Category Archives: Rechtsprechung

Nach dem BGH-Urteil zum DSGVO-Schadenersatz – Pauschal 100 EUR bei (angeblichem) Kontrollverlust?

Posted on by

Nach dem Urteil des BGH vom 18.11.2024 (Az. VI ZR 10/24) warten wir gespannt darauf, wie die Auslegung des BGH von Instanzgerichten aufgenommen wird. Denn diese müssen nun die Vorgaben durch den BGH bei ihren Entscheidungen berücksichtigen.

Der BGH hatte einerseits (jeweils unter Verweis auf EuGH-Rechtsprechung) begründet, dass der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (Rz. 30).

Anderseits geht der BGH aber auch davon aus, dass die betroffene Person den Nachweis erbringen muss, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (Rz. 31).

Ist, nach den Feststellungen des Gerichts, allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, gibt der BGH den Tatrichtern gewisse Anhaltspunkte, die bei der Schätzung des Schadens zu berücksichtigen sind (Rz. 99).

Deutlich wird: der BGH erkennt an, dass ein Kontrollverlust ein Schaden sein kann – gleichzeitig verweist der BGH aber mehrmals darauf, dass dieser Kontrollverlust durch den Betroffenen auch nachgewiesen sein muss.

LG Münster

In einem Urteil des LG Münster vom 25.11.2024 (Az. 014 O 78/24) ging es um mögliche Schadenersatzansprüche wegen (unzulässiger) Weitergabe von Positivdaten an eine Auskunftei.

Das LG geht im konkreten Fall davon aus, dass kein Verstoß gegen die DSGVO vorliegt. Eigentlich wäre also eine Prüfung von Art. 82 DSGVO entbehrlich gewesen. Dennoch nutzt das LG die Gelegenheit und setzt sich mit der BGH-Entscheidung auseinander.

Das LG geht zunächst davon aus, dass „nicht schon allein ein Verstoß gegen die Datenschutzgrundverordnung für die Klägerin einen immateriellen Schaden darstellt“ (hier verweist das LG etwa auf EuGH C-300/21 und C-667/21).

Danach verweist das LG auf die obige Ansicht des BGH, „dass schon allein der Kontrollverlust über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz grundsätzlich ausreichen könne (Urt. v. 18.11.2024, VI ZR 10/24)“.

Jedoch scheint des LG die Entscheidung des BGH sehr konkret nur auf solche Fälle anwenden zu wollen, in denen ein Kontrollverlust durch Betroffene tatsächlich festgestellt ist.

Vorliegend konnte indes noch nicht einmal ein solcher Kontrollverlust festgestellt werden. Anders als in den sog. Scraping Fällen, in denen unbekannte Dritte personenbezogene Daten unrechtmäßig erlangten und deren Verbleib teils ungeklärt ist, sind in hiesigem Fall die konkret betroffenen Daten sowie deren Verbleib weitgehend geklärt„.

Zumindest aus der Ansicht des LG kann man mitnehmen:

  • Die Ansichten des BGH gelten nur in Fällen, in denen es auch um einen Kontrollverlust geht.
  • Dieser Kontrollverlust muss auch nachgewiesen bzw. festgestellt sein.

Das LG versteht den BGH offenbar auch nicht im Sinne einer zwingenden Annahme eines Schadens bei jeglichem Kontrollverlust (quasi „Jeder Kontrollverlust ist immer ein Schaden“). Denn das LG verweist darauf, dass der BGH davon ausgehe, dass ein Kontrollverlust für einen Schaden „grundsätzlich ausreichen könne“ – aber eben nicht „immer einen Schaden darstellt“, „stets ausreicht“ oä.

OLG Hamm

Jüngst hat sich nun auch ein Oberlandesgericht mit dem BGH-Urteil in zwei Entscheidungen befasst – konkret das OLG Hamm (Urteil vom 29.11.2024, Az. 25 U 25/24 und Urteil vom 26.11.2024, Az. 25 U 12/24). In beiden Verfahren ging es auch um sog. Scraping-Fälle. Und das OLG lehnt Schadenersatzansprüche in beiden Fällen als unbegründet ab.

Wie auch der BGH stellt das OLG zunächst noch einmal klar, dass nach der Rechtsprechung des EuGH der bloße Verstoß gegen die Bestimmungen der DSGVO gerade nicht ausreicht, um einen Schadenersatzanspruch der betroffenen Person zu begründen.

Vielmehr sind darüber hinaus der Eintritt eines Schadens und auch das Vorliegen eines Kausalzusammenhangs zwischen dem Schaden und dem Datenschutzverstoß erforderlich“.

Und dieser Eintritt des Schadens, also sein tatsächliches Vorliegen, muss der Betroffene nachweisen.

Die Darlegungs- und Beweislast liegt insofern bei der betroffenen Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines Schadens verlangt“.

In den beiden Verfahren lehnt das OLG einen Schadenersatzanspruch wegen eines Kontrollverlustes ab.

Zwar geht das OLG davon aus, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten nach der Rechtsprechung des EuGH einen immateriellen Schaden darstellen kann, ohne dass es zusätzlicher spürbarer negativer Folgen bedarf.

Danach stützt das OLG seine Begründung zur Ablehnung des Anspruchs ganz konkret auf das BGH-Urteil vom 18.11.2025.

  • Das entbindet die betroffene Person jedoch nicht davon, den Nachweis zu erbringen, dass sie einen solchen, in einem bloßen Kontrollverlust zu sehenden Schaden erlitten hat“.
  • Erst wenn dieser Nachweis erbracht ist, der Kontrollverlust also feststeht, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person“.

Zusätzlich gibt das OLG weitere praxisrelevante Hinweise zu der Frage, wann von einem solchen Kontrollverlust ausgegangen werden kann.

Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat“.

Da die betroffene Person die Darlegungslast für durch den Verstoß gegen die DSGVO erlittene negative Folgen trifft, muss sie darlegen,

dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte“.

Gerade dieser Aspekt dürfte in der Praxis durchaus ein Ansatzpunkt für die Verteidigung gegen Schadenersatzklagen bieten.

Und im konkreten Fall waren diese Voraussetzungen nicht erfüllt: „Diese Voraussetzungen lassen sich auf der Grundlage der persönlichen Angaben des Klägers nicht erkennen und sind auch nicht nachgewiesen“.

Es werden sicher noch weitere Urteile der Instanzgerichte zu diesem Thema folgen. Aus den Entscheidungen des OLG kann man ableiten:

  • Bloße Verstöße gegen die DSGVO genügen (weiterhin) nicht, um einen Schadenersatz zu begründen.
  • Geht es um einen Kontrollverlust, der einen Schaden darstellen kann, muss dieser Kontrollverlust durch Betroffene nachgewiesen sein.
  • Hierzu muss dargelegt werden, dass 1) die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie 2) diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat.

Arbeitsgericht: kein DSGVO-Schadenersatzanspruch gegenüber Betriebsratsmitglied, wenn dieses in Wahrnehmung des Betriebsratsamtes handelt   

Posted on by

Das Arbeitsgericht (ArbG) Bonn hat sich in seinem Urteil vom 20.11.2024 (5 Ca 663/24) u.a. mit der Frage befasst, ob ein (ehemaliger) Mitarbeiter von einem Betriebsratsmitglied Schadenersatz nach Art. 82 DSGVO verlangen kann, wenn das Mitglied personenbezogene Daten entgegen der DSGVO verarbeitet.

Sachverhalt

Beide Parteien des Verfahrens waren Arbeitnehmer des Unternehmens. Der Kläger war Verkaufsleiter. Der Beklagte war u. a. Betriebsratsvorsitzender. Der Kläger unterhielt eine von ihm als „On/Off-Beziehung“ bezeichnete Verbindung zu einer Mitarbeiterin, deren Vorgesetzter er war. Im Rahmen der Beziehung kam es zu Auseinandersetzungen. Der Kläger und die Mitarbeiterin tauschten diverse WhatsApp-Nachrichten aus. Die Mitarbeiterin übermittelte dem Beklagten Auszüge aus dem Chatverkehr, die der Beklagte an die Personalabteilung weitergab.

Der Kläger behauptet, dass der Beklagte den intime, dem höchstpersönlichen Lebensbereich zugehörige Inhalte beinhaltenden WhatsApp-Chatverlauf und eine Strafanzeige ohne Rücksprache mit dem Kläger umgehend nach Erhalt und ohne Befassung des Betriebsrats, des Personalausschusses, des Betriebsausschusses oder von Betriebsratsmitgliedern an die Personalabteilung weitergeleitet habe. Das habe letztlich zu seiner Freistellung und dem Abschluss eines Aufhebungsvertrags geführt.

Der Beklagte habe nicht in seiner Eigenschaft als Betriebsratsmitglied gehandelt, weshalb er sich auf § 79a BetrVG nicht berufen könne. Es habe kein datenschutzrechtlicher Erlaubnistatbestand gemäß Art. 6 DSGVO für die Weitergabe bestanden. Die Datenweitergabe sei nicht erforderlich gewesen.

Entscheidung

Das ArbG wies die Klage auf Schadenersatz nach Art. 82 DSGVO als unbegründet ab und begründet dies mit zwei Argumenten: 1) da die Datenweitergabe datenschutzrechtlich zulässig erfolgte, also schon kein Verstoß gegen die DGSVO vorlag; 2) der Betriebsratsvorsitzende nicht „Verantwortlicher“ im Sinne der DSGVO ist – Anspruchsgegner wäre der Arbeitgeber.

Nach Ansicht des Gerichts habe der Kläger nicht dargelegt, dass der Beklagte durch die Weitergabe von privater Korrespondenz zwischen ihm und der Mitarbeiterin an die Personalabteilung rechtswidrig sein allgemeines Persönlichkeitsrecht verletzt hätte und sich daraus ein Schadensersatzanspruch ergeben hätte.

Der Beklagte handelte rechtlich zulässig im Anwendungsbereich von § 84 Abs. 1 Satz 2 BetrVG zur Unterstützung der Mitarbeiterin.

Die Datenweitergabe durch den Betriebsratsvorsitzenden stufte das Gericht als eine rechtlich zulässige Verarbeitung ein.

Rechtsgrundlage ist nach Ansicht des ArbG hier u.a. Art. 6 Abs. 1 b) DSGVO bzw. § 26 Abs. 1 Satz 1 BDSG,

um dem Arbeitgeber eine möglichst aussagekräftige Basis zur Prüfung der Beschwerde gemäß § 13 Abs. 1 AGG, § 84 Abs. 1 BetrVG zu verschaffen“.

In den Anwendungsbereich von Art. 6 Abs. 1 b) DSGVO falle auch die Datenweitergabe zur Abwicklung und Beendigung eines Vertrags, hier in Form des Arbeitsvertrags des Klägers und der Mitarbeiterin zur Prüfung etwaiger Abhilfemaßnahmen insbesondere nach dem AGG durch den Arbeitgeber.

Zudem geht das Gericht davon aus, dass der Beklagte bei der Weiterleitung an die Personalabteilung in seiner Funktion als Betriebsratsmitglied gemäß § 84 Abs. 1 Satz 2 BetrVG gehandelt habe,

womit er gemäß § 79a Satz 2 BetrVG ohnehin nicht persönlich gegenüber dem Kläger für die Einhaltung des Datenschutzrechts gehaftet hätte“.

Nach § 79a Satz 2 BetrVG ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Das ArbG geht davon aus, dass diese Vorschrift auch einzelne Betriebsratsmitglieder datenschutzrechtlich privilegiere, soweit sie in Wahrnehmung des Betriebsratsamtes handeln.

Der Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO richtete sich, wenn er dem Grunde nach überhaupt bestanden hätte,

gegen den Verantwortlichen oder den Auftragsverarbeiter, nach der gesetzlichen Zuweisung des § 79a BetrVG also gegen den Arbeitgeber“.

Fazit

Schadenersatzansprüche können nach Art. 82 DSGVO nur gegen den Verantwortlichen oder Auftragsverarbeiter geltend gemacht werden. Einzelner Mitarbeiter oder wie hier, Betriebsratsmitglieder, sind datenschutzrechtlich aber nicht „Verantwortliche“ – zumindest solange sie Daten im Rahmen der ihnen übertragenen Aufgaben und Tätigkeiten verarbeiten.

Gleichzeitig kann man aus der Entscheidung ableiten: setzen sich Mitarbeiter oder Betriebsratsmitglieder über ihren Aufgabenbereich hinweg und agieren eigenständig, indem sie etwa selbst Zwecke der Verarbeitung bestimmen, können sie zu datenschutzrechtlich Verantwortlichen werden – und damit auch Anspruchsgegner von Schadenersatzansprüchen.

Kann der Auskunftsanspruch nach Art. 15 DSGVO verjähren? Amtsgericht sagt „nein“ – Ausschluss der Geltendmachung aber möglich

Posted on by

Das Amtsgericht Chemnitz entscheid in seinem Urteil vom 22.11.2024 (16 C 1063/24; aktuell abrufbar bei BeckOnline, GRUR-RS 2024, 33206), dass der Auskunftsanspruch nach Art. 15 DSGVO nicht verjähren kann.

Zum einen sehe das Europarecht eine Verjährung des Auskunftsanspruchs nicht vor.

Zum anderen könne der Anspruch aber auch seiner Natur nach nicht verjähren, da er keine Entstehungsvoraussetzungen kennt, sondern jederzeit voraussetzungslos geltend gemacht werden kann.

Dies gelte selbst in Fällen, in denen gar keine personenbezogenen Daten verarbeitet werden, denn in diesen besteht immerhin ein Anspruch auf Negativauskunft.

Verzicht bzw. Ausschluss aber möglich

Sowohl nach Ansichten von Gerichten als auch Aufsichtsbehörden ist jedoch ein Verzicht auf die Ausübung des Rechts bzw. eine entsprechende Vereinbarung möglich.

Das Landesarbeitsgericht (LAG) Hamburg hat etwa mit Urteil vom 11.06.2024 (Az. 3 SLA 2/24) hierzu eine praxisrelevante Entscheidung zum vertraglichen Ausschluss von Betroffenenrechten nach der DSGVO getroffen.

Sachverhalt
Grundlage für die Entscheidung war die Klage einer Arbeitnehmerin u.a. gegen folgende Regelung im Arbeitsvertrag:

„§13 Ausschlussfristen
Abs. 1: Alle beiderseitigen Ansprüche aus dem Arbeitsverhältnis und solche, die mit dem Arbeitsverhältnis in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit gegenüber der anderen Vertragspartei schriftlich oder in Textform (§ 126 BGB) geltend gemacht werden.“

Abs. 3: Diese Ausschlussklausel gilt nicht für Ansprüche, die auf eine Haftung wegen vorsätzlichen Handelns beruhen. Des Weiteren gilt diese Ausschlussklausel nicht für Ansprüche auf Vergütung der Arbeitsleistung In Höhe des jeweiligen gesetzlichen Mindestlohns.“

Nach Ansicht der Arbeitnehmerin halte § 13 des Arbeitsvertrages der AGB-Kontrolle nicht stand. Zwar enthalte § 13 Abs. 3 ArbV eine Rückausnahme gewisser Ansprüche, auf die nicht verzichtet werden könne. Die Rückausnahme sei aber nicht ausreichend. Umfasst seien auch Auskunftsansprüche nach der DSGVO (z.B. Art. 12 DSGVO, Art. 15 DSGVO) und Schadensersatzansprüche (z.B. nach Art. 82 DSGVO). Es sei der Arbeitgeberin aber verwehrt, bereits im Vorwege eines Datenschutzverstoßes die Durchsetzung von Rechten aus der DSGVO zu erschweren.

Entscheidung des LAG
Nach Ansichtd es LAG ist die Geltendmachung von DSGVO-Ansprüchen grundsätzlich dispositiv.

  • Die Regelung in § 13 ArbV unterliegt der Inhaltskontrolle nach §§ 307 ff. BGB. Sie mag auch gegen § 309 Nr. 7 a) und b) BGB verstoßen.
  • Die Verstöße seien unter Berücksichtigung der im Arbeitsrecht geltenden Besonderheiten nach § 310 Abs. 4 Satz 2 BGB allerdings nicht so gewichtig, dass sie zur Unwirksamkeit der Verfallklausel führen.
  • Dass Ansprüche nach der DSGVO nicht ausdrücklich vom Verfall ausgenommen sind, führt nicht zur Unwirksamkeit der vertraglichen Ausschlussfristenregelung.
  • Die DSGVO und deren Erwägungsgründe treffen keine Aussage über die Disposivität der in der DSGVO niedergelegten Betroffenenrechte.
  • Nach dem Grundsatz der Verfahrensautonomie kommt den Mitgliedsstaaten und deren innerstaatlicher Rechtsordnung insoweit das Ausgestaltungsrecht zu. Die getroffenen Regelungen dürfen nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte innerstaatlicher Art regeln (Äquivalenzgrundsatz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Zudem waren hier auch der Äquivalenz- und Effektivitätsgrundsatz gewahrt.

  • Äquivalenzgrundsatz: Da vertragliche Ausschlussfristen nicht den Inhalt eines Anspruchs betreffen, sondern nur den Fortbestand eines bereits entstandenen Rechts regeln, wird die Entstehung des Anspruchs nicht von zusätzlichen Voraussetzungen abhängig gemacht und der Grundsatz der Äquivalenz gewahrt.
  • Effektivitätsgrundsatz: Die Festsetzung von angemessenen Ausschlussfristen ist als ein Anwendungsfall des Prinzips der Rechtssicherheit grundsätzlich mit dem Erfordernis der Effektivität vereinbar (st. Rspr. des EuGH). Derartige Fristen sind nicht geeignet, die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte praktisch unmöglich zu machen oder übermäßig zu erschweren, wenn (!) der Fristlauf nicht vor dem Zeitpunkt beginnt, zu dem der Arbeitnehmer von den anspruchsbegründenden Tatsachen Kenntnis erlangt.
  • Hier knüpft die vertragliche Regelung den Fristbeginn an die Fälligkeit des Anspruchs.
  • Fälligkeit tritt aber nicht ohne weiteres schon mit der Entstehung des Anspruchs ein.
  • Es muss dem Gläubiger tatsächlich möglich sein, seinen Anspruch geltend zu machen. Ein Anspruch ist deshalb regelmäßig erst dann im Sinne der Ausschlussfrist fällig, wenn er für den Arbeitnehmer aufgrund der Gesamtumstände erkennbar und durchsetzbar ist.
  • Die Ausschlussfrist beginnt daher nicht zu laufen, ohne dass der Klägerin die anspruchsbegründenden Tatsachen überhaupt bekannt sind.

OLG Dresden: Haftung des Verantwortlichen für seinen Auftragsverarbeiter, wenn dieser Daten nicht löscht – Konkrete Anforderungen an Umfang und Tiefe der Kontrollpflichten

Posted on by

Das OLG Dresden (Urt. v. 15.10.2024 – 4 U 940/24, abrufbar über die Suchfunktion des OLG) hat sich in einem Schadenersatzverfahren nach Art. 82 DSGVO mit der Frage befasst, inwiefern ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Das Gericht legt einen strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1 DSGVO an und sprach, dem Grunde nach, einen Schadenersatzanspruch zu.

Sachverhalt

Das beklagte Unternehmen betreibt einen Online-Musikstreamingdienst und bediente sich in der Vergangenheit eines Auftragsverarbeiters nach Art. 28 DSGVO Sitz in Israel. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte der Auftragsverarbeiter per E-Mail mit, die Daten würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, bestätigte der Auftragsverarbeiter aber erst mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten. Hiervon umfasst waren auch Daten des klagenden Betroffenen.

Entscheidung

Das OLG Dresden geht davon aus, dass der Verantwortliche dem klagenden Betroffenen dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet ist.

Konkret nimmt das Gericht einen Verstoß gegen die „Pflicht zur sorgfältigen Überwachung des … beauftragten externen Auftragsdatenverarbeiters“ nach Art. 28, 32 DSGVO an. Diese Begründung ist für die Praxis sehr relevant, da die Überwachungspflicht zwar durchaus bekannt ist. Jedoch gibt es zu deren konkreten Inhalt praktisch kaum Entscheidungen und Vorgaben von Gerichten.

Haftung des Auftraggebers für den Auftragsverarbeiter

Zunächst äußert sich das OLG zum Haftungsumfang des Verantwortlichen. Dieses haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Bedeutet nach Ansicht des Gerichts: missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür.

Zwar bestehe in diesem Fall auch eine eigene Haftung des Auftragsdatenverarbeiters. Der Verantwortliche könne den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO entgegenstünde.

Nicht nur ordentliche Auswahl, sondern auch Überwachungspflicht

Danach geht das Gericht auf die konkrete Pflicht des Verantwortlichen, die es hier als verletzt ansieht. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen im Einklang mit der DSGVO durchgeführt werden.

Das Gericht erstreckt diese ausdrückliche Pflicht zur ordentlichen Auswahl jedoch weiter, in das Auftragsverhältnis.

Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen“.

Diese Pflicht zur Überwachung des Auftragsverarbeiters sei in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Zudem setze die Pflicht nach Art. 28 Abs. 3 lit h) DSGVO eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Danach muss der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen ermöglichen. Nach Art. 28 Abs. 3 lit. g) DSGVO hat der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen, alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben. Dies ergebe sich auch als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Die Pflichten des Auftragsverarbeiters korrespondieren mit Pflichten des Verantwortlichen.

Konkrete Umsetzung der Überwachungspflicht

Besonders praxisrelevant ist die Begründung des OLG, wie die vorgenannte Überwachungspflicht durch den Verantwortlichen konkret umgesetzt werden kann – welche Maßnahmen also (zumindest aus Sicht des Gerichts) erforderlich und auch ausreichend sind.

Zunächst gibt das OLG zu bedenken, dass „die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden“ dürfen.

Das Gericht vertritt einen risikobasierten Ansatz hinsichtlich des Umfangs und der Tiefe der Überwachung des Auftragsverarbeiters.

  • Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen. Eine „vollkommen praxisfremde“ Vor-Ort-Kontrolle sei dann grundsätzlich nicht erforderlich.
  • Gesteigerte Anforderungen ergeben sich nach Ansicht des OLG, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen.
  • Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9 DSGVO.

Vorliegend betraf die Verarbeitung nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte zu einer Überwachung ihres Auftragsverarbeiters dahingehend angehalten, dass

dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt“.

Diese Anforderung leitet das OLG direkt aus der Überwachungspflicht nach Art. 28 Abs. 1 DSGVO ab.

Der Verantwortliche ist hierbei verpflichtet,

die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen“.

Anforderungen an die Löschbestätigung

Vorliegend wurde eine solche Bestätigung der Löschung jedoch nicht vom Verantwortlichen verlangt.

Den Pflichtenverstoß erkennt das OLG hier vor allem darin, dass die (eigentlich auch vertraglich geregelte Bestätigung der Löschung) nicht eingeholt wurde. Der Verantwortliche habe hier gegen seine Kontrollpflichten aus Art. 28 DSGVO verstoßen, da er nicht nach Ablauf der vertraglich geregelten Frist von dem Auftragsverarbeiter

die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt“.

Bedeutet: das Gericht verlangt

  1. eine Bestätigung der Löschung durch den Auftragsverarbeiter, die der Verantwortliche zur Not anfordern muss. Die reine Ankündigung des Auftragsverarbeiters, dass Daten gelöscht werden, genügte im konkreten Fall nicht.
  2. dass die Bestätigung Details dazu enthält, in welchem Umfang Daten gelöscht wurden.

Nach Ansicht des OLG wiegt hier vor allem der erste Punkt schwer. Die E-Mail des Auftragsverarbeiters enthielt lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung.

Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können“.

Der Verantwortliche hätte sich mit der formal und inhaltlich nicht hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen.

Grundsätzlich bestünde für den Verantwortlichen die Möglichkeit, die Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO in Anspruch zu nehmen. Dies jedoch nur, wenn ihm selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies war hier vorliegend angesichts des eigenen Pflichtenverstoßes aber nicht der Fall.

Im Ergebnis lehnte das OLG hier aber einen Schadenersatzanspruch nach Art. 82 DSGVO ab, da der Kläger keinen tatsächlich erlittenen Schaden nachweisen konnte.

Fazit

Das OLG befasst sich recht ausführlich mit den Anforderungen an die Überwachungspflicht des Verantwortlichen für Auftragsverarbeiter. Sicherlich muss man nicht alle Ansichten des Gerichts teilen. Relevant ist aus meiner Sicht aber insbesondere die Auffassung, dass die Kontroll- bzw. Überwachungspflicht durchaus risikobasiert ausgestaltet sein darf. Gleichzeitig sollten Verantwortliche darauf achten, dass „bloße Ankündigungen“ durch Auftragsverarbeiter im Zweifel gerade nicht die tatsachliche Erfüllung bzw. Umsetzung von Pflichten, wie etwa der Löschung von Daten, belegen.

Landgericht Lübeck: fehlender Vertrag zur (Unter-)Auftragsverarbeitung führt zur Rechtswidrigkeit der Übermittlung?

Posted on by

Das Landgericht Lübeck (Urteil vom 04.10.2024 – 15 O 216/23) hatte sich in einem Verfahren zum Schadenersatz nach Art. 82 DSGVO, in dem im Ergebnis 350 EUR zugesprochen wurden, u.a. auch mit der Frage befasst, wie sich das Fehlen eines Vertrages nach Art. 28 DSGVO zwischen dem Verantwortlichen und Auftragsverarbeiter oder Auftragsverarbeiter und Unterauftragsverarbeiter auswirkt. Ob insbesondere das Fehlen des Vertrages zu einer Rechtswidrigkeit der Datenübermittlung führt.

Ansicht des Gerichts

Zunächst stellt das Gericht seine Ansicht zu Art. 28 DSGVO dar. Die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Danach setze die Verarbeitung von Daten durch Auftragsverarbeiter voraus, dass ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht.

Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, Art. 28 Abs. 4 DSGVO.“

Im konkreten Fall fehlte jedoch ein solcher Vertrag. Daraus folgert das Gericht: 

Fehlt es an diesen Voraussetzungen, so stellt sich (…) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar“.

Das Gericht sieht das (formelle) Erfordernis eines Vertrages nach Art. 28 Abs. 3 zw. Abs. 4 DSGVO also offensichtlich als Rechtmäßigkeitsvoraussetzung an. 

Zudem stellt das Gericht klar, dass als Folge eine wirksame Übertragung von Datenschutzverpflichtungen entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vorlag.

Andere Ansicht: EuGH?

Die Schlussfolgerung des Gerichts, dass ein Verstoß gegen Art. 28 Abs. 3 DSGVO auch zu einer rechtswidrigen Verarbeitung führe, halte ich jedoch für durchaus diskutabel. 

Denn zum ersten ergeben sich die Anforderungen für die Rechtmäßigkeit einer Verarbeitung (wie hier, eine Übermittlung) allein aus den Vorgaben der Art. 5 und 6 DSGVO. Dies hat der EuGH bereits entschieden. Jede Verarbeitung muss mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (C‑60/22, Rz. 57). Der Verantwortliche muss nach Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a DSGVO sicherstellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist. „Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt“ (C‑60/22, Rz. 55).

Und zweitens hat der EuGH bereits für Art. 26 DSGVO entschieden, dass „die Einhaltung der in Art. 26 der DS-GVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung …, nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählen“ (C-60/22, Rz. 59). Man wird sicher darüber nachdenken können, diese Begründung auch auf den Vertrag nach Art. 28 DSGVO zu übertragen. Andererseits mag man anführen, dass im Rahmen des Art. 28 DSGVO die Vereinbarung gerade die „Erlaubnis“ des Auftragsverarbeiters darstellt. Dem jedoch könnte man entgegenhalten, dass das Gericht hier die Übermittlung als rechtswidrig ansieht – also die vorgelagerte Weitergabe der Daten an den Auftragsverarbeiter.

Automatische Verpflichtung der Töchter durch Vertragsschluss der Mutter?

Interessant sind zudem die Ansichten des Gerichts zu der von dem beklagten Unternehmen vorgebrachten Argument, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. 

Dies überzeugt das Gericht nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. 

Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.

Vorliegend schien also der Hauptvertrag der Mutter keine Regelung zu einer Verpflichtung der anderen Gesellschaften zu enthalten. 

Landgericht Köln: die bloße verspätete Auskunft stellt keinen Schaden im Rahmen des Art. 82 DSGVO dar

Posted on by

In seinem Urteil vom 19.4.2024 (12 S 4/23) hatte sich das LG Köln mit einem sehr praxisrelevanten Problem zu befassen: haben Betroffenen einen Anspruch auf Schadenersatz nach Art. 82 DSGVO, wenn eine Auskunft nach Art. 15 DSGVO verspätet erfolgt? Also die Auskunft zwar inhaltlich erteilt wird, jedoch zB erst nach 1,5 Monaten.

Das LG lehnt in diesem Fall einen Schadenersatzanspruch ab, da allein die Verspätung und damit der Verstoß gegen Art. 15, 12 Abs. 3 DSGVO an sich noch keinen ersatzfähigen Schaden darstellt.

Das Gericht verweist für seine Ansicht auf die bisherige Rechtsprechung des EuGH zu Art. 82 DSGVO.

So habe der EuGH entschieden, dass Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, C-300/21). Zwar sei Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

Allerdings ist die betroffene Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden darstellen.

Der EuGH geht davon aus, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 21. Dezember 2023, C-667/21, Rn. 82). Dies ist der Anknüpfungspunkt des LG im vorliegenden Fall. Der Betroffene hatte keinen individuellen Schaden dargelegt. Wenn der Betroffene aber als Folge eines Verstoßes (hier: die Verspätung) einen Schaden annimmt und diese Folge (hier: die Verspätung) quasi stets bei dem betreffenden Verstoß eintritt, reicht dies nach Ansicht des LG nicht aus.

Das bloße längere Zuwarten auf die Erteilung der Auskunft bzw. die „verspätete Auskunft“ (…) kann einen solchen nach der o.g. Entscheidung des EuGH keinesfalls darstellen, da dies bei einem Verstoß gegen die DSGVO immanent ist und nicht über den bloßen Verstoß hinausgeht“.

Im Ergebnis geht das LG mithin davon aus, dass die „Standardfolge“ aus einem Verstoß gerade keinen Schaden darstellen kann, denn dies würde bedeuten, dass ein Verstoß für die Annahme eines Schadens ausreichend ist.

Wann sind DSGVO-Betroffenenanfragen „exzessiv“? Generalanwalt entwickelt praktische Checkliste

Posted on by

Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.

Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.

Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.

Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.

Der GA lehnt eine solche Sichtweise ab.

die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag

könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.

Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.

Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin

zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.

Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,

nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.

Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.

Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:

Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“

Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.

Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.

Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.

In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.

Prüfung im Einzelfall – welche Kriterien sind relevant?

Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.

Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,

dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.

Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn

sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.

Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.

Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,

wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.

Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge

  • denselben Verantwortlichen betreffen,
  • denselben Inhalt haben,
  • sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
  • in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
  • damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.

Ausforschung des Prozessgegners per Auskunftsanspruch nach Art. 15 DSGVO? Bundesverwaltungsgericht Österreich sagt „nein“. 

Posted on by

In einer Entscheidung vom 8.7.24 (Geschäftszahl W137 2278780-1) hat sich das österreichische Bundesverwaltungsgericht (BVwG) u.a. mit der Frage befasst, ob und wie weit der Auskunftsanspruch nach Art. 15 DSGVO reicht, wenn dieser gegenüber einer Partei geltend gemacht wird, mit der der Betroffene aktuell in rechtlichen (gerichtlichen) Auseinandersetzungen steht. Insbesondere ging es um die Anwendung der Ausnahmevorschrift nach Art. 15 Abs. 4 DSGVO in diesem Fall.

Sachverhalt

Die betroffene Person beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), da sie ihr Recht auf Auskunft nach Art. 15 DSGVO verletzt sah. Sie verlangte Auskunft von einer Bildungsbehörde. Diese erteilte auch Auskunft, jedoch nicht von vollem Umfang. Zum Teil wurde die Auskunft verweigert, weil gegen die betroffene Person zwei arbeits- und sozialgerichtliche Verfahren anhängig waren, wobei etwaige E-Mailverläufe sowie Stellungnahmen Teil dieser Verfahren seien und daher nicht herausgegeben wurden.

Die DSB wies die Beschwerde u.a. mit dem Argument zurück, dass die Verweigerung der Zurverfügungstellung einer Datenkopie dann gerechtfertigt sei, wenn die Geheimhaltungsinteressen des Verantwortlichen bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen würden. Da derzeit ein Zivilverfahren anhängig war, sei dem Verantwortlichen ein diesbezügliches Interesse an der Geheimhaltung von Beweismitteln zuzubilligen, zumal dadurch eine Verschlechterung der Prozessposition zu befürchten wäre.

Entscheidung des BVwG

Das BVwG folgt der Begründung der DSB und sieht keinen Verstoß gegen Art. 15 DSGVO. Die Ansicht des BVwG ist vor allem deshalb praxisrelevant, da Art. 15 DSGVO oft (ziemlich klar) dafür verwendet wird, um an Dokumente und Informationen bei dem Verantwortlichen zu gelangen, die im Rahmen eines Rechtsstreits verwendet werden sollen. 

Nun mag man entgegenhalten: aber der EuGH hat doch entschieden, dass der Auskunftsanspruch auch für „datenschutzfremde“ Zweck ausgeübt werden kann (z.B. EuGH, C-307/22 Rz. 43). Ja, das stimmt. Der EuGH hatte aber noch nicht die (im hier vorliegenden Fall relevante) Frage zu entscheiden, inwiefern sich der Verantwortliche oder auch Dritte in einer solchen Situation auf die Ausnahme nach Art. 15 Abs. 4 DSGVO berufen dürfen, wenn es um die Geheimhaltung von Dokumenten u.a. für die eigene Verfahrens-/Prozessposition geht.  

Das BVwG weist darauf hin, dass nach ErwG 63 DSGVO die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen soll. 

Es ist aber davon auszugehen, dass grundsätzlich alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden“.

Daher geht das Gericht davon aus, dass Unterlagen nicht vom Auskunftsrecht umfasst sind (man müsste wohl eher sagen: zwar umfasst, aber im Wege der Ausnahme ausgenommen sind), wenn der Verantwortliche eine E-Mail beauskunften muss, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind als jene des Betroffenen. 

Nach der auf Grundlage der Öffnungsklausel des Art. 23 DSGVO erlassenen Bestimmung des § 4 Abs. 6 DSG in Österreich besteht das Auskunftsrecht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen „in der Regel“ dann nicht, wenn durch die Erteilung der Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet würde. 

Aus dem Einschub „in der Regel“ schließt das BVwG, dass hier kein absolutes Ablehnungsrecht geschaffen wurde, sondern sorgfältig abzuwägen sein wird, inwieweit die Auskunftserteilung dieses Recht tatsächlich beeinträchtigt.

Vorliegend stützte der Verantwortliche die Verweigerung der Auskunft im Wesentlichen auf überwiegende Geheimhaltungsinteressen, welche das Auskunftsinteresse des Beschwerdeführers überwiegen würden. Der Verantwortliche brachte vor, dass gegen den Beschwerdeführer zwei arbeits- und sozialgerichtliche Verfahren anhängig seien, 

wobei etwaige E-Mailverläufe und Stellungnahmen Teile dieser Verfahren seien (unstrittig ist, dass zumindest ein Verfahren noch anhängig ist). Da gerade dies eine strittige Frage in anhängigen Zivilverfahren darstelle, würde die Beauskunftung eine Verschlechterung der Prozessposition der mitbeteiligten Partei bedeuten.“ 

Damit führt der Verantwortliche nach Ansicht des BVwG ein berechtigtes Geheimhaltungsinteresse ins Treffen, wobei den Ausführungen des Betroffenen nicht entnommen werden konnte, inwiefern sein Interesse an der Beauskunftung den Geheimhaltungsinteressen überwiegt. 

Daher kommt das BVwG hier zu dem Schluss, 

dass die Beschaffung von prozessstärkender Information des Beschwerdeführers über den Schutzzweck der Norm hinausgeht und im gegenständlichen Fall das Interesse der mitbeteiligten Partei an der Geheimhaltung der genannten E-Mailverläufe und Stellungnahmen das Interesse des Beschwerdeführers überwiegt.“

Zudem wurde hervorgehoben, dass der Betroffene ja durchaus Auskunft erhalten hat – nur eben ein gewisser Teil nicht beauskunftet wurde. 

Fazit

Die Begründung des BVwG (und vorgelagert auch schon der DSB) kann in der Praxis für Verantwortliche wertvolle Argumente zur Verteidigung gegen Auskunftsansprüche bieten, die klar auf eine („pre-trial“) Ausforschung abzielen. Im Rahmen der Anwendung des BDSG könnten sich Anwälte etwa zusätzlich auf § 29 Abs. 1 BDSG berufen. Jedoch sind in der Vergangenheit schon Fälle diskutiert worden, in denen diese Ausnahme durch Betroffene umgangen wird, indem die Auskunft nicht gegenüber den Anwälten, sondern gegenüber der vertretenen Partei direkt geltend gemacht wird – gerade für diese Situation kann die Entscheidung des BVwG hilfreich sein. 

Generalanwalt am EuGH: Wichtige Ausführungen zur Erforderlichkeit für Art. 6 (1) b DSGVO und der Information über „berechtigte Interessen“ für Art. 6 (1) f DSGVO

Posted on by

Am 11. Juli 2024 wurden die Schlussanträge des Generalanwalts Szpunar in der Rechtssache C-394/23veröffentlicht. 

In dem anhängigen Rechtsstreit zwischen einem Verband auf einer Seite und der französischen Datenschutzaufsichtsbehörde CNIL sowie Transportunternehmen SNCF Connect auf der anderen Seite geht es um die Frage der Verarbeitung der Anrededaten von Kunden des SNCF Connect, das über seine Website und Apps Zugtickets, Abos und Ermäßigungskarten vertreibt. Nach Angaben des Unternehmens werden die Daten in der geschäftlichen Kommunikation mit den Kunden verwendet und seien hierfür auch erforderlich. Es handelt sich hierbei um Pflichtfelder im Bestellformular – die Kunden müssen also bei der Bestellung ihre Anrede als „Herr“ oder „Frau“ angeben. 

Position des Verbands und bisheriges Verfahren 

Der Verband beschwerte sich gegen SNCF Connect bei der Aufsichtsbehörde. Zur Begründung machte er geltend, die Erhebung der Anrededaten sei mangels Rechtsgrundlage nicht mit dem in Art. 5 Abs. 1 lit. a DSGVO verankerten Grundsatz der Rechtmäßigkeit vereinbar. Zudem verstoße eine solche Erhebung gegen den Grundsatz der Datenminimierung und den Grundsatz der Richtigkeit, die in Art. 5 Abs. 1 lit. c bzw. d DSGVO festgelegt seien, sowie gegen die Transparenz- und Informationspflichten gem. Art. 13 DSGVO. Der Verband argumentierte insoweit, dass SNCF Connect die Anrededaten nicht erheben dürfe oder zumindest seinen Kunden alternative Möglichkeiten anbieten müsse, wie z. B. die Option „neutral“ oder „sonstige“. Die Datenschutzbehörde stellte keinen Verstoß gegen die DSGVO fest und der Verband reichte gegen diese Entscheidung eine Klage ein, im Rahmen welcher die Fragen dem EuGH vorgelegt wurden.

Ist die Angabe der Anrede erforderlich?

Die Erforderlichkeit wurde von dem Generalanwalt unter zwei Gesichtspunkten untersucht:

  1. Ist die Anrede der Kunden für die Erfüllung des Vertrags erforderlich? (Art. 6 Abs. 1 b) DSGVO)
  2. Ist die Angabe der Anrede zur Wahrung berechtigter Interessen im Hinblick auf die allgemeine Verkehrssitte in der personalisierten geschäftlichen Kommunikation erforderlich? (Art. 6 Abs. 1 f) DSGVO)

Vertragserfüllung

In seinen Ausführungen stellt der Generalanwalt fest, dass der Hauptgegenstand des Vertrags vorliegend die Bereitstellung eines Fahrscheins ist. Es war daher zu prüfen, ob erstens die Anrededaten des Kunden verarbeitet werden, um einen Zweck zu erreichen, der notwendiger Bestandteil der Beförderungsdienstleistung ist, und ob zweitens diese Verarbeitung hierfür objektiv unerlässlich ist.

Nach Ansicht des Generalanwalts sei die Kommunikation mit dem Kunden als notwendiger Bestandteil des Beförderungsvertrags anzusehen. Denn die Bereitstellung des Fahrscheins setze die Kontaktaufnahme mit dem Kunden voraus, um diesem den Fahrschein zu übermitteln. Diese Notwendigkeit bestehe auch während der Beförderung fort, um den Kunden z.B. über die möglichen Störungen bei der Reise zu informieren. 

Das Argument von SNCF, dass dieser Zweck in Übereinstimmung mit der Verkehrssitte in der geschäftlichen Kommunikation auch die Angabe der Anrede erfordert, wurde von dem Generalanwalt aber zurückgewiesen. Auch ohne geschlechtsspezifischer Anrede könne die Kommunikation durchgeführt werden. Dies werde unter anderem dadurch indiziert, dass die Anrede nicht bei jeder Kommunikation verwendet wird. So werden teilweise neutrale Formulierungen wie „Danke, gute Reise“ oder „Guten Tag“ benutzt.

Darüber hinaus sei die Verarbeitung der Anrededaten für die Erreichung des geltend gemachten Zwecks nicht unerlässlich und alternativlos. Sie gehe über das hinaus, was notwendig ist, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Denn die ordnungsgemäße Erfüllung des Beförderungsvertrags könne nicht von der Verwendung der Anrede in der Kommunikation abhängen, selbst wenn der für die Verarbeitung Verantwortliche mit seinen Kunden in personalisierter Weise kommunizieren möchte. 

Interessenabwägung

Im Zusammenhang mit der Prüfung der berechtigten Interessen verweist der Generalanwalt auf das Urteil „Meta Platforms“ (C-252/21), wo der EuGH entschieden hat, dass die Verarbeitung nur dann erforderlich sei, wenn der Verantwortliche den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat. 

Hier vertritt der Generalanwalt daher eine strenge Ansicht (Rz. 56):

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.

Aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 lit. d DSGVO resultiere also nach Ansicht des EuGH die Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten. Da SNCF in der Datenschutzerklärung keine Angaben zu den konkreten Interessen hinsichtlich der Verarbeitung von Anrededaten gemacht hat, führe dies dazu, dass die Verarbeitung auf diese Rechtsgrundlage nicht gestützt werden könne.

Und nach Ansicht des Generalanwalts reichen auch nicht floskelhafte Verweise auf berechtigte Interessen aus (Rz. 58):

Zum einen wird durch den bloßen Verweis auf ein berechtigtes Interesse ohne Angabe, worin genau dieses berechtigte Interesse besteht, die Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO nicht erfüllt, die den Verantwortlichen verpflichtet, das verfolgte berechtigte Interesse mitzuteilen.

In der weiteren Prüfung befasst sich der Generalanwalt mit den einzelnen Anforderungen des Art. 6 Abs. 1 f) DSGVO und stellt fest, dass obwohl die Kommunikation mit dem Kunden grds. als berechtigtes Interesse des Unternehmens anzusehen sei, die Verarbeitung von Anrededaten im konkreten Fall über das hinausgehe, was zur Erreichung des Zwecks der Kommunikation mit dem Kunden notwendig sei. Die Kommunikation könne – wie oben dargelegt – auch ohne Verwendung der Anrede erfolgen.

Auch die vernünftigen Erwartungen der Person reichen nach seiner Ansicht nicht für die Feststellung aus, dass das berechtigte Interesse des Verantwortlichen die Interessen der betroffenen Person überwiegt. Ein solcher Aspekt sei zwar im Rahmen der Abwägung erheblich, könne jedoch nicht automatisch dazu führen, dass das berechtigte Interesse des Verantwortlichen überwiegt.

Weitere Fragen

Grundsatz der Datenminimierung

Nach dem Grundsatz der Datenminimierung sei nach Ansicht des Generalanwalts zu prüfen, ob der Zweck der Verarbeitung nicht in zumutbarer Weise mit anderen Mitteln erreicht werden kann. Die Prüfung umfasse dabei nicht nur quantitative Aspekte, sondern auch die inhaltlichen.

Der Grundsatz der Datenminimierung gelte auch dann, wenn die Person in die Verarbeitung eingewilligt hat. Denn nur so kann ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten gewährleistet werden. 

Widerspruchsrecht

Die letzte relevante Frage betrifft das Widerspruchsrecht der betroffenen Person nach Art. 21 Abs. 1 DSGVO und seine Bedeutung i.R.d. Beurteilung der Erforderlichkeit gem. Art. 6 Abs. 1 f) DSGVO.

Es ergebe sich schon aus dem Wortlaut des Art. 21 Abs. 1 DSGVO, dass das Bestehen eines Widerspruchsrechts für die Beurteilung der Erforderlichkeit einer Verarbeitung nach Art. 6 Abs. 1 Buchst. f DSGVO in keiner Weise relevant sei, da die Geltendmachung des Rechts aus Art. 21 Abs. 1 DSGVO voraussetze, dass die Voraussetzungen der Rechtsgrundlage bereits erfüllt seien.

Praktische Auswirkungen

Zwar bleibt noch die finale Entscheidung des EuGH abzuwarten. Es ist aber sehr wahrscheinlich, dass der Gerichtshof den Ausführungen des Generalanwalts weitgehend folgen wird.

Für die Praxis ist im Hinblick auf die Datenverarbeitung zur Vertragserfüllung festzuhalten, dass die Korrespondenz mit dem Kunden als Bestandteil des Vertrages anzusehen ist. Das ist insbesondre für E-Commerce-Unternehmen relevant, die ihre Kunden über diverse Updates zum Bestellstatus informieren wollen (z.B. Versandbestätigung, Änderung des Lieferdatums usw.). Dabei ist aber zu beachten, dass die erhobenen Daten auch tatsächlich für die Kommunikation (oder sonstige vertragliche Zwecke) benutzt werden. Sollten bei manchen Kunden diese Daten verwendet werden, bei anderen aber nicht, dürfte dies gerade gegen eine generelle Erforderlichkeit im Rahmen der Vertragsdurchführung sprechen. Es reicht nicht, wenn die Verwendung des Datums inkonsistent bzw. nur gelegentlich erfolgt. Anders ausgedrückt: ganz oder gar nicht.

Für die Verarbeitung von Daten auf Grundlage berechtigter Interessen gilt, dass die mangelhafte Erfüllung der spezifischen Informationspflichten zu den berechtigten Interessen dazu führen kann, dass diese Interessen (über die nicht informiert wurde) nicht als Verarbeitungsgrundlage genutzt werden dürfen. Eine falsche bzw. inhaltlich mangelhafte Information kann hier im Ergebnis zur Rechtswidrigkeit der Verarbeitung führen – selbst wenn berechtigte Interessen vorliegen, über die nur eben nicht informiert wurde.

Unternehmen müssen darauf achten, konkrete Interessen für Verarbeitungsvorgänge bei der Erhebung der Daten zu benennen. Allein die vernünftigen Erwartungen der betroffenen Person führen nicht dazu, dass die Interessenabwägung zugunsten des Verantwortlichen ausfällt, obwohl sie bei der Interessenabwägung zu berücksichtigen sind.

Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Posted on by

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.