Monthly Archives: März 2025

LG Wiesbaden: wann liegt eine „besondere Situation“ für einen Widerspruch gegen die Datenverarbeitung nach Art. 21 Abs.1 DSGVO vor?

Posted on by

In seinem Urteil vom 19.02.2025 (Az: 3 O 269/24) befasst sich das Landgericht Wiesbaden u.a. mit der praxisrelevanten Frage, unter welchen Bedingungen betroffene gegen eine Datenverarbeitung Widersprich nach Art. 21 Abs. 1 DSGVO einlegen können und welche Anforderungen für eine Unterlassung der weiteren Verarbeitung erfüllt sein müssen.

Sachverhalt

In dem Verfahren ging es um einen Betroffenen, der die Löschung der im Datenbestand gespeicherten Einträge samt Forderungsverlauf, die Unterlassung erneuter Speicherung sowie die Zahlung eines Schmerzensgeldes von der beklagten Wirtschaftsauskunftei forderte. Unter anderem stellte sich für die Löschung der Daten nach Art. 17 Abs. 1 c) DSGVO die Frage, ob der Betroffene wirksam nach Art. 21 Abs. 1 DSGVO widersprochen hatte und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.

Praxisrelevant waren hier vor allem die Ansichten des Gerichts zu dem Merkmal „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ des Widerspruchrechts aus Art. 21 Abs. 1 DSGVO.

Entscheidung

Zunächst legt das Landgericht seine Ansicht des Zweck der Vorschrift dar.

Der Widerspruch dient als Korrektiv im Einzelfall, indem er eine rechtmäßige Datenverarbeitung ausnahmsweise unterbindet“.

Diese Auslegung gibt natürlich schon einmal die Richtung vor, wie das Betroffenenrecht aus Sicht des Gerichts zu verstehen ist. Nämlich als Ausnahme von der Zulässigkeit der Verarbeitung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Das Landgericht geht daher davon aus, dass für die Wirksamkeit eines Widerspruchs

eine atypische Situation etwa rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur vorliegen

muss. Das Gericht geht mithin davon aus, dass ein Widerspruch gerade nicht immer und voraussetzungslos zur Unterbindung der Verarbeitung führt. Zudem müssen Betroffene besondere Umstände geltend machen, warum die Datenverarbeitung nicht fortgesetzt werden darf. Auch müsse die betroffene Person ihren Widerspruch mit konkreten Tatsachen begründen und hat auf Verlangen des Verantwortlichen Nachweise beizubringen. Ein einfaches „ich widerspreche der Datenverarbeitung“ reicht also (anders als im Fall der Datenverwendung für Zwecke der Direktwerbung, Art. 21 Abs. 2 DSGVO) nicht aus.

Im konkreten Fall sieht das Landgericht diese Anforderungen durch den Betroffenen nicht als erfüllt an. Der Kläger habe eine solche atypische Situation, aufgrund derer eine fortdauernde Verarbeitung unzumutbar wäre, nicht dargelegt. So hatte der Betroffene etwa Schwierigkeiten bei der Anmietung einer neuen Wohnung vorgebracht.

Die Erschwerung der Anmietung einer größeren Wohnung sind gerade keine individuellen Schwierigkeiten, die den Kläger von sonstigen Schuldnern unterscheiden. Es handelt sich dabei vielmehr gerade um die typischen Folgen früheren nicht vertragsgemäßen Zahlungsverhaltens“.

Das Gericht geht im Ergebnis davon aus, dass es dem Kläger daher zumutbar ist, mit der Anmietung einer neuen Wohnung bis zur Löschung der Einträge zuzuwarten. Überwiegende Interessen des Klägers ergeben sich daher aus den von ihm geschilderten Umständen unter keinem rechtlichen Gesichtspunkt.

OLG Stuttgart zum Mitarbeiterexzess: DSGVO-Bußgeld gegen Angestellte

Posted on by

Das OLG Stuttgart hat sich in seinem Beschluss (25.2.2025, 2 ORbs 16 Ss 336/24) mit dem sog. Mitarbeiterexzess im Datenschutzrecht befasst. Praxisrelevant ist hierbei die Einordnung durch das OLG, wann Mitarbeiter, die für arbeitsfremde Zwecke personenbezogene Daten verarbeiten, selbst zu Verantwortlichen werden  – und damit potentiell auch zu Adressaten von DSGVO-Bußgeldern.

Sachverhalt

Im konkreten Fall hatte das Amtsgerichts einen als Polizeibeamten beschäftigte Betroffene zu einem Bußgeld von 1.500 EUR verurteilt. Der Beamte rief von seinem Dienstrechner auf dem Polizeirevier im polizeilichen Informationssystem „POLAS“ Daten über einen damaligen Kollegen ab, der sich zu dieser Zeit in Untersuchungshaft befand, ohne – wie der Beamte wusste – dass es für die Abfrage einen dienstlichen Anlass gab.

Entscheidung

Das OLG bestätigt die Entscheidung des Amtsgerichts.

Im Grundsatz geht das OLG davon aus, dass Mitarbeiter ohne Leitungsfunktion keine Verantwortlichen im Sinne der DSGVO sind, wenn sie mit personenbezogenen Daten umgehen. Jedoch wird darüber diskutiert, ob sich unterstellte Mitarbeiter, die bei der Datenverarbeitung ihre Befugnisse überschreiten (sog. Mitarbeiterexzess), sich zu Verantwortlichen aufschwingen und damit Adressaten der Haftungs- und Bußgeldvorschriften gem. Art. 82, 83 DSGVO werden.

Für seine Begründung verweist das OLG u.a. auf die Leitlinien 7/2020 des EDSA.

Erfolgt der Datenschutzverstoß – wie vorliegend – bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person“.

Die Ansicht des OLG ist hier relevant, da das Gericht die Handlung des Mitarbeiters erst gar nicht als vom Arbeitsverhältnis umfasst sieht. Daher geht es auch davon aus, dass keine weisungswidrige Handlung (also gegen die Vorgaben des Arbeitsverhältnisses) erfolgt. Sondern:

Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung“.

Daher ist auch ein zum Teil aus Art. 28 Abs. 10 DSGVO gezogener Umkehrschluss, dass eine Regelung zu Mitarbeitern die weisungswidrig agieren in der DSGVO (anders als für Auftragsverarbeiter) fehle, nach Ansicht des OLG nicht tragfähig. Das Gericht geht vielmehr davon aus, dass der Mitarbeiter quasi gar nicht als unterstelle Person handelt, sondern direkt als eigener Verantwortlicher.

Oberverwaltungsgericht: Kein Anspruch des Betroffenen auf Vorlage und Prüfung von Auftragsverarbeitungsverträgen

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 21.02.2025 (Az 7 ZB 24.651) eine vorangegangene Entscheidung des Verwaltungsgerichts München zur Frage der Einsichtnahme von Betroffenen in Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestätigt.

Sachverhalt

Der Kläger verlangte Einsicht in Auftragsverarbeitungsverträge, die der Beklagte (der Bayerische Rundfunk mit einem Inkassounternehmen geschlossen hatte. Das Unternehmen war mit der Beitreibung von Rundfunkbeiträgen beauftragt worden. Die Einsicht in den Vertrag lehnte der Beklagte ab.

Das Verwaltungsgericht wies die daraufhin erhobene Klage ab und begründete dies im Wesentlichen damit, dass keine Anspruchsgrundlage für den geltend gemachten Anspruch auf Einsichtnahme existiere.

Entscheidung

Nach Ansicht des VGH besteht für den Betroffenen kein berechtigtes Interesse an der Einsichtnahme in den zwischen dem Beklagten und dem Unternehmen gemäß Art. 28 DSGVO geschlossen Auftragsverarbeitungsvertrag.

Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DSGVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde“.

Das Gericht argumentiert, dass für die Überwachung der Anwendung der DSGVO gemäß Art. 51 Abs. 1 DSGVO die Aufsichtsbehörde zuständig ist – aber nicht Private. Zu den Aufgaben der Aufsichtsbehörde gehört gemäß Art. 57 Abs. 1 Buchst. a DSGVO die Überwachung und Durchsetzung der Anwendung der DSGVO.

Die Aufsichtsbehörde kann gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DSGVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung prüfen und die hierzu eingeräumten Befugnisse nach Art. 58 DSGVO nutzen.

Dem Betroffenen selbst ist hingegen nach Art. 15 DSGVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt.

Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.“

Neues Urteil des BGH zum DSGVO-Schadenersatz: Kein Schadenersatz für unverlangte Werbe-E-Mail ohne Kontrollverlust oder begründete Befürchtung

Posted on by

In der deutschen Rechtsprechung wird weiter an der Anwendung der Vorgaben des BGH aus seinem Urteil vom 18.11.2024 – VI ZR 10/24 zur Berechnung eines möglichen immateriellen Schadens im Rahmen von Art. 82 DSGVO „gearbeitet“. So etwa das OLG Celle (hier der Beitrag im Blog).

Doch auch der BGH selbst ist weiterhin mit der Auslegung und Anwendung der Vorgaben des Art. 82 DSGVO beschäftigt. In einem neuen Urteil (28.01.2025 – VI ZR 109/23) nutzt das Gericht die Gelegenheit, seine Interpretation der Vorschrift und insbesondere der Anforderungen für einen Schadenersatzanspruch noch einmal zu schärfen.

Sachverhalt

In dem Fall ging es ganz grob um eine Werbe-E-Mail, die ein Käufer von einem Verkäufer nach erfolgtem Kauf eines Produkts erhalten hatte. Eine Einwilligung des Käufers lag wohl nicht. Der Käufer forderte Unterlassung und für die unverlangte Werbe-E-Mail 500 EUR Schadenersatz nach Art. 82 DSGVO. Hierauf reagierte der Verkäufer nicht mehr.

Entscheidung

Der BGH lehnt, mit der Ansicht des Berufungsgerichts (LG Rottweil), einen Anspruch auf immateriellen Schadenersatz ab. Er lehnt den Anspruch ab, weil der Kläger einen immateriellen Schaden bereits nicht hinreichend dargelegt hatte.

Der Kläger argumentierte:

  • durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien;
  • er habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe.

Nach Ansicht des BGH hat das Berufungsgericht den Vortrag des Klägers aber zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens angesehen.

Hierbei stützt sich der BGH auf drei Aspekte, die für Auftragsverarbeiter und Verantwortliche in der Praxis als relevante Kriterien beachtet werden sollten, wenn sie selbst von Schadenersatzklagen betroffen sind.

1) Es liegt kein ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor

2) Die vom Kläger geäußerte Befürchtung eines Kontrollverlusts wurde nicht substantiiert dargelegt

3) Es wurden keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe.

1) Kein Kontrollverlust bei unzulässiger Werbe-E-Mail

Der BGH verweist auf die Rechtsprechung des EuGH und natürlich sein Urteil aus November 2024, wonach

schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert“.

Aber, und dieser Hinweis ist meines Erachtens wichtig: natürlich muss

auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat“.

Ein behaupteter Kontrollverlust reicht also für den BGH nicht aus. Erst wenn dieser Nachweis erbracht ist (der Kontrollverlust feststeht),

stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person“.

Zu dieser Interpretation des BGH wurde schon nach seinem Urteil aus November diskutiert, da man die Rechtsprechung des EuGH ggfs. auch anders verstehen mag. Jedoch macht der BGH hier deutlich, dass zwar einerseits der nachgewiesene Kontrollverlust von Daten ein Schaden sei – diesen Nachweis muss aber der Kläger erbringen.

Und im konkreten Fall gelang dem Kläger genau dieser Nachweis allein aufgrund der E-Mail nicht.

Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall“.

2) Begründete Befürchtung kann ausreichen – die bloß behauptete Befürchtung aber nicht

Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht nach Ansicht des BGH jedoch

die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen“.

Hier schafft der BGH eine Art Alternative zu dem nicht nachweisbaren Kontrollverlust – den begründet befürchteten Kontrollverlust. Der Betroffene kann einen Schaden dadurch begründen, dass der „begründete Befürchtungen“ zum Missbrauch seiner Daten geltend macht. Wichtig ist hierbei das Merkmal „begründet“.

Nach Auffassung des BGH genügt nämlich

die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten“,

um einen Schaden nachzuweisen.

Der Kläger argumentierte im konkreten Fall, die Befürchtung ergebe sich daraus, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe.

Diese Argumentation lehnt der BGH jedoch ab. Denn hierdurch werden nur die Befürchtung weiterer Verstöße gegen die DSGVO durch den Beklagten dargelegt. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen.

Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß.“

Auch diese Ansicht des BGH ist für die Verteidigungssicht gegen Art. 82-Ansprüche sehr wichtig. Der BGH prüft ganz genau, was der Grund der Befürchtung für einen Kontrollverlust ist. Sind es weitere Verstöße, fehlt es an der Kausalität für den konkret geltend gemachten Schaden.

3) Keine Reaktion ist noch kein Schaden

Zuletzt argumentierte der Kläger, ein immaterieller Schaden liege in der Missachtung der Forderungen des Klägers, die sich auch in der fehlenden Reaktion des Beklagten zeige.

Auch diese Argumentation teilt der BGH nicht. Erneut verweist er darauf, dass die Übersendung der Werbe-E-Mail allenfalls den gerügten Verstoß gegen die DSGVO begründe.

Allein der Verstoß ist aber eben noch kein Schaden. Der Verstoß

reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen“. Und die unterbliebene Reaktion des Beklagten

könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen“.