EuGH bestätigt: für eine Verarbeitung können mehrere Rechtsgrundlagen nebeneinander vorliegen

Posted on by

Ein Thema, welches schon seit Jahren immer mal wieder im Datenschutzrecht diskutiert wird, ist die Frage, ob sich Verantwortliche für ein und dieselbe Verarbeitung gleichzeitig auf mehrere Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO stützen können.

Ist es also etwa möglich, die Verarbeitung von Beschäftigtendaten sowohl auf Art. 6 Abs. 1 b) (zur Durchführung des Arbeitsvertrages) als auch auf Art. 6 Abs. 1 f) DSGVO (auf Grundlage einer Interessenabwägung) zu verarbeiten?

Der EuGH hat diese Frage nun sehr kurz und pragmatisch in seinem Urteil vom 18.6.2026 (Rs C‑484/24) entschieden.

Vorgaben des Art. 6 Abs. 1 DSGVO
Bereits in der Vergangenheit durch den EuGH entschieden wurde die Frage, in welchem Verhältnis die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO zueinanderstehen.

Art. 7 der Richtlinie 95/46 und Art. 6 Abs. 1 Unterabs. 1 der DSGVO enthalten eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in diesen Bestimmungen vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können“ (C-184/20, Rn. 67)

Die Rechtsgrundlagen stehen also im Grundsatz nebeneinander und es gibt keine „erste“ oder „beste“ Rechtsgrundlage. Die Verarbeitung personenbezogener Daten muss auf Grundlage einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen erfolgen.

Die offene Frage war noch, ob man nicht nur eine, sondern auch zwei oder mehr Rechtsgrundlagen nebeneinander zur Rechtfertigung einer Verarbeitung nutzen darf.

Hintergrund des Urteils
In seinem nun veröffentlichten Urteil bewertet der EuGH Fragen, die von einem Landesarbeitsgericht vorgelegt wurden. Hintergrund ist der Rechtsstreit zwischen der NTH Haustechnik GmbH und ihrer ehemaligen Angestellten über den Ersatz des Schadens, der dieser Gesellschaft wegen unerlaubten Online-Verkaufs ihr gehörender Waren entstanden sein soll. Das Landesarbeitsgericht geht davon aus, dass personenbezogene Daten der Angestellten durch die ehemalige Arbeitgeberin im Rahmen der Aufklärung des Falles eventuell rechtswidrig verarbeitet wurden. Also gegen die DSGVO verstoßen wurde.

Darf das Landesarbeitsgericht solche rechtswidrig erlangten Informationen selbst verarbeiten und im Rahmen des Gerichtsprozesses verwerten? Und was ist dann die Rechtsgrundlage des Gerichts nach Art. 6 Abs. 1 DSGVO?

Entscheidung des EuGH
Und nun folgt ein wichtiger Aspekt: das vorlegende Gericht scheint nach Auffassung und Darstellung des EuGH davon auszugehen, dass die Verarbeitung personenbezogener Daten durch ein Gericht im Rahmen seiner justiziellen Tätigkeit nur auf Art. 6 Abs. 1 e) DSGVO gestützt werden kann (also zur Wahrnehmung einer Aufgabe im öffentlichen Interesse).

Das Gericht geht also davon aus, dass nur diese Rechtsgrundlage einschlägig sein kann. Hierzu stellt dann der EuGH fest:

Zum einen ist darauf hinzuweisen, dass unter bestimmten Umständen für dieselbe Verarbeitung mehrere alternative Zulässigkeitsvoraussetzungen gelten können.“ (Rn. 48)

Wichtig: der EuGH sagt sehr klar, dass ein und dieselbe Verarbeitung alternativ auf mehrere Rechtsgrundlagen gestützt werden kann – natürlich nur, wenn die jeweiligen Voraussetzungen erfüllt sind.

In der englischen Sprachfassung wird die Aussage des EuGH auch sehr deutlich, dass mehrere Rechtsgrundlagen nebeneinander greifen könen.

First, it must be stated that, in certain situations, a number of alternative lawfulness conditions may apply to the same processing.“

Fazit
Die Ansicht des EuGH ist eine wichtige und gute Klarstellung für die Praxis. Natürlich muss man immer die jeweiligen Voraussetzungen der Rechtsgrundlage auch einhalten.

Geänderte Rechtsprechung des EuGH zum Missbrauch des Auskunftsrechts?

Posted on by

In der Rechtssache C‑526/24 (Brillen Rottler) hat sich der EuGH u.a. mit der Frage befasst, unter welchen Umständen ein Antrag nach Art. 15 DSGVO auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 DSGVO angesehen werden kann.

Wann liegen also die Voraussetzungen eines Missbrauchs des Betroffenenrechts vor?

Vorab

Um es vorweg zu nehmen: in den letzten Wochen wurde bereits viel zu dem Urteil diskutiert und geschrieben. So gerne ich zu der Fraktion „Jetzt können wir Auskunftsanträge ganz einfach wegen Missbrauch ablehnen.“ gehören würde, denke ich schon, dass Verantwortliche in der Praxis immer noch recht hohe Anforderungen erfüllen müssen, um sich auf den Missbrauchsweinwand berufen zu können. Der EuGH hat uns aber mit seinem Urteil einige gute Leitlinien bzw. Prüfpunkte geliefert, die man nun anwenden kann bzw. muss.

Anforderungen des EuGH an den Einwand des Missbrauchs

Möchte ein Verantwortlicher einen Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO ablehnen, begründet er seine Ablehnung damit nach Ansicht des EuGH im Grunde mit dem Einwand des Rechtsmissbrauchs auf der Grundlage des Europäischen Rechts. In Art. 12 Abs. 5 DSGVO kommt der allgemeine Grundsatz des Unionsrechts zum Ausdruck,

wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“ (Rn. 30).

Für diesen Nachweis (!) einer missbräuchlichen Verhaltensweise ist zweierlei erforderlich:

  • zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung des Art. 15 DSGVO das Ziel dieser Regelung nicht erreicht wurde
  • zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.

Ich möchte mich nachfolgend auf den zweiten Aspekt fokussieren und hervorheben, dass der EuGH hier meines Erachtens eine Änderung in seiner Rechtsprechung zu den Voraussetzungen des Missbrauchseinwands vorgenommen hat.

Subjektives Element des Missbrauchs

Hinsichtlich des subjektiven Elements stellt der EuGH fest, dass der Verantwortliche anhand aller relevanten Umstände des Einzelfalls nachweisen muss, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliegt.

Und nun kommt der entscheidende Passus der Begründung.

Eine solche Absicht kann festgestellt werden,

wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können“ (Rn. 40).

Wichtig: der EuGH geht ausdrücklich davon aus, dass diese Absicht nicht per se vorliegt und festzustellen ist, wenn die nachfolgende Anforderung erfüllt ist. Die Absicht „kann“ in diesem Fall vorliegen. Den Nachweis muss am Ende der Verantwortliche erbringen.

Und welche Voraussetzung ist nun entscheidend, um diese Missbrauchsabsicht nachweisen zu können? Der EuGH stellt auf den Zweck der Ausübung des Betroffenenrechts ab. Also, warum bzw. wofür wird Auskunft beantragt?

Alte (?) Ansicht

In der Vergangenheit hat der EuGH schon einmal zum Zweck des Auskunftsrechts Position bezogen. In der Rechtssache C-307/22. Dort wurde die Kopie einer Patientenakte verlangt, um zivilrechtliche Haftungsansprüche geltend zu machen. Der EuGH lehnte die Verfolgung dieses Zwecks als Grund für den Einwand des Missbrauchs ab.

kann der erste Satz des 63. Erwägungsgrundes nicht dahin ausgelegt werden, dass dieser Antrag zurückzuweisen ist, wenn mit ihm ein anderer Zweck verfolgt wird als der, von der Verarbeitung Kenntnis zu nehmen und deren Rechtmäßigkeit zu überprüfen“ (Rn. 43).

Damals sah es der EuGH also nicht als einen Faktor für einen Missbrauch an, wenn Art. 15 DSGVO geltend gemacht wird, um gerade nicht die Rechtmäßigkeit der Verarbeitung zu prüfen.

Dieses Urteil wurde von der Ersten Kammer des EuGH gefällt.

Neue (?) Ansicht

In dem neuen Urteil geht der EuGH jedoch davon aus, dass eine Missbrauchsabsicht seitens der betroffenen Person festgestellt werden kann,

wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können“ (Rn. 40).

In der Rechtssache C‑526/24 geht der EuGH also genau konträr zur damaligen Begründung davon aus, dass gerade ein anderer Zweck, als die Rechtmäßigkeit der Verarbeitung zu prüfen und DSGVO-Rechte geltend zu machen, die Missbrauchsabsicht begründen kann.

Dieses Urteil wurde von der Vierten Kammer des EuGH gefällt.

Fazit

Wir sehen derzeit also eine durchaus klassische Situation: verschiedene Gerichte bzw. verschiedene Kammern innerhalb eines Gerichts legen die gleichen Vorschriften anders aus. Aus meiner Sicht ist die divergierende Auslegung der Kammern tatsächlich sehr klar, da die Begründungen als Startpunkt jeweils sehr klar den „anderen Zweck“ haben, dann aber zu unterschiedlichen Ansichten gelangen.

Für die Praxis können Verantwortliche natürliche die neuere Ansicht der 4. Kammer nutzen. Jedoch sollte, wie bereits erwähnt, stets beachtet werden, dass erstens auch die 4. Kammer nicht per se die Missbrauchsabsicht bei einem anderen Zweck als gegeben unterstellt. Und zweitens der Nachweis des Vorliegens sowohl der objektiven als auch subjektiven Elemente dem Verantwortlichen obliegt. Ablehnung wegen Missbrauchs sind also auch nach diesem Urteil kein Selbstläufer, jedoch bieten sich für Verantwortliche bessere Möglichketen.

LG Köln: DSGVO hindert Gehaltsauskunft an Personalvermittler zur Berechnung des Honorars nicht – selbst bei Widerspruch des Arbeitnehmers

Posted on by

In der Praxis der Vermittlung von Mitarbeitern an Unternehmen sind Honorarabreden etabliert, die sich am Bruttojahresgehalt des vermittelten Arbeitnehmers orientieren. Zumeist wird ein gewisser Prozentanteil am zukünftigen Jahresbruttoeinkommen als Provision für die Personalvermittlung vereinbart.

Erforderlich für die Berechnung der Provision ist hierbei, dass der Kunde des Personalvermittlers (also das Unternehmen, welches den Arbeitnehmer anstellt) Inhalt aus dem Arbeitsvertrag an den Personalvermittler übersendet. Konkret geht es also um die Übermittlung personenbezogener Daten des neuen Mitarbeiters.  

Ende 2025 hat das Landgericht Köln (Urt. v. 13.11.2025 – 30 O 146/25) in einem solchen Fall die datenschutzrechtliche Frage beantwortet, ob der neue Arbeitgeber (und Kunde des Personalvermittlers) diese Daten aus dem Arbeitsvertrag zur Berechnung der Provision übermitteln darf. Selbst wenn der neue Mitarbeiter dies nicht wünscht. Das Urteil betrifft folglich einen Kernbereich der Tätigkeit von Personalvermittlern.

Sachverhalt

Die Klägerin (Personalvermittler) schloss mit der Beklagten (Unternehmen und Kundin des Personalvermittlers) einen Personalvermittlungsvertrag, mit dem die Beklagte die Klägerin mit der Suche nach einem geeigneten Kandidaten für eine Stelle beauftragte. Gemäß des Vertrages verpflichtete sich die Klägerin, sämtliches ihr überlassenes Daten- und Informationsmaterial vom Auftraggeber absolut vertraulich zu behandeln, nur zu Zwecken der Vermittlungstätigkeit zu nutzen. Zudem verpflichtete sich die Beklagte den Abschluss des Anstellungsvertrages, aus dem sich alle Gehaltsbestandteile ergeben, innerhalb einer Woche nach Vertragsabschluss mitzuteilen. Es wurde ein Kandidat vorgeschlagen, jedoch erfolgte eine Einstellung erst ein Jahr später, nachdem erste Gespräche zwischen dem Personalvermittler, dem Unternehmen und dem Kandidaten nicht erfolgreich waren.

Zwar zahlte die Beklagte in der Folge auch einen gewissen Betrag als Honorar. Jedoch lehnte sie die Erteilung einer Auskunft über das Gehalt des Mitarbeiters unter Verweis auf dessen Widerspruch und dessen Recht auf informationelle Selbstbestimmung ab.

Entscheidung

Nach Ansicht des Gerichts hat die Klägerin gegen die Beklagte einen Anspruch auf Erteilung der beantragten Auskunft über das Bruttojahreseinkommen einschließlich aller Gehaltsbestandteile aus dem abgeschlossenen Personalvermittlungsvertrag.

Die Beklagte brachte vor, dass die DSGVO einem solchen Anspruch entgegenstehen würde. Zudem wünsche der Mitarbeiter nicht, dass Informationen zu seinem Gehalt weitergegeben werden.

Nach Ansicht des Landgerichts ist die Erteilung der Auskunft der Beklagten jedoch nicht gem. § 275 Abs. 1 BGB rechtlich unmöglich. Rechtliche Unmöglichkeit läge vor, wenn der geschuldete Erfolg aus Rechtsgründen nicht herbeigeführt werden kann oder nicht herbeigeführt werden darf. Dies sei hier jedoch nicht der Fall.

„Die Erlaubnis der Beklagten zur Erteilung der Auskunft trotz der Untersagung durch den Zeugen H. ergibt sich aus Art. 6 Abs. 1 S. 1 lit f DSGVO.“

Das Gericht geht also vom Erlaubnistatbestand der Interessenabwägung aus und nimmt auch eine solche Interessenabwägung vor.

  • Die Datenverarbeitung in Form der Weitergabe der Daten diene hier der Klägerin als Drittem zur Wahrung ihrer berechtigten Interessen und zur Geltendmachung von Ansprüchen. Denn die Klägerin hat gegen die Beklagte grundsätzlich einen Anspruch auf Honorar und kann dessen Höhe nur anhand der Gehaltsdaten des Zeugen berechnen.
  • Da der Klägerin die Gehaltsdaten zur Berechnung ihres Honorars nicht vorliegen, ist die Weitergabe der Daten an sie auch erforderlich.
  • Zu berücksichtigen sind desweiteren die vernünftige Erwartungshaltung der betroffenen Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung.
  • Zwar habe der Mitarbeiter angegeben, dass er die Weitergabe seiner Gehaltsdaten aus grundsätzlichen Erwägungen nicht wünsche.
  • Ein daneben bestehendes spezielles Geheimhaltungsinteresse wie beispielsweise die Sorge vor behördlichen Maßnahmen oder vor Streitigkeiten mit Arbeitskollegen hatte er aber verneint. Konkrete Befürchtungen, dass sein Gehalt veröffentlicht werden könnte, hatte er ebenfalls verneint.

Dieses allgemeine Geheimhaltungsinteresse des Zeugen H. muss im Rahmen der Abwägung nach Ansicht der Kammer vorliegend gegenüber dem Interesse der Klägerin am Erhalt der Gehaltsdaten zurückstehen.“

Ein sicherlich wichtiger Faktor bei der Abwägung war auch, dass der Mitarbeiter der Klägerin seine konkreten Gehaltsvorstellungen bereits von sich aus mitgeteilt hatte. So hatte er angegeben, dass er ein Gehalt von 110.000 EUR anstrebte, ebenso wie seinen Wunsch nach einem Dienstwagen.

Hinzu komme, dass ihm aufgrund der Branchenüblichkeit der Bemessung eines Vermittlerhonorars nach dem Gehalt des vermittelten Arbeitnehmers bewusst sein musste, dass die Klägerin die konkreten Gehaltsdaten erfragen und benötigen würde.

Den Interessen des Betroffenen können im Übrigen auch dadurch Rechnung getragen werden, dass die Klägerin dessen Gehaltsdaten unmittelbar nach Berechnung und gerichtlicher Geltendmachung ihres Honoraranspruchs löscht.

Hessische Datenschutzbehörde: Anforderungen an die Vollmacht zur Ausübung von Betroffenenrechten

Posted on by

Im neuen Tätigkeitsbericht 2025 befasst sich die hessische Datenschutzbehörde u.a. auch mit der Frage, ob Betroffenenrechte (im konkreten Fall, das Auskunftsrecht nach Art. 15 DSGVO), durch Stellvertreter bzw. bevollmächtigte Personen geltend gemacht werden können.

Die kurze Antwort: ja, dies ist möglich. Diese Ansicht ist meines Erachtens auch nicht neu und bereits in der Rechtsprechung (sowohl in Deutschland als auch Österreich) und auch durch Datenschutzbehörden und den EDSA (Leitlinien 01/2022, Version 2.0, Rn. 80) bestätigt worden.

Für die Praxis von besonderer Relevanz ist aber die Frage, welche Anforderungen erfüllt sein und damit vom Verantwortlichen verlangt werden dürfen, damit von einer wirksamen Bevollmächtigung ausgegangen werden kann. Dieses Thema ist öfter Diskussionsgegenstand, wenn Unternehmen etwa solche Auskunftsanträge im Namen der betroffenen Person von Dritten erhalten.

Für diese Frage verweist die hessische Behörde auf die zivilrechtlichen Regelungen über die Stellvertretung nach §§ 164 ff. BGB. Auf die jeweils anwendbaren nationalen Vorgaben verweist auch der EDSA.

Nachweis

Die erteilte Vollmacht ist gegenüber dem Verantwortlichen nachzuweisen. Die Aufsichtsbehörde verweist hierbei auf eine Entscheidung des OLG Stuttgart (Urt. v. 31. März 2021 – 9 U 34/21).

Inhalt

Bezüglich des erforderlichen Inhalts verweist die Aufsichtsbehörde auf einen aus meiner Sicht extrem praxisrelevanten Aspekt:

Grundsätzlich kann die bevollmächtigte Person 1) sowohl den Antrag auf Erteilung einer Auskunft gemäß Art. 15 DSGVO stellen als auch 2) die Datenauskunft entgegennehmen. Also die Daten und Informationen empfangen.

Aber: die Vollmacht

„muss sich ausdrücklich sowohl auf die Geltendmachung des Anspruchs gemäß Art. 15 DS-GVO als auch auf den Empfang der zu beauskunftenden personenbezogenen Daten beziehen und somit inhaltlich klar und bestimmt sein.“

Das bedeutet, dass nach Ansicht der Behörde eine Vollmacht mit dem Inhalt „Person X darf für mich mein Auskunftsrecht nach Art. 15 DSGVO ausüben“ gerade nicht ausreichen würde, um dem Stellvertreter auch die Daten zu übersenden. Denn in diesem Fall würde die Vollmacht nicht den Empfang der personenbezogenen Daten erfassen.

Fristbeginn

Und zuletzt zur Frist: die hessische Aufsichtsbehörde geht zurecht davon aus, dass bei der Bevollmächtigung die Frist nach Art. 12 Abs. 3 DSGVO erst dann beginnt (nicht etwa bereits startet und dann pausiert), wenn eine hinreichende Legitimation des Vertreters gegenüber der verantwortlichen Stelle vorliegt.

Negativauskunft nach Art. 15 DSGVO – Muss über personenbezogene Daten aus dem Auskunftsantrag informiert werden? Österreichische Datenschutzbehörde sagt „nein“

Posted on by

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sowohl von Aufsichtsbehörden als auch der Rechtsprechung ist mittlerweile anerkannt, dass damit ein Anspruch auf Negativauskunft besteht. 

Verantwortliche müssen also, wenn keine Daten zu der Person vorhanden sind, auf den Antrag antworten, dass keine Daten vorhanden sind. 

In der Praxis stellt sich jedoch die Frage (bzw. legen es manche Betroffene darauf an), ob es denn eine solche Negativauskunft überhaupt geben kann? Wenn doch im Rahmen des Antrags auf Auskunft, also etwa per E-Mail, personenbezogene Daten an den Verantwortlichen gesendet wurden.

Einen solchen Fall hatte die Datenschutzbehörde aus Österreich zu entscheiden (Entscheidung vom 17. September 2025, GZ 2025-0.502.649). 

Sachverhalt

In dem Beschwerdeverfahren rügte die Betroffene u.a., dass die Beschwerdegegnerin auf ihren Antrag auf Auskunft nicht (fristgerecht) reagiert habe. Im Beschwerdeverfahren erteilte die Verantwortliche eine Negativauskunft, dass keine Daten vorliegen würden. 

Nach Ansicht der Betroffenen sei aber einerseits ihr Antrag auf Auskunft bearbeitet worden und schon deshalb müsse eine Datenverarbeitung vorliegen.

Entscheidung

Nach Ansicht der Datenschutzbehörde (DSB) ist für eine Negativauskunft ausreichend, dass, „sofern zu einer antragsstellenden Person (aktuell) keine personenbezogenen Daten verarbeitet werden“, die Information erteilt wird, dass keine personenbezogenen Daten verarbeitet werden. 

Nun mag man sich fragen: aber die Verantwortliche verarbeitet doch personenbezogene Daten? Und zwar jene, die mit dem Auskunftsantrag übersendet wurden. 

Hierzu führt die Aufsichtsbehörde aus: 

„… dass Gegenstand einer zu erteilenden datenschutzrechtlichen Auskunft die im 

Zeitpunkt des Einlangens des Auskunftsverlangens tatsächlich verarbeiteten Daten sind“.

Die DSB sieht also von der Auskunft gerade nur solche Daten erfasst, die vor dem Zeitpunkt des Eingangs des Antrags verarbeitet werden. Daher folgert die DSB, dass die Negativauskunft hier korrekt erteilt wurde.

Somit waren die personenbezogenen Daten der Beschwerdeführerin, die in ihrem Antrag auf Auskunft bzw. im Identitätsnachweis enthalten gewesen sind, in zeitlicher Hinsicht nicht vom Auskunftsrecht umfasst.“

Zudem verdeutlicht die DSB auch, dass das Auskunftsrecht sich nicht auf ehemals vorhandene Daten bezieht, die aber mittlerweile gelöscht wurden. 

„…, dass aufgrund des klaren Wortlauts von Art. 15 Abs. 1 DSGVO keine inhaltliche Auskunftspflicht hinsichtlich der in der Vergangenheit verarbeiteten (bereits gelöschten) Daten besteht“.

Fazit

Die Ansicht der DSB kann in der Praxis eine wertvolle Hilfe für Verantwortliche bei der Bearbeitung von Auskunftsansprüchen darstellen. Insbesondere für Fälle, in denen Betroffene einen Verstoß gegen die DSGVO dadurch sehen, dass in einer Negativauskunft nicht über jene Daten informiert wird, die durch die Auskunftsanfrage an den Verantwortlichen übermittelt wurden.

Was ist eine „Verarbeitungstätigkeit“ und wann muss diese im Verzeichnis nach Art. 30 DSGVO dokumentiert werden?

Posted on by

Nach Art. 30 Abs. 1 DSGVO muss jeder Verantwortliche ein Verzeichnis „aller Verarbeitungstätigkeiten“, die seiner Zuständigkeit unterliegen, führen. In der Praxis stellt sich oft die Frage, welche Arten von Verarbeitungen personenbezogener Daten als „Verarbeitungstätigkeit“ zu qualifizieren sind und daher ins Verzeichnis aufgenommen werden müssen. Ebenso ist von Bedeutung, wie man eine solche „Verarbeitungstätigkeit“ beschreibt und auch, ob etwa ein einmaliger Verarbeitungsprozess ebenfalls im Verzeichnis dokumentiert sein muss?

Hinweise der DSK

In der Vergangenheit hat sich zu diesen Fragen u.a. die deutsche Datenschutzkonferenz (DSK) in ihrem Anwendungshinweis zum Verzeichnis nach Art. 30 DSGVO geäußert. 

Dort wird empfohlen, für „jede einzelne Verarbeitungstätigkeit“ eine Beschreibung nach Maßgabe des Art. 30 DSGVO anzufertigen. Unter dem Begriff „Verarbeitungstätigkeit“ versteht die DSK im Allgemeinen einen Geschäftsprozess, der auf „geeignetem Abstraktionsniveau“ beschrieben wird. Diese Ansicht klingt zunächst danach, dass als „Verarbeitungstätigkeit“ gerade nicht etwa eine einzelne Datenverarbeitung an sich zu verstehen ist, sondern ein Prozess, der viele solche Verarbeitungen unter einem gemeinsamen Zweck bündelt.

Jedoch vertritt die DSK direkt nachfolgend in den Hinweisen die Ansicht, dass ein „strenger Maßstab anzulegen“ sei und: 

„… so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt“. 

Bei einer nur geringen Zweckänderung müsse geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen sei. 

Diese Auffassung scheint wiederum eine „Verarbeitung“ mit der „Verarbeitungstätigkeit“ gleich zu setzen – was in der Praxis aber wohl dazu führen dürfte, dass das Verzeichnis riesig und kaum kontrollierbar wäre, wenn man eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO (also etwa den Vorgang der Übermittlung oder Löschung an sich) bereits als „Verarbeitungstätigkeit“ ansehen würde. 

Eventuell kann man die Ansicht der DSK aber auch so verstehen, dass auch viele Verarbeitungen (z.B. Speicherung, Übermittlung, Löschung) unter einer „Verarbeitungstätigkeit“ zusammengefasst werden können, wenn diese Verarbeitungen denselben Zwecken dienen. Denn die Ansicht der DSK verweist auf den Fall der Zweckänderung („neuer Zweck“). Völlig eindeutig sind die Hinwiese jedoch nicht. 

Ansicht der Verwaltungsgerichts Hannover zur „Verarbeitungstätigkeit“ und Aktualität des Verzeichnisses

Das VG Hannover (Urteil vom 5.Juni 2025 , Az: 10 A 4017/23) hat sich in einer Entscheidung ebenfalls mit dem Begriff der „Verarbeitungstätigkeit“ nach Art. 30 Abs. 1 DSGVO befasst. Die Entscheidung hat in jedem Fall Praxisrelevanz, da es eher selten gerichtliche Entscheidungen zu Art. 30 Abs. 1 DSGVO und zum Verzeichnis gibt. 

Nach Ansicht des Gerichts hatte im vorliegenden Fall die Klägerin (ein Unternehmen, welches gegen eine Verwarnung der Datenschutzbehörde klagte) gegen Art. 30 Abs. 1 DSGVO verstoßen, da sie nicht schon zu Beginn eines Prozesses, der auch die Verarbeitung von Daten beinhaltete, ein Verarbeitungsverzeichnis geführt hat. Konkret ging es um eine sog. EPA-Auditierung. Diese wurde im Rahmen einer Verwaltungsvereinbarung mit der US-Umweltbehörde „Environmental Protection Agency“ (EPA) vereinbart. 

Die EPA-Auditierung war darauf ausgerichtet, das interne Compliance-Management-System der Klägerin fortzuentwickeln und die bestehenden Compliance-Strukturen auf ihre Effektivität zu überprüfen.

Nach Ansicht des Gerichts 

„stellen die Datenverarbeitungen, die im Rahmen der EPA-Auditierung erfolgt sind, eine Verarbeitungstätigkeit dar“.

Das VG sieht also (meines Erachtens zurecht) nicht einzelne Verarbeitungen für sich jeweils als „Verarbeitungstätigkeit“ an, sondern fasst viele Verarbeitungen unter der Tätigkeit oder dem Prozess „EPA-Auditierung“ als eine Verarbeitungstätigkeit zusammen. Der verklammernde Faktor, wenn man so will, ist der übergeordnete Zweck der Durchführung der Auditierung. 

Das Gericht verweist darauf, dass der Begriff der Verarbeitungstätigkeit von der DSGVO selbst nicht legal definiert wird. Er werde jedoch an mehreren Stellen in der Verordnung genannt. Dabei werde er häufig in Kontexten verwendet, wenn es um mehrere gleichartige Verarbeitungen oder um eine Kategorie der Verarbeitung gehe. 

Zudem sei der Begriff durch eine „gewisse zeitliche Kontinuität gekennzeichnet“, da eine punktuelle Verarbeitung personenbezogener Daten nicht als „Tätigkeit“ bezeichnet werden würde. 

Diese Ansicht des VG ist aus meiner Sicht für die Praxis wichtig, wenn man sich die Frage stellt, ob eine Verarbeitungstätigkeit aufgenommen werden muss, wenn diese Tätigkeit bereits absehbar nur einmal durchgeführt wird. Dann wäre eine Dokumentation nach Art. 30 Abs. 1 DSGVO nicht erforderlich. 

Im konkreten Fall ging das VG davon aus, dass eine Verarbeitungstätigkeit vorlag, da es während der Dauer der EPA-Auditierung zu einer Vielzahl von gleichartigen Datenverarbeitungen gekommen ist, weil die Klägerin in diesem Zeitraum personenbezogene Daten von mindestens 234 Beschäftigten an den EPA-Auditor übersandt hatet.

Des Weiteren urteilt das VG, dass die Pflicht nach Art. 30 Abs. 1 S. 1 DSGVO, ein Verarbeitungsverzeichnis zu führen, nicht auf einen bestimmten Zeitpunkt beschränkt sei. Vielmehr sei der Verantwortliche verpflichtet, die Grundsätze aus Art. 5 Abs. 1 DSGVO – zu denen auch die Transparenz gehöre – (jederzeit) nachweisen zu können. 

Aus dem Sinn und Zweck der Norm gehe hervor, dass der Verantwortliche der Aufsichtsbehörde jederzeit auf Verlangen ein Verzeichnis vorlegen können muss. Zwar sei eine explizite Aktualisierungspflicht gesetzlich nicht vorgesehen. 

… jedoch ist angesichts des Sinnes und Zweckes des Verarbeitungsverzeichnisses davon auszugehen, dass nur ein solches, welches die tatsächliche, nicht überholte Sachlage widerspiegelt, den Anforderungen des Art. 30 Abs. 1 S. 1 DSGVO gerecht werden kann“.

Im Grunde ist die Aussage des VG aus meiner Sicht nachvollziehbar, aber praktisch in größeren Einheiten wohl kaum umsetzbar. Da das Gericht verlangt, dass stets ein aktuelles Verzeichnis vorliegt. Beispiel: würde man eine Verarbeitungstätigkeit prüfen und intern freigeben, diese jedoch erst 2-3 Tage später im Verzeichnis dokumentiert, befände man sich in diesem Zeitraum in einem Verstoß gegen Art. 30. Abs. 1 DSGVO. Da das Verzeichnis in dieser Zeit eben nicht 100% aktuell ist. 

Das VG folgert, dass bereits bei Aufnahme der konkreten Verarbeitungstätigkeiten ein neues Verarbeitungsverzeichnis zu erstellen oder ein bestehendes Verarbeitungsverzeichnis zu ergänzen sei, sodass es die aktuelle Sachlage bei Beginn der Verarbeitungstätigkeiten wiedergibt. 

Es ist sodann fortlaufend zu pflegen und nach Bedarf zu aktualisieren“.

Fazit

Die Entscheidung des Gerichts gibt einige wichtige Anhaltspunkte für die Erfüllung der Pflicht zur Führung des Verzeichnisses nach Art. 30 Abs. 1 DSGVO. Insbesondere die Auslegung des Begriffs der „Verarbeitungstätigkeit“ kann in der Praxis hilfreich sein. 

EDSA: Keine (zwingende) Pflicht zur Löschung in Backups – aber nach Restore zwingend umzusetzen

Posted on by

Löschung von personenbezogenen Daten aus Backups – ein in der Praxis oft diskutiertes Thema. Die Ausgangslage ist recht klar: befinden sich in Backups personenbezogene Daten, so gilt auch für diese die Löschpflicht, etwa nach der Vorgabe des Art. 17 Abs. 1 lit. a) DSGVO. Die Daten sind zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Zumeist stellt sich dann jedoch in der Praxis das Problem, wie diese Löschung umgesetzt werden kann. Entweder rein technisch. Oder auch für dem (validen) Hintergrund, dass Backups nicht einfach inhaltlich verändert werden können.

Andeutung des EDSA – Löschung ist nicht immer zwingend

Jüngst hat der EDSA seinen Abschlussbericht zur koordinierte Durchsetzungsmaßnahme „Umsetzung des Rechts auf Löschung durch die für die Verarbeitung Verantwortlichen“ veröffentlicht (PDF). Im Abschnitt 4.2.6 werden die Ergebnisse der Antworten der nationalen Aufsichtsbehörden zu genau dem oben angesprochenen Thema zusammengefasst. Zudem enthält der Bericht auch einige Empfehlungen für Verantwortliche.

Die aus praktischer Sicht interessante Aussage trifft der EDSA direkt zu beginn des Abschnitts.

Backups sind ein wichtiges Instrument zum Schutz der Integrität personenbezogener Daten, wenn der Verantwortliche von einem Sicherheitsvorfall (z. B. Ransomware) betroffen ist. Daher ist es wichtig, die Integrität der Backups zu schützen. Je nach den technischen Einstellungen und Risiken ist es möglicherweise nicht immer ratsam, Informationen aus Backups zu ändern oder zu löschen.“

Die europäischen Aufsichtsbehörden empfehlen also, dass personenbezogene Daten aus Backups gerade nicht zu löschen sind, wenn dies die Integrität und damit auch das Ziel der Widerherstellbarkeit beeinträchtigen würde.

Jedoch macht der EDSA dies von zwei Voraussetzungen abhängig: 1) den technischen Möglichketen; 2) dem Risiko (wohl für betroffene Personen).

Erfolgt keine Datenlöschung aus Backups, verlangt der EDSA jedoch, dass

Organisationen … über geeignete Verfahren verfügen [sollten], um Löschungsanträge zu verfolgen und diese auf wiederhergestellten Systemen so weit wie möglich zu erfüllen“.

Werden personenbezogene Daten, die eigentlich gelöscht werden müssten, nicht gelöscht und dann aus dem Backup wieder in das Livesystem gespielt, muss der Verantwortliche also Maßnahmen und Prozesse etablieren, dass diese Daten gelöscht werden.

Interessant ist auch die Information in dem Bericht, dass die Hälfte der befragten Aufsichtsbehörden Bedenken hinsichtlich der Löschung personenbezogener Daten aus Backups äußerte. Das Problem für Verantwortliche wird also bei den Aufsichtsbehörden gesehen.

Der Vorschlag des EDSA kann Verantwortlichen in der Praxis als Argumentationsstütze helfen, wenn Daten aus Backups nicht gelöscht werden (können). Wichtig ist jedoch, eine inhaltlich valide Begründung vorzuhalten, warum Daten nicht gelöscht werden (können) und die unterbliebene Löschung keine (hohen) Risiken für Betroffene darstellt.

Umsetzungsvorschlag des BayLfD

Bereits in seinem Tätigkeitsbericht 2020 hat sich der BayLfD mit dem Löschen von Daten aus Backups befasst. Und seine Empfehlungen enthalten genau jene beiden Aspekte, auf die auch nun der EDSA abstellt.

Ziel der Löschung soll eigentlich sein, dass ein Datum nach der Löschung in den Dateisystemen, die dem betroffenen Verantwortlichen zurechenbar sind, weder vorhanden ist noch wiederhergestellt werden kann. Die Löschpflicht erfasse daher eigentlich auch Backups-Systeme.

Zur Lösung des Problems verweist der BayLfD auf ErwG 26 DSGVO. Danach dürfen gelöschte personenbezogene Daten nicht oder nach allgemeinem Ermessen nur mit geringer Wahrscheinlichkeit wiederherstellbar sein.

Das bedeutet in der betrachteten Konstellation, dass nach der datenschutzrechtlichen Löschung von Daten im Primärsystemen diese nun nicht mehr vorhandenen personenbezogenen Daten nur mit geringer Wahrscheinlichkeit durch eine Kopie aus dem Backup-System (Reliktdaten) im gerade genannten Sinn wiederherstellbar sein dürfen“.

Sollte eine zeitgleiche Löschung (im Primärsystem und im Backup) nicht möglich sein, ist dies entsprechend zu begründen.

Diese dokumentierte Begründung muss auch die umgesetzten Schutzmaßnahmen enthalten oder auf diese verweisen, die ergriffen wurden, damit eine zeitlich verzögerte Löschung der Reliktdaten nur mit geringer Wahrscheinlichkeit zur Reproduzierbarkeit der aus dem Primärsystem gelöschten Daten führen kann“.

Der BayLfD stellt dann eine Liste an Voraussetzungen auf, die Verantwortliche erfüllen müssen, wenn sie Daten in Backups nicht löschen.

  • Technische Unmöglichkeit oder Unzumutbarkeit: Bei dem betroffenen Backup-System ist aus Sicht eines verständigen Betrachters nachvollziehbar die gleichzeitige Löschung der Datensicherungskopie technisch nicht möglich oder im Hinblick auf den vorliegenden Schutzbedarf der personenbezogenen Daten unverhältnismäßig aufwändig.
  • Löschfrequenz im Backup-System: Die Wiederholungsfrequenz der allgemeinen Löschung sowie gegebenenfalls außerordentliche Löschungen nicht mehr benötigter Datensicherungskopien richtet sich im Backup-System nach dem Schutzbedarf der betroffenen personenbezogenen Daten. Die Löschstrategie im Backupsystem wird in Form eines Datensicherungskonzeptes nachgewiesen.
  • Verfügbarkeit nur mittels Wiederherstellung: Es ist hinreichend sichergestellt, dass die Datensicherungskopien ausschließlich über die vorgesehene Wiederherstellungsfunktionalität aus dem Backup-System ausgelesen werden können.
  • Löschung bei Wiederherstellung: Bei jeder Wiederherstellung von Daten aus dem Backup-System muss gewährleistet sein, dass alle Daten, die im Primärsystem aus Datenschutzgründen bereits gelöscht wurden, nicht wiederhergestellt oder – falls technisch nicht anders möglich – nach der Wiederherstellung wieder gelöscht werden.
  • Dokumentation und Umsetzungsnachweis: Der Verarbeitungsvorgang „Backup-System verwenden“ ist geeignet zu dokumentieren und dessen wirksame Umsetzung nachzuweisen.

Die Ansicht EDSA liegt aus meiner Sicht auf der Linie der bereits vorhandenen Empfehlungen des BayLfD. Beide bieten Verantwortlichen in der Praxis eine gute Richtschnur dafür, wie mit personenbezogenen Daten in Backups umzugehen ist.

Verwaltungsgericht: Einmal Auskunftsanspruch, bitte – Fristbeginn, anwaltliche Vollmacht, zeitlicher Umfang

Posted on by

Das Verwaltungsbericht Osnabrück hat sich in seinem Urteil vom 13.01.2026 (Az. 7 A 6/24, derzeit leider noch nicht öffentlich abrufbar; BeckRS 2026, 443) mit Fragen zum Beginn der Monatsfrist nach Art. 12 Abs. 3 DSGVO befasst.

Grundsatz

Die generelle Vorgabe zur Erfüllung des Auskunftsanspruchs nach Art. 15 DSGVO findet sich in Art. 12 Abs. 3 DSGVO. Danach stellt der Verantwortliche der betroffenen Person (Informationen über die auf Antrag gemäß den Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.

„Fristauslösendes Moment ist der Antragseingang beim Verantwortlichen.“

Entscheidend ist also das Datum des Eingangs des Antrags. Im konkreten Fall war dies der 22.11.2023 – Fristablauf war daher der 22.12.2023. Die Berechnung erfolgt nicht nach nationalem Recht, sondern nach der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig für die Praxis: bestehen Zweifel hinsichtlich der Identität des Betroffenen, dann darf der Verantwortliche zusätzliche Angaben erfragen. In diesem Fall läuft noch keine Frist.

Nach Ansicht des Gerichts ist in diesem Fall „auf die Feststellung der Identität nach Art. 12 Abs. 6 DSGVO abzustellen“.

Wenn also der Verantwortliche sicher ist, dass der Betroffene auch die anfragende Person ist, beginnt die Frist zu laufen.

Anwaltliche Vertretung

Oft werden Betroffene in der Praxis anwaltlich vertreten. Wenn in diesem Fall der Verantwortliche die Vorlage einer Vollmacht verlangt (was er auf jeden Fall tun sollte), beginnt die Frist nach Ansicht des Gerichts erst

mit Vorlage der Originalvollmacht“.

Betroffener muss keinen Stichtag nennen

Es ist nicht erforderlich, dass der Betroffene im Rahmen seines Auskunftsantrages einen Stichtag benennt, zu dem die Auskunft erfolgen soll.

Wenn der Betroffene ohne weitere Ergänzungen und Anmerkungen einen normalen Auskunftsantrag stellt, ist nach Ansicht des Gerichts

grundsätzlich ohne Weiteres so auszulegen, dass er sich auf den Zeitpunkt seines Eingangs bezieht, also alle bis zu diesem Zeitpunkt stattgefundenen Datenverarbeitungen erfasst“.

Betroffener kann Umfang zeitlich eingrenzen

Jedoch gesteht das Gericht zu, dass der Betroffene, wenn er möchte, den (zeitlichen) Umfang der Auskunft einschränken kann.

Er kann seine Anfrage auf einen bestimmten Zeitraum eingrenzen,

wenn sich sein Interesse allein auf diesen Zeitraum bezieht“.

Dieser Hinweis ist für Verantwortliche in der Praxis hilfreich, insbesondere für Fälle, in denen die Auskunft theoretisch sehr umfangreich wäre. Jedoch aus den Umständen klar wird, dass es dem Betroffenen nur um Daten zu einem speziellen Thema oder aus einem bestimmen Zeitraum geht.

Was ist ein „Vertrag“ nach Art. 6 Abs. 1 b) DSGVO? BGH mit neuer Entscheidung und gegen die Auffassung des EDSA

Posted on by

Nach Art. 6 Abs. 1 b) DSGVO ist eine Verarbeitung zulässig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, ist die auf Anfrage der betroffenen Person erfolgen. Aber was ist der „Vertrag“ im Sinne der DSGVO? Mit dieser praxisrelevanten Frage hat sich jüngst der BGH in einem Urteil (10.12.2025 – II ZR 132/24) befasst. 

Hintergrund

In dem Verfahren ging es um die Frage, ob ein Mitglied eines eingetragenen Sportvereins gegenüber dem Verein einen Anspruch auf Herausgabe der E-Mail-Adressen von anderen Vereinsmitgliedern hat. Der Zweck war, die anderen Mitglieder vor einer Entscheidung über den Verkauf von Grundstücksflächen des Vereins zu kontaktieren und u.a. Gegendarstellungen zu öffentlichen Informationen des Präsidiums zu dem angedachten Verkauf zu erstellen. 

Datenschutzrechtlich interessant war die Frage, ob die Übermittlung der angefragten Mail-Adressen (personenbezogene Daten) zur „Vertragserfüllung“ zwischen dem Mitglied und dem Verein erforderlich und damit rechtmäßig ist. Hierfür war zu klären, ob überhaupt ein „Vertrag“ im Sinne der DSGVO vorliegt. Die Besonderheit in diesem Fall war, dass für den Vereinsbeitritt nach den Vorgaben der Satzung des Verantwortlichen eine Willenserklärung seitens des Vereins als Verantwortlichem für die Aufnahme eines Vereinsmitglieds nicht erforderlich war. Es fehlte hier also an den klassischen Merkmalen des Vertrages nach dem deutschen BGB, zwei korrespondieren Willenserklärungen. Grundsätzlich kommen Verträge zustande durch auf den Vertragsschluss gerichtete, einander entsprechende Willenserklärungen, in der Regel durch Angebot („Antrag“) und Annahme nach §§ 145 ff BGB (BGH, Urt. v. 07.11.2001 – VIII ZR 13/01).

Was sagt der EDSA?

In seinen Leitlinien 2/2019 zur Auslegung von Art. 6 Abs. 1 b) DSGVO ist der EDSA sehr deutlich. 

Wenn ein Verantwortlicher nicht nachweisen kann, dass a) ein Vertrag besteht, b) der Vertrag nach dem geltenden nationalen Vertragsrecht gültig ist und c) die Verarbeitung für die Erfüllung des Vertrags objektiv erforderlich ist, sollte der Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung in Erwägung ziehen.“ (Rz 25)

Die Datenschutzbehörden verlangen für die Anwendung von Art. 6 Abs. 1 b) DSGVO also für das Merkmal „Vertrag“ einen solchen, der nach dem nationalen Vertragsrecht gültig sein muss. Im Fall des BGH wäre hier also ein Vertrag nach dem BGB erforderlich. 

Entscheidung des BGH

Der BGH vertritt in seinem Urteil jedoch eine andere Ansicht. 

Entgegen der Ansicht der Revision ist der Begriff des Vertrags dabei nicht zivilrechtlich auszulegen, sondern datenschutzrechtlich und unionsautonom.“

Der BGH stellt, mit Blick auf den europarechtlichen Hintergrund der DSGVO, gerade nicht auf nationale zivilrechtliche Vorgaben ab. Vielmehr ist seiner Ansicht nach eine unionrechtsautonome Auslegung des Begriffs erforderlich. 

Weiter begründet der BGH: 

Es kommt nicht darauf an, ob das Rechtsverhältnis, zu dessen Erfüllung die Verarbeitung erforderlich ist, ein Vertrag i.S.d. Bürgerlichen Gesetzbuchs ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist.“

Für den BGH kommt es entscheidend darauf an, was der Zweck der Regelung bzw. des Begriffs „Vertrag“ nach der DSGVO ist. Wie dieser Vertrag geschlossen wird, ist für das Gericht jedoch nicht relevant. Insbesondere nicht, welche nationalen Vorgaben eventuell gelten würden. 

Damit vertritt der BGH klar eine andere Ansicht als der EDSA. Denn dieser geht in seinen Leitlinien ausdrücklich auf die Gültigkeit nach „nationalem Vertragsrecht“ ein. Eben diese Interpretation lehnt der BGH ab. 

Aus diesem Grund nimmt der BGH im konkreten Fall auch einen „Vertrag“ im Sinne der DSGVO an, obwohl keine zwei korrespondierenden Willenserklärungen vorlagen.

Maßgeblich ist allein, ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist.“ 

Der BGH geht sogar noch weiter und lässt für die Erfüllung des Tatbestandes „all jene vertragsähnlichen Konstellationen“ ausreichen, 

die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Betroffenen zurückgehen“.

Die Auslegung des BGH dürfte in der Praxis zu einem erweiterten Anwendungsbereich der Rechtsgrundlage des Art. 6 Abs. 1 b) DSGVO führen, wenn man nicht ohnehin schon zuvor den Begriff „Vertrag“ weiter, im Sinne eines Schuld- bzw. Rechtsverhältnisses verstanden hat.

Oberverwaltungsgericht: Das Recht zur Datenschutzbeschwerde erlischt mit dem Tod der betroffenen Person – kein Übergang auf die Erben

Posted on by

Das Oberverwaltungsgericht Koblenz (OVG) hat sich in seinem Urteil vom 28.11.2025 (Az. 10 A 11059/23.OVG) mit der Frage befasst, inwiefern Erben der betroffenen Person eine Datenschutzbeschwerde nach Art. 77 DSGVO bei einer Aufsichtsbehörde einreichen dürfen.

Sachverhalt

Die Klägerin ist Alleinerbin ihrer verstorbenen Ehefrau und wendet sich gegen die Beendigung ihres datenschutzrechtlichen Beschwerdeverfahrens durch die Datenschutzbehörde. Sie hatte dort zuvor um eine Bewertung einer Verarbeitung von Daten ihrer verstorbenen Ehefrau durch ein Institut und einen Professor erbeten.

Die Klägerin klagte gegen das Einstellungsschreiben der Datenschutzbehörde vor dem Verwaltungsgericht, welches die Klage abwies.

Entscheidung

Das OVG weist die Berufung der Klägerin zurück. Die Klage ist unbegründet.

Die Klägerin war nach Art. 77 Abs. 1 DSGVO nicht berechtigt, für ihre verstorbene Ehefrau eine Datenschutzbeschwerde einzureichen und daraus Rechte geltend zu machen.

Die Klägerin berufe sich zwar auf etwaige Verstöße gegen die DSGVO. Bezogen auf die in Rede stehenden Datenverarbeitungen ist sie aber weder betroffene Person nach Art. 77 Abs. 1 DSGVO noch kann sie das Beschwerderecht als Erbin ihrer verstorbenen Ehefrau geltend machen.

Die Klägerin ist nicht Betroffene im Sinne von Art. 77 Abs. 1 DSGVO, denn sie bezieht sich mit ihrer Beschwerde nicht auf die Verarbeitung ihrer eigenen personenbezogenen Daten, sondern auf die ihrer verstorbenen Ehefrau.

Die Klägerin kann auch nicht als Erbin ihrer verstorbenen Ehefrau deren Datenschutzrechte nach Art. 77 Abs. 1 DSGVO wahrnehmen. Sie ist weder nach § 1922 Abs. 1 BGB in die Betroffenenstellung der Verstorbenen eingetreten, noch ist Art. 77 Abs. 1 DSGVO und der Begriff der betroffenen Person für den vorliegenden Fall einer erweiternden Auslegung oder analogen Anwendung zugänglich. Auch eine nationale Regelung (im Sinne von Erwägungsgrund 27 Satz 2 DSGVO) zur (allgemeinen) Datenschutzbeschwerde betreffend die Daten Verstorbener besteht nicht.

Das Schutzregime der DSGVO bezieht sich grundsätzlich („nur“) auf den Schutz lebender natürlicher Personen. Der Begriff „natürliche Person“ impliziere dabei ein auf den Menschen als lebende Person zielendes Schutzkonzept. Er knüpft an die Rechtsfähigkeit des Menschen an, die grundsätzlich mit dem Tod endet. Das Verständnis, wonach die DSGVO keine Anwendung auf personenbezogene Daten verstorbener Personen findet, steht ferner in inhaltlicher Kontinuität zur Datenschutzrichtlinie 95/46/EG.

„Hiervon ausgehend geht das Recht zur Datenschutzbeschwerde nach Art. 77 Abs. 1 DSGVO grundsätzlich mit dem Tod der betroffenen Person unter. Eine übergangsfähige Rechtsposition im Sinne von § 1922 Abs. 1 BGB besteht nicht“.

Das Beschwerderecht nach Art. 77 DSGVO ist Ausfluss des in Art. 8 GRCh verbürgten Schutzes personenbezogener Daten und soll dem Betroffenen die effektive Durchsetzung „seiner“ Datenschutzrechte sichern. Eine eigene Betroffenheit, wie sie Kern des Rechts aus Art. 77 DSGVO ist und wie sie auch anderen Betroffenenrechten der Datenschutz-Grundverordnung immanent ist, liegt bei einem Erben aber gerade nicht vor.

Auch der vorgebrachte Einwand, im Verfahren nach Art. 77 DSGVO gehe es in erster Linie um eine objektive Rechtskontrolle, die losgelöst von der Person der Betroffenen auch nach deren Tod „fortgesetzt“ werden könne, verfängt auf dieser Grundlage nicht.

Denn der Schutzzweck von Art. 77 DSGVO, der effektive Schutz des Betroffenen im Anwendungsbereich der Datenschutz-Grundverordnung, kann nach dem Tod nicht mehr verwirklicht werden. Bei einer Geltendmachung des Anspruchs durch die Erben ginge es gerade nicht mehr um den Schutz der Grundrechte und der Grundfreiheiten des datenschutzrechtlich Betroffenen.

Auch das postmortale Persönlichkeitsrecht gebietet keine andere (erweiternde) Auslegung. Denn die Schutzwirkungen des (verfassungsrechtlichen) postmortalen Persönlichkeitsrechts sind nicht identisch mit denen, die sich aus dem Recht auf informationelle Selbstbestimmung lebender Personen ergeben.