LDI auf E-Mail-Sachverhalte übertragen. Allein der Umstand, dass eine personalisierte E-Mail-Adresse in E-Mails enthalten ist, bedeutet nicht, dass diese E-Mails als Ganzes herauszugeben sind.

LG Wiesbaden: wann liegt eine „besondere Situation“ für einen Widerspruch gegen die Datenverarbeitung nach Art. 21 Abs.1 DSGVO vor?

Posted on by

In seinem Urteil vom 19.02.2025 (Az: 3 O 269/24) befasst sich das Landgericht Wiesbaden u.a. mit der praxisrelevanten Frage, unter welchen Bedingungen betroffene gegen eine Datenverarbeitung Widersprich nach Art. 21 Abs. 1 DSGVO einlegen können und welche Anforderungen für eine Unterlassung der weiteren Verarbeitung erfüllt sein müssen.

Sachverhalt

In dem Verfahren ging es um einen Betroffenen, der die Löschung der im Datenbestand gespeicherten Einträge samt Forderungsverlauf, die Unterlassung erneuter Speicherung sowie die Zahlung eines Schmerzensgeldes von der beklagten Wirtschaftsauskunftei forderte. Unter anderem stellte sich für die Löschung der Daten nach Art. 17 Abs. 1 c) DSGVO die Frage, ob der Betroffene wirksam nach Art. 21 Abs. 1 DSGVO widersprochen hatte und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.

Praxisrelevant waren hier vor allem die Ansichten des Gerichts zu dem Merkmal „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ des Widerspruchrechts aus Art. 21 Abs. 1 DSGVO.

Entscheidung

Zunächst legt das Landgericht seine Ansicht des Zweck der Vorschrift dar.

Der Widerspruch dient als Korrektiv im Einzelfall, indem er eine rechtmäßige Datenverarbeitung ausnahmsweise unterbindet“.

Diese Auslegung gibt natürlich schon einmal die Richtung vor, wie das Betroffenenrecht aus Sicht des Gerichts zu verstehen ist. Nämlich als Ausnahme von der Zulässigkeit der Verarbeitung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Das Landgericht geht daher davon aus, dass für die Wirksamkeit eines Widerspruchs

eine atypische Situation etwa rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur vorliegen

muss. Das Gericht geht mithin davon aus, dass ein Widerspruch gerade nicht immer und voraussetzungslos zur Unterbindung der Verarbeitung führt. Zudem müssen Betroffene besondere Umstände geltend machen, warum die Datenverarbeitung nicht fortgesetzt werden darf. Auch müsse die betroffene Person ihren Widerspruch mit konkreten Tatsachen begründen und hat auf Verlangen des Verantwortlichen Nachweise beizubringen. Ein einfaches „ich widerspreche der Datenverarbeitung“ reicht also (anders als im Fall der Datenverwendung für Zwecke der Direktwerbung, Art. 21 Abs. 2 DSGVO) nicht aus.

Im konkreten Fall sieht das Landgericht diese Anforderungen durch den Betroffenen nicht als erfüllt an. Der Kläger habe eine solche atypische Situation, aufgrund derer eine fortdauernde Verarbeitung unzumutbar wäre, nicht dargelegt. So hatte der Betroffene etwa Schwierigkeiten bei der Anmietung einer neuen Wohnung vorgebracht.

Die Erschwerung der Anmietung einer größeren Wohnung sind gerade keine individuellen Schwierigkeiten, die den Kläger von sonstigen Schuldnern unterscheiden. Es handelt sich dabei vielmehr gerade um die typischen Folgen früheren nicht vertragsgemäßen Zahlungsverhaltens“.

Das Gericht geht im Ergebnis davon aus, dass es dem Kläger daher zumutbar ist, mit der Anmietung einer neuen Wohnung bis zur Löschung der Einträge zuzuwarten. Überwiegende Interessen des Klägers ergeben sich daher aus den von ihm geschilderten Umständen unter keinem rechtlichen Gesichtspunkt.

OLG Stuttgart zum Mitarbeiterexzess: DSGVO-Bußgeld gegen Angestellte

Posted on by

Das OLG Stuttgart hat sich in seinem Beschluss (25.2.2025, 2 ORbs 16 Ss 336/24) mit dem sog. Mitarbeiterexzess im Datenschutzrecht befasst. Praxisrelevant ist hierbei die Einordnung durch das OLG, wann Mitarbeiter, die für arbeitsfremde Zwecke personenbezogene Daten verarbeiten, selbst zu Verantwortlichen werden  – und damit potentiell auch zu Adressaten von DSGVO-Bußgeldern.

Sachverhalt

Im konkreten Fall hatte das Amtsgerichts einen als Polizeibeamten beschäftigte Betroffene zu einem Bußgeld von 1.500 EUR verurteilt. Der Beamte rief von seinem Dienstrechner auf dem Polizeirevier im polizeilichen Informationssystem „POLAS“ Daten über einen damaligen Kollegen ab, der sich zu dieser Zeit in Untersuchungshaft befand, ohne – wie der Beamte wusste – dass es für die Abfrage einen dienstlichen Anlass gab.

Entscheidung

Das OLG bestätigt die Entscheidung des Amtsgerichts.

Im Grundsatz geht das OLG davon aus, dass Mitarbeiter ohne Leitungsfunktion keine Verantwortlichen im Sinne der DSGVO sind, wenn sie mit personenbezogenen Daten umgehen. Jedoch wird darüber diskutiert, ob sich unterstellte Mitarbeiter, die bei der Datenverarbeitung ihre Befugnisse überschreiten (sog. Mitarbeiterexzess), sich zu Verantwortlichen aufschwingen und damit Adressaten der Haftungs- und Bußgeldvorschriften gem. Art. 82, 83 DSGVO werden.

Für seine Begründung verweist das OLG u.a. auf die Leitlinien 7/2020 des EDSA.

Erfolgt der Datenschutzverstoß – wie vorliegend – bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person“.

Die Ansicht des OLG ist hier relevant, da das Gericht die Handlung des Mitarbeiters erst gar nicht als vom Arbeitsverhältnis umfasst sieht. Daher geht es auch davon aus, dass keine weisungswidrige Handlung (also gegen die Vorgaben des Arbeitsverhältnisses) erfolgt. Sondern:

Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung“.

Daher ist auch ein zum Teil aus Art. 28 Abs. 10 DSGVO gezogener Umkehrschluss, dass eine Regelung zu Mitarbeitern die weisungswidrig agieren in der DSGVO (anders als für Auftragsverarbeiter) fehle, nach Ansicht des OLG nicht tragfähig. Das Gericht geht vielmehr davon aus, dass der Mitarbeiter quasi gar nicht als unterstelle Person handelt, sondern direkt als eigener Verantwortlicher.

Oberverwaltungsgericht: Kein Anspruch des Betroffenen auf Vorlage und Prüfung von Auftragsverarbeitungsverträgen

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 21.02.2025 (Az 7 ZB 24.651) eine vorangegangene Entscheidung des Verwaltungsgerichts München zur Frage der Einsichtnahme von Betroffenen in Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestätigt.

Sachverhalt

Der Kläger verlangte Einsicht in Auftragsverarbeitungsverträge, die der Beklagte (der Bayerische Rundfunk mit einem Inkassounternehmen geschlossen hatte. Das Unternehmen war mit der Beitreibung von Rundfunkbeiträgen beauftragt worden. Die Einsicht in den Vertrag lehnte der Beklagte ab.

Das Verwaltungsgericht wies die daraufhin erhobene Klage ab und begründete dies im Wesentlichen damit, dass keine Anspruchsgrundlage für den geltend gemachten Anspruch auf Einsichtnahme existiere.

Entscheidung

Nach Ansicht des VGH besteht für den Betroffenen kein berechtigtes Interesse an der Einsichtnahme in den zwischen dem Beklagten und dem Unternehmen gemäß Art. 28 DSGVO geschlossen Auftragsverarbeitungsvertrag.

Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DSGVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde“.

Das Gericht argumentiert, dass für die Überwachung der Anwendung der DSGVO gemäß Art. 51 Abs. 1 DSGVO die Aufsichtsbehörde zuständig ist – aber nicht Private. Zu den Aufgaben der Aufsichtsbehörde gehört gemäß Art. 57 Abs. 1 Buchst. a DSGVO die Überwachung und Durchsetzung der Anwendung der DSGVO.

Die Aufsichtsbehörde kann gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DSGVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung prüfen und die hierzu eingeräumten Befugnisse nach Art. 58 DSGVO nutzen.

Dem Betroffenen selbst ist hingegen nach Art. 15 DSGVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt.

Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.“

Neues Urteil des BGH zum DSGVO-Schadenersatz: Kein Schadenersatz für unverlangte Werbe-E-Mail ohne Kontrollverlust oder begründete Befürchtung

Posted on by

In der deutschen Rechtsprechung wird weiter an der Anwendung der Vorgaben des BGH aus seinem Urteil vom 18.11.2024 – VI ZR 10/24 zur Berechnung eines möglichen immateriellen Schadens im Rahmen von Art. 82 DSGVO „gearbeitet“. So etwa das OLG Celle (hier der Beitrag im Blog).

Doch auch der BGH selbst ist weiterhin mit der Auslegung und Anwendung der Vorgaben des Art. 82 DSGVO beschäftigt. In einem neuen Urteil (28.01.2025 – VI ZR 109/23) nutzt das Gericht die Gelegenheit, seine Interpretation der Vorschrift und insbesondere der Anforderungen für einen Schadenersatzanspruch noch einmal zu schärfen.

Sachverhalt

In dem Fall ging es ganz grob um eine Werbe-E-Mail, die ein Käufer von einem Verkäufer nach erfolgtem Kauf eines Produkts erhalten hatte. Eine Einwilligung des Käufers lag wohl nicht. Der Käufer forderte Unterlassung und für die unverlangte Werbe-E-Mail 500 EUR Schadenersatz nach Art. 82 DSGVO. Hierauf reagierte der Verkäufer nicht mehr.

Entscheidung

Der BGH lehnt, mit der Ansicht des Berufungsgerichts (LG Rottweil), einen Anspruch auf immateriellen Schadenersatz ab. Er lehnt den Anspruch ab, weil der Kläger einen immateriellen Schaden bereits nicht hinreichend dargelegt hatte.

Der Kläger argumentierte:

  • durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien;
  • er habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe.

Nach Ansicht des BGH hat das Berufungsgericht den Vortrag des Klägers aber zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens angesehen.

Hierbei stützt sich der BGH auf drei Aspekte, die für Auftragsverarbeiter und Verantwortliche in der Praxis als relevante Kriterien beachtet werden sollten, wenn sie selbst von Schadenersatzklagen betroffen sind.

1) Es liegt kein ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor

2) Die vom Kläger geäußerte Befürchtung eines Kontrollverlusts wurde nicht substantiiert dargelegt

3) Es wurden keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe.

1) Kein Kontrollverlust bei unzulässiger Werbe-E-Mail

Der BGH verweist auf die Rechtsprechung des EuGH und natürlich sein Urteil aus November 2024, wonach

schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert“.

Aber, und dieser Hinweis ist meines Erachtens wichtig: natürlich muss

auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat“.

Ein behaupteter Kontrollverlust reicht also für den BGH nicht aus. Erst wenn dieser Nachweis erbracht ist (der Kontrollverlust feststeht),

stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person“.

Zu dieser Interpretation des BGH wurde schon nach seinem Urteil aus November diskutiert, da man die Rechtsprechung des EuGH ggfs. auch anders verstehen mag. Jedoch macht der BGH hier deutlich, dass zwar einerseits der nachgewiesene Kontrollverlust von Daten ein Schaden sei – diesen Nachweis muss aber der Kläger erbringen.

Und im konkreten Fall gelang dem Kläger genau dieser Nachweis allein aufgrund der E-Mail nicht.

Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall“.

2) Begründete Befürchtung kann ausreichen – die bloß behauptete Befürchtung aber nicht

Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht nach Ansicht des BGH jedoch

die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen“.

Hier schafft der BGH eine Art Alternative zu dem nicht nachweisbaren Kontrollverlust – den begründet befürchteten Kontrollverlust. Der Betroffene kann einen Schaden dadurch begründen, dass der „begründete Befürchtungen“ zum Missbrauch seiner Daten geltend macht. Wichtig ist hierbei das Merkmal „begründet“.

Nach Auffassung des BGH genügt nämlich

die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten“,

um einen Schaden nachzuweisen.

Der Kläger argumentierte im konkreten Fall, die Befürchtung ergebe sich daraus, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe.

Diese Argumentation lehnt der BGH jedoch ab. Denn hierdurch werden nur die Befürchtung weiterer Verstöße gegen die DSGVO durch den Beklagten dargelegt. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen.

Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß.“

Auch diese Ansicht des BGH ist für die Verteidigungssicht gegen Art. 82-Ansprüche sehr wichtig. Der BGH prüft ganz genau, was der Grund der Befürchtung für einen Kontrollverlust ist. Sind es weitere Verstöße, fehlt es an der Kausalität für den konkret geltend gemachten Schaden.

3) Keine Reaktion ist noch kein Schaden

Zuletzt argumentierte der Kläger, ein immaterieller Schaden liege in der Missachtung der Forderungen des Klägers, die sich auch in der fehlenden Reaktion des Beklagten zeige.

Auch diese Argumentation teilt der BGH nicht. Erneut verweist er darauf, dass die Übersendung der Werbe-E-Mail allenfalls den gerügten Verstoß gegen die DSGVO begründe.

Allein der Verstoß ist aber eben noch kein Schaden. Der Verstoß

reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen“. Und die unterbliebene Reaktion des Beklagten

könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen“.

DSGVO-Auskunft über Daten in Backups – wann liegt ein „unverhältnismäßiger Aufwand“ vor?

Posted on by

In der Praxis stellt sich im Rahmen der Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO sehr oft die Frage, ob auch solche personenbezogenen Daten zu beauskunften sind, die nur noch in Backups gespeichert werden.

§ 34 Abs. 1 Nr. 2 b) BDSG sieht hierzu eine mögliche Ausnahme für Verantwortliche vor.

Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO nicht, wenn die Daten 1) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und 2) die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie 3) eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Rechtsprechung zu diesem Thema, findet sich kaum. Daher lohnt sich für die praktische Umsetzung durchaus der Blick in Hinweise von Aufsichtsbehörden, die sich mit dem Thema befassen.

Konkret hat etwa der BayLfD in seiner Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ zu einer solchen, wie in § 34 BDSG vorgesehenen Ausnahme, im Rahmen des § 83 Abs. 1 Nr. 2 SGB X Stellung genommen. Der BayLfD weist auch ausdrücklich darauf hin, dass sich die Ausschlussgründe des § 83 Abs. 1 Nr. 2 SGB X auch in Parallelbestimmungen in § 34 Abs. 1 Nr. 2 BDSG finden.

Aus diesem Grund ist die Auslegung des BayLfD auch für den Anwendungsberiech von § 34 BDSG nutzbar. Nachfolgen stelle ich kurz die Ansicht zu den obigen Anforderungen nach 1) und 2) dar.

Zwecke der Datensicherung oder der Datenschutzkontrolle

Zunächst müsste ein Backup unter das Merkmal der „Datensicherung“ oder „Datenschutzkontrolle“ fallen. Nach Ansicht des BayLfD ist dies für personenbezogene Daten in Backups der Fall:

Der Datensicherung dienen insbesondere Backup-Dateien, der Datenschutzkontrolle etwa Protokolldateien.“

Wichtig: § 34 BDSG fordert ausdrücklich, dass die Daten in Backups ausschließlich für die Zwecke der Datensicherung oder Datenschutzkontrolle vorgehalte werden würfen. Sollten die Daten auch für andere Zweck verwendet werden, greift die Ausnahme nicht.

Unverhältnismäßiger Aufwand

Besonders schwierig stellt sich in der Praxis die Antwort auf die Frage dar, wann denn eine Auskunftserteilung mit einem unverhältnismäßigen Aufwand verbunden ist?

Zunächst geht der BayLfD davon aus, dass „die Erteilung von Auskunft genauso zum Aufgabenkreis der öffentlichen Stelle gehört wie alle anderen Aufgaben“.

Bedeutet, dass also der Grundsatz stets die Pflichtenerfüllung sein muss – in unserem Fall, die Auskunft zu erteilen. Ausnahmen sind grundsätzlich restriktiv auszulegen.

Nach Ansicht des BayLfD zielt § 83 Abs. 1 Nr. 2 SGB X (und parallel auch § 34 Abs. 1 Nr. 2 b) BDSG) auf einen „ausgewogenen“ Ressourceneinsatz.

Dies bedeutet, dass das begrenzte personelle und sachliche Leistungspotenzial möglichst so genutzt werden, dass im öffentlichen Bereich des SGB X alle Bürgerinnen und Bürger eine ordnungsgemäße, insbesondere auch zeitgerechte Bearbeitung für ihre Anliegen erhalten.

Übertragen auf den weiteren öffentlichen und privatwirtschaftlichen Anwendungsbereich des § 34 Abs. 1 Nr. 2 b) DSGVO könnte mal umformulieren: im Rahmen der dem Verantwortlichen zur Verfügung stehenden Kapazitäten sollen Bürger/Kunden/Nutzer etc. zunächst und primär jene Leistungen erhalten, auf die sie einen gesetzlichen oder vertraglichen Anspruch haben.

Zu § 83 SGB X erläutert der BayLfD dann:

wird – bei einer Sozialbehörde – die für das „Kerngeschäft“ der Leistungsgewährung zur Verfügung stehende Zeit knapp, erlaubt es § 83 Abs. 1 Nr. 2 SGB X, auf die typischerweise aufwändige Auswertung von Backup- oder Protokolldateien zu verzichten.“

Für § 34 BDSG im privatwirtschaftlichen Bereich könnte man etwa ableiten, dass die Ausnahme dann greifen kann, wenn die Hauptleitungen an Kunden und Nutzer durch die Arbeit an einer (oder mehreren) Auskünften die Erfüllung der Hauptleitungen, also Tätigkeiten des Kerngeschäfts, für andere Personen erschweren oder einschränken.

Hiergegen mag man einwenden, dass das Beispiel des BayLfD ja in einem sensiblen und gesellschaftlich wichtigen Bereich der Leistungsgewährung des Staates gegenüber Bürgern spielt. Dort müsse quasi die „Daseinsvorsorge Vorrang haben“. Diesem Argument könnte man aber entgegenhalten, dass der Staat, wenn er hier personelle Engpässe sieht, genauso wie ein Unternehmen entsprechend reagieren kann und müsste. Der BayLfD verweist jedoch nicht auf ein solches Kriterium.

Weiter führt die Aufsichtsbehörde Kriterien an, wann die Unverhältnismäßigkeit angenommen werden könnte:

  • wenn die betroffene Person aus der Ankunft zu den Backups keinen „Mehrwert“ erlangen kann, weil etwa feststeht, dass Backup-Dateien keine zusätzlichen Informationen bieten können, oder
  • wenn bei einer kleineren Behörde trotz anlassbezogener organisatorischer Vorkehrungen das „Kerngeschäft“ über einen längeren Zeitraum nicht ordnungsgemäß durchgeführt werden könnte.

Insbesondere das zweite Kriterium könnte im privatwirtschaftlichen Bereich für kleine Unternehmen ein guter Anhaltspunkt sein. Wenn man sich als Unternehmen, im Rahmen seiner Möglichkeiten und verhältnismäßigem Aufwand, ordentlich um den Datenschutz kümmert, dann kann die Auskunft zu Daten aus Backups unverhältnismäßig sein, wenn dadurch die Hauttätigkeit des Unternehmens beeinträchtigt wird (etwa durch personellen Zusatzaufwand). Zum Abschluss ist noch darauf hinzuweisen, dass im Fall der Ablehnung einer Auskunft der Verantwortliche nach § 34 Abs. 2 BDSG in jedem Fall die Gründe der Auskunftsverweigerung zu dokumentieren hat und auch die Ablehnung der Auskunftserteilung gegenüber der betroffenen Person begründen muss.