Monthly Archives: Januar 2026

Verwaltungsgericht: Einmal Auskunftsanspruch, bitte – Fristbeginn, anwaltliche Vollmacht, zeitlicher Umfang

Posted on by

Das Verwaltungsbericht Osnabrück hat sich in seinem Urteil vom 13.01.2026 (Az. 7 A 6/24, derzeit leider noch nicht öffentlich abrufbar; BeckRS 2026, 443) mit Fragen zum Beginn der Monatsfrist nach Art. 12 Abs. 3 DSGVO befasst.

Grundsatz

Die generelle Vorgabe zur Erfüllung des Auskunftsanspruchs nach Art. 15 DSGVO findet sich in Art. 12 Abs. 3 DSGVO. Danach stellt der Verantwortliche der betroffenen Person (Informationen über die auf Antrag gemäß den Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.

„Fristauslösendes Moment ist der Antragseingang beim Verantwortlichen.“

Entscheidend ist also das Datum des Eingangs des Antrags. Im konkreten Fall war dies der 22.11.2023 – Fristablauf war daher der 22.12.2023. Die Berechnung erfolgt nicht nach nationalem Recht, sondern nach der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig für die Praxis: bestehen Zweifel hinsichtlich der Identität des Betroffenen, dann darf der Verantwortliche zusätzliche Angaben erfragen. In diesem Fall läuft noch keine Frist.

Nach Ansicht des Gerichts ist in diesem Fall „auf die Feststellung der Identität nach Art. 12 Abs. 6 DSGVO abzustellen“.

Wenn also der Verantwortliche sicher ist, dass der Betroffene auch die anfragende Person ist, beginnt die Frist zu laufen.

Anwaltliche Vertretung

Oft werden Betroffene in der Praxis anwaltlich vertreten. Wenn in diesem Fall der Verantwortliche die Vorlage einer Vollmacht verlangt (was er auf jeden Fall tun sollte), beginnt die Frist nach Ansicht des Gerichts erst

mit Vorlage der Originalvollmacht“.

Betroffener muss keinen Stichtag nennen

Es ist nicht erforderlich, dass der Betroffene im Rahmen seines Auskunftsantrages einen Stichtag benennt, zu dem die Auskunft erfolgen soll.

Wenn der Betroffene ohne weitere Ergänzungen und Anmerkungen einen normalen Auskunftsantrag stellt, ist nach Ansicht des Gerichts

grundsätzlich ohne Weiteres so auszulegen, dass er sich auf den Zeitpunkt seines Eingangs bezieht, also alle bis zu diesem Zeitpunkt stattgefundenen Datenverarbeitungen erfasst“.

Betroffener kann Umfang zeitlich eingrenzen

Jedoch gesteht das Gericht zu, dass der Betroffene, wenn er möchte, den (zeitlichen) Umfang der Auskunft einschränken kann.

Er kann seine Anfrage auf einen bestimmten Zeitraum eingrenzen,

wenn sich sein Interesse allein auf diesen Zeitraum bezieht“.

Dieser Hinweis ist für Verantwortliche in der Praxis hilfreich, insbesondere für Fälle, in denen die Auskunft theoretisch sehr umfangreich wäre. Jedoch aus den Umständen klar wird, dass es dem Betroffenen nur um Daten zu einem speziellen Thema oder aus einem bestimmen Zeitraum geht.

Was ist ein „Vertrag“ nach Art. 6 Abs. 1 b) DSGVO? BGH mit neuer Entscheidung und gegen die Auffassung des EDSA

Posted on by

Nach Art. 6 Abs. 1 b) DSGVO ist eine Verarbeitung zulässig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, ist die auf Anfrage der betroffenen Person erfolgen. Aber was ist der „Vertrag“ im Sinne der DSGVO? Mit dieser praxisrelevanten Frage hat sich jüngst der BGH in einem Urteil (10.12.2025 – II ZR 132/24) befasst. 

Hintergrund

In dem Verfahren ging es um die Frage, ob ein Mitglied eines eingetragenen Sportvereins gegenüber dem Verein einen Anspruch auf Herausgabe der E-Mail-Adressen von anderen Vereinsmitgliedern hat. Der Zweck war, die anderen Mitglieder vor einer Entscheidung über den Verkauf von Grundstücksflächen des Vereins zu kontaktieren und u.a. Gegendarstellungen zu öffentlichen Informationen des Präsidiums zu dem angedachten Verkauf zu erstellen. 

Datenschutzrechtlich interessant war die Frage, ob die Übermittlung der angefragten Mail-Adressen (personenbezogene Daten) zur „Vertragserfüllung“ zwischen dem Mitglied und dem Verein erforderlich und damit rechtmäßig ist. Hierfür war zu klären, ob überhaupt ein „Vertrag“ im Sinne der DSGVO vorliegt. Die Besonderheit in diesem Fall war, dass für den Vereinsbeitritt nach den Vorgaben der Satzung des Verantwortlichen eine Willenserklärung seitens des Vereins als Verantwortlichem für die Aufnahme eines Vereinsmitglieds nicht erforderlich war. Es fehlte hier also an den klassischen Merkmalen des Vertrages nach dem deutschen BGB, zwei korrespondieren Willenserklärungen. Grundsätzlich kommen Verträge zustande durch auf den Vertragsschluss gerichtete, einander entsprechende Willenserklärungen, in der Regel durch Angebot („Antrag“) und Annahme nach §§ 145 ff BGB (BGH, Urt. v. 07.11.2001 – VIII ZR 13/01).

Was sagt der EDSA?

In seinen Leitlinien 2/2019 zur Auslegung von Art. 6 Abs. 1 b) DSGVO ist der EDSA sehr deutlich. 

Wenn ein Verantwortlicher nicht nachweisen kann, dass a) ein Vertrag besteht, b) der Vertrag nach dem geltenden nationalen Vertragsrecht gültig ist und c) die Verarbeitung für die Erfüllung des Vertrags objektiv erforderlich ist, sollte der Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung in Erwägung ziehen.“ (Rz 25)

Die Datenschutzbehörden verlangen für die Anwendung von Art. 6 Abs. 1 b) DSGVO also für das Merkmal „Vertrag“ einen solchen, der nach dem nationalen Vertragsrecht gültig sein muss. Im Fall des BGH wäre hier also ein Vertrag nach dem BGB erforderlich. 

Entscheidung des BGH

Der BGH vertritt in seinem Urteil jedoch eine andere Ansicht. 

Entgegen der Ansicht der Revision ist der Begriff des Vertrags dabei nicht zivilrechtlich auszulegen, sondern datenschutzrechtlich und unionsautonom.“

Der BGH stellt, mit Blick auf den europarechtlichen Hintergrund der DSGVO, gerade nicht auf nationale zivilrechtliche Vorgaben ab. Vielmehr ist seiner Ansicht nach eine unionrechtsautonome Auslegung des Begriffs erforderlich. 

Weiter begründet der BGH: 

Es kommt nicht darauf an, ob das Rechtsverhältnis, zu dessen Erfüllung die Verarbeitung erforderlich ist, ein Vertrag i.S.d. Bürgerlichen Gesetzbuchs ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist.“

Für den BGH kommt es entscheidend darauf an, was der Zweck der Regelung bzw. des Begriffs „Vertrag“ nach der DSGVO ist. Wie dieser Vertrag geschlossen wird, ist für das Gericht jedoch nicht relevant. Insbesondere nicht, welche nationalen Vorgaben eventuell gelten würden. 

Damit vertritt der BGH klar eine andere Ansicht als der EDSA. Denn dieser geht in seinen Leitlinien ausdrücklich auf die Gültigkeit nach „nationalem Vertragsrecht“ ein. Eben diese Interpretation lehnt der BGH ab. 

Aus diesem Grund nimmt der BGH im konkreten Fall auch einen „Vertrag“ im Sinne der DSGVO an, obwohl keine zwei korrespondierenden Willenserklärungen vorlagen.

Maßgeblich ist allein, ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist.“ 

Der BGH geht sogar noch weiter und lässt für die Erfüllung des Tatbestandes „all jene vertragsähnlichen Konstellationen“ ausreichen, 

die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Betroffenen zurückgehen“.

Die Auslegung des BGH dürfte in der Praxis zu einem erweiterten Anwendungsbereich der Rechtsgrundlage des Art. 6 Abs. 1 b) DSGVO führen, wenn man nicht ohnehin schon zuvor den Begriff „Vertrag“ weiter, im Sinne eines Schuld- bzw. Rechtsverhältnisses verstanden hat.

Oberverwaltungsgericht: Das Recht zur Datenschutzbeschwerde erlischt mit dem Tod der betroffenen Person – kein Übergang auf die Erben

Posted on by

Das Oberverwaltungsgericht Koblenz (OVG) hat sich in seinem Urteil vom 28.11.2025 (Az. 10 A 11059/23.OVG) mit der Frage befasst, inwiefern Erben der betroffenen Person eine Datenschutzbeschwerde nach Art. 77 DSGVO bei einer Aufsichtsbehörde einreichen dürfen.

Sachverhalt

Die Klägerin ist Alleinerbin ihrer verstorbenen Ehefrau und wendet sich gegen die Beendigung ihres datenschutzrechtlichen Beschwerdeverfahrens durch die Datenschutzbehörde. Sie hatte dort zuvor um eine Bewertung einer Verarbeitung von Daten ihrer verstorbenen Ehefrau durch ein Institut und einen Professor erbeten.

Die Klägerin klagte gegen das Einstellungsschreiben der Datenschutzbehörde vor dem Verwaltungsgericht, welches die Klage abwies.

Entscheidung

Das OVG weist die Berufung der Klägerin zurück. Die Klage ist unbegründet.

Die Klägerin war nach Art. 77 Abs. 1 DSGVO nicht berechtigt, für ihre verstorbene Ehefrau eine Datenschutzbeschwerde einzureichen und daraus Rechte geltend zu machen.

Die Klägerin berufe sich zwar auf etwaige Verstöße gegen die DSGVO. Bezogen auf die in Rede stehenden Datenverarbeitungen ist sie aber weder betroffene Person nach Art. 77 Abs. 1 DSGVO noch kann sie das Beschwerderecht als Erbin ihrer verstorbenen Ehefrau geltend machen.

Die Klägerin ist nicht Betroffene im Sinne von Art. 77 Abs. 1 DSGVO, denn sie bezieht sich mit ihrer Beschwerde nicht auf die Verarbeitung ihrer eigenen personenbezogenen Daten, sondern auf die ihrer verstorbenen Ehefrau.

Die Klägerin kann auch nicht als Erbin ihrer verstorbenen Ehefrau deren Datenschutzrechte nach Art. 77 Abs. 1 DSGVO wahrnehmen. Sie ist weder nach § 1922 Abs. 1 BGB in die Betroffenenstellung der Verstorbenen eingetreten, noch ist Art. 77 Abs. 1 DSGVO und der Begriff der betroffenen Person für den vorliegenden Fall einer erweiternden Auslegung oder analogen Anwendung zugänglich. Auch eine nationale Regelung (im Sinne von Erwägungsgrund 27 Satz 2 DSGVO) zur (allgemeinen) Datenschutzbeschwerde betreffend die Daten Verstorbener besteht nicht.

Das Schutzregime der DSGVO bezieht sich grundsätzlich („nur“) auf den Schutz lebender natürlicher Personen. Der Begriff „natürliche Person“ impliziere dabei ein auf den Menschen als lebende Person zielendes Schutzkonzept. Er knüpft an die Rechtsfähigkeit des Menschen an, die grundsätzlich mit dem Tod endet. Das Verständnis, wonach die DSGVO keine Anwendung auf personenbezogene Daten verstorbener Personen findet, steht ferner in inhaltlicher Kontinuität zur Datenschutzrichtlinie 95/46/EG.

„Hiervon ausgehend geht das Recht zur Datenschutzbeschwerde nach Art. 77 Abs. 1 DSGVO grundsätzlich mit dem Tod der betroffenen Person unter. Eine übergangsfähige Rechtsposition im Sinne von § 1922 Abs. 1 BGB besteht nicht“.

Das Beschwerderecht nach Art. 77 DSGVO ist Ausfluss des in Art. 8 GRCh verbürgten Schutzes personenbezogener Daten und soll dem Betroffenen die effektive Durchsetzung „seiner“ Datenschutzrechte sichern. Eine eigene Betroffenheit, wie sie Kern des Rechts aus Art. 77 DSGVO ist und wie sie auch anderen Betroffenenrechten der Datenschutz-Grundverordnung immanent ist, liegt bei einem Erben aber gerade nicht vor.

Auch der vorgebrachte Einwand, im Verfahren nach Art. 77 DSGVO gehe es in erster Linie um eine objektive Rechtskontrolle, die losgelöst von der Person der Betroffenen auch nach deren Tod „fortgesetzt“ werden könne, verfängt auf dieser Grundlage nicht.

Denn der Schutzzweck von Art. 77 DSGVO, der effektive Schutz des Betroffenen im Anwendungsbereich der Datenschutz-Grundverordnung, kann nach dem Tod nicht mehr verwirklicht werden. Bei einer Geltendmachung des Anspruchs durch die Erben ginge es gerade nicht mehr um den Schutz der Grundrechte und der Grundfreiheiten des datenschutzrechtlich Betroffenen.

Auch das postmortale Persönlichkeitsrecht gebietet keine andere (erweiternde) Auslegung. Denn die Schutzwirkungen des (verfassungsrechtlichen) postmortalen Persönlichkeitsrechts sind nicht identisch mit denen, die sich aus dem Recht auf informationelle Selbstbestimmung lebender Personen ergeben.