Generalanwalt am EuGH: DSGVO-Rechtsgrundlagen sind nicht (!) auf Bestandskundenwerbung per E-Mail anwendbar – Wichtige Aussagen für das E-Mail-Marketing

§ 7 Abs. 3 UWG spielt in der Praxis des Direktmarketings per E-Mail eine wichtige Rolle. Unter den dort genannten Voraussetzungen dürfen Bestandskunden auch ohne vorherige Einwilligung per E-Mail für Marketingzwecke kontaktiert werden. Generalanwalt (GA) Szpunar hat sich in seinen Schlussanträgen vom 27.3.25 (C-654/23) nun mit mehreren wichtigen Fragen zur Anwendbarkeit der europäischen Vorgabe des § 7 Abs. 3 UWG, Art. 13 Abs. 2 RL 2002/58 (sog. ePrivacy Richtlinie), befasst. Im Kern geht es um drei relevante Fragen und Aussagen:

  • Was ist „Direktwerbung“? (A)
  • Liegt auch bei der Bereitstellung von personenbezogenen Daten ein „Verkauf eines Produkts oder einer Dienstleistung“ vor? (B)
  • Sind bei der Verwendung der E-Mail-Adresse zusätzliche die Vorgaben des Art. 6 Abs. 1 DSGVO zu beachten? (C)

In der Darstellung benenne ich jeweils in Klammern immer kurz die Norm des § 7 Abs. 3 UWG, für die die Auslegung relevant ist.

Der EuGH muss in dem Verfahren noch entscheiden. Die Schlussanträge geben aber sicherlich schon eine gewisse Tendenz vor.

Sachverhalt

Das Verfahren aus Rumänien betraf die Betreiberin einer Online-Plattform, auf der Besucher eine festgelegte Höchstanzahl von Artikeln (sechs Artikel zum Zeitpunkt des Sachverhalts) kostenlos und ohne weitere Schritte unternehmen zu müssen aufrufen konnten.

Zudem wurde das Abonnement eines Premium-Dienstes angeboten. Dies setzte voraus, dass der Nutzer ein kostenloses Benutzerkonto auf der Plattform einrichtete. Die Einrichtung eines Kontos erforderte, dass der Nutzer eine E-Mail-Adresse angab und die Vertragsbedingungen für die Erbringung des Premium-Dienstes akzeptierte.

Mit diesem Abonnement des Premium-Dienstes erhielt der Nutzer das Recht auf Zugang zu zwei zusätzlichen Artikeln pro Monat und auf Erhalt eines täglichen E-Mail-Newsletters mit der Bezeichnung „Personal Update“ (es sei denn, der Nutzer hatte die Option gewählt, diesen Dienst nicht in Anspruch zu nehmen) sowie – gegen Gebühr und als Option – das Recht auf Zugang zu allen Artikeln des Mediums.

Der Newsletter „Personal Update“ enthielt im Wesentlichen Einzelheiten zu den neuen Rechtsvorschriften des Vortages mit Hyperlinks zu den entsprechenden im Rahmen des Mediums erschienenen Artikeln.

Nutzer konnten im Rahmen der Kontoerstellung angeben, dass sie den Newsletter nicht erhalten möchten. Es war ein Kästchen zum Ankreuzen vorgesehen, Zudem enthielt jeder Newsletter eine Opt-out Möglichkeit.

A. Was ist „Direktwerbung“?

(Voraussetzung nach § 7 Abs. 3 Nr. 2 UWG)

Zunächst prüft der GA, ob es sich bei dem Newsletter „Personal Update“ um Direktwerbung im Sinne des Art. 13 Abs. 2 ePrivacyRL (§ 7 Abs. 3 UWG) handelt.

Die rumänische Datenschutzbehörde vertrat die Auffassung, dass dies nicht der Fall sei, da der Inhalt rein redaktioneller Natur sei.

Der GA ist anderer Ansicht. Seiner Ansicht nach bietet der Newsletter „Personal Update“ den Nutzern durch die Bereitstellung von Hyperlinks zu Artikeln auf der Internetseite der Veröffentlichung

einen „Teaser“ zu Artikeln an, um die Nutzer zu verlocken, die acht Artikel, die sie monatlich kostenlos lesen können, schneller zu konsumieren.“

Der GA stellt hierbei auch auf den Zweck der Newsletters ab. Die Strategie, die von Herausgebern verfolgt wird, bestehe darin, die Nutzer zu verlocken, letzten Endes ein vollständiges Abonnement zu erwerben. Dies wird durch den Newsletter erreicht.

Indem die Nutzer zum Kauf eines vollständigen Abonnements verlockt werden, wird mit dem Newsletter „Personal Update“ daher das kommerzielle Ziel verfolgt, durch das Modell der weichen Bezahlschranke Einnahmen zu erzielen.“

Der Newsletter ist daher als „Direktwerbung“ anzusehen.

B. Erlangung der fraglichen E-Mail-Adressen „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“

(Voraussetzung nach § 7 Abs. 3 Nr. 1 UWG)

Sodann stellt sich der GA die Frage, ob die E-Mail-Adresse vorliegend entsprechend Art. 13 Abs. 2 ePrivacyRL im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erlangt wurde.

Der Begriff „Verkauf“ sei nach einer allgemein anerkannten Definition eine Vereinbarung, die notwendigerweise die Zahlung eines Entgelts für eine Ware oder einen Dienst mit sich bringe.

Aber, und diese Ansicht ist sehr wichtig: im Zusammenhang mit RL 2000/31 hat der EuGH bereits entschieden (15.9.16, C-484/14), dass die Vergütung für einen Dienst nicht notwendigerweise von denjenigen bezahlt wird, denen der Dienst zugutekommt.

Dies ist dann der Fall,

wenn eine unentgeltliche Leistung von einem Anbieter zu Werbezwecken erbracht wird, da die Kosten dieser Tätigkeit dann in den Verkaufspreis der beworbenen Güter oder Dienstleistungen einbezogen werden“.

Und so liege der Fall hier. Wie im erwähnten Urteil, werden die Kosten der Zurverfügungstellung des Dienstes in den Verkaufspreis für die Hauptleistung – im vorliegenden Fall das vollständige Abonnement – einbezogen.

Diese indirekte Form der Vergütung erfüllt die Voraussetzung der Zahlung eines Entgelts im Sinne der Definition des Gerichtshofs für „Verkauf“.“

Der GA belässt es aber nicht bei dieser Interpretation von „Verkauf“, sondern nimmt auch eine weitere Konstellation in den Blick – das Bezahlen mit Daten.

dass im heutigen digitalen Zeitalter Daten selbst als eine Ware behandelt werden“.

Nach Ansicht des GA ist es daher vorstellbar, dass es für eine Datenerhebung „im Zusammenhang mit einem Verkauf“ ausreicht, dass der Nutzer anstelle einer finanziellen Gegenleistung seine persönlichen Daten im Austausch gegen eine für ihn wertvolle Ware oder einen für ihn wertvollen Dienst zur Verfügung stellt.

Bedeutet für uns: die Preisgabe von personenbezogenen Daten (etwa E-Mail-Adresse) zur Anmeldung für einen kostenlosen Dienst, kann als Verkauf im Sinne von § 7 Abs. 3 UWG angesehen werden.

C. Sind bei der Verwendung der E-Mail-Adresse zusätzliche die Vorgaben des Art. 6 Abs. 1 DSGVO zu beachten?

Und zuletzt kommt eigentlich das „schönste“ Thema. Das Verhältnis von Art. 13 Abs. 2 ePrivacyRL (also bei uns § 7 Abs. 3 UWG) zur DSGVO und konkret zu den Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO. Benötige ich für Bestandskundenwerbung per E-Mail eine Rechtsgrundlage nach Art 6 Abs. 1 DSGVO? Oder auch: was regelt Art. 95 DSGVO?

Art. 95 DSGVO stellt klar, dass die DSGVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen keine zusätzlichen Pflichten auferlegt, soweit sie besonderen, in der ePrivacyRL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Das Verhältnis zwischen der RL 2002/58 und der DSGVO wird daher durch den Grundsatz lex specialis derogat legi generali geregelt: Immer dann, wenn es eine spezifische Bestimmung in der RL 2002/58 gibt, die Verpflichtungen enthält, mit denen dasselbe Ziel verfolgt wird wie mit den entsprechenden Bestimmungen der DSGVO, ist die Bestimmung der RL 2002/58 anzuwenden.“

Diese Ansicht ist nicht unbedingt überraschend. Auch der EDSA geht grundsätzlich von diesem Verhältnis zwischen ePrivacyRL und DSGVO aus (Stellungnahme 5/2019, Rz. 45)

Extrem relevant ist jedoch die Ansicht des GA dazu, wie weit die, wenn man so will, „Spezialität“ der ePrivacyRL reicht. Was sie also erfasst und damit die DSGVO verdrängt.

Der GA geht davon aus, dass Art. 13 Abs. 2 ePrivacyRL,

was die automatische Direktwerbung im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung anbelangt, die Voraussetzungen und die Zwecke der Verarbeitung sowie die Rechte der betroffenen Person abschließend“ regelt.

Dies folgert der GA unter anderem auch aus Art. 13 Abs. 1 ePrivacyRL, der im Grundsatz eine Einwilligung für Werbung per E-Mail verlangt.

Und was bedeutet die Ansicht des GA? Man könnte etwas überspitzt sagen: „Datenschutzbehörde will not like“.

Daher kann die Rechtmäßigkeit der Verarbeitung auf der Grundlage von Art. 13 Abs. 2 der RL 2002/58 festgestellt werden. Ein Rückgriff auf die DSGVO, insbesondere auf deren Art. 6 Abs. 1 Buchst. a bis f, ist weder möglich noch erforderlich.“

Im es kurz zu machen: der GA geht davon aus, dass man für die Verwendung einer E-Mail-Adresse für Bestandskundenwerbung nach § 7 Abs. 3 UWG gerade (keine !) Rechtsgrundlage nach der DSGVO benötigt. Natürlich nur, wenn man die gesetzlichen Vorgaben des UWG einhält.

Damit stellt sich der GA auch gegen die Ansicht der deutschen DSK, etwa in der OH-Direktwerbung, und auch deutscher Gerichte. Die DSK geht etwa davon aus:

  • Weil nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO eine Verarbeitung personenbezogener Daten nur zulässig ist, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) für die jeweilige Werbeform mit zu berücksichtigen

Folgt man dem GA, gibt es hier gar keine datenschutzrechtliche Beurteilung nach Art. 6 Abs. 1 DSGVO, da dieser nicht anwendbar ist.

Das ist im Ergebnis schon ein ziemlicher Knaller, wenn Sie mich fragen. Zwei Einschränkungen muss ich natürlich machen. Erstens, muss noch der EuGH entscheiden. Zweitens, gilt der Vorrang der ePrivacyRL / des UWG natürlich wirklich nur für Ziele und Pflichten, die sie regelt. Bsp: Datenschutzhinweise nach Art. 12 / 13 DSGVO wird es wohl auch weiterhin geben müssen.

Zuletzt noch eine weiterführende Idee, die aber nicht Teil des Verfahrens war: wenn mir Art. 13 Abs. 2 ePrivacyRL / § 7 Abs. 3 UWG vorgeben, dass ich nur für „für eigene ähnliche Produkte oder Dienstleistungen“ werben darf, muss ich als Unternehmen dann nicht zwingend eine Art Profil des Bestandskunden anlegen bzw. mindestens eine Kaufhistorie vorhalten? Um prüfen zu können, was er gekauft hat. Ist dann auch diese Verarbeitung, quasi implizit, aus dem Anwendungsbereich herausgenommen? Warten wir nun erst einmal, was der EuGH sagt.

Datenschutzrechtliche Folgen der „Mitnahme“ von Kundendaten zum Konkurrenten und deren Verwendung durch Unternehmen

In ihrem neuen Tätigkeitsbericht 2024 berichtet die Sächsische Datenschutzbehörde über ein aufsichtsbehördliches Verfahren gegen ein Unternehmen A aus dem Pflegebereich, welches Kundendaten eines konkurrierenden Unternehmens B von einer neuen Mitarbeiterin erhalten hatte. Diese Mitarbeiterin hatte die Kunden zuvor bei Unternehmen B betreut und war zu Unternehmen A gewechselt – samt der Kundendaten.

Datenschutzrechtliche Folgen für die Mitarbeiterin

Die Aufsichtsbehörde prüfte u.a., ob sie gegen die Mitarbeiterin vorgehen müsste. Dies scheiterte jedoch daran, dass das Verhalten der ehemaligen Mitarbeiterin in Ermangelung eines Wohnsitzes im Freistaat Sachsen nicht im Zuständigkeitsbereich der Aufsichtsbehörde erfolgt ist.

Wie etwa die jüngste Entscheidung des OLG Stuttgart zum Bußgeld gegen Mitarbeiter zeigt (Blogbeitrag hier), besteht für Mitarbeiter, die etwa entgegen vertraglicher Regelungen Kundendaten „mitnehmen“, auf jeden Fall ein rechtliches Risiko, selbst als Verantwortlicher eingestuft und Ziel aufsichtsbehördlicher Maßnahmen, inkl. eines Bußgeldes, zu werden.

Datenschutzrechtliche Folgen für das Unternehmen A

Die sächsische Behörde konzentrierte sich dann auf die Ermittlung gegenüber dem Unternehmen A, welches im Rahmen seiner Anhörung eingeräumt hatte, dass es die Kundendaten in sein Datensystem übernommen und sämtliche Kunden angeschrieben hatte. Von den angeschriebenen Kunden entschieden sich rund 38 % für einen Wechsel zu dem sächsischen Unternehmen.

Für die Speicherung und Verwendung der Kontaktdaten sah die Aufsichtsbehörde hier jedoch keinen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO einschlägig und bewertete die Datenverarbeitung damit als rechtswidrig.

  • Eine Einwilligung der Kunden, von dem neuen Unternehmen angeschrieben zu werden, lag nicht vor.
  • Die Speicherung und Nutzung der Kontaktdaten konnte auch nicht auf Art. 6 Abs. 1 b) DSGVO gestützt werden, da die Kontaktaufnahme mit dem Ziel des Abschlusses eines neuen Vertrages nicht von den Kunden selbst, sondern von dem sächsischen Unternehmen ausgegangen war.
  • Zudem konnte das Unternehmen kein eigenes und ein gegenüber den angeschriebenen Kunden vorrangig zu berücksichtigendes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO nachweisen.

Zudem geht die Aufsichtsbehörde von einem Verstoß gegen den Datenschutzgrundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO aus. Da die Kundendaten allein für die Betreuung der Kunden durch das konkurrierende Unternehmen B nach dem alten bestehenden Pflegevertrag gedacht waren,

stellt die Übernahme und die Nutzung der Daten zur Kontaktaufnahme durch das sächsische Unternehmen eine nicht mit diesem Zweck zu vereinbarende Nutzung und damit einen Verstoß gegen Art. 5 Abs. 1 Buchst. b DSGVO dar.“

Spannend ist aus meiner Sicht die von der Aufsichtsbehörde festgesetzte Maßnahme in diesem Verfahren. Oder aus Sicht des Unternehmens: was mich in einem solchen Fall erwartet.

Und diesbezüglich ist das sächsische Unternehmen aus meiner Sicht sehr glimpflich davongekommen.

Die Behörde verlangte von dem sächsischen Unternehmen, zumindest die Daten von den

Kunden vollständig zu löschen, mit denen kein neues Vertragsverhältnis begründet werden konnte.“

Bedeutet: im Ergebnis musste das Unternehmen 62 % der erhaltenen Daten löschen.

Das Verfahren wurde mit einer Verwarnung abgeschlossen. Weitere Folgen gab es jedoch nicht. Also auch kein Bußgeld.

Folgen für die Praxis

Aus Sicht von Unternehmen ist das Vorgehen der Aufsichtsbehörde für mich als sehr wohlwollend einzustufen. Das Unternehmen A darf ja im Ergebnis unzulässig erlangte und verwendete Daten nutzen und damit nun Umsatz generieren. Rein datenschutzrechtlich betrachtet, bietet der Sachverhalt schon auch andere, strengere Ansätze.

  • Die vorgelagerte unzulässige Speicherung und Verwendung von Kontaktdaten, immerhin von 100 % der Daten, könnte sanktioniert werden.
  • Die nachgelagerte weitere Speicherung von 62 % der Kundendaten könnte sanktioniert werden. Diese Daten scheinen ja noch vorhanden gewesen zu sein, obwohl Kunden entweder nicht reagiert oder evtl. sogar ablehnend reagiert haben.
  • Da die Kontaktdaten in der Absicht verwendet werden, um sich zu bereichern, könnte ein Straftatbestand nach § 42 BDSG erfüllt sein.

Spannend ist für mich in diesem Fall auch die (wohl) eingenommene Position der Aufsichtsbehörde, dass sich vorgelagerte datenschutzrechtlich Verstöße nicht auf eine nachgelagerte Datenverwendung auswirken. Zumindest wenn danach auf Grundlage von Art. 6 Abs. 1 b) DSGVO Daten verarbeitet werden.

Um einen Extremfall zu bilden: wenn ich ein neues, „aggressives“ Start up bin und in einen Markt möchte, versuche ich so schnell es geht an Kundendaten der Konkurrenz zu gelangen, kontaktiere die Kunden und versuche, so viele Verträge wie möglich zu schließen. Die „nicht aktivierten“ Leads werden gelöscht. Risiko für das Unternehmen nach dem oben geschilderten Fall: eine Verwarnung.

Im Ergebnis also eine aus Sicht von Unternehmen sehr pragmatische Herangehensweise der Aufsichtsbehörde. Ob jedoch alle Aufsichtsbehörden in Deutschland so vorgehen würden, möchte ich zumindest bezweifeln. So etwa der Hinweis der Aufsichtsbehörde aus Thüringen, die in einem ähnlichen Fall sogar entsprechend § 43 Abs. 2 BDSG alt (jetzt  § 42 Abs. 2 BDSG) einen Strafantrag gestellt hat, da die Daten mit Bereicherungsabsicht verwendet wurden.

Daher sollten Unternehmen in jedem Fall immer eine Risikobetrachtung vornehmen, wenn Daten der Konkurrenz für eigene Zwecke genutzt werden sollen.

Hat die Datenschutzbehörde NRW das Thema „Herausgabe von E-Mails im Rahmen der Auskunft“ geklärt?

Werden in der Praxis Auskunftsanspräche nach Art. 15 DSGVO geltend gemacht, stellt sich oft die Frage, wie weit der Begriff „personenbezogene Daten“ und auch jener der „Kopie“ in Art. 15 Abs. 3 DSGVO zu verstehen sind, wenn es um eine mögliche Herausgabe von E-Mails geht. Der Klassiker ist hierbei etwa die Auskunft eines ehemaligen Mitarbeiters, der mehrere Jahre im Unternehmen gearbeitet und hunderte oder tausende E-Mails erzeugt hat.  

Vorgaben des EuGH

Eine klare Aussage des EuGH, ob E-Mails an sich im Rahmen des Art. 15 DSGVO herauszugeben sind, wenn etwa im AN-Feld oder im CC-Feld die personalisierte E-Mail-Adresse des Betroffenen vorkommt, fehlt bisher.

Die Vorgaben des EuGH sind:

  • Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen.
  • Der Begriff „Kopie“ bezeichnet die originalgetreue Reproduktion oder Abschrift, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, nicht ausreicht.
  • Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben.
  • Es kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten.

Und wie ist vor diesem Hintergrund eine E-Mail zu beauskunften, in deren AN-Feld oder etwa im CC der Name des Betroffenen als E-Mail-Adresse vorhanden ist? Ist dann nur die E-Mail-Adresse zu beauskunften oder ist erforderlich, dass die ganze Mail (etwa als Ausdruck oder als PDF) herausgegeben wird?

Ansicht der LDI NRW zu Namen in Briefköpfen

In ihrem letzten Tätigkeitsbericht 2023 befasst sich die LDI NRW zwar nicht mit der Auskunft zu E-Mails, jedoch mit einer aus meiner Sicht durchaus vergleichbaren Situation: müssen Dokumente / Briefe an einen Betroffenen herausgegeben werden, wenn sein Name in dem Briefkopf enthalten ist, der auf den Dokumenten steht, der Inhalt der Dokumente aber sonst keinen Bezug zur Person aufweist? Übertragen auf unseren E-Mail-Fall also etwa, wenn die E-Mail-Adresse im AN- oder CC-Feld vorhanden ist.

Die LDI NRW war mit einem Fall befasst, in dem sich ein Rechtsanwalt auf sein Auskunftsrecht nach Art. 15 DSGVO gegenüber einer Versicherung berief. Er verlangte Kopien des gesamten Schriftverkehrs zwischen der Versicherung und einer Kanzlei, in der er Partner war. Er begründete seinen Auskunftsanspruch damit, dass sein Name, wie es das Berufsrecht vorschreibt, als Partner auf dem Briefbogen der Kanzlei genannt ist.

Entscheidend kommt es aus Sicht der LDI hierbei auf die Vorgabe des EuGH an, dass eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten nur dann erforderlich ist, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Zwar stelle die Nennung des Namens des Anwalts auf den Schreiben an die Versicherung ist ein personenbezogenes Datum dar. In unserem Fall, die E-Mail-Adresse.

Der Auskunftsanspruch erstreckt sich aber deswegen nicht automatisch auf alle Inhalte einer umfassenden Korrespondenz.“

In unserem Fall: nur weil eine E-Mail in einem AN- oder CC-Feld die E-Mail-Adresse erhält, erstreckt sich das Auskunftsrecht noch nicht per se auf den Inhalt der E-Mails.

Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sieht die LDI (mit dem EuGH) nur dann als erforderlich an, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Im vorliegenden Fall kam die LDI zu dem Schluss:

Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.“

Um meine Frage aus der Überschrift zu beantworten: nein, die LDI hat das Thema nicht geklärt – zumindest nicht direkt. Jedoch lässt sich die Ansicht und Argumentation der LDI auf E-Mail-Sachverhalte übertragen. Allein der Umstand, dass eine personalisierte E-Mail-Adresse in E-Mails enthalten ist, bedeutet nicht, dass diese E-Mails als Ganzes herauszugeben sind.

DSGVO-Auskunft über Daten in Backups – wann liegt ein „unverhältnismäßiger Aufwand“ vor?

In der Praxis stellt sich im Rahmen der Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO sehr oft die Frage, ob auch solche personenbezogenen Daten zu beauskunften sind, die nur noch in Backups gespeichert werden.

§ 34 Abs. 1 Nr. 2 b) BDSG sieht hierzu eine mögliche Ausnahme für Verantwortliche vor.

Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO nicht, wenn die Daten 1) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und 2) die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie 3) eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Rechtsprechung zu diesem Thema, findet sich kaum. Daher lohnt sich für die praktische Umsetzung durchaus der Blick in Hinweise von Aufsichtsbehörden, die sich mit dem Thema befassen.

Konkret hat etwa der BayLfD in seiner Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ zu einer solchen, wie in § 34 BDSG vorgesehenen Ausnahme, im Rahmen des § 83 Abs. 1 Nr. 2 SGB X Stellung genommen. Der BayLfD weist auch ausdrücklich darauf hin, dass sich die Ausschlussgründe des § 83 Abs. 1 Nr. 2 SGB X auch in Parallelbestimmungen in § 34 Abs. 1 Nr. 2 BDSG finden.

Aus diesem Grund ist die Auslegung des BayLfD auch für den Anwendungsberiech von § 34 BDSG nutzbar. Nachfolgen stelle ich kurz die Ansicht zu den obigen Anforderungen nach 1) und 2) dar.

Zwecke der Datensicherung oder der Datenschutzkontrolle

Zunächst müsste ein Backup unter das Merkmal der „Datensicherung“ oder „Datenschutzkontrolle“ fallen. Nach Ansicht des BayLfD ist dies für personenbezogene Daten in Backups der Fall:

Der Datensicherung dienen insbesondere Backup-Dateien, der Datenschutzkontrolle etwa Protokolldateien.“

Wichtig: § 34 BDSG fordert ausdrücklich, dass die Daten in Backups ausschließlich für die Zwecke der Datensicherung oder Datenschutzkontrolle vorgehalte werden würfen. Sollten die Daten auch für andere Zweck verwendet werden, greift die Ausnahme nicht.

Unverhältnismäßiger Aufwand

Besonders schwierig stellt sich in der Praxis die Antwort auf die Frage dar, wann denn eine Auskunftserteilung mit einem unverhältnismäßigen Aufwand verbunden ist?

Zunächst geht der BayLfD davon aus, dass „die Erteilung von Auskunft genauso zum Aufgabenkreis der öffentlichen Stelle gehört wie alle anderen Aufgaben“.

Bedeutet, dass also der Grundsatz stets die Pflichtenerfüllung sein muss – in unserem Fall, die Auskunft zu erteilen. Ausnahmen sind grundsätzlich restriktiv auszulegen.

Nach Ansicht des BayLfD zielt § 83 Abs. 1 Nr. 2 SGB X (und parallel auch § 34 Abs. 1 Nr. 2 b) BDSG) auf einen „ausgewogenen“ Ressourceneinsatz.

Dies bedeutet, dass das begrenzte personelle und sachliche Leistungspotenzial möglichst so genutzt werden, dass im öffentlichen Bereich des SGB X alle Bürgerinnen und Bürger eine ordnungsgemäße, insbesondere auch zeitgerechte Bearbeitung für ihre Anliegen erhalten.

Übertragen auf den weiteren öffentlichen und privatwirtschaftlichen Anwendungsbereich des § 34 Abs. 1 Nr. 2 b) DSGVO könnte mal umformulieren: im Rahmen der dem Verantwortlichen zur Verfügung stehenden Kapazitäten sollen Bürger/Kunden/Nutzer etc. zunächst und primär jene Leistungen erhalten, auf die sie einen gesetzlichen oder vertraglichen Anspruch haben.

Zu § 83 SGB X erläutert der BayLfD dann:

wird – bei einer Sozialbehörde – die für das „Kerngeschäft“ der Leistungsgewährung zur Verfügung stehende Zeit knapp, erlaubt es § 83 Abs. 1 Nr. 2 SGB X, auf die typischerweise aufwändige Auswertung von Backup- oder Protokolldateien zu verzichten.“

Für § 34 BDSG im privatwirtschaftlichen Bereich könnte man etwa ableiten, dass die Ausnahme dann greifen kann, wenn die Hauptleitungen an Kunden und Nutzer durch die Arbeit an einer (oder mehreren) Auskünften die Erfüllung der Hauptleitungen, also Tätigkeiten des Kerngeschäfts, für andere Personen erschweren oder einschränken.

Hiergegen mag man einwenden, dass das Beispiel des BayLfD ja in einem sensiblen und gesellschaftlich wichtigen Bereich der Leistungsgewährung des Staates gegenüber Bürgern spielt. Dort müsse quasi die „Daseinsvorsorge Vorrang haben“. Diesem Argument könnte man aber entgegenhalten, dass der Staat, wenn er hier personelle Engpässe sieht, genauso wie ein Unternehmen entsprechend reagieren kann und müsste. Der BayLfD verweist jedoch nicht auf ein solches Kriterium.

Weiter führt die Aufsichtsbehörde Kriterien an, wann die Unverhältnismäßigkeit angenommen werden könnte:

  • wenn die betroffene Person aus der Ankunft zu den Backups keinen „Mehrwert“ erlangen kann, weil etwa feststeht, dass Backup-Dateien keine zusätzlichen Informationen bieten können, oder
  • wenn bei einer kleineren Behörde trotz anlassbezogener organisatorischer Vorkehrungen das „Kerngeschäft“ über einen längeren Zeitraum nicht ordnungsgemäß durchgeführt werden könnte.

Insbesondere das zweite Kriterium könnte im privatwirtschaftlichen Bereich für kleine Unternehmen ein guter Anhaltspunkt sein. Wenn man sich als Unternehmen, im Rahmen seiner Möglichkeiten und verhältnismäßigem Aufwand, ordentlich um den Datenschutz kümmert, dann kann die Auskunft zu Daten aus Backups unverhältnismäßig sein, wenn dadurch die Hauttätigkeit des Unternehmens beeinträchtigt wird (etwa durch personellen Zusatzaufwand). Zum Abschluss ist noch darauf hinzuweisen, dass im Fall der Ablehnung einer Auskunft der Verantwortliche nach § 34 Abs. 2 BDSG in jedem Fall die Gründe der Auskunftsverweigerung zu dokumentieren hat und auch die Ablehnung der Auskunftserteilung gegenüber der betroffenen Person begründen muss.

Verwaltungsgericht: Anforderungen an den Nachweis der Löschung von Daten nach Art. 5 Abs. 2 DSGVO – „wann genau, durch wen, in welcher Weise, in welchem Umfang“?

In seinem Urteil vom 17.12.2024 (Az. 4 K 2298/23; derzeit noch nicht frei verfügbar; BeckRS 2024, 36618) hatte sich das Verwaltungsgericht Bremen u.a. mit der Frage zu befassen, wie ein Unternehmen die Löschung personenbezogener Daten gegenüber einer Datenschutzbehörde nachweisen muss.

Sachverhalt

Die Klägerin ist ein Marketingunternehmen, das u.a. E- Mails mit Werbung an eine Vielzahl von Empfängern versendete. Die Datenschutzbehörde erfuhr durch eine Betroffene, dass diese das Unternehmen aufforderte, ihr keine unerwünschte E-Mail-Werbung mehr zuzusenden sowie ihre personenbezogenen Daten zu löschen. Sie habe der Zusendung von E-Mail-Werbung nicht zugestimmt. Daraufhin forderte die Datenschutzbehörde das Unternehmen mit Schreiben vom 19.09.2023 zur Stellungnahme und Beantwortung von Fragen zu dem Sachverhalt und ihren allgemeinen Verarbeitungstätigkeiten auf.

Am 12.12.2023 erließ die Datenschutzbehörde eine Anordnung gegen das Unternehmen, in der die Datenschutzbehörde u.a. Auskünfte dazu begehrte, welche natürlichen Personen das Unternehmen seit dem 1. Juni 2023 bis zum Zugang der Anordnung zu Werbezwecken per E-Mail kontaktiert hat und wie oft jeweils. Zudem sollte das Unternehmen die jeweiligen schriftlichen oder elektronischen datenschutzrechtlichen Einwilligungserklärungen in Kopie vorlegen.

Das Unternehmen klagte gegen diese Auskunftsanordnung u.a. mit der Begründung, dass die Daten der Betroffenen aufgrund von Art. 17 DSGVO gelöscht worden – due Auskunft also faktisch nicht mehr erfüllt werden können. Die Löschung der Daten sei zum Jahresende 2023 erfolgt, also nach Erlass des angegriffenen Bescheides. Die Löschung sei erfolgt, indem ihre einzige Geschäftsführerin die Datenbank mit den Daten auf dem PC und dem Laptop gelöscht habe. Die Daten hätten sich in einer Excel-Tabelle befunden. PC und Laptop seien Windows- und Office-Systeme, in denen Dateien durch Markierung und Löschbefehl gelöscht würden. Durch Weiternutzung von PC und Laptop seien die gelöschten Daten unwiederbringlich überschrieben worden und nicht mehr wiederherstellbar. Der genaue Tag der Löschung sei ihrer Geschäftsführerin nicht mehr in Erinnerung, weil es kein Löschprotokoll gebe.

Entscheidung

Das Verwaltungsgericht war nicht davon überzeugt, dass die in Rede stehenden Daten bis zum Zeitpunkt der mündlichen Verhandlung tatsächlich gelöscht wurden.

Zunächst stellt das Gericht fest:

Die insoweit darlegungs- und beweisbelastete Klägerin (…) substantiiert ihr Vorbringen zur vermeintlichen Löschung nicht ansatzweise und legt insbesondere weder Nachweise für die vermeintlich erfolgte Löschung der Daten vor noch macht sie Angaben zu deren Zeitpunkt.“

Das Gericht verweist diesbezüglich auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Hieraus ergibt sich nach Ansicht des Gerichts die Pflicht, bei einer Löschung von Daten den Nachweis führen zu können, 1) dass diese Daten gelöscht wurden und 2) wann dies erfolgte.

Checkliste zu den erforderlichen Nachweisen

Das Gericht verlangt zum Nachweis „konkrete, detaillierte Tatsachenangaben“. Der Verantwortliche muss darlegen

  • wann genau,
  • durch wen,
  • in welcher Weise,
  • in welchem Umfang und
  • aus welchem Speichermedium Daten gelöscht worden seien.

Die pauschale Angabe, dass die Daten gelöscht sind, reicht in jedem Fall nicht aus, um den Anforderungen nach Art. 17 Abs. 1 und Art. 5 Abs. 2 DSGVO zu genügen.

Interessant sind die spezifischen Angaben, die nachgewiesen werden sollen. Das Gericht gibt in der Begründung des Urteils fast schon eine kleine „Checkliste“ mit, die nach seiner Ansicht für eine nachweisebare Löschung von Daten abgearbeitet werden muss:

  • Wann exakt die Löschung erfolgte.
  • Welche Dateibezeichnung die Dateien hatten.
  • Welchen Umfang die Daten hatten.
  • Welchen exakt zu benennenden Speicherort und welche Software-Versionen (etwa mit Cloudspeichermöglichkeiten) zur Nutzung der Dateien im Einsatz waren bzw. sind.
  • Was mit Daten in einem evtl. vorhandenen Backup geschehen ist.

Diese Angaben verlangt das Gericht, um eine Nachprüfung zu ermöglichen – sie fehlten aber hier.

In der Praxis spielt das Thema „Löschung“ eine wichtige Rolle, da man als Verantwortlicher gewissermaßen zwischen zwei Stühlen steht. Einerseits soll man personenbezogene Daten löschen. Andererseits soll man den Nachweis dafür erbringen. Bedeutet dies am Ende, dass man zum Nachweis einer Löschung doch wieder personenbezogene Daten speichern muss? Etwa: „Daten von Carlo Piltz am 1.1.2025 gelöscht“.

Meines Erachtens verlangt das Verwaltungsgericht nicht zwingend, dass der Nachweis auch personenbezogen erfolgen muss – zumindest nicht für alle oben genannten Merkmale. Der Vorteil in der Praxis wäre, dass man den Nachweis der Löschung auch prozessual darlegen kann. Also etwa über die Darstellung der Löschroutinen und des generellen Vorgehens, wie aus IT-Systemen gelöscht wird, wenn Betroffene z.B. eine Löschung verlangen. Knifflig dürfte aber eine nichtpersonenbezogene Erfüllung der Vorgaben zum exakten Zeitpunkt und der Dateibezeichnung sein.

Löschung aus der EXCEL-Tabelle?

Und was ist mit dem Hinweis des Unternehmens, dass die Daten aus einer EXCEL-Tabelle gelöscht wurden?

Das Gericht lässt sich auch hiervon nicht überzeugen.

Zunächst stellt das Gericht in Bezug auf die erforderliche Dokumentation von Einwilligungserklärungen fest, dass eine Excel-Tabelle dafür eher ungeeignet scheint.

„In der erwähnten Excel-Tabelle selbst können bei sachgerechter Handhabung die vermeintlich abgegebenen Einwilligungserklärungen bzw. eindeutig bestätigenden Handlungen (vgl. ErwGr 32 DSGVO) der gelisteten E-Mail-Adressinhaber seitens der Klägerin kaum dokumentiert worden sein“.

Das Gericht geht davon aus, dass die Dokumentation der Einwilligungserklärungen vielmehr jeweils in einer geeigneten Form an separater Datei-Stelle erfolgen müsse.

Zudem geht das Gericht davon aus, dass die Schilderung „durch Markierung und Löschbefehl“ gerade nicht für eine sofortige, vollumfängliche, endgültige und irreversible Löschung spricht.

Und zuletzt verweist das Gericht auch darauf, dass allein die Löschung aus einer EXCEL-Tabelle nicht ausreichen dürfte, da wohl eine (externe) Datensicherung und darin enthaltene Kopien der Daten vorhanden sein dürfte.

Fazit

Was nehmen wir mit? Als Verantwortlicher muss man die Löschung nachweisen können. Ob dies immer personenbezogen erfolgen muss, halt ich für diskutabel. Hier kann ein gut durchdachtes Löschkonzept als Nachweis helfen. Wenn man für den Nachweis der Löschung noch personenbezogene Daten speichern möchte (um auf Nummer sicher zu gehen), gibt das Urteil des Gerichts aber auch hierfür gute Argumentationshilfen. Inklusive der Rechtsgrundlage, Art. 6 Abs. 1 c) iVm Art. 5 Abs. 2, Art. 17 Abs. 1 DSGVO.

Wann ist das Design eines Cookie-Banners unzulässig? CNIL gibt Hinweise und versendet Warnungen

Die französische Datenschutzbehörde (CNIL) informiert auf ihrer Webseite, dass sie mehrere Webseitenbetreiber wegen unzulässiger Gestaltung von Cookie-Bannern angeschrieben hat. Die betroffenen Stellen haben einen Monat Zeit, ihre Banner anzupassen.

Aus Sicht der CNIL sind folgende Gestaltungen von Bannern als Verstoß gegen die Vorgaben des französischen Gesetzes zur Umsetzung der ePrivacy-Richtlinie und der DSGVO zu werten:

  • Die Ablehnungsoption wird in Form eines anklickbaren Links dargestellt, dessen Wahl der Farbe, der Schriftgröße und des Schriftstils die Einwilligungs-Option gegenüber der Ablehnungs-Option unverhältnismäßig stark hervorhebt;
  • Die Ablehnungs-Option ist so in die Texte eingebettet, dass sie nicht ohne weiteres erkennbar ist;
  • die Ablehnungs-Option ist neben anderen Absätzen platziert, ohne dass ein ausreichender Abstand vorhanden ist, um sie visuell von allen anderen Informationen zu unterscheiden;
  • die Option „Akzeptieren“ wird im Banner mehrfach dargestellt, während die Option „Ablehnen“ nur einmal und in nicht expliziter Form („Ich lehne nicht wesentliche Zwecke ab“) dargestellt wird.

Zwar geht die CNIL (wie auch schon die EDSA Cookie Banner Taskforce) davon aus, dass das Gesetz keine bestimmte Art der Darstellung von Auswahlmöglichkeiten auf dem Cookie-Banner vorschreibt. Andererseits müssen die betroffenen Stellen aber darauf achten, dass sie ein Design wählen, das die betroffene Person nicht in die Irre führt, wenn die Einwilligung gültig sein soll.

Daher sollen die Informationen, die auf dem Cookie-Banner angezeigt werden, klar und vollständig sein und den Zweck der eventuell verwendeten Cookies sowie die Möglichkeiten zu ihrer Ablehnung angeben.

„Kunde stresst massiv“ – Zulässigkeit von Vermerken & Blacklists in Kundendatenbanken

In ihrem Datenschutzbericht 2023 berichtet die Datenschutzbehörde Österreich (DSB) über einen praxisrelevanten Fall für Unternehmen, die im Bereich B2C oder auch B2B Angaben zu (ungewünschten) Kunden speichern möchten – insbesondere auch zu dem Zweck, mit diesen Kunden in Zukunft keine Verträge mehr abzuschließen.

Sachverhalt

Ein Unternehmen aus Österreich, welches im Bereich EDV-Handel und entsprechende Dienstleistungen tätig ist, verkaufte an einen Kunden aus Spanien mehrere Produkte. Da die Rechnungen innergemeinschaftlich – also ohne österreichische Mehrwertsteuer – ausgestellt wurden, musste die Käuferin bei der Abholung unterschreiben, dass das Produkt außer Landes gebracht werde und eine entsprechende Vollmacht vorlegen bzw. sich als Geschäftsführer ausweisen. Die Käuferin bzw. dessen Geschäftsführer lehnten dies jedoch ab. Zudem wurde die Ware dann reklamiert.

Die Verantwortliche speicherte in der Folge unter anderem folgende Angaben über die Käuferin in ihrer internen Kundendatenbank:

  • (Kurz-) Bezeichnung, die interne Nummer und die Adresse
  • Folgenden als „Sonderinformationen“ bezeichneten Text:

Kunde stresst massiv am Telefon und droht mit Anwalt. Kunde lässt keine Ausweiskopie zu. Wir werden keine Innergemeinschaftlichen Rechnungen mehr ausstellen.

Update: Habe dem Kunden Info gegeben, dass ein Kaufvertrag beidseitig bestehen muss, und wir das nicht wollen!

Die Käuferin beschwerte sich bei der DSB und sah in der Speicherung der Daten einen Verstoß gegen die DSGVO.

Entscheidung der Aufsichtsbehörde

Die DSB sah in der Speicherung der personenbezogenen Daten keinen Verstoß gegen die DSGVO.

Zunächst stellte die DSB fest, dass die Verantwortliche in ihrer Datenbank den Vermerk erfasst, aus dem hervorgeht, dass aufgrund des Verhaltens der Käuferin künftig keine Verträge mehr mit ihr abgeschlossen werden.

Als Ausdruck des allgemeinen Gedankens der Privatautonomie gelte im Schuldrecht das Prinzip der Vertragsfreiheit, also auch der Entscheidungsfreiheit, ob und mit wem ein Vertrag geschlossen wird.

Der interne Vermerk stelle zunächst keine Verarbeitung von unrichtigen Daten dar.

Sofern dieser lediglich in der Dokumentation von Meinungen bzw. Beurteilungen liegt, sind die Daten aus datenschutzrechtlicher Sicht richtig, wenn diese Meinung oder Beurteilung korrekt wiedergegeben wird“.

Zudem geht die DSB von der Rechtmäßigkeit der Verarbeitung nach Art.  6 Abs. 1 DSGVO aus.

Im Lichte der Privatautonomie stelle es nach Auffassung der Datenschutzbehörde ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit f DSGVO der Verantwortlichen dar, in ihrem internen Warenwirtschaftssystem festzuhalten, dass sie mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Wann sind DSGVO-Betroffenenanfragen „exzessiv“? Generalanwalt entwickelt praktische Checkliste

Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.

Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.

Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.

Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.

Der GA lehnt eine solche Sichtweise ab.

die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag

könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.

Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.

Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin

zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.

Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,

nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.

Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.

Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:

Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“

Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.

Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.

Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.

In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.

Prüfung im Einzelfall – welche Kriterien sind relevant?

Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.

Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,

dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.

Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn

sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.

Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.

Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,

wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.

Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge

  • denselben Verantwortlichen betreffen,
  • denselben Inhalt haben,
  • sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
  • in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
  • damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.

Ausforschung des Prozessgegners per Auskunftsanspruch nach Art. 15 DSGVO? Bundesverwaltungsgericht Österreich sagt „nein“. 

In einer Entscheidung vom 8.7.24 (Geschäftszahl W137 2278780-1) hat sich das österreichische Bundesverwaltungsgericht (BVwG) u.a. mit der Frage befasst, ob und wie weit der Auskunftsanspruch nach Art. 15 DSGVO reicht, wenn dieser gegenüber einer Partei geltend gemacht wird, mit der der Betroffene aktuell in rechtlichen (gerichtlichen) Auseinandersetzungen steht. Insbesondere ging es um die Anwendung der Ausnahmevorschrift nach Art. 15 Abs. 4 DSGVO in diesem Fall.

Sachverhalt

Die betroffene Person beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), da sie ihr Recht auf Auskunft nach Art. 15 DSGVO verletzt sah. Sie verlangte Auskunft von einer Bildungsbehörde. Diese erteilte auch Auskunft, jedoch nicht von vollem Umfang. Zum Teil wurde die Auskunft verweigert, weil gegen die betroffene Person zwei arbeits- und sozialgerichtliche Verfahren anhängig waren, wobei etwaige E-Mailverläufe sowie Stellungnahmen Teil dieser Verfahren seien und daher nicht herausgegeben wurden.

Die DSB wies die Beschwerde u.a. mit dem Argument zurück, dass die Verweigerung der Zurverfügungstellung einer Datenkopie dann gerechtfertigt sei, wenn die Geheimhaltungsinteressen des Verantwortlichen bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen würden. Da derzeit ein Zivilverfahren anhängig war, sei dem Verantwortlichen ein diesbezügliches Interesse an der Geheimhaltung von Beweismitteln zuzubilligen, zumal dadurch eine Verschlechterung der Prozessposition zu befürchten wäre.

Entscheidung des BVwG

Das BVwG folgt der Begründung der DSB und sieht keinen Verstoß gegen Art. 15 DSGVO. Die Ansicht des BVwG ist vor allem deshalb praxisrelevant, da Art. 15 DSGVO oft (ziemlich klar) dafür verwendet wird, um an Dokumente und Informationen bei dem Verantwortlichen zu gelangen, die im Rahmen eines Rechtsstreits verwendet werden sollen. 

Nun mag man entgegenhalten: aber der EuGH hat doch entschieden, dass der Auskunftsanspruch auch für „datenschutzfremde“ Zweck ausgeübt werden kann (z.B. EuGH, C-307/22 Rz. 43). Ja, das stimmt. Der EuGH hatte aber noch nicht die (im hier vorliegenden Fall relevante) Frage zu entscheiden, inwiefern sich der Verantwortliche oder auch Dritte in einer solchen Situation auf die Ausnahme nach Art. 15 Abs. 4 DSGVO berufen dürfen, wenn es um die Geheimhaltung von Dokumenten u.a. für die eigene Verfahrens-/Prozessposition geht.  

Das BVwG weist darauf hin, dass nach ErwG 63 DSGVO die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen soll. 

Es ist aber davon auszugehen, dass grundsätzlich alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden“.

Daher geht das Gericht davon aus, dass Unterlagen nicht vom Auskunftsrecht umfasst sind (man müsste wohl eher sagen: zwar umfasst, aber im Wege der Ausnahme ausgenommen sind), wenn der Verantwortliche eine E-Mail beauskunften muss, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind als jene des Betroffenen. 

Nach der auf Grundlage der Öffnungsklausel des Art. 23 DSGVO erlassenen Bestimmung des § 4 Abs. 6 DSG in Österreich besteht das Auskunftsrecht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen „in der Regel“ dann nicht, wenn durch die Erteilung der Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet würde. 

Aus dem Einschub „in der Regel“ schließt das BVwG, dass hier kein absolutes Ablehnungsrecht geschaffen wurde, sondern sorgfältig abzuwägen sein wird, inwieweit die Auskunftserteilung dieses Recht tatsächlich beeinträchtigt.

Vorliegend stützte der Verantwortliche die Verweigerung der Auskunft im Wesentlichen auf überwiegende Geheimhaltungsinteressen, welche das Auskunftsinteresse des Beschwerdeführers überwiegen würden. Der Verantwortliche brachte vor, dass gegen den Beschwerdeführer zwei arbeits- und sozialgerichtliche Verfahren anhängig seien, 

wobei etwaige E-Mailverläufe und Stellungnahmen Teile dieser Verfahren seien (unstrittig ist, dass zumindest ein Verfahren noch anhängig ist). Da gerade dies eine strittige Frage in anhängigen Zivilverfahren darstelle, würde die Beauskunftung eine Verschlechterung der Prozessposition der mitbeteiligten Partei bedeuten.“ 

Damit führt der Verantwortliche nach Ansicht des BVwG ein berechtigtes Geheimhaltungsinteresse ins Treffen, wobei den Ausführungen des Betroffenen nicht entnommen werden konnte, inwiefern sein Interesse an der Beauskunftung den Geheimhaltungsinteressen überwiegt. 

Daher kommt das BVwG hier zu dem Schluss, 

dass die Beschaffung von prozessstärkender Information des Beschwerdeführers über den Schutzzweck der Norm hinausgeht und im gegenständlichen Fall das Interesse der mitbeteiligten Partei an der Geheimhaltung der genannten E-Mailverläufe und Stellungnahmen das Interesse des Beschwerdeführers überwiegt.“

Zudem wurde hervorgehoben, dass der Betroffene ja durchaus Auskunft erhalten hat – nur eben ein gewisser Teil nicht beauskunftet wurde. 

Fazit

Die Begründung des BVwG (und vorgelagert auch schon der DSB) kann in der Praxis für Verantwortliche wertvolle Argumente zur Verteidigung gegen Auskunftsansprüche bieten, die klar auf eine („pre-trial“) Ausforschung abzielen. Im Rahmen der Anwendung des BDSG könnten sich Anwälte etwa zusätzlich auf § 29 Abs. 1 BDSG berufen. Jedoch sind in der Vergangenheit schon Fälle diskutiert worden, in denen diese Ausnahme durch Betroffene umgangen wird, indem die Auskunft nicht gegenüber den Anwälten, sondern gegenüber der vertretenen Partei direkt geltend gemacht wird – gerade für diese Situation kann die Entscheidung des BVwG hilfreich sein. 

Generalanwalt am EuGH: Wichtige Ausführungen zur Erforderlichkeit für Art. 6 (1) b DSGVO und der Information über „berechtigte Interessen“ für Art. 6 (1) f DSGVO

Am 11. Juli 2024 wurden die Schlussanträge des Generalanwalts Szpunar in der Rechtssache C-394/23veröffentlicht. 

In dem anhängigen Rechtsstreit zwischen einem Verband auf einer Seite und der französischen Datenschutzaufsichtsbehörde CNIL sowie Transportunternehmen SNCF Connect auf der anderen Seite geht es um die Frage der Verarbeitung der Anrededaten von Kunden des SNCF Connect, das über seine Website und Apps Zugtickets, Abos und Ermäßigungskarten vertreibt. Nach Angaben des Unternehmens werden die Daten in der geschäftlichen Kommunikation mit den Kunden verwendet und seien hierfür auch erforderlich. Es handelt sich hierbei um Pflichtfelder im Bestellformular – die Kunden müssen also bei der Bestellung ihre Anrede als „Herr“ oder „Frau“ angeben. 

Position des Verbands und bisheriges Verfahren 

Der Verband beschwerte sich gegen SNCF Connect bei der Aufsichtsbehörde. Zur Begründung machte er geltend, die Erhebung der Anrededaten sei mangels Rechtsgrundlage nicht mit dem in Art. 5 Abs. 1 lit. a DSGVO verankerten Grundsatz der Rechtmäßigkeit vereinbar. Zudem verstoße eine solche Erhebung gegen den Grundsatz der Datenminimierung und den Grundsatz der Richtigkeit, die in Art. 5 Abs. 1 lit. c bzw. d DSGVO festgelegt seien, sowie gegen die Transparenz- und Informationspflichten gem. Art. 13 DSGVO. Der Verband argumentierte insoweit, dass SNCF Connect die Anrededaten nicht erheben dürfe oder zumindest seinen Kunden alternative Möglichkeiten anbieten müsse, wie z. B. die Option „neutral“ oder „sonstige“. Die Datenschutzbehörde stellte keinen Verstoß gegen die DSGVO fest und der Verband reichte gegen diese Entscheidung eine Klage ein, im Rahmen welcher die Fragen dem EuGH vorgelegt wurden.

Ist die Angabe der Anrede erforderlich?

Die Erforderlichkeit wurde von dem Generalanwalt unter zwei Gesichtspunkten untersucht:

  1. Ist die Anrede der Kunden für die Erfüllung des Vertrags erforderlich? (Art. 6 Abs. 1 b) DSGVO)
  2. Ist die Angabe der Anrede zur Wahrung berechtigter Interessen im Hinblick auf die allgemeine Verkehrssitte in der personalisierten geschäftlichen Kommunikation erforderlich? (Art. 6 Abs. 1 f) DSGVO)

Vertragserfüllung

In seinen Ausführungen stellt der Generalanwalt fest, dass der Hauptgegenstand des Vertrags vorliegend die Bereitstellung eines Fahrscheins ist. Es war daher zu prüfen, ob erstens die Anrededaten des Kunden verarbeitet werden, um einen Zweck zu erreichen, der notwendiger Bestandteil der Beförderungsdienstleistung ist, und ob zweitens diese Verarbeitung hierfür objektiv unerlässlich ist.

Nach Ansicht des Generalanwalts sei die Kommunikation mit dem Kunden als notwendiger Bestandteil des Beförderungsvertrags anzusehen. Denn die Bereitstellung des Fahrscheins setze die Kontaktaufnahme mit dem Kunden voraus, um diesem den Fahrschein zu übermitteln. Diese Notwendigkeit bestehe auch während der Beförderung fort, um den Kunden z.B. über die möglichen Störungen bei der Reise zu informieren. 

Das Argument von SNCF, dass dieser Zweck in Übereinstimmung mit der Verkehrssitte in der geschäftlichen Kommunikation auch die Angabe der Anrede erfordert, wurde von dem Generalanwalt aber zurückgewiesen. Auch ohne geschlechtsspezifischer Anrede könne die Kommunikation durchgeführt werden. Dies werde unter anderem dadurch indiziert, dass die Anrede nicht bei jeder Kommunikation verwendet wird. So werden teilweise neutrale Formulierungen wie „Danke, gute Reise“ oder „Guten Tag“ benutzt.

Darüber hinaus sei die Verarbeitung der Anrededaten für die Erreichung des geltend gemachten Zwecks nicht unerlässlich und alternativlos. Sie gehe über das hinaus, was notwendig ist, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Denn die ordnungsgemäße Erfüllung des Beförderungsvertrags könne nicht von der Verwendung der Anrede in der Kommunikation abhängen, selbst wenn der für die Verarbeitung Verantwortliche mit seinen Kunden in personalisierter Weise kommunizieren möchte. 

Interessenabwägung

Im Zusammenhang mit der Prüfung der berechtigten Interessen verweist der Generalanwalt auf das Urteil „Meta Platforms“ (C-252/21), wo der EuGH entschieden hat, dass die Verarbeitung nur dann erforderlich sei, wenn der Verantwortliche den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat. 

Hier vertritt der Generalanwalt daher eine strenge Ansicht (Rz. 56):

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.

Aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 lit. d DSGVO resultiere also nach Ansicht des EuGH die Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten. Da SNCF in der Datenschutzerklärung keine Angaben zu den konkreten Interessen hinsichtlich der Verarbeitung von Anrededaten gemacht hat, führe dies dazu, dass die Verarbeitung auf diese Rechtsgrundlage nicht gestützt werden könne.

Und nach Ansicht des Generalanwalts reichen auch nicht floskelhafte Verweise auf berechtigte Interessen aus (Rz. 58):

Zum einen wird durch den bloßen Verweis auf ein berechtigtes Interesse ohne Angabe, worin genau dieses berechtigte Interesse besteht, die Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO nicht erfüllt, die den Verantwortlichen verpflichtet, das verfolgte berechtigte Interesse mitzuteilen.

In der weiteren Prüfung befasst sich der Generalanwalt mit den einzelnen Anforderungen des Art. 6 Abs. 1 f) DSGVO und stellt fest, dass obwohl die Kommunikation mit dem Kunden grds. als berechtigtes Interesse des Unternehmens anzusehen sei, die Verarbeitung von Anrededaten im konkreten Fall über das hinausgehe, was zur Erreichung des Zwecks der Kommunikation mit dem Kunden notwendig sei. Die Kommunikation könne – wie oben dargelegt – auch ohne Verwendung der Anrede erfolgen.

Auch die vernünftigen Erwartungen der Person reichen nach seiner Ansicht nicht für die Feststellung aus, dass das berechtigte Interesse des Verantwortlichen die Interessen der betroffenen Person überwiegt. Ein solcher Aspekt sei zwar im Rahmen der Abwägung erheblich, könne jedoch nicht automatisch dazu führen, dass das berechtigte Interesse des Verantwortlichen überwiegt.

Weitere Fragen

Grundsatz der Datenminimierung

Nach dem Grundsatz der Datenminimierung sei nach Ansicht des Generalanwalts zu prüfen, ob der Zweck der Verarbeitung nicht in zumutbarer Weise mit anderen Mitteln erreicht werden kann. Die Prüfung umfasse dabei nicht nur quantitative Aspekte, sondern auch die inhaltlichen.

Der Grundsatz der Datenminimierung gelte auch dann, wenn die Person in die Verarbeitung eingewilligt hat. Denn nur so kann ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten gewährleistet werden. 

Widerspruchsrecht

Die letzte relevante Frage betrifft das Widerspruchsrecht der betroffenen Person nach Art. 21 Abs. 1 DSGVO und seine Bedeutung i.R.d. Beurteilung der Erforderlichkeit gem. Art. 6 Abs. 1 f) DSGVO.

Es ergebe sich schon aus dem Wortlaut des Art. 21 Abs. 1 DSGVO, dass das Bestehen eines Widerspruchsrechts für die Beurteilung der Erforderlichkeit einer Verarbeitung nach Art. 6 Abs. 1 Buchst. f DSGVO in keiner Weise relevant sei, da die Geltendmachung des Rechts aus Art. 21 Abs. 1 DSGVO voraussetze, dass die Voraussetzungen der Rechtsgrundlage bereits erfüllt seien.

Praktische Auswirkungen

Zwar bleibt noch die finale Entscheidung des EuGH abzuwarten. Es ist aber sehr wahrscheinlich, dass der Gerichtshof den Ausführungen des Generalanwalts weitgehend folgen wird.

Für die Praxis ist im Hinblick auf die Datenverarbeitung zur Vertragserfüllung festzuhalten, dass die Korrespondenz mit dem Kunden als Bestandteil des Vertrages anzusehen ist. Das ist insbesondre für E-Commerce-Unternehmen relevant, die ihre Kunden über diverse Updates zum Bestellstatus informieren wollen (z.B. Versandbestätigung, Änderung des Lieferdatums usw.). Dabei ist aber zu beachten, dass die erhobenen Daten auch tatsächlich für die Kommunikation (oder sonstige vertragliche Zwecke) benutzt werden. Sollten bei manchen Kunden diese Daten verwendet werden, bei anderen aber nicht, dürfte dies gerade gegen eine generelle Erforderlichkeit im Rahmen der Vertragsdurchführung sprechen. Es reicht nicht, wenn die Verwendung des Datums inkonsistent bzw. nur gelegentlich erfolgt. Anders ausgedrückt: ganz oder gar nicht.

Für die Verarbeitung von Daten auf Grundlage berechtigter Interessen gilt, dass die mangelhafte Erfüllung der spezifischen Informationspflichten zu den berechtigten Interessen dazu führen kann, dass diese Interessen (über die nicht informiert wurde) nicht als Verarbeitungsgrundlage genutzt werden dürfen. Eine falsche bzw. inhaltlich mangelhafte Information kann hier im Ergebnis zur Rechtswidrigkeit der Verarbeitung führen – selbst wenn berechtigte Interessen vorliegen, über die nur eben nicht informiert wurde.

Unternehmen müssen darauf achten, konkrete Interessen für Verarbeitungsvorgänge bei der Erhebung der Daten zu benennen. Allein die vernünftigen Erwartungen der betroffenen Person führen nicht dazu, dass die Interessenabwägung zugunsten des Verantwortlichen ausfällt, obwohl sie bei der Interessenabwägung zu berücksichtigen sind.