Author Archives: Carlo Piltz

Wie berechnet man immateriellen Schadenersatz nach Art. 82 DSGVO bei Datenschutzverstößen? OLG Celle macht erste Vorschläge – auch zu einem „Sockelwert“ bei Scraping-Fällen

Posted on by

Nach dem Urteil des BGH zum Themenkomplex „Scraping“ vom 18.11.2024 (VI ZR 10/24), haben wir gespannt darauf gewartet, wie die Gerichte die Vorgaben bzw. Begründungen des BGH in ihren Schadenersatzverfahren nach Art. 82 DSGVO berücksichtigen.

Mit Beschluss vom 09.01.2025 (Az. 5 U 173/23) hat sich das OLG Celle nun ausführlicher zu der Frage „Bemessung der Höhe eines immateriellen Schadensersatzes bei einem sog. Datenscraping-Vorfall“ befasst. Der Hinweisbeschluss bezieht sich allgemein auf sämtliche beim Senat anhängigen Verfahren aus dem Bereich „Datenscraping Facebook“, bei denen die jeweilige Klagepartei von einer spezifischen Rechtsanwaltskanzlei vertreten wird.

Wann gibt es 100 EUR Schadenersatz?

Hinsichtlich der Höhe eines immateriellen Schadensersatzes gelten nach Maßgabe des OLG folgende Annahmen:

  • Der bloße objektive Kontrollverlust stellt bereits einen immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Klagepartei.
  • Befürchtungen oder Ängste wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.
  • Für den bloßen Kontrollverlust als solchen würde der Senat einen immateriellen Schaden in Höhe von 100 EUR als angemessen ansehen.
  • Mit diesen 100 EUR sieht das OLG „gewisse mit dem eingetretenen Kontrollverlust für die betroffene Klagepartei einhergehende „Folgeerscheinungen““ als erfasst an.
  • Das OLG verweist auf den BGH und von ihm in seinem Urteil erwähnte „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“.
  • Das OLG erfasst mit den 100 EUR also zwei Aspekte: 1) den objektiven Kontrollverlust, 2) die für jedermann damit einhergehenden Unannehmlichkeiten. Diese sind mit den 100 EUR „mit abgegolten“.
  • Machen Kläger in Scraping-Verfahren eine höhere Summe als Schaden geltend, so geht das OLG davon aus, dass das jeweilige Tatgericht zu prüfen hat, ob die behaupteten bzw. erstinstanzlich festgestellten „Folgeerscheinungen“ über diese Schwelle der „für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinausgehen.
  • Ist dem so, hat das Gericht auch die Anordnung des persönlichen Erscheinens der Kläger und deren Anhörung zu prüfen. Hierbei muss das Gericht eruieren, ob die vorgebrachten „Folgeerscheinungen“ einen die Höhe von 100 EUR übersteigenden immateriellen Schadensersatz rechtfertigen.

Ganz grob geht das OLG also davon aus,

  • dass in „normalen“ Scraping-Fällen (objektiver Kontrollverlust muss nachgewiesen sein) ein Schadenersatz von 100 EUR angemessen ist, um den Kontrollverlust und normale Folgeerscheinungen (zB Ängste und Befürchtungen) auszugleichen.
  • Dass ein höherer Schadenersatz in Frage kommt, wenn die Kläger besondere Umstände und Folgen geltend machen; diese sind dem Tatgericht in persönlicher Anhörung darzulegen.

Ist das nun ein „pauschaler“ Schadenersatz?

Man kann nun wohl darüber streiten, ob die Ansicht des OLG schon zu einem „pauschalen“ Schadenersatzanspruch führt. Meines Erachtens nicht zwingend, da ja immer noch die Tatbestandsvoraussetzungen von Art. 82 DSGVO erfüllt sein müssen (insb. etwa auch eine Kausalität). Allein ein Verstoß gegen die DSGVO führt also auch nach dem OLG Celle nicht zu einem Schadenersatzanspruch.

Die 100 EUR bezeichnet das OLG selbst bildlich als „Sockelwert“ – wichtig: es geht hier konkret um die Scraping-Verfahren.

Wann gibt es mehr als 100 EUR?

Möchten Betroffene, in diesen speziellen Scraping-Verfahren, mehr Schadenersatz haben, müssen sie dies im Zweifel durch persönliches Erscheinen bei Gericht darlegen.

Hierzu das OLG: „Nur das Vorbringen, das die jeweilige Klagepartei im Rahmen einer solchen Anhörung gemacht hat, ist aber für die erkennenden Tatgerichte maßgeblich, nicht das – möglicherweise davon abweichende – schriftsätzliche Vorbringen ihrer Prozessbevollmächtigten“.

Zudem äußert sich das OLG auch zu der Frage, wie hoch die Hürden für einen Schadenersatz von 500 EUR wären.

So hatte das LG Hannover in vielen der beim Senat anhängigen Verfahren einen immateriellen Schadensersatz in Höhe von 500 EUR ausgeurteilt – nachdem die Kläger persönlich angehört wurden.

Ob diese 500 EUR auch vor dem OLG halten, möchte das Gericht nicht ausschließen – jedoch werden Zweifel in dem Hinweisbeschluss sehr deutlich.

Der Senat möchte nicht ausschließen, dass im Einzelfall auf Grundlage der vom Landgericht getroffenen Feststellungen ein so hoher immaterieller Schadensersatz auch tatsächlich gerechtfertigt ist, allerdings dürfte dies dann nach dem Verständnis des Senats von dem Urteil des Bundesgerichtshofs vom BGH 18. November 2024 ganz besonders erheblicher Umstände bedürfen“.

Hierfür nennt das OLG auch einen Beispielsfall: in einem Verfahren wurde vorgetragen, dass „aufgrund des Datenlecks und deren Auswirkungen die Klägerseite aufgrund von Angstzuständen in ärztlicher Behandlung“ sei. Ein solcher Vortrag würde – aus Sicht des OLG – das Tatgericht dazu verpflichten, im Bestreitensfalle die betreffende Klagepartei persönlich anzuhören.

Denn diese behauptete (psychische) Folgeerscheinung gehe evident (deutlich) über die Stufe der „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinaus.

Wenn sich das Tatgericht von der Richtigkeit dieses Vortrags überzeugt sieht, so so könne dies nach Auffassung des OLG durchaus einen immateriellen Schadensersatz in Höhe von zumindest 500 EUR (und ggf. sogar noch darüberhinausgehend) rechtfertigen.

Fazit

Die Ansicht des OLG wird nicht die erste und letzte zu dem Thema „Höhe des Schadenersatzes“ bei Datenschutzverstößen sein. Ich finde die Entscheidung des Gerichts hilfreich, da der Senat hier wirklich versucht, eine nachvollziehbare Linie zu entwickeln.

Diese geht davon aus, dass 100 EUR Schadenersatz für den objektiven Kontrollverlust und „normale“ Folgeerscheinungen gewährt werden – wenn die Voraussetzungen vorliegen. Damit sind wir natürlich auch meilenweit von Ankündigungen der Klägervertreter im Internet, auf YouTube und Instagram entfernt, die in Massenverfahren von bis zu 2.000 EUR, 3.000 EUR oder gar 5.000 EUR sprechen (oder sprachen).

Ein höherer Schadenersatz ist durchaus möglich, wird aber nur in der einzelnen, besonderen Situation und vor allem wohl nur nach persönlicher Anhörung der Kläger zu den besonderen Folgen begründbar sein.  

Speicherung von Daten zur Verteidigung gegen zukünftige Klagen? Strenge Ansicht des OLG Karlsruhe

Posted on by

In der Praxis stellt sich für Verantwortliche oft die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, wenn etwa eine Kundenbeziehung endet oder ein Mitarbeiter das Unternehmen verlässt. Im Zweifel orientiert man sich hierbei etwa an den Verjährungsfristen (z.B. § 195 BGB) für Ansprüche, die durch Betroffene noch geltend gemacht werden könnten. Solange eine Klage möglich bleibt, möchte man schließlich nicht Dokumente und Informationen vorzeitig löschen, die im Falle eines Rechtsstreits als Beweismittel zur Verteidigung dienen können.

Nach Art. 17 Abs. 3 e) DSGVO gilt die Löschpflicht nicht, soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Das OLG Karlsruhe (Urt. v. 15.01.25, Az. 14 U 150/23) hat in einem solchen Fall nun eine sehr strenge Ansicht zur Möglichkeit der weiteren Aufbewahrung von Daten und Dokumenten vertreten.

Sachverhalt

Im konkreten Fall stritten die Parteien um Ansprüche wegen einer vorübergehenden Deaktivierung des Accounts der Klägerin. Unbekannte Dritte verbreiteten unter unberechtigter Nutzung des Kontos der Klägerin kinderpornografische Darstellungen. Das Konto wurde von der Beklagten vorübergehend deaktiviert. Nach gewisser Zeit und Aufforderungen durch den Anwalt der Klägerin wurde das Konto reaktiviert. Die Information zur Sperrung des Kontos und die Löschung der Beiträge, die durch Dritte erstellt wurden, waren weiterhin im Datensatz der Beklagten vermerkt. Die Klägerin verlangte nun, die bei der Beklagten gespeicherte Daten der Klägerin dahingehend zu berichtigen, dass alle Lösch- und/oder Sperrvermerke, die Grund für die Kontodeaktivierung gewesen sind, aus dem Nutzerdatensatz gelöscht werden.

Entscheidung

Das OLG geht davon aus, dass ein Löschanspruch der Klägerin besteht.

Auf die Ausnahmeregelung zur Löschpflicht nach Art. 17 Abs. 3 e) DSGVO könne sich die Beklagte nicht berufen, wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist.

Die vorhandenen Daten sind nach Ansicht des OLG für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig, Art. 17 Abs. 1 a) DSGVO. Zudem könne sich die Beklagte auch nicht darauf berufen,

dass die fortgesetzte Verarbeitung der Daten in Form der Speicherung nunmehr für einen anderen Zweck notwendig sei, namentlich mit Blick auf Art. 17 Abs. 3 lit. e DSGVO“.

Das OLG geht diesbzgl. kurz auf den Zweck der Ausnahmeregelung und die dazu vertretenen Ansichten ein.

Die Vorschrift diene dazu, dass die Rechtsdurchsetzung, aber auch die Rechtsverteidigung nicht dadurch eingeschränkt wird, in dem die andere Seite durch Geltendmachung von Löschungsansprüchen eben gerade diese Rechtsdurchsetzung oder Rechtsverteidigung behindert. Der (Prozess-)Gegner soll nicht über Löschungsansprüche Beweismittel oder anspruchsbegründende Tatsachen vernichten können.

Wie wahrscheinlich eine rechtliche Auseinandersetzung sein muss, um diesen Ausnahmetatbestand zu rechtfertigen, ist umstritten“.

Gerade dieser letzte Aspekt, wird in der Literatur und auch unter den Aufsichtsbehörden in verschiedener Weise diskutiert. Im Grunde geht es um die Frage: Wie sicher muss ich sein, dass ich verklagt werde, um deswegen noch personenbezogene Daten speichern zu dürfen?

Und das OLG vertritt hierzu eine, aus meiner Sicht durchaus diskutable, strenge Auffassung.

Zunächst geht das OLG davon aus, dass unabhängig von den Anforderungen, die insoweit im Einzelnen gestellt werden, Einigkeit darüber bestehe,

dass die lediglich abstrakte Möglichkeit eventueller zukünftiger Klagen eine Berufung auf Art. 17 Abs. 3 lit. e DSGVO nicht rechtfertigen kann“.

Natürlich stellt sich dann die Frage, wann eine solche Möglichkeit nur „abstrakt“ besteht? Im vorliegenden Fall begründet das OLG grob in zwei Schritten, warum die Speicherung nicht mehr zur Verteidigung gegen Ansprüche erforderlich sei.

Erstens

Der Vorgang sei zwischenzeitlich in den anwaltlichen und den Gerichtsakten dokumentiert, da der Vorgang unter einer Mehrzahl an Aspekten Gegenstand des vorliegenden Rechtsstreits ist. Das OLG geht davon aus, dass die Position der Beklagten im laufenden Rechtsstreit nicht beeinträchtigt ist, wenn diese Informationen aus dem Datensatz der Klägerin gelöscht werden.

Das Gericht stellt also darauf ab, dass die ggfs. in Zukunft noch relevanten Daten bei anderen Stellen, Anwälte und Gerichte, vorhanden sind. Daher benötige die Verantwortliche sie nicht mehr.

Die Begründung lässt aus meiner Sicht außer Acht, dass die anderen Stellen eigene Verantwortliche nach der DSGVO sind und nicht festgestellt wird, unter welchen Voraussetzungen die Beklagte in Zukunft an diese Daten gelangen könnte. Wenn sie sie doch noch benötigt. Dürften etwa die Dritten diese Daten wieder zur Verfügung stellen? Unter welchen Voraussetzungen? Hierzu sagt das OLG nichts.

Zweitens

Da die Klägerin im vorliegenden Verfahren potentielle Ansprüche umfänglich verfolgt hat, liege die Befürchtung einer weiteren Klage wegen des zugrundeliegenden Vorfalls fern.

Dieser Ansicht mag man zustimmen, wenn die Klägerin wirklich alle potentiellen Ansprüche bereits geltend gemacht hat. So lag der Fall hier aber gerade nicht, was sogar das OLG zugesteht.

Zwar könnte sie noch auf Schmerzensgeld oder materiellen Schadensersatz klagen, da sie entsprechende Ansprüche bislang nicht anhängig gemacht hat. Hierbei handelt es sich indes aus mehreren Gründen um ein gänzlich unwahrscheinliches Szenario.“

Das OLG sieht also die Möglichkeit, dass die Verantwortliche noch auf Schadenersatz in Anspruch genommen werden kann. Dann nimmt das Gericht jedoch eine Einschätzung vor, wie wahrscheinlich dies erscheint.

Dagegen spricht, dass die Klägerin dies bislang gerade nicht getan hat.“

Als ich dieses Argument gelesen habe, musste ich schon kurz schmunzeln. Nur weil eine Person bisher eine Klage nicht eingereicht hat, bedeutet das meines Erachtens noch lange nicht, dass sie dies nicht doch in Zukunft unternimmt.

Hinzu kommt, dass eine derartige Klage nach der höchstrichterlichen und obergerichtlichen Rechtsprechung in einer Konstellation wie der vorliegenden keinerlei Aussicht auf Erfolg hätte, was auch der Grund dafür sein dürfte, dass die von einem unter anderem auf Fallgestaltungen wie den vorliegenden spezialisierten Rechtsanwalt vertretene Klägerin bislang keine Schadensersatzansprüche geltend gemacht hat.“

Viele, die in der Praxis mit Klagen auf Basis der DSGVO befasst sind, dürften mir zustimmen, dass diese Klagen sehr oft gerade nicht nur geltend gemacht werden, wenn gute Erfolgsaussichten bestehen, Dazu müsste man nur einen Blick in die Rechtsprechung des letzten Jahres zu Art. 82 DSGVO werfen. Das Argument des OLG ist im Grunde: man soll davon ausgehen, dass nur dann geklagte wird, wenn gute Erfolgsaussichten bestehen. Meine persönliche Erfahrung im Datenschutzrecht hierzu, sieht tatsächlich anders aus.

Zudem lässt das OLG eine rein „theoretische Gefahr“ einer Klage nicht ausreichen.

Eine derartige, theoretische Gefahr als ausreichend anzusehen und hierauf die Anwendung einer datenschutzrechtlichen Ausnahmeregelung zu stützen, wäre nach Auffassung des Senats mit den Wertungen der DSGVO nicht vereinbar“.

Folgt man dieser Ansicht, dürften Verantwortliche wohl nur Daten zur zukünftigen Verteidigung speichern, wenn man als Verantwortlicher schon einmal wegen genau dieses Streitgegenstands schon verklagt wurde oder zB der Betroffene die Klage ankündigt.

Wenn man aber bisher ohne Streitigkeiten mit Kunden oder Mitarbeitern gelebt hat, würde man hier benachteiligt und dürfte keine Daten speichern.

Fazit

Möchte man als Verantwortlicher Daten zur zukünftigen Verteidigung speichern, sollte man intern mindestens einige Argumente vorhalten, warum dies geschieht. Allein der Verweis auf eine mögliche Inanspruchnahme und die laufenden Verjährungsfristen würde, mit Ansicht des OLG, nicht ausreichen.

Verwaltungsgericht: Anforderungen an den Nachweis der Löschung von Daten nach Art. 5 Abs. 2 DSGVO – „wann genau, durch wen, in welcher Weise, in welchem Umfang“?

Posted on by

In seinem Urteil vom 17.12.2024 (Az. 4 K 2298/23; derzeit noch nicht frei verfügbar; BeckRS 2024, 36618) hatte sich das Verwaltungsgericht Bremen u.a. mit der Frage zu befassen, wie ein Unternehmen die Löschung personenbezogener Daten gegenüber einer Datenschutzbehörde nachweisen muss.

Sachverhalt

Die Klägerin ist ein Marketingunternehmen, das u.a. E- Mails mit Werbung an eine Vielzahl von Empfängern versendete. Die Datenschutzbehörde erfuhr durch eine Betroffene, dass diese das Unternehmen aufforderte, ihr keine unerwünschte E-Mail-Werbung mehr zuzusenden sowie ihre personenbezogenen Daten zu löschen. Sie habe der Zusendung von E-Mail-Werbung nicht zugestimmt. Daraufhin forderte die Datenschutzbehörde das Unternehmen mit Schreiben vom 19.09.2023 zur Stellungnahme und Beantwortung von Fragen zu dem Sachverhalt und ihren allgemeinen Verarbeitungstätigkeiten auf.

Am 12.12.2023 erließ die Datenschutzbehörde eine Anordnung gegen das Unternehmen, in der die Datenschutzbehörde u.a. Auskünfte dazu begehrte, welche natürlichen Personen das Unternehmen seit dem 1. Juni 2023 bis zum Zugang der Anordnung zu Werbezwecken per E-Mail kontaktiert hat und wie oft jeweils. Zudem sollte das Unternehmen die jeweiligen schriftlichen oder elektronischen datenschutzrechtlichen Einwilligungserklärungen in Kopie vorlegen.

Das Unternehmen klagte gegen diese Auskunftsanordnung u.a. mit der Begründung, dass die Daten der Betroffenen aufgrund von Art. 17 DSGVO gelöscht worden – due Auskunft also faktisch nicht mehr erfüllt werden können. Die Löschung der Daten sei zum Jahresende 2023 erfolgt, also nach Erlass des angegriffenen Bescheides. Die Löschung sei erfolgt, indem ihre einzige Geschäftsführerin die Datenbank mit den Daten auf dem PC und dem Laptop gelöscht habe. Die Daten hätten sich in einer Excel-Tabelle befunden. PC und Laptop seien Windows- und Office-Systeme, in denen Dateien durch Markierung und Löschbefehl gelöscht würden. Durch Weiternutzung von PC und Laptop seien die gelöschten Daten unwiederbringlich überschrieben worden und nicht mehr wiederherstellbar. Der genaue Tag der Löschung sei ihrer Geschäftsführerin nicht mehr in Erinnerung, weil es kein Löschprotokoll gebe.

Entscheidung

Das Verwaltungsgericht war nicht davon überzeugt, dass die in Rede stehenden Daten bis zum Zeitpunkt der mündlichen Verhandlung tatsächlich gelöscht wurden.

Zunächst stellt das Gericht fest:

Die insoweit darlegungs- und beweisbelastete Klägerin (…) substantiiert ihr Vorbringen zur vermeintlichen Löschung nicht ansatzweise und legt insbesondere weder Nachweise für die vermeintlich erfolgte Löschung der Daten vor noch macht sie Angaben zu deren Zeitpunkt.“

Das Gericht verweist diesbezüglich auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Hieraus ergibt sich nach Ansicht des Gerichts die Pflicht, bei einer Löschung von Daten den Nachweis führen zu können, 1) dass diese Daten gelöscht wurden und 2) wann dies erfolgte.

Checkliste zu den erforderlichen Nachweisen

Das Gericht verlangt zum Nachweis „konkrete, detaillierte Tatsachenangaben“. Der Verantwortliche muss darlegen

  • wann genau,
  • durch wen,
  • in welcher Weise,
  • in welchem Umfang und
  • aus welchem Speichermedium Daten gelöscht worden seien.

Die pauschale Angabe, dass die Daten gelöscht sind, reicht in jedem Fall nicht aus, um den Anforderungen nach Art. 17 Abs. 1 und Art. 5 Abs. 2 DSGVO zu genügen.

Interessant sind die spezifischen Angaben, die nachgewiesen werden sollen. Das Gericht gibt in der Begründung des Urteils fast schon eine kleine „Checkliste“ mit, die nach seiner Ansicht für eine nachweisebare Löschung von Daten abgearbeitet werden muss:

  • Wann exakt die Löschung erfolgte.
  • Welche Dateibezeichnung die Dateien hatten.
  • Welchen Umfang die Daten hatten.
  • Welchen exakt zu benennenden Speicherort und welche Software-Versionen (etwa mit Cloudspeichermöglichkeiten) zur Nutzung der Dateien im Einsatz waren bzw. sind.
  • Was mit Daten in einem evtl. vorhandenen Backup geschehen ist.

Diese Angaben verlangt das Gericht, um eine Nachprüfung zu ermöglichen – sie fehlten aber hier.

In der Praxis spielt das Thema „Löschung“ eine wichtige Rolle, da man als Verantwortlicher gewissermaßen zwischen zwei Stühlen steht. Einerseits soll man personenbezogene Daten löschen. Andererseits soll man den Nachweis dafür erbringen. Bedeutet dies am Ende, dass man zum Nachweis einer Löschung doch wieder personenbezogene Daten speichern muss? Etwa: „Daten von Carlo Piltz am 1.1.2025 gelöscht“.

Meines Erachtens verlangt das Verwaltungsgericht nicht zwingend, dass der Nachweis auch personenbezogen erfolgen muss – zumindest nicht für alle oben genannten Merkmale. Der Vorteil in der Praxis wäre, dass man den Nachweis der Löschung auch prozessual darlegen kann. Also etwa über die Darstellung der Löschroutinen und des generellen Vorgehens, wie aus IT-Systemen gelöscht wird, wenn Betroffene z.B. eine Löschung verlangen. Knifflig dürfte aber eine nichtpersonenbezogene Erfüllung der Vorgaben zum exakten Zeitpunkt und der Dateibezeichnung sein.

Löschung aus der EXCEL-Tabelle?

Und was ist mit dem Hinweis des Unternehmens, dass die Daten aus einer EXCEL-Tabelle gelöscht wurden?

Das Gericht lässt sich auch hiervon nicht überzeugen.

Zunächst stellt das Gericht in Bezug auf die erforderliche Dokumentation von Einwilligungserklärungen fest, dass eine Excel-Tabelle dafür eher ungeeignet scheint.

„In der erwähnten Excel-Tabelle selbst können bei sachgerechter Handhabung die vermeintlich abgegebenen Einwilligungserklärungen bzw. eindeutig bestätigenden Handlungen (vgl. ErwGr 32 DSGVO) der gelisteten E-Mail-Adressinhaber seitens der Klägerin kaum dokumentiert worden sein“.

Das Gericht geht davon aus, dass die Dokumentation der Einwilligungserklärungen vielmehr jeweils in einer geeigneten Form an separater Datei-Stelle erfolgen müsse.

Zudem geht das Gericht davon aus, dass die Schilderung „durch Markierung und Löschbefehl“ gerade nicht für eine sofortige, vollumfängliche, endgültige und irreversible Löschung spricht.

Und zuletzt verweist das Gericht auch darauf, dass allein die Löschung aus einer EXCEL-Tabelle nicht ausreichen dürfte, da wohl eine (externe) Datensicherung und darin enthaltene Kopien der Daten vorhanden sein dürfte.

Fazit

Was nehmen wir mit? Als Verantwortlicher muss man die Löschung nachweisen können. Ob dies immer personenbezogen erfolgen muss, halt ich für diskutabel. Hier kann ein gut durchdachtes Löschkonzept als Nachweis helfen. Wenn man für den Nachweis der Löschung noch personenbezogene Daten speichern möchte (um auf Nummer sicher zu gehen), gibt das Urteil des Gerichts aber auch hierfür gute Argumentationshilfen. Inklusive der Rechtsgrundlage, Art. 6 Abs. 1 c) iVm Art. 5 Abs. 2, Art. 17 Abs. 1 DSGVO.

Wann ist das Design eines Cookie-Banners unzulässig? CNIL gibt Hinweise und versendet Warnungen

Posted on by

Die französische Datenschutzbehörde (CNIL) informiert auf ihrer Webseite, dass sie mehrere Webseitenbetreiber wegen unzulässiger Gestaltung von Cookie-Bannern angeschrieben hat. Die betroffenen Stellen haben einen Monat Zeit, ihre Banner anzupassen.

Aus Sicht der CNIL sind folgende Gestaltungen von Bannern als Verstoß gegen die Vorgaben des französischen Gesetzes zur Umsetzung der ePrivacy-Richtlinie und der DSGVO zu werten:

  • Die Ablehnungsoption wird in Form eines anklickbaren Links dargestellt, dessen Wahl der Farbe, der Schriftgröße und des Schriftstils die Einwilligungs-Option gegenüber der Ablehnungs-Option unverhältnismäßig stark hervorhebt;
  • Die Ablehnungs-Option ist so in die Texte eingebettet, dass sie nicht ohne weiteres erkennbar ist;
  • die Ablehnungs-Option ist neben anderen Absätzen platziert, ohne dass ein ausreichender Abstand vorhanden ist, um sie visuell von allen anderen Informationen zu unterscheiden;
  • die Option „Akzeptieren“ wird im Banner mehrfach dargestellt, während die Option „Ablehnen“ nur einmal und in nicht expliziter Form („Ich lehne nicht wesentliche Zwecke ab“) dargestellt wird.

Zwar geht die CNIL (wie auch schon die EDSA Cookie Banner Taskforce) davon aus, dass das Gesetz keine bestimmte Art der Darstellung von Auswahlmöglichkeiten auf dem Cookie-Banner vorschreibt. Andererseits müssen die betroffenen Stellen aber darauf achten, dass sie ein Design wählen, das die betroffene Person nicht in die Irre führt, wenn die Einwilligung gültig sein soll.

Daher sollen die Informationen, die auf dem Cookie-Banner angezeigt werden, klar und vollständig sein und den Zweck der eventuell verwendeten Cookies sowie die Möglichkeiten zu ihrer Ablehnung angeben.

Nach dem BGH-Urteil zum DSGVO-Schadenersatz – Pauschal 100 EUR bei (angeblichem) Kontrollverlust?

Posted on by

Nach dem Urteil des BGH vom 18.11.2024 (Az. VI ZR 10/24) warten wir gespannt darauf, wie die Auslegung des BGH von Instanzgerichten aufgenommen wird. Denn diese müssen nun die Vorgaben durch den BGH bei ihren Entscheidungen berücksichtigen.

Der BGH hatte einerseits (jeweils unter Verweis auf EuGH-Rechtsprechung) begründet, dass der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (Rz. 30).

Anderseits geht der BGH aber auch davon aus, dass die betroffene Person den Nachweis erbringen muss, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (Rz. 31).

Ist, nach den Feststellungen des Gerichts, allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, gibt der BGH den Tatrichtern gewisse Anhaltspunkte, die bei der Schätzung des Schadens zu berücksichtigen sind (Rz. 99).

Deutlich wird: der BGH erkennt an, dass ein Kontrollverlust ein Schaden sein kann – gleichzeitig verweist der BGH aber mehrmals darauf, dass dieser Kontrollverlust durch den Betroffenen auch nachgewiesen sein muss.

LG Münster

In einem Urteil des LG Münster vom 25.11.2024 (Az. 014 O 78/24) ging es um mögliche Schadenersatzansprüche wegen (unzulässiger) Weitergabe von Positivdaten an eine Auskunftei.

Das LG geht im konkreten Fall davon aus, dass kein Verstoß gegen die DSGVO vorliegt. Eigentlich wäre also eine Prüfung von Art. 82 DSGVO entbehrlich gewesen. Dennoch nutzt das LG die Gelegenheit und setzt sich mit der BGH-Entscheidung auseinander.

Das LG geht zunächst davon aus, dass „nicht schon allein ein Verstoß gegen die Datenschutzgrundverordnung für die Klägerin einen immateriellen Schaden darstellt“ (hier verweist das LG etwa auf EuGH C-300/21 und C-667/21).

Danach verweist das LG auf die obige Ansicht des BGH, „dass schon allein der Kontrollverlust über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz grundsätzlich ausreichen könne (Urt. v. 18.11.2024, VI ZR 10/24)“.

Jedoch scheint des LG die Entscheidung des BGH sehr konkret nur auf solche Fälle anwenden zu wollen, in denen ein Kontrollverlust durch Betroffene tatsächlich festgestellt ist.

Vorliegend konnte indes noch nicht einmal ein solcher Kontrollverlust festgestellt werden. Anders als in den sog. Scraping Fällen, in denen unbekannte Dritte personenbezogene Daten unrechtmäßig erlangten und deren Verbleib teils ungeklärt ist, sind in hiesigem Fall die konkret betroffenen Daten sowie deren Verbleib weitgehend geklärt„.

Zumindest aus der Ansicht des LG kann man mitnehmen:

  • Die Ansichten des BGH gelten nur in Fällen, in denen es auch um einen Kontrollverlust geht.
  • Dieser Kontrollverlust muss auch nachgewiesen bzw. festgestellt sein.

Das LG versteht den BGH offenbar auch nicht im Sinne einer zwingenden Annahme eines Schadens bei jeglichem Kontrollverlust (quasi „Jeder Kontrollverlust ist immer ein Schaden“). Denn das LG verweist darauf, dass der BGH davon ausgehe, dass ein Kontrollverlust für einen Schaden „grundsätzlich ausreichen könne“ – aber eben nicht „immer einen Schaden darstellt“, „stets ausreicht“ oä.

OLG Hamm

Jüngst hat sich nun auch ein Oberlandesgericht mit dem BGH-Urteil in zwei Entscheidungen befasst – konkret das OLG Hamm (Urteil vom 29.11.2024, Az. 25 U 25/24 und Urteil vom 26.11.2024, Az. 25 U 12/24). In beiden Verfahren ging es auch um sog. Scraping-Fälle. Und das OLG lehnt Schadenersatzansprüche in beiden Fällen als unbegründet ab.

Wie auch der BGH stellt das OLG zunächst noch einmal klar, dass nach der Rechtsprechung des EuGH der bloße Verstoß gegen die Bestimmungen der DSGVO gerade nicht ausreicht, um einen Schadenersatzanspruch der betroffenen Person zu begründen.

Vielmehr sind darüber hinaus der Eintritt eines Schadens und auch das Vorliegen eines Kausalzusammenhangs zwischen dem Schaden und dem Datenschutzverstoß erforderlich“.

Und dieser Eintritt des Schadens, also sein tatsächliches Vorliegen, muss der Betroffene nachweisen.

Die Darlegungs- und Beweislast liegt insofern bei der betroffenen Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines Schadens verlangt“.

In den beiden Verfahren lehnt das OLG einen Schadenersatzanspruch wegen eines Kontrollverlustes ab.

Zwar geht das OLG davon aus, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten nach der Rechtsprechung des EuGH einen immateriellen Schaden darstellen kann, ohne dass es zusätzlicher spürbarer negativer Folgen bedarf.

Danach stützt das OLG seine Begründung zur Ablehnung des Anspruchs ganz konkret auf das BGH-Urteil vom 18.11.2025.

  • Das entbindet die betroffene Person jedoch nicht davon, den Nachweis zu erbringen, dass sie einen solchen, in einem bloßen Kontrollverlust zu sehenden Schaden erlitten hat“.
  • Erst wenn dieser Nachweis erbracht ist, der Kontrollverlust also feststeht, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person“.

Zusätzlich gibt das OLG weitere praxisrelevante Hinweise zu der Frage, wann von einem solchen Kontrollverlust ausgegangen werden kann.

Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat“.

Da die betroffene Person die Darlegungslast für durch den Verstoß gegen die DSGVO erlittene negative Folgen trifft, muss sie darlegen,

dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte“.

Gerade dieser Aspekt dürfte in der Praxis durchaus ein Ansatzpunkt für die Verteidigung gegen Schadenersatzklagen bieten.

Und im konkreten Fall waren diese Voraussetzungen nicht erfüllt: „Diese Voraussetzungen lassen sich auf der Grundlage der persönlichen Angaben des Klägers nicht erkennen und sind auch nicht nachgewiesen“.

Es werden sicher noch weitere Urteile der Instanzgerichte zu diesem Thema folgen. Aus den Entscheidungen des OLG kann man ableiten:

  • Bloße Verstöße gegen die DSGVO genügen (weiterhin) nicht, um einen Schadenersatz zu begründen.
  • Geht es um einen Kontrollverlust, der einen Schaden darstellen kann, muss dieser Kontrollverlust durch Betroffene nachgewiesen sein.
  • Hierzu muss dargelegt werden, dass 1) die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie 2) diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat.

Arbeitsgericht: kein DSGVO-Schadenersatzanspruch gegenüber Betriebsratsmitglied, wenn dieses in Wahrnehmung des Betriebsratsamtes handelt   

Posted on by

Das Arbeitsgericht (ArbG) Bonn hat sich in seinem Urteil vom 20.11.2024 (5 Ca 663/24) u.a. mit der Frage befasst, ob ein (ehemaliger) Mitarbeiter von einem Betriebsratsmitglied Schadenersatz nach Art. 82 DSGVO verlangen kann, wenn das Mitglied personenbezogene Daten entgegen der DSGVO verarbeitet.

Sachverhalt

Beide Parteien des Verfahrens waren Arbeitnehmer des Unternehmens. Der Kläger war Verkaufsleiter. Der Beklagte war u. a. Betriebsratsvorsitzender. Der Kläger unterhielt eine von ihm als „On/Off-Beziehung“ bezeichnete Verbindung zu einer Mitarbeiterin, deren Vorgesetzter er war. Im Rahmen der Beziehung kam es zu Auseinandersetzungen. Der Kläger und die Mitarbeiterin tauschten diverse WhatsApp-Nachrichten aus. Die Mitarbeiterin übermittelte dem Beklagten Auszüge aus dem Chatverkehr, die der Beklagte an die Personalabteilung weitergab.

Der Kläger behauptet, dass der Beklagte den intime, dem höchstpersönlichen Lebensbereich zugehörige Inhalte beinhaltenden WhatsApp-Chatverlauf und eine Strafanzeige ohne Rücksprache mit dem Kläger umgehend nach Erhalt und ohne Befassung des Betriebsrats, des Personalausschusses, des Betriebsausschusses oder von Betriebsratsmitgliedern an die Personalabteilung weitergeleitet habe. Das habe letztlich zu seiner Freistellung und dem Abschluss eines Aufhebungsvertrags geführt.

Der Beklagte habe nicht in seiner Eigenschaft als Betriebsratsmitglied gehandelt, weshalb er sich auf § 79a BetrVG nicht berufen könne. Es habe kein datenschutzrechtlicher Erlaubnistatbestand gemäß Art. 6 DSGVO für die Weitergabe bestanden. Die Datenweitergabe sei nicht erforderlich gewesen.

Entscheidung

Das ArbG wies die Klage auf Schadenersatz nach Art. 82 DSGVO als unbegründet ab und begründet dies mit zwei Argumenten: 1) da die Datenweitergabe datenschutzrechtlich zulässig erfolgte, also schon kein Verstoß gegen die DGSVO vorlag; 2) der Betriebsratsvorsitzende nicht „Verantwortlicher“ im Sinne der DSGVO ist – Anspruchsgegner wäre der Arbeitgeber.

Nach Ansicht des Gerichts habe der Kläger nicht dargelegt, dass der Beklagte durch die Weitergabe von privater Korrespondenz zwischen ihm und der Mitarbeiterin an die Personalabteilung rechtswidrig sein allgemeines Persönlichkeitsrecht verletzt hätte und sich daraus ein Schadensersatzanspruch ergeben hätte.

Der Beklagte handelte rechtlich zulässig im Anwendungsbereich von § 84 Abs. 1 Satz 2 BetrVG zur Unterstützung der Mitarbeiterin.

Die Datenweitergabe durch den Betriebsratsvorsitzenden stufte das Gericht als eine rechtlich zulässige Verarbeitung ein.

Rechtsgrundlage ist nach Ansicht des ArbG hier u.a. Art. 6 Abs. 1 b) DSGVO bzw. § 26 Abs. 1 Satz 1 BDSG,

um dem Arbeitgeber eine möglichst aussagekräftige Basis zur Prüfung der Beschwerde gemäß § 13 Abs. 1 AGG, § 84 Abs. 1 BetrVG zu verschaffen“.

In den Anwendungsbereich von Art. 6 Abs. 1 b) DSGVO falle auch die Datenweitergabe zur Abwicklung und Beendigung eines Vertrags, hier in Form des Arbeitsvertrags des Klägers und der Mitarbeiterin zur Prüfung etwaiger Abhilfemaßnahmen insbesondere nach dem AGG durch den Arbeitgeber.

Zudem geht das Gericht davon aus, dass der Beklagte bei der Weiterleitung an die Personalabteilung in seiner Funktion als Betriebsratsmitglied gemäß § 84 Abs. 1 Satz 2 BetrVG gehandelt habe,

womit er gemäß § 79a Satz 2 BetrVG ohnehin nicht persönlich gegenüber dem Kläger für die Einhaltung des Datenschutzrechts gehaftet hätte“.

Nach § 79a Satz 2 BetrVG ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Das ArbG geht davon aus, dass diese Vorschrift auch einzelne Betriebsratsmitglieder datenschutzrechtlich privilegiere, soweit sie in Wahrnehmung des Betriebsratsamtes handeln.

Der Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO richtete sich, wenn er dem Grunde nach überhaupt bestanden hätte,

gegen den Verantwortlichen oder den Auftragsverarbeiter, nach der gesetzlichen Zuweisung des § 79a BetrVG also gegen den Arbeitgeber“.

Fazit

Schadenersatzansprüche können nach Art. 82 DSGVO nur gegen den Verantwortlichen oder Auftragsverarbeiter geltend gemacht werden. Einzelner Mitarbeiter oder wie hier, Betriebsratsmitglieder, sind datenschutzrechtlich aber nicht „Verantwortliche“ – zumindest solange sie Daten im Rahmen der ihnen übertragenen Aufgaben und Tätigkeiten verarbeiten.

Gleichzeitig kann man aus der Entscheidung ableiten: setzen sich Mitarbeiter oder Betriebsratsmitglieder über ihren Aufgabenbereich hinweg und agieren eigenständig, indem sie etwa selbst Zwecke der Verarbeitung bestimmen, können sie zu datenschutzrechtlich Verantwortlichen werden – und damit auch Anspruchsgegner von Schadenersatzansprüchen.

Kann der Auskunftsanspruch nach Art. 15 DSGVO verjähren? Amtsgericht sagt „nein“ – Ausschluss der Geltendmachung aber möglich

Posted on by

Das Amtsgericht Chemnitz entscheid in seinem Urteil vom 22.11.2024 (16 C 1063/24; aktuell abrufbar bei BeckOnline, GRUR-RS 2024, 33206), dass der Auskunftsanspruch nach Art. 15 DSGVO nicht verjähren kann.

Zum einen sehe das Europarecht eine Verjährung des Auskunftsanspruchs nicht vor.

Zum anderen könne der Anspruch aber auch seiner Natur nach nicht verjähren, da er keine Entstehungsvoraussetzungen kennt, sondern jederzeit voraussetzungslos geltend gemacht werden kann.

Dies gelte selbst in Fällen, in denen gar keine personenbezogenen Daten verarbeitet werden, denn in diesen besteht immerhin ein Anspruch auf Negativauskunft.

Verzicht bzw. Ausschluss aber möglich

Sowohl nach Ansichten von Gerichten als auch Aufsichtsbehörden ist jedoch ein Verzicht auf die Ausübung des Rechts bzw. eine entsprechende Vereinbarung möglich.

Das Landesarbeitsgericht (LAG) Hamburg hat etwa mit Urteil vom 11.06.2024 (Az. 3 SLA 2/24) hierzu eine praxisrelevante Entscheidung zum vertraglichen Ausschluss von Betroffenenrechten nach der DSGVO getroffen.

Sachverhalt
Grundlage für die Entscheidung war die Klage einer Arbeitnehmerin u.a. gegen folgende Regelung im Arbeitsvertrag:

„§13 Ausschlussfristen
Abs. 1: Alle beiderseitigen Ansprüche aus dem Arbeitsverhältnis und solche, die mit dem Arbeitsverhältnis in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit gegenüber der anderen Vertragspartei schriftlich oder in Textform (§ 126 BGB) geltend gemacht werden.“

Abs. 3: Diese Ausschlussklausel gilt nicht für Ansprüche, die auf eine Haftung wegen vorsätzlichen Handelns beruhen. Des Weiteren gilt diese Ausschlussklausel nicht für Ansprüche auf Vergütung der Arbeitsleistung In Höhe des jeweiligen gesetzlichen Mindestlohns.“

Nach Ansicht der Arbeitnehmerin halte § 13 des Arbeitsvertrages der AGB-Kontrolle nicht stand. Zwar enthalte § 13 Abs. 3 ArbV eine Rückausnahme gewisser Ansprüche, auf die nicht verzichtet werden könne. Die Rückausnahme sei aber nicht ausreichend. Umfasst seien auch Auskunftsansprüche nach der DSGVO (z.B. Art. 12 DSGVO, Art. 15 DSGVO) und Schadensersatzansprüche (z.B. nach Art. 82 DSGVO). Es sei der Arbeitgeberin aber verwehrt, bereits im Vorwege eines Datenschutzverstoßes die Durchsetzung von Rechten aus der DSGVO zu erschweren.

Entscheidung des LAG
Nach Ansichtd es LAG ist die Geltendmachung von DSGVO-Ansprüchen grundsätzlich dispositiv.

  • Die Regelung in § 13 ArbV unterliegt der Inhaltskontrolle nach §§ 307 ff. BGB. Sie mag auch gegen § 309 Nr. 7 a) und b) BGB verstoßen.
  • Die Verstöße seien unter Berücksichtigung der im Arbeitsrecht geltenden Besonderheiten nach § 310 Abs. 4 Satz 2 BGB allerdings nicht so gewichtig, dass sie zur Unwirksamkeit der Verfallklausel führen.
  • Dass Ansprüche nach der DSGVO nicht ausdrücklich vom Verfall ausgenommen sind, führt nicht zur Unwirksamkeit der vertraglichen Ausschlussfristenregelung.
  • Die DSGVO und deren Erwägungsgründe treffen keine Aussage über die Disposivität der in der DSGVO niedergelegten Betroffenenrechte.
  • Nach dem Grundsatz der Verfahrensautonomie kommt den Mitgliedsstaaten und deren innerstaatlicher Rechtsordnung insoweit das Ausgestaltungsrecht zu. Die getroffenen Regelungen dürfen nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte innerstaatlicher Art regeln (Äquivalenzgrundsatz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Zudem waren hier auch der Äquivalenz- und Effektivitätsgrundsatz gewahrt.

  • Äquivalenzgrundsatz: Da vertragliche Ausschlussfristen nicht den Inhalt eines Anspruchs betreffen, sondern nur den Fortbestand eines bereits entstandenen Rechts regeln, wird die Entstehung des Anspruchs nicht von zusätzlichen Voraussetzungen abhängig gemacht und der Grundsatz der Äquivalenz gewahrt.
  • Effektivitätsgrundsatz: Die Festsetzung von angemessenen Ausschlussfristen ist als ein Anwendungsfall des Prinzips der Rechtssicherheit grundsätzlich mit dem Erfordernis der Effektivität vereinbar (st. Rspr. des EuGH). Derartige Fristen sind nicht geeignet, die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte praktisch unmöglich zu machen oder übermäßig zu erschweren, wenn (!) der Fristlauf nicht vor dem Zeitpunkt beginnt, zu dem der Arbeitnehmer von den anspruchsbegründenden Tatsachen Kenntnis erlangt.
  • Hier knüpft die vertragliche Regelung den Fristbeginn an die Fälligkeit des Anspruchs.
  • Fälligkeit tritt aber nicht ohne weiteres schon mit der Entstehung des Anspruchs ein.
  • Es muss dem Gläubiger tatsächlich möglich sein, seinen Anspruch geltend zu machen. Ein Anspruch ist deshalb regelmäßig erst dann im Sinne der Ausschlussfrist fällig, wenn er für den Arbeitnehmer aufgrund der Gesamtumstände erkennbar und durchsetzbar ist.
  • Die Ausschlussfrist beginnt daher nicht zu laufen, ohne dass der Klägerin die anspruchsbegründenden Tatsachen überhaupt bekannt sind.

„Kunde stresst massiv“ – Zulässigkeit von Vermerken & Blacklists in Kundendatenbanken

Posted on by

In ihrem Datenschutzbericht 2023 berichtet die Datenschutzbehörde Österreich (DSB) über einen praxisrelevanten Fall für Unternehmen, die im Bereich B2C oder auch B2B Angaben zu (ungewünschten) Kunden speichern möchten – insbesondere auch zu dem Zweck, mit diesen Kunden in Zukunft keine Verträge mehr abzuschließen.

Sachverhalt

Ein Unternehmen aus Österreich, welches im Bereich EDV-Handel und entsprechende Dienstleistungen tätig ist, verkaufte an einen Kunden aus Spanien mehrere Produkte. Da die Rechnungen innergemeinschaftlich – also ohne österreichische Mehrwertsteuer – ausgestellt wurden, musste die Käuferin bei der Abholung unterschreiben, dass das Produkt außer Landes gebracht werde und eine entsprechende Vollmacht vorlegen bzw. sich als Geschäftsführer ausweisen. Die Käuferin bzw. dessen Geschäftsführer lehnten dies jedoch ab. Zudem wurde die Ware dann reklamiert.

Die Verantwortliche speicherte in der Folge unter anderem folgende Angaben über die Käuferin in ihrer internen Kundendatenbank:

  • (Kurz-) Bezeichnung, die interne Nummer und die Adresse
  • Folgenden als „Sonderinformationen“ bezeichneten Text:

Kunde stresst massiv am Telefon und droht mit Anwalt. Kunde lässt keine Ausweiskopie zu. Wir werden keine Innergemeinschaftlichen Rechnungen mehr ausstellen.

Update: Habe dem Kunden Info gegeben, dass ein Kaufvertrag beidseitig bestehen muss, und wir das nicht wollen!

Die Käuferin beschwerte sich bei der DSB und sah in der Speicherung der Daten einen Verstoß gegen die DSGVO.

Entscheidung der Aufsichtsbehörde

Die DSB sah in der Speicherung der personenbezogenen Daten keinen Verstoß gegen die DSGVO.

Zunächst stellte die DSB fest, dass die Verantwortliche in ihrer Datenbank den Vermerk erfasst, aus dem hervorgeht, dass aufgrund des Verhaltens der Käuferin künftig keine Verträge mehr mit ihr abgeschlossen werden.

Als Ausdruck des allgemeinen Gedankens der Privatautonomie gelte im Schuldrecht das Prinzip der Vertragsfreiheit, also auch der Entscheidungsfreiheit, ob und mit wem ein Vertrag geschlossen wird.

Der interne Vermerk stelle zunächst keine Verarbeitung von unrichtigen Daten dar.

Sofern dieser lediglich in der Dokumentation von Meinungen bzw. Beurteilungen liegt, sind die Daten aus datenschutzrechtlicher Sicht richtig, wenn diese Meinung oder Beurteilung korrekt wiedergegeben wird“.

Zudem geht die DSB von der Rechtmäßigkeit der Verarbeitung nach Art.  6 Abs. 1 DSGVO aus.

Im Lichte der Privatautonomie stelle es nach Auffassung der Datenschutzbehörde ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit f DSGVO der Verantwortlichen dar, in ihrem internen Warenwirtschaftssystem festzuhalten, dass sie mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

OLG Dresden: Haftung des Verantwortlichen für seinen Auftragsverarbeiter, wenn dieser Daten nicht löscht – Konkrete Anforderungen an Umfang und Tiefe der Kontrollpflichten

Posted on by

Das OLG Dresden (Urt. v. 15.10.2024 – 4 U 940/24, abrufbar über die Suchfunktion des OLG) hat sich in einem Schadenersatzverfahren nach Art. 82 DSGVO mit der Frage befasst, inwiefern ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Das Gericht legt einen strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1 DSGVO an und sprach, dem Grunde nach, einen Schadenersatzanspruch zu.

Sachverhalt

Das beklagte Unternehmen betreibt einen Online-Musikstreamingdienst und bediente sich in der Vergangenheit eines Auftragsverarbeiters nach Art. 28 DSGVO Sitz in Israel. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte der Auftragsverarbeiter per E-Mail mit, die Daten würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, bestätigte der Auftragsverarbeiter aber erst mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten. Hiervon umfasst waren auch Daten des klagenden Betroffenen.

Entscheidung

Das OLG Dresden geht davon aus, dass der Verantwortliche dem klagenden Betroffenen dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet ist.

Konkret nimmt das Gericht einen Verstoß gegen die „Pflicht zur sorgfältigen Überwachung des … beauftragten externen Auftragsdatenverarbeiters“ nach Art. 28, 32 DSGVO an. Diese Begründung ist für die Praxis sehr relevant, da die Überwachungspflicht zwar durchaus bekannt ist. Jedoch gibt es zu deren konkreten Inhalt praktisch kaum Entscheidungen und Vorgaben von Gerichten.

Haftung des Auftraggebers für den Auftragsverarbeiter

Zunächst äußert sich das OLG zum Haftungsumfang des Verantwortlichen. Dieses haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Bedeutet nach Ansicht des Gerichts: missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür.

Zwar bestehe in diesem Fall auch eine eigene Haftung des Auftragsdatenverarbeiters. Der Verantwortliche könne den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO entgegenstünde.

Nicht nur ordentliche Auswahl, sondern auch Überwachungspflicht

Danach geht das Gericht auf die konkrete Pflicht des Verantwortlichen, die es hier als verletzt ansieht. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen im Einklang mit der DSGVO durchgeführt werden.

Das Gericht erstreckt diese ausdrückliche Pflicht zur ordentlichen Auswahl jedoch weiter, in das Auftragsverhältnis.

Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen“.

Diese Pflicht zur Überwachung des Auftragsverarbeiters sei in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Zudem setze die Pflicht nach Art. 28 Abs. 3 lit h) DSGVO eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Danach muss der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen ermöglichen. Nach Art. 28 Abs. 3 lit. g) DSGVO hat der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen, alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben. Dies ergebe sich auch als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Die Pflichten des Auftragsverarbeiters korrespondieren mit Pflichten des Verantwortlichen.

Konkrete Umsetzung der Überwachungspflicht

Besonders praxisrelevant ist die Begründung des OLG, wie die vorgenannte Überwachungspflicht durch den Verantwortlichen konkret umgesetzt werden kann – welche Maßnahmen also (zumindest aus Sicht des Gerichts) erforderlich und auch ausreichend sind.

Zunächst gibt das OLG zu bedenken, dass „die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden“ dürfen.

Das Gericht vertritt einen risikobasierten Ansatz hinsichtlich des Umfangs und der Tiefe der Überwachung des Auftragsverarbeiters.

  • Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen. Eine „vollkommen praxisfremde“ Vor-Ort-Kontrolle sei dann grundsätzlich nicht erforderlich.
  • Gesteigerte Anforderungen ergeben sich nach Ansicht des OLG, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen.
  • Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9 DSGVO.

Vorliegend betraf die Verarbeitung nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte zu einer Überwachung ihres Auftragsverarbeiters dahingehend angehalten, dass

dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt“.

Diese Anforderung leitet das OLG direkt aus der Überwachungspflicht nach Art. 28 Abs. 1 DSGVO ab.

Der Verantwortliche ist hierbei verpflichtet,

die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen“.

Anforderungen an die Löschbestätigung

Vorliegend wurde eine solche Bestätigung der Löschung jedoch nicht vom Verantwortlichen verlangt.

Den Pflichtenverstoß erkennt das OLG hier vor allem darin, dass die (eigentlich auch vertraglich geregelte Bestätigung der Löschung) nicht eingeholt wurde. Der Verantwortliche habe hier gegen seine Kontrollpflichten aus Art. 28 DSGVO verstoßen, da er nicht nach Ablauf der vertraglich geregelten Frist von dem Auftragsverarbeiter

die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt“.

Bedeutet: das Gericht verlangt

  1. eine Bestätigung der Löschung durch den Auftragsverarbeiter, die der Verantwortliche zur Not anfordern muss. Die reine Ankündigung des Auftragsverarbeiters, dass Daten gelöscht werden, genügte im konkreten Fall nicht.
  2. dass die Bestätigung Details dazu enthält, in welchem Umfang Daten gelöscht wurden.

Nach Ansicht des OLG wiegt hier vor allem der erste Punkt schwer. Die E-Mail des Auftragsverarbeiters enthielt lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung.

Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können“.

Der Verantwortliche hätte sich mit der formal und inhaltlich nicht hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen.

Grundsätzlich bestünde für den Verantwortlichen die Möglichkeit, die Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO in Anspruch zu nehmen. Dies jedoch nur, wenn ihm selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies war hier vorliegend angesichts des eigenen Pflichtenverstoßes aber nicht der Fall.

Im Ergebnis lehnte das OLG hier aber einen Schadenersatzanspruch nach Art. 82 DSGVO ab, da der Kläger keinen tatsächlich erlittenen Schaden nachweisen konnte.

Fazit

Das OLG befasst sich recht ausführlich mit den Anforderungen an die Überwachungspflicht des Verantwortlichen für Auftragsverarbeiter. Sicherlich muss man nicht alle Ansichten des Gerichts teilen. Relevant ist aus meiner Sicht aber insbesondere die Auffassung, dass die Kontroll- bzw. Überwachungspflicht durchaus risikobasiert ausgestaltet sein darf. Gleichzeitig sollten Verantwortliche darauf achten, dass „bloße Ankündigungen“ durch Auftragsverarbeiter im Zweifel gerade nicht die tatsachliche Erfüllung bzw. Umsetzung von Pflichten, wie etwa der Löschung von Daten, belegen.

Landgericht Lübeck: fehlender Vertrag zur (Unter-)Auftragsverarbeitung führt zur Rechtswidrigkeit der Übermittlung?

Posted on by

Das Landgericht Lübeck (Urteil vom 04.10.2024 – 15 O 216/23) hatte sich in einem Verfahren zum Schadenersatz nach Art. 82 DSGVO, in dem im Ergebnis 350 EUR zugesprochen wurden, u.a. auch mit der Frage befasst, wie sich das Fehlen eines Vertrages nach Art. 28 DSGVO zwischen dem Verantwortlichen und Auftragsverarbeiter oder Auftragsverarbeiter und Unterauftragsverarbeiter auswirkt. Ob insbesondere das Fehlen des Vertrages zu einer Rechtswidrigkeit der Datenübermittlung führt.

Ansicht des Gerichts

Zunächst stellt das Gericht seine Ansicht zu Art. 28 DSGVO dar. Die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Danach setze die Verarbeitung von Daten durch Auftragsverarbeiter voraus, dass ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht.

Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, Art. 28 Abs. 4 DSGVO.“

Im konkreten Fall fehlte jedoch ein solcher Vertrag. Daraus folgert das Gericht: 

Fehlt es an diesen Voraussetzungen, so stellt sich (…) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar“.

Das Gericht sieht das (formelle) Erfordernis eines Vertrages nach Art. 28 Abs. 3 zw. Abs. 4 DSGVO also offensichtlich als Rechtmäßigkeitsvoraussetzung an. 

Zudem stellt das Gericht klar, dass als Folge eine wirksame Übertragung von Datenschutzverpflichtungen entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vorlag.

Andere Ansicht: EuGH?

Die Schlussfolgerung des Gerichts, dass ein Verstoß gegen Art. 28 Abs. 3 DSGVO auch zu einer rechtswidrigen Verarbeitung führe, halte ich jedoch für durchaus diskutabel. 

Denn zum ersten ergeben sich die Anforderungen für die Rechtmäßigkeit einer Verarbeitung (wie hier, eine Übermittlung) allein aus den Vorgaben der Art. 5 und 6 DSGVO. Dies hat der EuGH bereits entschieden. Jede Verarbeitung muss mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (C‑60/22, Rz. 57). Der Verantwortliche muss nach Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a DSGVO sicherstellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist. „Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt“ (C‑60/22, Rz. 55).

Und zweitens hat der EuGH bereits für Art. 26 DSGVO entschieden, dass „die Einhaltung der in Art. 26 der DS-GVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung …, nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählen“ (C-60/22, Rz. 59). Man wird sicher darüber nachdenken können, diese Begründung auch auf den Vertrag nach Art. 28 DSGVO zu übertragen. Andererseits mag man anführen, dass im Rahmen des Art. 28 DSGVO die Vereinbarung gerade die „Erlaubnis“ des Auftragsverarbeiters darstellt. Dem jedoch könnte man entgegenhalten, dass das Gericht hier die Übermittlung als rechtswidrig ansieht – also die vorgelagerte Weitergabe der Daten an den Auftragsverarbeiter.

Automatische Verpflichtung der Töchter durch Vertragsschluss der Mutter?

Interessant sind zudem die Ansichten des Gerichts zu der von dem beklagten Unternehmen vorgebrachten Argument, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. 

Dies überzeugt das Gericht nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. 

Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.

Vorliegend schien also der Hauptvertrag der Mutter keine Regelung zu einer Verpflichtung der anderen Gesellschaften zu enthalten.