Category Archives: Datenschutz-Grundverordnung

Hat die Datenschutzbehörde NRW das Thema „Herausgabe von E-Mails im Rahmen der Auskunft“ geklärt?

Posted on by

Werden in der Praxis Auskunftsanspräche nach Art. 15 DSGVO geltend gemacht, stellt sich oft die Frage, wie weit der Begriff „personenbezogene Daten“ und auch jener der „Kopie“ in Art. 15 Abs. 3 DSGVO zu verstehen sind, wenn es um eine mögliche Herausgabe von E-Mails geht. Der Klassiker ist hierbei etwa die Auskunft eines ehemaligen Mitarbeiters, der mehrere Jahre im Unternehmen gearbeitet und hunderte oder tausende E-Mails erzeugt hat.  

Vorgaben des EuGH

Eine klare Aussage des EuGH, ob E-Mails an sich im Rahmen des Art. 15 DSGVO herauszugeben sind, wenn etwa im AN-Feld oder im CC-Feld die personalisierte E-Mail-Adresse des Betroffenen vorkommt, fehlt bisher.

Die Vorgaben des EuGH sind:

  • Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen.
  • Der Begriff „Kopie“ bezeichnet die originalgetreue Reproduktion oder Abschrift, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, nicht ausreicht.
  • Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben.
  • Es kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten.

Und wie ist vor diesem Hintergrund eine E-Mail zu beauskunften, in deren AN-Feld oder etwa im CC der Name des Betroffenen als E-Mail-Adresse vorhanden ist? Ist dann nur die E-Mail-Adresse zu beauskunften oder ist erforderlich, dass die ganze Mail (etwa als Ausdruck oder als PDF) herausgegeben wird?

Ansicht der LDI NRW zu Namen in Briefköpfen

In ihrem letzten Tätigkeitsbericht 2023 befasst sich die LDI NRW zwar nicht mit der Auskunft zu E-Mails, jedoch mit einer aus meiner Sicht durchaus vergleichbaren Situation: müssen Dokumente / Briefe an einen Betroffenen herausgegeben werden, wenn sein Name in dem Briefkopf enthalten ist, der auf den Dokumenten steht, der Inhalt der Dokumente aber sonst keinen Bezug zur Person aufweist? Übertragen auf unseren E-Mail-Fall also etwa, wenn die E-Mail-Adresse im AN- oder CC-Feld vorhanden ist.

Die LDI NRW war mit einem Fall befasst, in dem sich ein Rechtsanwalt auf sein Auskunftsrecht nach Art. 15 DSGVO gegenüber einer Versicherung berief. Er verlangte Kopien des gesamten Schriftverkehrs zwischen der Versicherung und einer Kanzlei, in der er Partner war. Er begründete seinen Auskunftsanspruch damit, dass sein Name, wie es das Berufsrecht vorschreibt, als Partner auf dem Briefbogen der Kanzlei genannt ist.

Entscheidend kommt es aus Sicht der LDI hierbei auf die Vorgabe des EuGH an, dass eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten nur dann erforderlich ist, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Zwar stelle die Nennung des Namens des Anwalts auf den Schreiben an die Versicherung ist ein personenbezogenes Datum dar. In unserem Fall, die E-Mail-Adresse.

Der Auskunftsanspruch erstreckt sich aber deswegen nicht automatisch auf alle Inhalte einer umfassenden Korrespondenz.“

In unserem Fall: nur weil eine E-Mail in einem AN- oder CC-Feld die E-Mail-Adresse erhält, erstreckt sich das Auskunftsrecht noch nicht per se auf den Inhalt der E-Mails.

Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sieht die LDI (mit dem EuGH) nur dann als erforderlich an, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Im vorliegenden Fall kam die LDI zu dem Schluss:

Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.“

Um meine Frage aus der Überschrift zu beantworten: nein, die LDI hat das Thema nicht geklärt – zumindest nicht direkt. Jedoch lässt sich die Ansicht und Argumentation der LDI auf E-Mail-Sachverhalte übertragen. Allein der Umstand, dass eine personalisierte E-Mail-Adresse in E-Mails enthalten ist, bedeutet nicht, dass diese E-Mails als Ganzes herauszugeben sind.

LG Wiesbaden: wann liegt eine „besondere Situation“ für einen Widerspruch gegen die Datenverarbeitung nach Art. 21 Abs.1 DSGVO vor?

Posted on by

In seinem Urteil vom 19.02.2025 (Az: 3 O 269/24) befasst sich das Landgericht Wiesbaden u.a. mit der praxisrelevanten Frage, unter welchen Bedingungen betroffene gegen eine Datenverarbeitung Widersprich nach Art. 21 Abs. 1 DSGVO einlegen können und welche Anforderungen für eine Unterlassung der weiteren Verarbeitung erfüllt sein müssen.

Sachverhalt

In dem Verfahren ging es um einen Betroffenen, der die Löschung der im Datenbestand gespeicherten Einträge samt Forderungsverlauf, die Unterlassung erneuter Speicherung sowie die Zahlung eines Schmerzensgeldes von der beklagten Wirtschaftsauskunftei forderte. Unter anderem stellte sich für die Löschung der Daten nach Art. 17 Abs. 1 c) DSGVO die Frage, ob der Betroffene wirksam nach Art. 21 Abs. 1 DSGVO widersprochen hatte und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.

Praxisrelevant waren hier vor allem die Ansichten des Gerichts zu dem Merkmal „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ des Widerspruchrechts aus Art. 21 Abs. 1 DSGVO.

Entscheidung

Zunächst legt das Landgericht seine Ansicht des Zweck der Vorschrift dar.

Der Widerspruch dient als Korrektiv im Einzelfall, indem er eine rechtmäßige Datenverarbeitung ausnahmsweise unterbindet“.

Diese Auslegung gibt natürlich schon einmal die Richtung vor, wie das Betroffenenrecht aus Sicht des Gerichts zu verstehen ist. Nämlich als Ausnahme von der Zulässigkeit der Verarbeitung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Das Landgericht geht daher davon aus, dass für die Wirksamkeit eines Widerspruchs

eine atypische Situation etwa rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur vorliegen

muss. Das Gericht geht mithin davon aus, dass ein Widerspruch gerade nicht immer und voraussetzungslos zur Unterbindung der Verarbeitung führt. Zudem müssen Betroffene besondere Umstände geltend machen, warum die Datenverarbeitung nicht fortgesetzt werden darf. Auch müsse die betroffene Person ihren Widerspruch mit konkreten Tatsachen begründen und hat auf Verlangen des Verantwortlichen Nachweise beizubringen. Ein einfaches „ich widerspreche der Datenverarbeitung“ reicht also (anders als im Fall der Datenverwendung für Zwecke der Direktwerbung, Art. 21 Abs. 2 DSGVO) nicht aus.

Im konkreten Fall sieht das Landgericht diese Anforderungen durch den Betroffenen nicht als erfüllt an. Der Kläger habe eine solche atypische Situation, aufgrund derer eine fortdauernde Verarbeitung unzumutbar wäre, nicht dargelegt. So hatte der Betroffene etwa Schwierigkeiten bei der Anmietung einer neuen Wohnung vorgebracht.

Die Erschwerung der Anmietung einer größeren Wohnung sind gerade keine individuellen Schwierigkeiten, die den Kläger von sonstigen Schuldnern unterscheiden. Es handelt sich dabei vielmehr gerade um die typischen Folgen früheren nicht vertragsgemäßen Zahlungsverhaltens“.

Das Gericht geht im Ergebnis davon aus, dass es dem Kläger daher zumutbar ist, mit der Anmietung einer neuen Wohnung bis zur Löschung der Einträge zuzuwarten. Überwiegende Interessen des Klägers ergeben sich daher aus den von ihm geschilderten Umständen unter keinem rechtlichen Gesichtspunkt.

OLG Stuttgart zum Mitarbeiterexzess: DSGVO-Bußgeld gegen Angestellte

Posted on by

Das OLG Stuttgart hat sich in seinem Beschluss (25.2.2025, 2 ORbs 16 Ss 336/24) mit dem sog. Mitarbeiterexzess im Datenschutzrecht befasst. Praxisrelevant ist hierbei die Einordnung durch das OLG, wann Mitarbeiter, die für arbeitsfremde Zwecke personenbezogene Daten verarbeiten, selbst zu Verantwortlichen werden  – und damit potentiell auch zu Adressaten von DSGVO-Bußgeldern.

Sachverhalt

Im konkreten Fall hatte das Amtsgerichts einen als Polizeibeamten beschäftigte Betroffene zu einem Bußgeld von 1.500 EUR verurteilt. Der Beamte rief von seinem Dienstrechner auf dem Polizeirevier im polizeilichen Informationssystem „POLAS“ Daten über einen damaligen Kollegen ab, der sich zu dieser Zeit in Untersuchungshaft befand, ohne – wie der Beamte wusste – dass es für die Abfrage einen dienstlichen Anlass gab.

Entscheidung

Das OLG bestätigt die Entscheidung des Amtsgerichts.

Im Grundsatz geht das OLG davon aus, dass Mitarbeiter ohne Leitungsfunktion keine Verantwortlichen im Sinne der DSGVO sind, wenn sie mit personenbezogenen Daten umgehen. Jedoch wird darüber diskutiert, ob sich unterstellte Mitarbeiter, die bei der Datenverarbeitung ihre Befugnisse überschreiten (sog. Mitarbeiterexzess), sich zu Verantwortlichen aufschwingen und damit Adressaten der Haftungs- und Bußgeldvorschriften gem. Art. 82, 83 DSGVO werden.

Für seine Begründung verweist das OLG u.a. auf die Leitlinien 7/2020 des EDSA.

Erfolgt der Datenschutzverstoß – wie vorliegend – bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person“.

Die Ansicht des OLG ist hier relevant, da das Gericht die Handlung des Mitarbeiters erst gar nicht als vom Arbeitsverhältnis umfasst sieht. Daher geht es auch davon aus, dass keine weisungswidrige Handlung (also gegen die Vorgaben des Arbeitsverhältnisses) erfolgt. Sondern:

Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung“.

Daher ist auch ein zum Teil aus Art. 28 Abs. 10 DSGVO gezogener Umkehrschluss, dass eine Regelung zu Mitarbeitern die weisungswidrig agieren in der DSGVO (anders als für Auftragsverarbeiter) fehle, nach Ansicht des OLG nicht tragfähig. Das Gericht geht vielmehr davon aus, dass der Mitarbeiter quasi gar nicht als unterstelle Person handelt, sondern direkt als eigener Verantwortlicher.

Oberverwaltungsgericht: Kein Anspruch des Betroffenen auf Vorlage und Prüfung von Auftragsverarbeitungsverträgen

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 21.02.2025 (Az 7 ZB 24.651) eine vorangegangene Entscheidung des Verwaltungsgerichts München zur Frage der Einsichtnahme von Betroffenen in Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestätigt.

Sachverhalt

Der Kläger verlangte Einsicht in Auftragsverarbeitungsverträge, die der Beklagte (der Bayerische Rundfunk mit einem Inkassounternehmen geschlossen hatte. Das Unternehmen war mit der Beitreibung von Rundfunkbeiträgen beauftragt worden. Die Einsicht in den Vertrag lehnte der Beklagte ab.

Das Verwaltungsgericht wies die daraufhin erhobene Klage ab und begründete dies im Wesentlichen damit, dass keine Anspruchsgrundlage für den geltend gemachten Anspruch auf Einsichtnahme existiere.

Entscheidung

Nach Ansicht des VGH besteht für den Betroffenen kein berechtigtes Interesse an der Einsichtnahme in den zwischen dem Beklagten und dem Unternehmen gemäß Art. 28 DSGVO geschlossen Auftragsverarbeitungsvertrag.

Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DSGVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde“.

Das Gericht argumentiert, dass für die Überwachung der Anwendung der DSGVO gemäß Art. 51 Abs. 1 DSGVO die Aufsichtsbehörde zuständig ist – aber nicht Private. Zu den Aufgaben der Aufsichtsbehörde gehört gemäß Art. 57 Abs. 1 Buchst. a DSGVO die Überwachung und Durchsetzung der Anwendung der DSGVO.

Die Aufsichtsbehörde kann gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DSGVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung prüfen und die hierzu eingeräumten Befugnisse nach Art. 58 DSGVO nutzen.

Dem Betroffenen selbst ist hingegen nach Art. 15 DSGVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt.

Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.“

Neues Urteil des BGH zum DSGVO-Schadenersatz: Kein Schadenersatz für unverlangte Werbe-E-Mail ohne Kontrollverlust oder begründete Befürchtung

Posted on by

In der deutschen Rechtsprechung wird weiter an der Anwendung der Vorgaben des BGH aus seinem Urteil vom 18.11.2024 – VI ZR 10/24 zur Berechnung eines möglichen immateriellen Schadens im Rahmen von Art. 82 DSGVO „gearbeitet“. So etwa das OLG Celle (hier der Beitrag im Blog).

Doch auch der BGH selbst ist weiterhin mit der Auslegung und Anwendung der Vorgaben des Art. 82 DSGVO beschäftigt. In einem neuen Urteil (28.01.2025 – VI ZR 109/23) nutzt das Gericht die Gelegenheit, seine Interpretation der Vorschrift und insbesondere der Anforderungen für einen Schadenersatzanspruch noch einmal zu schärfen.

Sachverhalt

In dem Fall ging es ganz grob um eine Werbe-E-Mail, die ein Käufer von einem Verkäufer nach erfolgtem Kauf eines Produkts erhalten hatte. Eine Einwilligung des Käufers lag wohl nicht. Der Käufer forderte Unterlassung und für die unverlangte Werbe-E-Mail 500 EUR Schadenersatz nach Art. 82 DSGVO. Hierauf reagierte der Verkäufer nicht mehr.

Entscheidung

Der BGH lehnt, mit der Ansicht des Berufungsgerichts (LG Rottweil), einen Anspruch auf immateriellen Schadenersatz ab. Er lehnt den Anspruch ab, weil der Kläger einen immateriellen Schaden bereits nicht hinreichend dargelegt hatte.

Der Kläger argumentierte:

  • durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien;
  • er habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe.

Nach Ansicht des BGH hat das Berufungsgericht den Vortrag des Klägers aber zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens angesehen.

Hierbei stützt sich der BGH auf drei Aspekte, die für Auftragsverarbeiter und Verantwortliche in der Praxis als relevante Kriterien beachtet werden sollten, wenn sie selbst von Schadenersatzklagen betroffen sind.

1) Es liegt kein ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor

2) Die vom Kläger geäußerte Befürchtung eines Kontrollverlusts wurde nicht substantiiert dargelegt

3) Es wurden keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe.

1) Kein Kontrollverlust bei unzulässiger Werbe-E-Mail

Der BGH verweist auf die Rechtsprechung des EuGH und natürlich sein Urteil aus November 2024, wonach

schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert“.

Aber, und dieser Hinweis ist meines Erachtens wichtig: natürlich muss

auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat“.

Ein behaupteter Kontrollverlust reicht also für den BGH nicht aus. Erst wenn dieser Nachweis erbracht ist (der Kontrollverlust feststeht),

stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person“.

Zu dieser Interpretation des BGH wurde schon nach seinem Urteil aus November diskutiert, da man die Rechtsprechung des EuGH ggfs. auch anders verstehen mag. Jedoch macht der BGH hier deutlich, dass zwar einerseits der nachgewiesene Kontrollverlust von Daten ein Schaden sei – diesen Nachweis muss aber der Kläger erbringen.

Und im konkreten Fall gelang dem Kläger genau dieser Nachweis allein aufgrund der E-Mail nicht.

Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall“.

2) Begründete Befürchtung kann ausreichen – die bloß behauptete Befürchtung aber nicht

Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht nach Ansicht des BGH jedoch

die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen“.

Hier schafft der BGH eine Art Alternative zu dem nicht nachweisbaren Kontrollverlust – den begründet befürchteten Kontrollverlust. Der Betroffene kann einen Schaden dadurch begründen, dass der „begründete Befürchtungen“ zum Missbrauch seiner Daten geltend macht. Wichtig ist hierbei das Merkmal „begründet“.

Nach Auffassung des BGH genügt nämlich

die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten“,

um einen Schaden nachzuweisen.

Der Kläger argumentierte im konkreten Fall, die Befürchtung ergebe sich daraus, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe.

Diese Argumentation lehnt der BGH jedoch ab. Denn hierdurch werden nur die Befürchtung weiterer Verstöße gegen die DSGVO durch den Beklagten dargelegt. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen.

Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß.“

Auch diese Ansicht des BGH ist für die Verteidigungssicht gegen Art. 82-Ansprüche sehr wichtig. Der BGH prüft ganz genau, was der Grund der Befürchtung für einen Kontrollverlust ist. Sind es weitere Verstöße, fehlt es an der Kausalität für den konkret geltend gemachten Schaden.

3) Keine Reaktion ist noch kein Schaden

Zuletzt argumentierte der Kläger, ein immaterieller Schaden liege in der Missachtung der Forderungen des Klägers, die sich auch in der fehlenden Reaktion des Beklagten zeige.

Auch diese Argumentation teilt der BGH nicht. Erneut verweist er darauf, dass die Übersendung der Werbe-E-Mail allenfalls den gerügten Verstoß gegen die DSGVO begründe.

Allein der Verstoß ist aber eben noch kein Schaden. Der Verstoß

reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen“. Und die unterbliebene Reaktion des Beklagten

könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen“.

DSGVO-Auskunft über Daten in Backups – wann liegt ein „unverhältnismäßiger Aufwand“ vor?

Posted on by

In der Praxis stellt sich im Rahmen der Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO sehr oft die Frage, ob auch solche personenbezogenen Daten zu beauskunften sind, die nur noch in Backups gespeichert werden.

§ 34 Abs. 1 Nr. 2 b) BDSG sieht hierzu eine mögliche Ausnahme für Verantwortliche vor.

Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO nicht, wenn die Daten 1) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und 2) die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie 3) eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Rechtsprechung zu diesem Thema, findet sich kaum. Daher lohnt sich für die praktische Umsetzung durchaus der Blick in Hinweise von Aufsichtsbehörden, die sich mit dem Thema befassen.

Konkret hat etwa der BayLfD in seiner Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ zu einer solchen, wie in § 34 BDSG vorgesehenen Ausnahme, im Rahmen des § 83 Abs. 1 Nr. 2 SGB X Stellung genommen. Der BayLfD weist auch ausdrücklich darauf hin, dass sich die Ausschlussgründe des § 83 Abs. 1 Nr. 2 SGB X auch in Parallelbestimmungen in § 34 Abs. 1 Nr. 2 BDSG finden.

Aus diesem Grund ist die Auslegung des BayLfD auch für den Anwendungsberiech von § 34 BDSG nutzbar. Nachfolgen stelle ich kurz die Ansicht zu den obigen Anforderungen nach 1) und 2) dar.

Zwecke der Datensicherung oder der Datenschutzkontrolle

Zunächst müsste ein Backup unter das Merkmal der „Datensicherung“ oder „Datenschutzkontrolle“ fallen. Nach Ansicht des BayLfD ist dies für personenbezogene Daten in Backups der Fall:

Der Datensicherung dienen insbesondere Backup-Dateien, der Datenschutzkontrolle etwa Protokolldateien.“

Wichtig: § 34 BDSG fordert ausdrücklich, dass die Daten in Backups ausschließlich für die Zwecke der Datensicherung oder Datenschutzkontrolle vorgehalte werden würfen. Sollten die Daten auch für andere Zweck verwendet werden, greift die Ausnahme nicht.

Unverhältnismäßiger Aufwand

Besonders schwierig stellt sich in der Praxis die Antwort auf die Frage dar, wann denn eine Auskunftserteilung mit einem unverhältnismäßigen Aufwand verbunden ist?

Zunächst geht der BayLfD davon aus, dass „die Erteilung von Auskunft genauso zum Aufgabenkreis der öffentlichen Stelle gehört wie alle anderen Aufgaben“.

Bedeutet, dass also der Grundsatz stets die Pflichtenerfüllung sein muss – in unserem Fall, die Auskunft zu erteilen. Ausnahmen sind grundsätzlich restriktiv auszulegen.

Nach Ansicht des BayLfD zielt § 83 Abs. 1 Nr. 2 SGB X (und parallel auch § 34 Abs. 1 Nr. 2 b) BDSG) auf einen „ausgewogenen“ Ressourceneinsatz.

Dies bedeutet, dass das begrenzte personelle und sachliche Leistungspotenzial möglichst so genutzt werden, dass im öffentlichen Bereich des SGB X alle Bürgerinnen und Bürger eine ordnungsgemäße, insbesondere auch zeitgerechte Bearbeitung für ihre Anliegen erhalten.

Übertragen auf den weiteren öffentlichen und privatwirtschaftlichen Anwendungsbereich des § 34 Abs. 1 Nr. 2 b) DSGVO könnte mal umformulieren: im Rahmen der dem Verantwortlichen zur Verfügung stehenden Kapazitäten sollen Bürger/Kunden/Nutzer etc. zunächst und primär jene Leistungen erhalten, auf die sie einen gesetzlichen oder vertraglichen Anspruch haben.

Zu § 83 SGB X erläutert der BayLfD dann:

wird – bei einer Sozialbehörde – die für das „Kerngeschäft“ der Leistungsgewährung zur Verfügung stehende Zeit knapp, erlaubt es § 83 Abs. 1 Nr. 2 SGB X, auf die typischerweise aufwändige Auswertung von Backup- oder Protokolldateien zu verzichten.“

Für § 34 BDSG im privatwirtschaftlichen Bereich könnte man etwa ableiten, dass die Ausnahme dann greifen kann, wenn die Hauptleitungen an Kunden und Nutzer durch die Arbeit an einer (oder mehreren) Auskünften die Erfüllung der Hauptleitungen, also Tätigkeiten des Kerngeschäfts, für andere Personen erschweren oder einschränken.

Hiergegen mag man einwenden, dass das Beispiel des BayLfD ja in einem sensiblen und gesellschaftlich wichtigen Bereich der Leistungsgewährung des Staates gegenüber Bürgern spielt. Dort müsse quasi die „Daseinsvorsorge Vorrang haben“. Diesem Argument könnte man aber entgegenhalten, dass der Staat, wenn er hier personelle Engpässe sieht, genauso wie ein Unternehmen entsprechend reagieren kann und müsste. Der BayLfD verweist jedoch nicht auf ein solches Kriterium.

Weiter führt die Aufsichtsbehörde Kriterien an, wann die Unverhältnismäßigkeit angenommen werden könnte:

  • wenn die betroffene Person aus der Ankunft zu den Backups keinen „Mehrwert“ erlangen kann, weil etwa feststeht, dass Backup-Dateien keine zusätzlichen Informationen bieten können, oder
  • wenn bei einer kleineren Behörde trotz anlassbezogener organisatorischer Vorkehrungen das „Kerngeschäft“ über einen längeren Zeitraum nicht ordnungsgemäß durchgeführt werden könnte.

Insbesondere das zweite Kriterium könnte im privatwirtschaftlichen Bereich für kleine Unternehmen ein guter Anhaltspunkt sein. Wenn man sich als Unternehmen, im Rahmen seiner Möglichkeiten und verhältnismäßigem Aufwand, ordentlich um den Datenschutz kümmert, dann kann die Auskunft zu Daten aus Backups unverhältnismäßig sein, wenn dadurch die Hauttätigkeit des Unternehmens beeinträchtigt wird (etwa durch personellen Zusatzaufwand). Zum Abschluss ist noch darauf hinzuweisen, dass im Fall der Ablehnung einer Auskunft der Verantwortliche nach § 34 Abs. 2 BDSG in jedem Fall die Gründe der Auskunftsverweigerung zu dokumentieren hat und auch die Ablehnung der Auskunftserteilung gegenüber der betroffenen Person begründen muss.

VG Wiesbaden: nicht oder fehlerhaft durchgeführte DSFA wirkt sich nicht auf die materielle Zulässigkeit der Verarbeitung aus

Posted on by

Mit Urteil vom 18.12.2024 (Az. 6 K 1563/21.WI; aktuell noch nicht öffentlich abrufbar) hat das VG Wiesbaden im Nachgang zur Entscheidung des EuGH vom 21.3.2024 (Rechtssache C-61/22) u.a. dazu entschieden, wie sich Verstöße gegen die Pflicht zur Durchführung einer Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO auf die Rechtmäßigkeit der Datenverarbeitung auswirken.

In seiner Entscheidung verweist das VG Wiesbaden insbesondere auch auf das EuGH-Verfahren in der Rechtssache C-60/22 (Urt. v. 4.5.2023).

In dem Verfahren ging es um die Frage, ob ein Betroffener einen Anspruch auf Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken hat – dies lehnt das VG ab.

Datenverarbeitung ohne DSFA?

Der Betroffene argumentierte gegen die Zulässigkeit der Verarbeitung von Fingerabdrücken unter anderem, ob denn die Stadt Wiesbaden nicht verpflichtet sei, eine DSFA durchzuführen. Und wenn diese nicht (richtig) durchgeführt worden sei, ob sich dies nicht auf die Rechtmäßigkeit der Verarbeitung auswirke.

Das VG lehnt die Relevanz der Durchführung einer DSFA für die Frage der Rechtmäßigkeit einer Datenverarbeitung ab. „Dies hat keinen Einfluss auf die Rechtmäßigkeit der konkreten Datenverarbeitung.“

Keine Auswirkung auf die Rechtmäßigkeit

Nach Ansicht des VG wirkt sich eine nicht oder fehlerhaft durchgeführte DSFA nicht auf die materielle Zulässigkeit des Verarbeitungsvorgangs personenbezogener Daten aus.

Der EuGH habe in der Rechtssache C-60/22 ausgeführt, dass Art. 26 und Art. 30 DSGVO, die wie Art. 35 DSGVO ebenfalls zu Kapitel IV zählen, nur Pflichten des Verantwortlichen beziehungsweise Auftragsverarbeiters betreffen, jedoch nicht die Rechtmäßigkeit der Verarbeitung beeinflussen.

Kapitel IV der DSGVO betreffe die Pflichten des Verantwortlichen.

„Die Rechtmäßigkeit der Verarbeitung wird, wie sich aus der Überschrift von Art. 6 der DSGVO selbst ergibt, gerade in Art. 6 DSGVO geregelt.“

Diese Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 Unterabs. 1 der DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

„Die Einhaltung der in Art. 35 DS-GVO vorgesehenen Pflicht zur Vornahme einer Datenschutzfolgeabwägung zählt nicht zu den in Art. 6 Abs. 1 Unterabs. 1 DS-GVO genannten Gründen für die Rechtmäßigkeit der Verarbeitung.“

Wie berechnet man immateriellen Schadenersatz nach Art. 82 DSGVO bei Datenschutzverstößen? OLG Celle macht erste Vorschläge – auch zu einem „Sockelwert“ bei Scraping-Fällen

Posted on by

Nach dem Urteil des BGH zum Themenkomplex „Scraping“ vom 18.11.2024 (VI ZR 10/24), haben wir gespannt darauf gewartet, wie die Gerichte die Vorgaben bzw. Begründungen des BGH in ihren Schadenersatzverfahren nach Art. 82 DSGVO berücksichtigen.

Mit Beschluss vom 09.01.2025 (Az. 5 U 173/23) hat sich das OLG Celle nun ausführlicher zu der Frage „Bemessung der Höhe eines immateriellen Schadensersatzes bei einem sog. Datenscraping-Vorfall“ befasst. Der Hinweisbeschluss bezieht sich allgemein auf sämtliche beim Senat anhängigen Verfahren aus dem Bereich „Datenscraping Facebook“, bei denen die jeweilige Klagepartei von einer spezifischen Rechtsanwaltskanzlei vertreten wird.

Wann gibt es 100 EUR Schadenersatz?

Hinsichtlich der Höhe eines immateriellen Schadensersatzes gelten nach Maßgabe des OLG folgende Annahmen:

  • Der bloße objektive Kontrollverlust stellt bereits einen immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Klagepartei.
  • Befürchtungen oder Ängste wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.
  • Für den bloßen Kontrollverlust als solchen würde der Senat einen immateriellen Schaden in Höhe von 100 EUR als angemessen ansehen.
  • Mit diesen 100 EUR sieht das OLG „gewisse mit dem eingetretenen Kontrollverlust für die betroffene Klagepartei einhergehende „Folgeerscheinungen““ als erfasst an.
  • Das OLG verweist auf den BGH und von ihm in seinem Urteil erwähnte „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“.
  • Das OLG erfasst mit den 100 EUR also zwei Aspekte: 1) den objektiven Kontrollverlust, 2) die für jedermann damit einhergehenden Unannehmlichkeiten. Diese sind mit den 100 EUR „mit abgegolten“.
  • Machen Kläger in Scraping-Verfahren eine höhere Summe als Schaden geltend, so geht das OLG davon aus, dass das jeweilige Tatgericht zu prüfen hat, ob die behaupteten bzw. erstinstanzlich festgestellten „Folgeerscheinungen“ über diese Schwelle der „für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinausgehen.
  • Ist dem so, hat das Gericht auch die Anordnung des persönlichen Erscheinens der Kläger und deren Anhörung zu prüfen. Hierbei muss das Gericht eruieren, ob die vorgebrachten „Folgeerscheinungen“ einen die Höhe von 100 EUR übersteigenden immateriellen Schadensersatz rechtfertigen.

Ganz grob geht das OLG also davon aus,

  • dass in „normalen“ Scraping-Fällen (objektiver Kontrollverlust muss nachgewiesen sein) ein Schadenersatz von 100 EUR angemessen ist, um den Kontrollverlust und normale Folgeerscheinungen (zB Ängste und Befürchtungen) auszugleichen.
  • Dass ein höherer Schadenersatz in Frage kommt, wenn die Kläger besondere Umstände und Folgen geltend machen; diese sind dem Tatgericht in persönlicher Anhörung darzulegen.

Ist das nun ein „pauschaler“ Schadenersatz?

Man kann nun wohl darüber streiten, ob die Ansicht des OLG schon zu einem „pauschalen“ Schadenersatzanspruch führt. Meines Erachtens nicht zwingend, da ja immer noch die Tatbestandsvoraussetzungen von Art. 82 DSGVO erfüllt sein müssen (insb. etwa auch eine Kausalität). Allein ein Verstoß gegen die DSGVO führt also auch nach dem OLG Celle nicht zu einem Schadenersatzanspruch.

Die 100 EUR bezeichnet das OLG selbst bildlich als „Sockelwert“ – wichtig: es geht hier konkret um die Scraping-Verfahren.

Wann gibt es mehr als 100 EUR?

Möchten Betroffene, in diesen speziellen Scraping-Verfahren, mehr Schadenersatz haben, müssen sie dies im Zweifel durch persönliches Erscheinen bei Gericht darlegen.

Hierzu das OLG: „Nur das Vorbringen, das die jeweilige Klagepartei im Rahmen einer solchen Anhörung gemacht hat, ist aber für die erkennenden Tatgerichte maßgeblich, nicht das – möglicherweise davon abweichende – schriftsätzliche Vorbringen ihrer Prozessbevollmächtigten“.

Zudem äußert sich das OLG auch zu der Frage, wie hoch die Hürden für einen Schadenersatz von 500 EUR wären.

So hatte das LG Hannover in vielen der beim Senat anhängigen Verfahren einen immateriellen Schadensersatz in Höhe von 500 EUR ausgeurteilt – nachdem die Kläger persönlich angehört wurden.

Ob diese 500 EUR auch vor dem OLG halten, möchte das Gericht nicht ausschließen – jedoch werden Zweifel in dem Hinweisbeschluss sehr deutlich.

Der Senat möchte nicht ausschließen, dass im Einzelfall auf Grundlage der vom Landgericht getroffenen Feststellungen ein so hoher immaterieller Schadensersatz auch tatsächlich gerechtfertigt ist, allerdings dürfte dies dann nach dem Verständnis des Senats von dem Urteil des Bundesgerichtshofs vom BGH 18. November 2024 ganz besonders erheblicher Umstände bedürfen“.

Hierfür nennt das OLG auch einen Beispielsfall: in einem Verfahren wurde vorgetragen, dass „aufgrund des Datenlecks und deren Auswirkungen die Klägerseite aufgrund von Angstzuständen in ärztlicher Behandlung“ sei. Ein solcher Vortrag würde – aus Sicht des OLG – das Tatgericht dazu verpflichten, im Bestreitensfalle die betreffende Klagepartei persönlich anzuhören.

Denn diese behauptete (psychische) Folgeerscheinung gehe evident (deutlich) über die Stufe der „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinaus.

Wenn sich das Tatgericht von der Richtigkeit dieses Vortrags überzeugt sieht, so so könne dies nach Auffassung des OLG durchaus einen immateriellen Schadensersatz in Höhe von zumindest 500 EUR (und ggf. sogar noch darüberhinausgehend) rechtfertigen.

Fazit

Die Ansicht des OLG wird nicht die erste und letzte zu dem Thema „Höhe des Schadenersatzes“ bei Datenschutzverstößen sein. Ich finde die Entscheidung des Gerichts hilfreich, da der Senat hier wirklich versucht, eine nachvollziehbare Linie zu entwickeln.

Diese geht davon aus, dass 100 EUR Schadenersatz für den objektiven Kontrollverlust und „normale“ Folgeerscheinungen gewährt werden – wenn die Voraussetzungen vorliegen. Damit sind wir natürlich auch meilenweit von Ankündigungen der Klägervertreter im Internet, auf YouTube und Instagram entfernt, die in Massenverfahren von bis zu 2.000 EUR, 3.000 EUR oder gar 5.000 EUR sprechen (oder sprachen).

Ein höherer Schadenersatz ist durchaus möglich, wird aber nur in der einzelnen, besonderen Situation und vor allem wohl nur nach persönlicher Anhörung der Kläger zu den besonderen Folgen begründbar sein.  

Speicherung von Daten zur Verteidigung gegen zukünftige Klagen? Strenge Ansicht des OLG Karlsruhe

Posted on by

In der Praxis stellt sich für Verantwortliche oft die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, wenn etwa eine Kundenbeziehung endet oder ein Mitarbeiter das Unternehmen verlässt. Im Zweifel orientiert man sich hierbei etwa an den Verjährungsfristen (z.B. § 195 BGB) für Ansprüche, die durch Betroffene noch geltend gemacht werden könnten. Solange eine Klage möglich bleibt, möchte man schließlich nicht Dokumente und Informationen vorzeitig löschen, die im Falle eines Rechtsstreits als Beweismittel zur Verteidigung dienen können.

Nach Art. 17 Abs. 3 e) DSGVO gilt die Löschpflicht nicht, soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Das OLG Karlsruhe (Urt. v. 15.01.25, Az. 14 U 150/23) hat in einem solchen Fall nun eine sehr strenge Ansicht zur Möglichkeit der weiteren Aufbewahrung von Daten und Dokumenten vertreten.

Sachverhalt

Im konkreten Fall stritten die Parteien um Ansprüche wegen einer vorübergehenden Deaktivierung des Accounts der Klägerin. Unbekannte Dritte verbreiteten unter unberechtigter Nutzung des Kontos der Klägerin kinderpornografische Darstellungen. Das Konto wurde von der Beklagten vorübergehend deaktiviert. Nach gewisser Zeit und Aufforderungen durch den Anwalt der Klägerin wurde das Konto reaktiviert. Die Information zur Sperrung des Kontos und die Löschung der Beiträge, die durch Dritte erstellt wurden, waren weiterhin im Datensatz der Beklagten vermerkt. Die Klägerin verlangte nun, die bei der Beklagten gespeicherte Daten der Klägerin dahingehend zu berichtigen, dass alle Lösch- und/oder Sperrvermerke, die Grund für die Kontodeaktivierung gewesen sind, aus dem Nutzerdatensatz gelöscht werden.

Entscheidung

Das OLG geht davon aus, dass ein Löschanspruch der Klägerin besteht.

Auf die Ausnahmeregelung zur Löschpflicht nach Art. 17 Abs. 3 e) DSGVO könne sich die Beklagte nicht berufen, wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist.

Die vorhandenen Daten sind nach Ansicht des OLG für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig, Art. 17 Abs. 1 a) DSGVO. Zudem könne sich die Beklagte auch nicht darauf berufen,

dass die fortgesetzte Verarbeitung der Daten in Form der Speicherung nunmehr für einen anderen Zweck notwendig sei, namentlich mit Blick auf Art. 17 Abs. 3 lit. e DSGVO“.

Das OLG geht diesbzgl. kurz auf den Zweck der Ausnahmeregelung und die dazu vertretenen Ansichten ein.

Die Vorschrift diene dazu, dass die Rechtsdurchsetzung, aber auch die Rechtsverteidigung nicht dadurch eingeschränkt wird, in dem die andere Seite durch Geltendmachung von Löschungsansprüchen eben gerade diese Rechtsdurchsetzung oder Rechtsverteidigung behindert. Der (Prozess-)Gegner soll nicht über Löschungsansprüche Beweismittel oder anspruchsbegründende Tatsachen vernichten können.

Wie wahrscheinlich eine rechtliche Auseinandersetzung sein muss, um diesen Ausnahmetatbestand zu rechtfertigen, ist umstritten“.

Gerade dieser letzte Aspekt, wird in der Literatur und auch unter den Aufsichtsbehörden in verschiedener Weise diskutiert. Im Grunde geht es um die Frage: Wie sicher muss ich sein, dass ich verklagt werde, um deswegen noch personenbezogene Daten speichern zu dürfen?

Und das OLG vertritt hierzu eine, aus meiner Sicht durchaus diskutable, strenge Auffassung.

Zunächst geht das OLG davon aus, dass unabhängig von den Anforderungen, die insoweit im Einzelnen gestellt werden, Einigkeit darüber bestehe,

dass die lediglich abstrakte Möglichkeit eventueller zukünftiger Klagen eine Berufung auf Art. 17 Abs. 3 lit. e DSGVO nicht rechtfertigen kann“.

Natürlich stellt sich dann die Frage, wann eine solche Möglichkeit nur „abstrakt“ besteht? Im vorliegenden Fall begründet das OLG grob in zwei Schritten, warum die Speicherung nicht mehr zur Verteidigung gegen Ansprüche erforderlich sei.

Erstens

Der Vorgang sei zwischenzeitlich in den anwaltlichen und den Gerichtsakten dokumentiert, da der Vorgang unter einer Mehrzahl an Aspekten Gegenstand des vorliegenden Rechtsstreits ist. Das OLG geht davon aus, dass die Position der Beklagten im laufenden Rechtsstreit nicht beeinträchtigt ist, wenn diese Informationen aus dem Datensatz der Klägerin gelöscht werden.

Das Gericht stellt also darauf ab, dass die ggfs. in Zukunft noch relevanten Daten bei anderen Stellen, Anwälte und Gerichte, vorhanden sind. Daher benötige die Verantwortliche sie nicht mehr.

Die Begründung lässt aus meiner Sicht außer Acht, dass die anderen Stellen eigene Verantwortliche nach der DSGVO sind und nicht festgestellt wird, unter welchen Voraussetzungen die Beklagte in Zukunft an diese Daten gelangen könnte. Wenn sie sie doch noch benötigt. Dürften etwa die Dritten diese Daten wieder zur Verfügung stellen? Unter welchen Voraussetzungen? Hierzu sagt das OLG nichts.

Zweitens

Da die Klägerin im vorliegenden Verfahren potentielle Ansprüche umfänglich verfolgt hat, liege die Befürchtung einer weiteren Klage wegen des zugrundeliegenden Vorfalls fern.

Dieser Ansicht mag man zustimmen, wenn die Klägerin wirklich alle potentiellen Ansprüche bereits geltend gemacht hat. So lag der Fall hier aber gerade nicht, was sogar das OLG zugesteht.

Zwar könnte sie noch auf Schmerzensgeld oder materiellen Schadensersatz klagen, da sie entsprechende Ansprüche bislang nicht anhängig gemacht hat. Hierbei handelt es sich indes aus mehreren Gründen um ein gänzlich unwahrscheinliches Szenario.“

Das OLG sieht also die Möglichkeit, dass die Verantwortliche noch auf Schadenersatz in Anspruch genommen werden kann. Dann nimmt das Gericht jedoch eine Einschätzung vor, wie wahrscheinlich dies erscheint.

Dagegen spricht, dass die Klägerin dies bislang gerade nicht getan hat.“

Als ich dieses Argument gelesen habe, musste ich schon kurz schmunzeln. Nur weil eine Person bisher eine Klage nicht eingereicht hat, bedeutet das meines Erachtens noch lange nicht, dass sie dies nicht doch in Zukunft unternimmt.

Hinzu kommt, dass eine derartige Klage nach der höchstrichterlichen und obergerichtlichen Rechtsprechung in einer Konstellation wie der vorliegenden keinerlei Aussicht auf Erfolg hätte, was auch der Grund dafür sein dürfte, dass die von einem unter anderem auf Fallgestaltungen wie den vorliegenden spezialisierten Rechtsanwalt vertretene Klägerin bislang keine Schadensersatzansprüche geltend gemacht hat.“

Viele, die in der Praxis mit Klagen auf Basis der DSGVO befasst sind, dürften mir zustimmen, dass diese Klagen sehr oft gerade nicht nur geltend gemacht werden, wenn gute Erfolgsaussichten bestehen, Dazu müsste man nur einen Blick in die Rechtsprechung des letzten Jahres zu Art. 82 DSGVO werfen. Das Argument des OLG ist im Grunde: man soll davon ausgehen, dass nur dann geklagte wird, wenn gute Erfolgsaussichten bestehen. Meine persönliche Erfahrung im Datenschutzrecht hierzu, sieht tatsächlich anders aus.

Zudem lässt das OLG eine rein „theoretische Gefahr“ einer Klage nicht ausreichen.

Eine derartige, theoretische Gefahr als ausreichend anzusehen und hierauf die Anwendung einer datenschutzrechtlichen Ausnahmeregelung zu stützen, wäre nach Auffassung des Senats mit den Wertungen der DSGVO nicht vereinbar“.

Folgt man dieser Ansicht, dürften Verantwortliche wohl nur Daten zur zukünftigen Verteidigung speichern, wenn man als Verantwortlicher schon einmal wegen genau dieses Streitgegenstands schon verklagt wurde oder zB der Betroffene die Klage ankündigt.

Wenn man aber bisher ohne Streitigkeiten mit Kunden oder Mitarbeitern gelebt hat, würde man hier benachteiligt und dürfte keine Daten speichern.

Fazit

Möchte man als Verantwortlicher Daten zur zukünftigen Verteidigung speichern, sollte man intern mindestens einige Argumente vorhalten, warum dies geschieht. Allein der Verweis auf eine mögliche Inanspruchnahme und die laufenden Verjährungsfristen würde, mit Ansicht des OLG, nicht ausreichen.

Verwaltungsgericht: Anforderungen an den Nachweis der Löschung von Daten nach Art. 5 Abs. 2 DSGVO – „wann genau, durch wen, in welcher Weise, in welchem Umfang“?

Posted on by

In seinem Urteil vom 17.12.2024 (Az. 4 K 2298/23; derzeit noch nicht frei verfügbar; BeckRS 2024, 36618) hatte sich das Verwaltungsgericht Bremen u.a. mit der Frage zu befassen, wie ein Unternehmen die Löschung personenbezogener Daten gegenüber einer Datenschutzbehörde nachweisen muss.

Sachverhalt

Die Klägerin ist ein Marketingunternehmen, das u.a. E- Mails mit Werbung an eine Vielzahl von Empfängern versendete. Die Datenschutzbehörde erfuhr durch eine Betroffene, dass diese das Unternehmen aufforderte, ihr keine unerwünschte E-Mail-Werbung mehr zuzusenden sowie ihre personenbezogenen Daten zu löschen. Sie habe der Zusendung von E-Mail-Werbung nicht zugestimmt. Daraufhin forderte die Datenschutzbehörde das Unternehmen mit Schreiben vom 19.09.2023 zur Stellungnahme und Beantwortung von Fragen zu dem Sachverhalt und ihren allgemeinen Verarbeitungstätigkeiten auf.

Am 12.12.2023 erließ die Datenschutzbehörde eine Anordnung gegen das Unternehmen, in der die Datenschutzbehörde u.a. Auskünfte dazu begehrte, welche natürlichen Personen das Unternehmen seit dem 1. Juni 2023 bis zum Zugang der Anordnung zu Werbezwecken per E-Mail kontaktiert hat und wie oft jeweils. Zudem sollte das Unternehmen die jeweiligen schriftlichen oder elektronischen datenschutzrechtlichen Einwilligungserklärungen in Kopie vorlegen.

Das Unternehmen klagte gegen diese Auskunftsanordnung u.a. mit der Begründung, dass die Daten der Betroffenen aufgrund von Art. 17 DSGVO gelöscht worden – due Auskunft also faktisch nicht mehr erfüllt werden können. Die Löschung der Daten sei zum Jahresende 2023 erfolgt, also nach Erlass des angegriffenen Bescheides. Die Löschung sei erfolgt, indem ihre einzige Geschäftsführerin die Datenbank mit den Daten auf dem PC und dem Laptop gelöscht habe. Die Daten hätten sich in einer Excel-Tabelle befunden. PC und Laptop seien Windows- und Office-Systeme, in denen Dateien durch Markierung und Löschbefehl gelöscht würden. Durch Weiternutzung von PC und Laptop seien die gelöschten Daten unwiederbringlich überschrieben worden und nicht mehr wiederherstellbar. Der genaue Tag der Löschung sei ihrer Geschäftsführerin nicht mehr in Erinnerung, weil es kein Löschprotokoll gebe.

Entscheidung

Das Verwaltungsgericht war nicht davon überzeugt, dass die in Rede stehenden Daten bis zum Zeitpunkt der mündlichen Verhandlung tatsächlich gelöscht wurden.

Zunächst stellt das Gericht fest:

Die insoweit darlegungs- und beweisbelastete Klägerin (…) substantiiert ihr Vorbringen zur vermeintlichen Löschung nicht ansatzweise und legt insbesondere weder Nachweise für die vermeintlich erfolgte Löschung der Daten vor noch macht sie Angaben zu deren Zeitpunkt.“

Das Gericht verweist diesbezüglich auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Hieraus ergibt sich nach Ansicht des Gerichts die Pflicht, bei einer Löschung von Daten den Nachweis führen zu können, 1) dass diese Daten gelöscht wurden und 2) wann dies erfolgte.

Checkliste zu den erforderlichen Nachweisen

Das Gericht verlangt zum Nachweis „konkrete, detaillierte Tatsachenangaben“. Der Verantwortliche muss darlegen

  • wann genau,
  • durch wen,
  • in welcher Weise,
  • in welchem Umfang und
  • aus welchem Speichermedium Daten gelöscht worden seien.

Die pauschale Angabe, dass die Daten gelöscht sind, reicht in jedem Fall nicht aus, um den Anforderungen nach Art. 17 Abs. 1 und Art. 5 Abs. 2 DSGVO zu genügen.

Interessant sind die spezifischen Angaben, die nachgewiesen werden sollen. Das Gericht gibt in der Begründung des Urteils fast schon eine kleine „Checkliste“ mit, die nach seiner Ansicht für eine nachweisebare Löschung von Daten abgearbeitet werden muss:

  • Wann exakt die Löschung erfolgte.
  • Welche Dateibezeichnung die Dateien hatten.
  • Welchen Umfang die Daten hatten.
  • Welchen exakt zu benennenden Speicherort und welche Software-Versionen (etwa mit Cloudspeichermöglichkeiten) zur Nutzung der Dateien im Einsatz waren bzw. sind.
  • Was mit Daten in einem evtl. vorhandenen Backup geschehen ist.

Diese Angaben verlangt das Gericht, um eine Nachprüfung zu ermöglichen – sie fehlten aber hier.

In der Praxis spielt das Thema „Löschung“ eine wichtige Rolle, da man als Verantwortlicher gewissermaßen zwischen zwei Stühlen steht. Einerseits soll man personenbezogene Daten löschen. Andererseits soll man den Nachweis dafür erbringen. Bedeutet dies am Ende, dass man zum Nachweis einer Löschung doch wieder personenbezogene Daten speichern muss? Etwa: „Daten von Carlo Piltz am 1.1.2025 gelöscht“.

Meines Erachtens verlangt das Verwaltungsgericht nicht zwingend, dass der Nachweis auch personenbezogen erfolgen muss – zumindest nicht für alle oben genannten Merkmale. Der Vorteil in der Praxis wäre, dass man den Nachweis der Löschung auch prozessual darlegen kann. Also etwa über die Darstellung der Löschroutinen und des generellen Vorgehens, wie aus IT-Systemen gelöscht wird, wenn Betroffene z.B. eine Löschung verlangen. Knifflig dürfte aber eine nichtpersonenbezogene Erfüllung der Vorgaben zum exakten Zeitpunkt und der Dateibezeichnung sein.

Löschung aus der EXCEL-Tabelle?

Und was ist mit dem Hinweis des Unternehmens, dass die Daten aus einer EXCEL-Tabelle gelöscht wurden?

Das Gericht lässt sich auch hiervon nicht überzeugen.

Zunächst stellt das Gericht in Bezug auf die erforderliche Dokumentation von Einwilligungserklärungen fest, dass eine Excel-Tabelle dafür eher ungeeignet scheint.

„In der erwähnten Excel-Tabelle selbst können bei sachgerechter Handhabung die vermeintlich abgegebenen Einwilligungserklärungen bzw. eindeutig bestätigenden Handlungen (vgl. ErwGr 32 DSGVO) der gelisteten E-Mail-Adressinhaber seitens der Klägerin kaum dokumentiert worden sein“.

Das Gericht geht davon aus, dass die Dokumentation der Einwilligungserklärungen vielmehr jeweils in einer geeigneten Form an separater Datei-Stelle erfolgen müsse.

Zudem geht das Gericht davon aus, dass die Schilderung „durch Markierung und Löschbefehl“ gerade nicht für eine sofortige, vollumfängliche, endgültige und irreversible Löschung spricht.

Und zuletzt verweist das Gericht auch darauf, dass allein die Löschung aus einer EXCEL-Tabelle nicht ausreichen dürfte, da wohl eine (externe) Datensicherung und darin enthaltene Kopien der Daten vorhanden sein dürfte.

Fazit

Was nehmen wir mit? Als Verantwortlicher muss man die Löschung nachweisen können. Ob dies immer personenbezogen erfolgen muss, halt ich für diskutabel. Hier kann ein gut durchdachtes Löschkonzept als Nachweis helfen. Wenn man für den Nachweis der Löschung noch personenbezogene Daten speichern möchte (um auf Nummer sicher zu gehen), gibt das Urteil des Gerichts aber auch hierfür gute Argumentationshilfen. Inklusive der Rechtsgrundlage, Art. 6 Abs. 1 c) iVm Art. 5 Abs. 2, Art. 17 Abs. 1 DSGVO.