Estnische Datenschutzbehörde: Direktmarketing-E-Mails mit fehlerhaftem Opt-out-Link – Kundenservice muss der betroffenen Person helfen (und sie nicht auf die App-Einstellungen verweisen)

In einer Entscheidung vom 18. Februar 2025 berichtet die estnische Datenschutzaufsichtsbehörde (DPI) über einen Fall wegen eines Verstoßes gegen Art. 7 Abs. 3 DSGVO durch ein Unternehmen.

Sachverhalt
Der Beschwerdeführer erhielt einen Newsletter an seine E-Mail-Adresse, der einen Abmeldelink enthielt, der aber nicht funktionierte. Nach Angaben des Beschwerdeführers wandte er sich mehrmals an den Kundenservice, woraufhin ihm mitgeteilt wurde, dass er seine Profileinstellungen in der App ändern müsse, um den Newsletter abzubestellen.

Der für die Verarbeitung Verantwortliche erklärte, dass alle Direktmarketing-Angebote einen Abmeldelink enthalten, der Abmeldelink gerade in der dem Beschwerdeführer zugesandten Mail jedoch einen technischen Fehler aufwies. Nach Anfrage durch die Datenschutzbehörde wurde die E-Mail-Adresse des Betroffenen dann manuell aus dem Verteiler entfernt. Das Kundenserviceteam hat jedoch die Zusendung von Direktwerbung vorher nicht manuell unterbunden, als der Betroffene den Verantwortlichen um Unterstützung bat.

Entscheidung
Die estnische Datenschutzbehörde verwarnte den Verantwortlichen nach Art. 58 Abs. 2 b) DSGVO wegen eines Verstoßes gegen Art. 7 Abs. 3 DSGVO.

Zur Begründung führte die Aufsichtsbehörde aus:

Wenn ein Opt-out-Link verwendet wird, um ein Angebot kostenlos und auf einfache Weise abzulehnen, muss sichergestellt werden, dass der Opt-out-Link funktioniert.

Wendet sich der Kunde an den Verantwortlichen und bittet um Unterstützung bei der Unterbindung von Direktwerbung, weil der Opt-out-Link nicht funktioniert oder nicht vorhanden ist, muss der Verantwortliche, wenn der Kunde dies wünscht, die Zusendung von Direktwerbung manuell unterbinden.

Der für die Verarbeitung Verantwortliche darf

den Kunden nicht anweisen, zusätzlich andere elektronische Schnittstellen (z. B. eine App) zu nutzen, wenn der Kunde dies nicht wünscht.“

Fazit
Der Fall zeigt, dass Verantwortliche auf Betroffenenanfragen nicht vorschnell ablehnend reagieren sollte, weil entsprechende Einstellungsmöglichkeiten etwa im Kundenkonto möglich sind. Nach Art. 12 Abs. 2 DSGVO hat der Verantwortliche die Ausübung der Rechte nach Art. 15-22 DSGVO zu erleichtern. Es gibt mittlerweile durchaus auch Ansichten, die für die Ausübung von Betroffenenrechten einen Verweis auf Self-Service Tools für Nutzer als zulässig ansehen. Für das Unternehmen im konkreten Fall könnte man hier auch noch in die Waagschale werfen, dass der Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO nicht in Art. 12 Abs. 2 DSGVO referenziert wird. Gleichzeitig gibt aber Art. 7 Abs. 3 DSGVO vor, dass der Widerruf der Einwilligung so einfach sein muss, wie deren Erteilung. Am Ende sollte man aus Sicht des Verantwortlichen überlegen, ob man zur Vermeidung einer Eskalation (=Beschwerde bei der Aufsichtsbehörde), entsprechende Nutzerwünsche nicht doch direkt umsetzt.

DSGVO Update: EU-Kommission plant Anpassungen der Pflicht zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten – was sind die Vorschläge?

In den letzten Monaten wurde bereits öffentlich bekannt, dass die EU-Kommission offen für eine Anpassung einzelner Pflichten der DSGVO ist und diese noch in 2025 vorschlagen möchte. Ziel soll vor allem eine Entlastung von kleinen Unternehmen und NGOs sein.

Ein konkreter Entwurf zu den Anpassungen des Gesetzes wurde noch nicht vorgelegt. Jedoch ergibt sich aus einem nun gemeinsam vom EDSA und dem EDSB veröffentlichten Brief vom 8.5.25 (PDF) an die Kommission, welche Änderungen wohl anstehen könnten. Mit dem Brief nehmen der EDSA und der EDSB Stellung zu einem „Entwurf eines Vorschlags der Kommission zur Vereinfachung der Verzeichnisführungspflicht gemäß der Verordnung (EU) 2016/679 (DSGVO)“ (Commission draft proposal on the simplification of record-keeping obligation under Regulation (EU) 2016/679 (GDPR)).

Welche Änderungen plant die Kommission?
Die vorgeschlagenen Änderungen ergeben sich quasi mittelbar aus den Antworten in dem Brief.

  • Die in Art. 30 Abs. 5 DSGVO vorgesehene Ausnahmeregelung für die Verpflichtung zur Führung von Verzeichnissen über die Verarbeitung, die derzeit für Unternehmen oder Organisationen mit weniger als 250 Beschäftigten (einschließlich kleiner und mittlerer Unternehmen oder KMU) gilt, soll auf „kleine Midcap-Unternehmen“ (SMC) ausgedehnt werden. Von der Ausnahme erfasst wären damit auch Unternehmen mit weniger als 500 Beschäftigten und einem bestimmten Jahresumsatz sowie auf Organisationen wie gemeinnützige Organisationen mit weniger als 500 Beschäftigten.

Neuerung: Anhebung der rein formellen Grenze der Beschäftigtenanzahl, ab der Unternehmen ein Verzeichnis führen müssen.

  • Zudem soll Art. 30 Abs. 5 DSGVO dahingehend geändert werden, dass diese Ausnahmeregelung nicht gilt, wenn die Verarbeitung „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“ – in der aktuellen Fassung ist lediglich von einer „Verarbeitung, die wahrscheinlich ein Risiko zur Folge hat“ die Rede.

Neuerung: Anhebung der Risikogrenze, wann ein Verzeichnis zu führen ist. Nur noch, wenn ein „hohes Risiko“ vorliegt.

  • Zudem sollen bestimmte Ausnahmen von der Ausnahmeregelung, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, gestrichen werden. Insbesondere durch Streichung der Verweise auf die gelegentliche Verarbeitung und möglicherweise auch des Verweises auf die Verarbeitung besonderer Datenkategorien.

Neuerung: Entfernen von Rückausnahmen, wie etwa wenn die Verarbeitung nur gelegentlich erfolgen würde.

  • Zudem gehen EDSA und EDSB davon aus, dass ein Erwägungsgrund klarstellen würde, dass die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung im Bereich des Beschäftigungsverhältnisses, der sozialen Sicherheit oder des Sozialschutzes (gemäß Art. 9 Abs. 2 b) DSGVO) nicht der Verpflichtung unterliegt, ein Verzeichnis dieser Verarbeitungstätigkeiten zu führen.

Neuerung: Allein die Verarbeitung von Gesundheitsdaten und ähnlichen sensiblen Informationen von Beschäftigten soll nicht zu einer Pflicht führen, ein Verzeichnis zu erstellen; solange diese Verarbeitung Bezug zum Beschäftigungsverhältnis aufweist.

Einschätzungen von EDSA und EDSB
Vorläufig unterstützen der EDSA und der EDSB die Vorschläge – vorbehaltlich einer tieferen Prüfung des finalen Vorschlags.

Völlig zu Recht wird aber auch darauf hingewiesen, dass eine solche Erleichterung bezüglich der Pflicht zur Führung des Verzeichnisses gerade nicht dazu führt, dass Organisationen und Unternehmen dann die DSGVO gar nicht mehr einhalten müssten. Natürlich gelten die übrigen Pflichten auch weiterhin. Die Anpassung der DSGVO wäre also sehr gezielt und spezifisch auf eine konkrete Pflicht.

Zudem weisen der EDSA und der EDSB darauf hin, dass selbst sehr kleine Unternehmen immer noch eine risikoreiche Verarbeitung vornehmen können und es daher wichtig ist, einen risikobasierten Ansatz beizubehalten. Nach Ansicht der Aufsichtsbehörden kann eine nicht gelegentliche Verarbeitung und die Verarbeitung besonderer Kategorien personenbezogener Daten, je nach dem Ergebnis der Bewertung aller relevanten Kriterien, immer noch zu einem wahrscheinlich hohen Risiko führen kann.

Eigene Einschätzung
Der Vorschlag der Kommission zielt insbesondere in die (auch auf nationaler Ebene angedachte) Richtung der Entbürokratisierung – im Sinne von weniger Nachweis- und Dokumentationspflichten.

Wenn diese Vorschläge tatsächlich zur Anpassung der DSGVO führen, wird in der Praxis von besonderer Bedeutung sein, wie genau und verständlich die Rückausnahmen gestaltet sind. Die Aufsichtsbehörden erwähnen bereits ein wichtiges Beispiel: so kann etwa auch ein kleines Unternehmen mit 50 Mitarbeitern dennoch verpflichtet sein, ein Verzeichnis zu führen, wenn es als Kerngeschäft (nicht nur gelegentlich) mit sensiblen Daten, etwa Gesundheitsinformationen von Kunden umgeht.

Zudem bin ich persönlich sehr gespannt darauf, wie die Politik derartige Änderungen „verkauft“. Ich ahne leider, mit Blick auf entsprechende Aussagen in der Vergangenheit, etwa zur Anhebung der Grenze zu Benennung eines Datenschutzbeauftragten in Deutschland, dass hier etwa öffentlich z.B. ganz generell von der Entlastung von datenschutzrechtlichen Pflichten gesprochen wird – wobei es sich nur um eine einzelne Pflicht nach Art. 30 DSGVO handelt. Und übrige gesetzliche Anforderungen der DSGVO weiter einzuhalten sind.

Zudem muss man als Unternehmen in jedem Fall beachten, dass die in einem Verzeichnis nach Art. 30 DSGVO enthaltenen Angaben die Umsetzungen vieler weiterer pflichten der DSGVO erleichtern. Bsp: Informationen in den Datenschutzerklärungen ach Art. 13 DSGVO decken sich zu einem guten Teil mit Angaben aus dem Verzeichnis nach Art. 30 DSGVO. Nur weil ein Unternehmen das Verzeichnis nach Art. 30 DSGVO nicht mehr vorhalten muss, bedeutet dies aber nicht, dass es nicht mehr seine Mitarbeiter oder Kunden nach Art. 13 DSGVO informieren müsste – diese Angaben müssen trotzdem erfolgen und das bedeutet, dass Unternehmen diese Informationen trotzdem intern irgendwie und irgendwo zusammensammeln müssen. Eine konsistente Reform der DSGVO müsste also bei den Erleichterungen eigentlich durch verschiedene Pflichten gehen, um tatsächlich weniger Aufwand für Unternehmen zu erreichen.

Landesarbeitsgericht: Ausschluss eines Betriebsratsmitglieds aus dem Betriebsrat wegen eines groben Verstoßes gegen datenschutzrechtliche Pflichten

Welche Folgen kann ein gesetzwidriger Umgang mit Beschäftigtendaten für Betriebsratsmitglieder haben? In gravierenden Fällen kann der Arbeitgeber den Ausschluss des Mitglieds aus dem Betriebsrat verlangen (§ 23 Abs. 1 BetrVG). Einen solchen Fall hatte das Landesarbeitsgericht Hessen (LAG) hat mit Beschluss vom 10.3.2025 (Az. 16 TaBV 109/24) zu entscheiden. Das LAG bestätigte eine Entscheidung des Arbeitsgerichts Wiesbaden, wonach ein Betriebsratsmitglied wegen grober Verstöße gegen datenschutzrechtliche Pflichten aus dem Betriebsrat auszuschließen ist. 

Sachverhalt

Im September 2023 stellte der Arbeitgeber fest, dass im dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisiert an dessen (private) GMX-Adresse weitergeleitet werden. Der Arbeitgeber sah hierin einen Datenschutzverstoß und erteilte dem Betriebsratsvorsitzenden eine Abmahnung. 

Danach stellte der Arbeitgeber erneut fest, dass der Betriebsratsvorsitzende unter anderem Termine an eine neue private E-Mail-Adresse weitergeleitet hat. Zudem wurde ermittelt, dass eine E-Mail mit einer vollständigen Personalliste von der privaten E-Mail-Adresse des Betriebsratsvorsitzenden an seinen dienstlichen E-Mail Account sowie an die E-Mail-Adresse des Betriebsrats versandt wurde. Diese E-Mail enthielt eine Excel-Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern.

Damit dies möglich war, musste der Betriebsratsvorsitzende diese Personalliste vorher von seinem dienstlichen E-Mail Account als Mitarbeiter oder von dem des Betriebsrats an seine private E-Mail-Adresse verschickt haben. Diese E-Mail hat der Betriebsratsvorsitzende (auch aus dem -elektronischen- Papierkorb) gelöscht.

Danach beantragte der Arbeitgeber beim Arbeitsgericht den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat.

Der Betriebsratsvorsitzende und der Betriebsrat haben behauptet, der Betriebsratsvorsitzende habe die E-Mail vom 07.11.2023 nur deshalb an seinen privaten E-Mail-Account geschickt, um eine zeitnahe Bearbeitung der Excel-Tabelle zu Hause auf seinem größeren Bildschirm zu ermöglichen. Nach erfolgter Bearbeitung habe er die Daten vollständig auf seinen privaten Speichermedien gelöscht. Er habe seinen Betriebsratskollegen eine Gegenüberstellung der aktuellen Betriebsvereinbarung „Vergütungsordnung“ und dem Entwurf des Betriebsrats sowie der Konzern- Rahmenvereinbarung für die Betriebsratssitzung zur Verfügung stellen wollen.

Das Arbeitsgericht gab dem Antrag des Arbeitgeber statt, wogegen der Betriebsrat und der Vorsitzende Beschwerde einlegten.

Entscheidung

Das LAG lehnt die Beschwerden des Betriebsratsvorsitzenden und des Betriebsrats als unbegründet ab. 

Datenschutzrechtliche Pflichten des Betriebsrates

Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten.

Das LAG geht daher davon aus, dass der Betriebsrat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten hat.

Im konkreten Fall lag durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail-Account mindestens eine Erhebung der Daten im Sinne von Art. 4 Nr. 2 DSGVO vor. 

Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.“

§ 26 Abs. 1 BDSG unionsrechtswidrig?

Das LAG befasst sich zunächst kurz mit der Frage, ob § 26 Abs. 1 BDSG, nach dem Urteil des EuGH vom 30.3.2023 zu § 23 HDSIG, noch angewendet werden darf – oder als unionrechtswidrig anzusehen und damit nicht anwendbar ist.  

Im Ergebnis lässt das LAG die Frage offen und prüft die Rechtsmäßigkeit der Datenverarbeitung durch den Betriebsratsvorsitzenden sowohl nach § 26 Abs. 1 BDSG als auch nach den direkt anwendbaren Vorgaben der Art. 5 und 6 DGSVO. 

Jedoch zeigt das LAG klare Tendenzen dafür, dass § 26 Abs. 1 BDSG wohl nicht mehr angewendet werden kann:

Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.“

Keine Erforderlichkeit der Verarbeitung

Im Falle einer Anwendung von § 26 Abs. 1 S. 1 BDSG geht das LAG von dem Fehlen der Erforderlichkeit der Weiterleitung der Daten an die private E-Mail-Adresse aus. 

Es wäre des Betriebsratsvorsitzenden möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten.

Die Weiterleitung auf private Systeme, sieht das LAG hier daher keine Veranlassung.

Verstöße gegen Art. 5 und 6 DSGVO

Zunächst geht das LAG von einem Verstoß gegen Art. 5 Abs. 1 a) DSGVO aus. Die Verarbeitung muss auf „rechtmäßige Weise“ erfolgen. Dies bedeutet u.a., dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruhen muss.

Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür.“

Zudem erfolgte die Verarbeitung der Daten nicht in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. 

„Auch eine derartige Information der Beschäftigten ist nicht erfolgt.“ 

Die Betroffenen hatten keine Kenntnis von der Weiterleitung ihrer Daten. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail-Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.

Zudem geht das LAG bei der Weiterleitung der personenbezogenen (Entgelt-) Daten sämtlicher Beschäftigter an die private E-Mail-Adresse von einem Verstoß gegen Art. 5 Abs. 1 c) DSGVO (Grundsatz der Datenminimierung) aus. Dieser Grundsatz wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, 

weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und -wie ausgeführt- keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.“

Zuletzt prüft das LAG, ob eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Weiterleitung vorlag. 

Weder lag eine Einwilligung der Beschäftigten vor, noch bestand eine rechtliche Verpflichtung, die Daten an die private E-Mail-Adresse zu senden. 

Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.“

Auch eine Rechtfertigung auf der Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO lehnt das LAG ab. 

Grober Verstoß im Sinne des § 23 BetrVG

Zuletzt teilt das LAG auch die Ansicht des Arbeitsgerichts, dass die Pflichtverletzung im vorliegenden Fall auch „grob“ im Sinne von § 23 Abs. 1 BetrVG war. 

Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte.“ 

Das LAG stellt hierbei auf die Art und damit die Sensibilität der Daten ab. Mit dem Umgang solcher Daten müsse allergrößte Sensibilität verbunden sein. 

Zum wertet das LAG negativ, dass dem Betriebsratsvorsitzenden bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail-Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. 

Zuletzt verweist das LAG auch auf das persönliche Fehlverhalten des Betriebsratsvorsitzenden. Dieser zeigte sich als unbelehrbar.

Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen.“