750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben. 

Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.

Entwurf des rbb-Staatsvertrages: europarechtswidrige Regelungen zu den Aufgaben des Rundfunkdatenschutzbeauftragten und der Datenschutzbeauftragten des rbb?

Kürzlich hat der Senat von Berlin das Abgeordnetenhaus über den beabsichtigten Abschluss des neuen Staatsvertrages über den Rundfunk Berlin-Brandenburg (rbb-Staatsvertrag) unterrichtet und den Entwurf veröffentlicht (PDF, Stand: 30. Oktober 2023).

Interessant und aus meiner Sicht europarechtlich kritisch zu bewerten, sind die vorgeschlagenen Regelungen zu den Aufgaben einerseits des Rundfunkdatenschutzbeauftragten und andererseits des Datenschutzbeauftragten des rbb.

Rundfunkdatenschutzbeauftragte

Nach § 47 Abs. 1 ernennt der Rundfunkrat des rbb mit Zustimmung des Verwaltungsrates als zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO für die Dauer von vier Jahren eine Person zur oder zum Rundfunkdatenschutzbeauftragten. Es wird hier also eine spezielle Aufsichtsbehörde nach Art. 51 DSGVO geschaffen, was für sich betrachtet erst einmal noch nicht ungewöhnlich ist.

Aufgabe des Rundfunkdatenschutzbeauftragten ist nach § 48 Abs. 1 die Überwachung der Einhaltung der Datenschutzvorschriften des Staatsvertrages, des Medienstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des Rundfunk Berlin-Brandenburg und seiner Hilfs- und Beteiligungsunternehmen.

Achtung: der Rundfunkdatenschutzbeauftragte soll also insgesamt für alle Fragen des Datenschutzes beim rbb zuständig werden. Dies ist eine Neuerung zum derzeitigen § 38 des rbb-Staatsvertrages. Nach § 38 Abs. 2 des aktuellen rbb-Staatsvertrages überwacht er die Einhaltung der Datenschutzvorschriften, soweit der rbb personenbezogene Daten zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet (vgl. auch die Zuständigkeitsübersicht auf der Webseite des Rundfunkdatenschutzbeauftragten). Aktuell ist also eigentlich für die Datenverarbeitung zu nicht-journalistischen Zwecken die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig.

Da4 der Rundfunkdatenschutzbeauftragte eine Aufsichtsbehörde im Sinne der DSGVO (also natürlich nicht selbst Teil des rbb) ist, soll nach § 48 Abs. 7 jede Person das Recht haben, sich unmittelbar an den Rundfunkdatenschutzbeauftragten zu wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten durch den rbb in ihren schutzwürdigen Belangen verletzt zu sein.

Also praktisch: im Fall von Beschwerden können sich hiernach Mitarbeiter des rbb oder z.B. Webseitenbesucher an den Rundfunkdatenschutzbeauftragten werden.

Datenschutzbeauftragte des rbb

Daneben muss der rbb als Verantwortlicher aber natürlich auch noch eine eigene, betriebliche Datenschutzbeauftragte nach Art. 37 DSGVO haben. Nach § 48 Abs. 8 wird die Datenschutzbeauftragte des rbb gemäß Art. 37 DSGVO von der Intendantin oder dem Intendanten mit Zustimmung des Verwaltungsrates benannt.

Nach Art. 38 Abs. 4 DSGVO können daher alle (!) betroffene Personen die Datenschutzbeauftragte zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen. Also sowohl Mitarbeiter des rbb, Kontaktpersonen bei Lieferanten oder auch Besucher der vom rbb betriebenen Webseite.

Wirklich?

Ja, so müsste es eigentlich sein.

Die Landesregierungen von Brandenburg und Berlin sehen das aber wohl etwas anders. Auch wenn man zugestehen muss, dass sich diese andere Sichtweise „nur“ aus der Begründung zum neuen rbb-Staatsvertrag ergibt.

Zu § 47 heißt es in der Begründung:

Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist die oder der betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber“.

Bitte? Die interne Datenschutzbeauftragte soll, entgegen den Vorgaben des Art. 38 Abs. 4 DSGVO, nur für Mitarbeiteranfragen zuständig sein?

Ich habe erst gedacht, dass das ja wohl so nicht gemeint sein kann. Aber die Begründung geht weiter.

Zu § 48 Abs. 8 heißt es in der Begründung:

Die oder der betriebliche Datenschutzbeauftragte des rbb ist eine Aufsichtsbehörde im Sinne des Artikels 37 der Datenschutz-Grundverordnung und ist von der oder dem Rundfunkdatenschutzbeauftragten zu unterscheiden.“

Gut, dass das falsch ist, dürfte offensichtlich sein. Die betriebliche Datenschutzbeauftragte ist natürlich niemals Aufsichtsbehörde im Sinne der DSGVO. Denn dann würde der rbb-Staatsvertrag hier zwei Datenschutzaufsichtsbehörden schaffen.

Es geht weiter:

Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist der oder die betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber.“

Tatsache. Hier wiederholt der Entwurf noch einmal genau die oben bereits dargestellte Zuständigkeitsverteilung. Der Rundfunkdatenschutzbeauftragte soll wohl Ansprechpartner für alle Betroffenen außerhalb des rbb sein. Die interne Datenschutzbeauftragte, entgegen den unmittelbar geltenden Vorgaben der DSGVO, aber nur für die Mitarbeiter des rbb.

Was würde das in der Praxis bedeuten?

  • Wenn ein Webseitenbsucher Fragen zu Cookies auf der Webseite des rbb hat, dürfte die Datenschutzbeauftragte des rbb hierzu gar nichts sagen. Denn sie soll ja dafür nicht zuständig sein. Die Aufsichtsbehörde (!) des rbb müsste dann, auch außerhalb einer förmlichen Beschwerde, Auskünfte und Informationen zur Datenverarbeitung des rbb durch Cookies geben. Wie soll das gehen?
  • Wenn ein Teilnehmer eines Gewinnspiels des rbb Fragen zur Aufbewahrung seiner Daten durch den rbb hat, dürfte die Datenschutzbeauftragte des rbb hierbei nicht unterstützen oder Auskunft geben.

Sollte diese Aufgabenzuweisung zwischen Rundfunkdatenschutzbeauftragten und der internen Datenschutzbeauftragten des rbb tatsächlich so im rbb-Staatsvertrag verbindlich vorgesehen werden, würde dies aus meiner Sicht klar einen Verstoß gegen Art. 38 Abs. 4 DSGVO darstellen. Die Stellung der Datenschutzbeauftragten würde massiv und entgegen der DSGVO beschränkt.

In dem Entwurf des rbb-Staatsvertrages finden sich auch keinerlei Hinweise darauf, ob man hier eventuell Öffnungsklauseln oder Ausnahmevorschriften der DSGVO nutzen möchte. Art. 23 Abs. 1 DSGVO greift hier meines Erachtens nicht, dass sich die Ausnahmen nicht auf Art. 37 oder 38 DSGVO erstrecken können.

Und auch Art. 85 Abs. 2 DSGVO ist meines Erachtens nicht einschlägig, da es ja laut der Begründung im rbb-Staatsvertrag eben nicht nur um Verarbeitungen zu journalistischen Zwecken geht, sondern schlicht um eine Abgrenzung zu ganzen Personengruppen.

Ich bin gespannt, wie diese Regelungen, sollten sie in dieser Form kommen, praktisch umgesetzt. Wie gesagt, verstößt diese Aufspaltung von Kompetenzen und Aufgaben aber gegen die DSGVO.