Monthly Archives: November 2025

„Ausblenden“ von Daten ist kein Löschen nach der DSGVO – Gericht: Stammdatensoftware der Bundesagentur für Arbeit nicht datenschutzkonform

Posted on by

Personenbezogene Daten müssen irgendwann gelöscht werden. Art. 17 Abs. 1 DSGVO sieht sowohl ein Recht auf Löschung als auch eine Pflicht vor, Daten zu löschen, wenn keine Ausnahmesituation nach Art. 17 Abs. 3 DSGVO vorliegt – etwa, weil die Daten noch zur Erfüllung einer rechtlichen Verpflichtung gespeichert werden müssen. Der EuGH hat zu dem korrespondieren Datenschutzgrundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO festgestellt, dass „dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind“ (Rs. C‑446/21, Rz. 56). 

In der Praxis stellt das Thema „Löschen von Daten“ Verantwortliche und Auftragsverarbeiter oft vor faktische Probleme. „Wir können gar nicht löschen“, ist zu hören. „Unsere Software sieht eine Löschung nicht vor“. 

Genau solch einen Fall hatte kürzlich das Sozialgericht Dresden zu entscheiden (Urt. v. 22.10.2025 – S 15 SF 304/24 DS). Das Pikante an dem Verfahren: in Rede stand dort das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA).

Sachverhalt

Die Klägerin des Verfahrens betreute verschiedene Personen ausländischer Herkunft bei der Beantragung von Leistungen bei dem beklagten Jobcenter. So erbat sie z.B. unter Vorlage einer Schweigepflichtentbindungserklärung von dem Beklagten Informationen zu einer Klientin. Der Beklagte führt seine Verwaltungsakten elektronisch und nutzt dazu verpflichtend das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA). Darin war die Klägerin aufgrund früherer eigener Antragsvorgänge mit ihrer Privatadresse gespeichert.

Nach einem Datenschutzvorfall beantragte die Klägerin die Löschung ihrer Privatadresse und persönlichen Daten aus der Verwaltungsakte der Klienten.

Der Beklagte argumentierte, dass Dokumente/Schriftstücke/Vorblätter, die die private Anschrift der Klägerin enthielten, in der elektronischen Akte der Klienten „ausgeblendet“ seien. Damit werde dem Löschanspruch nach Art. 17 DSGVO nachgekommen. Der Beklagte weigere sich nicht, das Löschen vorzunehmen, es sei einfach technisch nicht möglich. Um den datenschutzrechtlichen Bestimmungen trotz der rechtlichen Vorgaben nachkommen zu können, gebe es in der elektronischen Akte die Funktion des Ausblendens von Dokumenten. Dieses Verfahren werde im Vier-Augen-Prinzip durchgeführt. Ein Einblenden der Dokumente ist zwar grundsätzlich wieder möglich, benötige aber ebenso wieder zwei Personen. Eine Löschung von einmal zu den Akten verfügten Dokumenten sei aufgrund kassenrechtlicher Vorgaben des Bundesministeriums für Finanzen untersagt und das Löschen technisch nicht mehr möglich.

Entscheidung

Das Gericht geht in seiner Entscheidung davon aus, dass die personenbezogenen Daten der Klägerin (jedoch nur die private Adresse) gelöscht werden müssen und bisher nicht entsprechend der DSGVO gelöscht wurden. Bezüglich der privaten Adresse sei eine unrechtmäßige Verarbeitung von Daten erfolgt.

Zum Begriff des „Löschens“ stellt das Gericht zunächst fest, dass

ein Ausblenden der Daten mit der technischen Möglichkeit des Wiedereinblendens jedoch kein Löschen i.S. von Art. 17 DSGVO“ darstelle.

Die DSGVO selbst enthalte keine Definition des Begriffs „Löschen“. Der Vorgang des „Löschens“ werde in Art. 4 Nr. 2 DSGVO neben der „Vernichtung“ als eine Form der Verarbeitung genannt.

Unter „Vernichtung“ versteht das Gericht die körperliche Zerstörung des Datenträgers und eine endgültige Löschung der personenbezogenen Daten.

Löschen ist – ohne zwingende körperliche Zerstörung – der Entzug des Personenbezuges in den Daten mit dem Ziel der (faktischen) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen, so dass die personenbezogenen Daten nicht mehr Gegenstand der (produktiven) Datenverarbeitung sind und dies irreversibel sicherzustellen ist„.

Das Gericht geht davon aus, dass „Löschen“ verschiedene Formen haben kann, wie z.B. die vollständige Zerstörung des Datenträgers oder die Löschung von Verknüpfungen oder Codierungen, die zur Wahrnehmung der Information erforderlich sind, wie etwa das Löschen eines Eintrags in einer Pseudonymliste oder andere Formen des dauerhaften Nichtzugriffs wie z.B. das Schwärzen.

Was jedoch nicht genügt

„… sind dagegen Beschränkungen der Verarbeitung i.S. von Art. 18 DSGVO, weil ein dauerhafter Zugriffsausschluss darin nicht enthalten ist„.

Das Ausblenden mit dem vom Beklagten genutzten Programm führe hier gerade nicht zu einem endgültigen Zugriffsausschluss. Vielmehr ist es nach den derzeitigen technischen Begebenheiten nur nicht mehr möglich, die Daten zu sehen. Allerdings bestehe technisch auch nach Ausblendung der Daten die Möglichkeit, dass zwei Führungskräfte oder deren Stellvertreter die ausgeblendeten Daten wieder sichtbar machen können.

Die Möglichkeit des Wiedereinblendens widerspricht dem Löschungsprinzip der DSGVO.“

Das Jobcenter hatte vorgebracht, dass es die Daten ja eigentlich löschen wollen würde und sich nicht weigere, das Löschen vorzunehmen.

„… es sei einfach technisch nicht möglich„.

Dieses faktische Argument lässt das Gericht jedoch mit klaren Worten nicht gelten und verweist in seiner Begründung unter anderem auf die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung“).

Die technischen Programme haben die geltenden Gesetze und Betroffenenrechte umzusetzen (vgl. auch Art. 25 DSGVO) und nicht anders herum. Insofern ist es Aufgabe des Beklagten bzw. der Bundesagentur für Arbeit, sein Programm zur Nutzung seiner elektronischen Akte so umschreiben zu lassen, dass ein irreversibles Löschen technisch tatsächlich auch erfolgen kann„.

Einen ebenfalls geltend gemachten Schadenersatzanspruch nach Art. 82 DSGVO lehnt das Gericht meines Erachtens jedoch zurecht ab. Insbesondere ein Kontrollverlust liege nicht vor. Mit dem derzeitigen Ausblenden bestehe eine begründete Befürchtung der Betroffenen bzgl. dieses Kontrollverlustes nicht. Die Privatadresse sei bereits ausgeblendet und kann weder von dem Klienten noch von einem Mitarbeiter des Beklagten alleine wieder eingeblendet werden.

Fazit

Überträgt man diesen Fall und die Ansichten des Gerichts auf den privatwirtschaftlichen Bereich von Unternehmen, dürfte schnell klar werden, dass Verantwortliche bei dem Einsatz von Software, in der personenbezogene Daten verarbeitet werden, als Anforderungsmerkmal darauf achten sollten, dass Daten gelöscht werden können. Wie das Gericht aufzeigt, bedeute dies nicht zwingend eine elektronische / physische Zerstörung. Auch eine Anonymisierung kann den Personenbezug endgültig entfernen.

Meiner Erfahrung nach ist jedoch extrem wichtig, dass Verantwortliche bereits bei der Entwicklung und noch mehr im (IT)Einkaufsprozess darauf achten, dass anzuschaffende Software die Grundprinzipien der DSGVO umsetzen kann. Es lohnen sich hierbei durchaus auch einmal konkrete Nachfragen an den Hersteller (und ja, mir ist bewusst, dass dies nicht in jeder Situation möglich ist).

Wichtig zu beachten ist zudem, dass die Softwarehersteller selbst oft gar nicht in den Anwendungsbereich der DSGVO fallen, da sie nicht zwingend als Verantwortliche agieren, wenn ihr Produkt durch Kunden genutzt und mit Daten gefüllt wird. Der „Verantwortliche“ nach der DSGVO ist in diesem Fall zumeist der Kunde, der die Software für die Datenverarbeitung verwendet.

 

Kontaktaufnahme per E-Mail oder Kontaktformular: bitte ohne Einwilligung

Posted on by

Immer wieder lese ich im Internet Datenschutzhinweise, in denen etwas steht wie:

„Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über die auf der Webseite angegebene E-Mailadresse des Kundenservice Kontakt aufzunehmen. Ihre Angaben werden zur Beantwortung Ihrer Anfrage verarbeitet. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit uns erfolgt nach Art. 6 Abs. 1 S. 1 lit. a DSGVO auf Grundlage Ihrer freiwillig erteilten Einwilligung.“

Ähnliche Texte gibt es auch zur Kommunikation via Kontaktformular (was ja im Hintergrund oft auch nur eine Mail auslöst).

Verwendung ohne Not

Und jedes Mal, wenn ich solche Angaben lese, denke ich: ihr glaubt doch nicht wirklich, dass so eine Kontaktaufnahme als Einwilligung nach Art. 6 Abs. 1 DSGVO gewertet werden kann? Wie soll das gehen? Wie dokumentiert ihr die Einwilligung? Wo findet man den Text der Einwilligungserklärung?

Wie so oft im Datenschutzrecht, werden solche Placebo-Hinweise aus Un- und fehlender Fachkenntnis oder mangelndem Willen zur richtigen Beratung in der Sache einfach „rausgefeuert“. Oft auch übernommen aus falschen Standardmustern.

Mit potentiellen Risiken

Für die Unternehmen, Vereine oder öffentliche Stellen, die solche Hinweise verwenden, kann dies (im worst case) durchaus negative Konsequenzen haben. Bsp: jemand ist mit dem Kundenservice nicht zufrieden und beschwert sich bei der Aufsichtsbehörde. Diese schreibt dem Verantwortlichen und fragt etwa nach der Rechtsgrundlage der Verwendung der Daten des Anfragenden. Wenn man nun antwortet „Einwilligung“, dann wird man diese im Zweifel auch nachweisen können müssen. Kann man aber nicht. Wenn man antwortet, „Sorry, wir haben uns vertan. Es ist doch eine andere Rechtsgrundlage“, dann hat man in den Datenschutzhinweisen falsch informiert. Beide Ergebnisse sind nicht gut – und absolut vermeidbar.

Es geht sehr viel ohne Einwilligung

Für mich sind solche Situationen (Anfrage von interessierten Personen per Mail oder Kontaktformular) aber eigentlich ein Paradebeispiel der Rechtsgrundlage nach Art. 6 Abs.  1 f) DSGVO, also der Interessenabwägung. Und für öffentliche Stellen dann ggfs. noch nach Art. 6 Abs. 1 e) DSGVO, zur Aufgabenwahrnehmung.

Nach ErwG 47 DSGVO sind vor allem zwei Aspekte bei Art. 6 Abs. 1 f) DSGVO relevant:

  • Vernünftige Erwartungen des Betroffenen: gerade in der oben beschrieben Situation weiß doch der Betroffene, dass er Kontakt aufnimmt. Er weiß auch, dass seine Angaben zur Kommunikation genutzt werden. Er erwartet diese Datenverwendung auch.
  • Kann der Betroffene absehen, „dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“: ja natürlich kann er das. Denn er initiiert die Kontaktaufnahme.

Und auch Art. 6 Abs. 1 b) DSGVO, also die Anbahnung eines Vertrags oder die Durchführung (Kommunikation mit Kunden) kann je nach Situation als Rechtsgrundlage dienen.

Auch deutsche Aufsichtsbehörden sind bei der Frage der Rechtsgrundlage gegen die Einwilligung.

Die hessische Datenschutzbehörde (TB 2024, S. 127) geht etwa davon aus: „Hier ist ganz deutlich Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO die passende und richtige Rechtsgrundlage für die Datenverarbeitung…“. Eine „Einwilligung der Dienstenutzenden in die Verarbeitung ihrer Daten ist in solchen Fällen offensichtlich nicht notwendig“.

Zu Kontaktformularen auf Websites vertritt etwa das BayLDA (TB 2017/18, S. 56) die Ansicht: „Grundsätzlich bedarf es keiner Einwilligung durch den Nutzer, da die Datenverarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt werden kann“.

Natürlich muss man neben der Rechtsgrundlage auch die übrigen Vorgaben der DSGVO beachten (etwas den Grundsatz der Datenminimierung bei Kontaktformularen, also welche Daten man von Betroffenen erfragt). Aber auch dies ist meiner Erfahrung nach wirklich kein Hexenwerk.

Externe „Spam-Mail“ zu einer Sicherheitslücke: Österreichische Datenschutzbehörde verhängt Bußgeld gegen Unternehmen wegen unterlassener Meldung einer Datenpanne

Posted on by

Am 4. September 2025 erließ die österreichische Datenschutzbehörde (DSB) eine Entscheidung in einem Fall, in dem ein Unternehmen es versäumt hatte, die DSB gemäß Art. 33 DSGVO über eine Datenschutzverletzung zu informieren.

Sachverhalt

Eine unbekannte Person entdeckte eine Sicherheitslücke auf der Subdomain der Website des Unternehmens, die es aufgrund fehlender technischer Sicherheitsvorkehrungen ermöglichte, personenbezogene Daten (u. a. Namen, E-Mail-Adressen, Telefonnummern, Geschlecht) zu extrahieren. Die Person informierte das Unternehmen per E-Mail, doch die Nachricht wurde von einer Mitarbeiterin fälschlicherweise als Spam behandelt und erreichte weder die Geschäftsleitung noch die IT-Abteilung. Nachdem keine Antwort erfolgt, schickte eine andere Person (Vertreter eines Vereins) eine zweite E-Mail, diesmal mit der österreichischen DSB in „CC“.

Das Unternehmen handelte daraufhin schnell, um die Sicherheitslücke zu schließen, und die Person, die die Sicherheitslücke gemeldet hatte, bestätigte die Löschung aller Dateien, auf die sie zugegriffen hatte. Die IT-Abteilung des Unternehmens dokumentierte den Vorfall, aber das Unternehmen meldete keine Datenschutzverletzung an die DSB.

Entscheidung der Datenschutzbehörde

Die DSB leitete eine Untersuchung ein und fragte das Unternehmen, warum sie nicht gemäß Art. 33 DSGVO über die Verletzung informiert worden sei. Das Unternehmen argumentierte, dass keine weitere Benachrichtigung erforderlich sei, da die Datenschutzbehörde bereits in der zweiten E-Mail in „CC“ gesetzt wurde.

Die DSB widersprach dieser Ansicht und stellte klar, dass eine externe E-Mail über ein potenzielles Sicherheitsproblem keine gültige Benachrichtigung gemäß Art. 33 DSGVO darstellt. Art. 33 DSGVO enthalte keine Ausnahme für einen solchen Fall, dass Dritte die Aufsichtsbehörde über eine Datenschutzverletzung informieren.

Wenn eine dritte Person die DSB über einen Vorfall informiert, handelt es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden.“

Zudem ging es noch um die Frage, wann der Verantwortliche Kenntnis von der Datenschutzverletzung erlangte – mit der ersten „Spam-Mail“ oder aber erst mit der zweiten Mail?

Die DSB geht davon aus, dass der Verantwortliche bereits durch den ersten Hinweis, welcher von einer Mitarbeiterin als „Spam-Nachricht“ eingestuft wurde, Kenntnis erlangte. Die unterlassene interne Weiterleitung der Nachricht, muss sich der Verantwortliche zurechnen lassen.

Die Beschuldigte übersieht hierbei, dass das Verhalten ihrer Arbeitnehmerin ihr unmittelbar zugerechnet wird. Für die Strafbarkeit nach Art. 83 DSGVO ist im Falle einer juristischen Person nämlich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans erforderlich“.

Fazit

Natürlich werden in der Praxis nicht alle Hinweise auf eine mögliche Sicherheitsverletzung wirklich echt sein. Jedoch sollten Verantwortliche darauf achten, interne Vorgaben und Prozesse vorzuhalten, dass die Einschätzung darüber, ob eine solche Nachricht „echt“ ist, durch fachliche geschulte Mitarbeiter, etwa in der IT-Abteilung, bei Compliance oder im Datenschutz, erfolgt.