Author Archives: Carlo Piltz

Verwaltungsgericht: Einmal Auskunftsanspruch, bitte – Fristbeginn, anwaltliche Vollmacht, zeitlicher Umfang

Posted on by

Das Verwaltungsbericht Osnabrück hat sich in seinem Urteil vom 13.01.2026 (Az. 7 A 6/24, derzeit leider noch nicht öffentlich abrufbar; BeckRS 2026, 443) mit Fragen zum Beginn der Monatsfrist nach Art. 12 Abs. 3 DSGVO befasst.

Grundsatz

Die generelle Vorgabe zur Erfüllung des Auskunftsanspruchs nach Art. 15 DSGVO findet sich in Art. 12 Abs. 3 DSGVO. Danach stellt der Verantwortliche der betroffenen Person (Informationen über die auf Antrag gemäß den Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.

„Fristauslösendes Moment ist der Antragseingang beim Verantwortlichen.“

Entscheidend ist also das Datum des Eingangs des Antrags. Im konkreten Fall war dies der 22.11.2023 – Fristablauf war daher der 22.12.2023. Die Berechnung erfolgt nicht nach nationalem Recht, sondern nach der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig für die Praxis: bestehen Zweifel hinsichtlich der Identität des Betroffenen, dann darf der Verantwortliche zusätzliche Angaben erfragen. In diesem Fall läuft noch keine Frist.

Nach Ansicht des Gerichts ist in diesem Fall „auf die Feststellung der Identität nach Art. 12 Abs. 6 DSGVO abzustellen“.

Wenn also der Verantwortliche sicher ist, dass der Betroffene auch die anfragende Person ist, beginnt die Frist zu laufen.

Anwaltliche Vertretung

Oft werden Betroffene in der Praxis anwaltlich vertreten. Wenn in diesem Fall der Verantwortliche die Vorlage einer Vollmacht verlangt (was er auf jeden Fall tun sollte), beginnt die Frist nach Ansicht des Gerichts erst

mit Vorlage der Originalvollmacht“.

Betroffener muss keinen Stichtag nennen

Es ist nicht erforderlich, dass der Betroffene im Rahmen seines Auskunftsantrages einen Stichtag benennt, zu dem die Auskunft erfolgen soll.

Wenn der Betroffene ohne weitere Ergänzungen und Anmerkungen einen normalen Auskunftsantrag stellt, ist nach Ansicht des Gerichts

grundsätzlich ohne Weiteres so auszulegen, dass er sich auf den Zeitpunkt seines Eingangs bezieht, also alle bis zu diesem Zeitpunkt stattgefundenen Datenverarbeitungen erfasst“.

Betroffener kann Umfang zeitlich eingrenzen

Jedoch gesteht das Gericht zu, dass der Betroffene, wenn er möchte, den (zeitlichen) Umfang der Auskunft einschränken kann.

Er kann seine Anfrage auf einen bestimmten Zeitraum eingrenzen,

wenn sich sein Interesse allein auf diesen Zeitraum bezieht“.

Dieser Hinweis ist für Verantwortliche in der Praxis hilfreich, insbesondere für Fälle, in denen die Auskunft theoretisch sehr umfangreich wäre. Jedoch aus den Umständen klar wird, dass es dem Betroffenen nur um Daten zu einem speziellen Thema oder aus einem bestimmen Zeitraum geht.

Was ist ein „Vertrag“ nach Art. 6 Abs. 1 b) DSGVO? BGH mit neuer Entscheidung und gegen die Auffassung des EDSA

Posted on by

Nach Art. 6 Abs. 1 b) DSGVO ist eine Verarbeitung zulässig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, ist die auf Anfrage der betroffenen Person erfolgen. Aber was ist der „Vertrag“ im Sinne der DSGVO? Mit dieser praxisrelevanten Frage hat sich jüngst der BGH in einem Urteil (10.12.2025 – II ZR 132/24) befasst. 

Hintergrund

In dem Verfahren ging es um die Frage, ob ein Mitglied eines eingetragenen Sportvereins gegenüber dem Verein einen Anspruch auf Herausgabe der E-Mail-Adressen von anderen Vereinsmitgliedern hat. Der Zweck war, die anderen Mitglieder vor einer Entscheidung über den Verkauf von Grundstücksflächen des Vereins zu kontaktieren und u.a. Gegendarstellungen zu öffentlichen Informationen des Präsidiums zu dem angedachten Verkauf zu erstellen. 

Datenschutzrechtlich interessant war die Frage, ob die Übermittlung der angefragten Mail-Adressen (personenbezogene Daten) zur „Vertragserfüllung“ zwischen dem Mitglied und dem Verein erforderlich und damit rechtmäßig ist. Hierfür war zu klären, ob überhaupt ein „Vertrag“ im Sinne der DSGVO vorliegt. Die Besonderheit in diesem Fall war, dass für den Vereinsbeitritt nach den Vorgaben der Satzung des Verantwortlichen eine Willenserklärung seitens des Vereins als Verantwortlichem für die Aufnahme eines Vereinsmitglieds nicht erforderlich war. Es fehlte hier also an den klassischen Merkmalen des Vertrages nach dem deutschen BGB, zwei korrespondieren Willenserklärungen. Grundsätzlich kommen Verträge zustande durch auf den Vertragsschluss gerichtete, einander entsprechende Willenserklärungen, in der Regel durch Angebot („Antrag“) und Annahme nach §§ 145 ff BGB (BGH, Urt. v. 07.11.2001 – VIII ZR 13/01).

Was sagt der EDSA?

In seinen Leitlinien 2/2019 zur Auslegung von Art. 6 Abs. 1 b) DSGVO ist der EDSA sehr deutlich. 

Wenn ein Verantwortlicher nicht nachweisen kann, dass a) ein Vertrag besteht, b) der Vertrag nach dem geltenden nationalen Vertragsrecht gültig ist und c) die Verarbeitung für die Erfüllung des Vertrags objektiv erforderlich ist, sollte der Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung in Erwägung ziehen.“ (Rz 25)

Die Datenschutzbehörden verlangen für die Anwendung von Art. 6 Abs. 1 b) DSGVO also für das Merkmal „Vertrag“ einen solchen, der nach dem nationalen Vertragsrecht gültig sein muss. Im Fall des BGH wäre hier also ein Vertrag nach dem BGB erforderlich. 

Entscheidung des BGH

Der BGH vertritt in seinem Urteil jedoch eine andere Ansicht. 

Entgegen der Ansicht der Revision ist der Begriff des Vertrags dabei nicht zivilrechtlich auszulegen, sondern datenschutzrechtlich und unionsautonom.“

Der BGH stellt, mit Blick auf den europarechtlichen Hintergrund der DSGVO, gerade nicht auf nationale zivilrechtliche Vorgaben ab. Vielmehr ist seiner Ansicht nach eine unionrechtsautonome Auslegung des Begriffs erforderlich. 

Weiter begründet der BGH: 

Es kommt nicht darauf an, ob das Rechtsverhältnis, zu dessen Erfüllung die Verarbeitung erforderlich ist, ein Vertrag i.S.d. Bürgerlichen Gesetzbuchs ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist.“

Für den BGH kommt es entscheidend darauf an, was der Zweck der Regelung bzw. des Begriffs „Vertrag“ nach der DSGVO ist. Wie dieser Vertrag geschlossen wird, ist für das Gericht jedoch nicht relevant. Insbesondere nicht, welche nationalen Vorgaben eventuell gelten würden. 

Damit vertritt der BGH klar eine andere Ansicht als der EDSA. Denn dieser geht in seinen Leitlinien ausdrücklich auf die Gültigkeit nach „nationalem Vertragsrecht“ ein. Eben diese Interpretation lehnt der BGH ab. 

Aus diesem Grund nimmt der BGH im konkreten Fall auch einen „Vertrag“ im Sinne der DSGVO an, obwohl keine zwei korrespondierenden Willenserklärungen vorlagen.

Maßgeblich ist allein, ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist.“ 

Der BGH geht sogar noch weiter und lässt für die Erfüllung des Tatbestandes „all jene vertragsähnlichen Konstellationen“ ausreichen, 

die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Betroffenen zurückgehen“.

Die Auslegung des BGH dürfte in der Praxis zu einem erweiterten Anwendungsbereich der Rechtsgrundlage des Art. 6 Abs. 1 b) DSGVO führen, wenn man nicht ohnehin schon zuvor den Begriff „Vertrag“ weiter, im Sinne eines Schuld- bzw. Rechtsverhältnisses verstanden hat.

Oberverwaltungsgericht: Das Recht zur Datenschutzbeschwerde erlischt mit dem Tod der betroffenen Person – kein Übergang auf die Erben

Posted on by

Das Oberverwaltungsgericht Koblenz (OVG) hat sich in seinem Urteil vom 28.11.2025 (Az. 10 A 11059/23.OVG) mit der Frage befasst, inwiefern Erben der betroffenen Person eine Datenschutzbeschwerde nach Art. 77 DSGVO bei einer Aufsichtsbehörde einreichen dürfen.

Sachverhalt

Die Klägerin ist Alleinerbin ihrer verstorbenen Ehefrau und wendet sich gegen die Beendigung ihres datenschutzrechtlichen Beschwerdeverfahrens durch die Datenschutzbehörde. Sie hatte dort zuvor um eine Bewertung einer Verarbeitung von Daten ihrer verstorbenen Ehefrau durch ein Institut und einen Professor erbeten.

Die Klägerin klagte gegen das Einstellungsschreiben der Datenschutzbehörde vor dem Verwaltungsgericht, welches die Klage abwies.

Entscheidung

Das OVG weist die Berufung der Klägerin zurück. Die Klage ist unbegründet.

Die Klägerin war nach Art. 77 Abs. 1 DSGVO nicht berechtigt, für ihre verstorbene Ehefrau eine Datenschutzbeschwerde einzureichen und daraus Rechte geltend zu machen.

Die Klägerin berufe sich zwar auf etwaige Verstöße gegen die DSGVO. Bezogen auf die in Rede stehenden Datenverarbeitungen ist sie aber weder betroffene Person nach Art. 77 Abs. 1 DSGVO noch kann sie das Beschwerderecht als Erbin ihrer verstorbenen Ehefrau geltend machen.

Die Klägerin ist nicht Betroffene im Sinne von Art. 77 Abs. 1 DSGVO, denn sie bezieht sich mit ihrer Beschwerde nicht auf die Verarbeitung ihrer eigenen personenbezogenen Daten, sondern auf die ihrer verstorbenen Ehefrau.

Die Klägerin kann auch nicht als Erbin ihrer verstorbenen Ehefrau deren Datenschutzrechte nach Art. 77 Abs. 1 DSGVO wahrnehmen. Sie ist weder nach § 1922 Abs. 1 BGB in die Betroffenenstellung der Verstorbenen eingetreten, noch ist Art. 77 Abs. 1 DSGVO und der Begriff der betroffenen Person für den vorliegenden Fall einer erweiternden Auslegung oder analogen Anwendung zugänglich. Auch eine nationale Regelung (im Sinne von Erwägungsgrund 27 Satz 2 DSGVO) zur (allgemeinen) Datenschutzbeschwerde betreffend die Daten Verstorbener besteht nicht.

Das Schutzregime der DSGVO bezieht sich grundsätzlich („nur“) auf den Schutz lebender natürlicher Personen. Der Begriff „natürliche Person“ impliziere dabei ein auf den Menschen als lebende Person zielendes Schutzkonzept. Er knüpft an die Rechtsfähigkeit des Menschen an, die grundsätzlich mit dem Tod endet. Das Verständnis, wonach die DSGVO keine Anwendung auf personenbezogene Daten verstorbener Personen findet, steht ferner in inhaltlicher Kontinuität zur Datenschutzrichtlinie 95/46/EG.

„Hiervon ausgehend geht das Recht zur Datenschutzbeschwerde nach Art. 77 Abs. 1 DSGVO grundsätzlich mit dem Tod der betroffenen Person unter. Eine übergangsfähige Rechtsposition im Sinne von § 1922 Abs. 1 BGB besteht nicht“.

Das Beschwerderecht nach Art. 77 DSGVO ist Ausfluss des in Art. 8 GRCh verbürgten Schutzes personenbezogener Daten und soll dem Betroffenen die effektive Durchsetzung „seiner“ Datenschutzrechte sichern. Eine eigene Betroffenheit, wie sie Kern des Rechts aus Art. 77 DSGVO ist und wie sie auch anderen Betroffenenrechten der Datenschutz-Grundverordnung immanent ist, liegt bei einem Erben aber gerade nicht vor.

Auch der vorgebrachte Einwand, im Verfahren nach Art. 77 DSGVO gehe es in erster Linie um eine objektive Rechtskontrolle, die losgelöst von der Person der Betroffenen auch nach deren Tod „fortgesetzt“ werden könne, verfängt auf dieser Grundlage nicht.

Denn der Schutzzweck von Art. 77 DSGVO, der effektive Schutz des Betroffenen im Anwendungsbereich der Datenschutz-Grundverordnung, kann nach dem Tod nicht mehr verwirklicht werden. Bei einer Geltendmachung des Anspruchs durch die Erben ginge es gerade nicht mehr um den Schutz der Grundrechte und der Grundfreiheiten des datenschutzrechtlich Betroffenen.

Auch das postmortale Persönlichkeitsrecht gebietet keine andere (erweiternde) Auslegung. Denn die Schutzwirkungen des (verfassungsrechtlichen) postmortalen Persönlichkeitsrechts sind nicht identisch mit denen, die sich aus dem Recht auf informationelle Selbstbestimmung lebender Personen ergeben.

OLG Brandenburg: DSGVO vs. BRAO & BDSG – Kein Auskunftsanspruch bei anwaltlichem Geheimnisschutz

Posted on by

Der Auskunftsanspruch nach Art. 15 DSGVO wird in der Praxis durch die Gerichte oft sehr weit verstanden. Zum Teil sind Unternehmen auch verpflichtet, ganze Dokumente oder Auszüge aus Datenbanken herauszugeben.

Doch wie verhält es sich mit dem Recht auf Auskunft nach der DSGVO, wenn Betroffenen von Rechtanwälten Informationen herausverlangen? Zu dieser Frage hat sich das OLG Brandenburg in einem Beschluss vom 11. September 2025 (Az: 1 U 16/25) geäußert.

Sachverhalt

Die Klägerin verlangt von der beklagten Rechtsanwältin Auskunft und Schadensersatz wegen behaupteter Datenschutzverletzungen. Die Rechtsanwältin vertrat den ehemaligen Lebensgefährten der Klägerin. Im Rahmen der anwaltlichen Korrespondenz mit der von der Klägerin in einem Unterhaltsverfahren mandatierten Rechtsanwältin hat die Beklagte ausgeführt, die Klägerin „sei im Erotikbereich tätig“ und generiere aus dieser Tätigkeit Einnahmen, wofür „umfangreiche Nachweise“ vorlägen.

Die Klägerin befürchtet eine Verwendung von Film-/Fotomaterial im Internet und verlangt Auskunft Art. 15 Abs. 1 und 3 DSGVO. Die Beklagte beruft sich darauf, dass ihr die begehrten Informationen im Rahmen des Mandatsverhältnisses zugetragen worden seien und dem Berufsgeheimnis unterlägen.

Entscheidung

Das OLG lehnt den Auskunftsanspruch der Klägerin gegenüber der Rechtsanwältin ab.

Die Klägerin kann die begehrte Auskunft nicht verlangen, da sich der aus dem Mandatsverhältnis zu sichernde Geheimnisschutz als vorrangig erweise (Art. 23 Abs. 1 DSGVO i.V.m. §§ 29 Abs. 1 S. 2 BDSG, § 43a Abs. 2 BRAO).

Das Gericht stellt zunächst fest, dass die DSGVO als EU-Verordnung zwar in allen Mitgliedstaaten allgemein, verbindlich sowie unmittelbar gilt und gegenüber entgegenstehenden nationalen Normen Anwendungsvorrang genieße. Gleichzeitig sehe die DSGVO an zahlreichen Stellen aber vor, dass Anpassungen des nationalen Gesetzgebers nicht nur möglich, sondern zwingend erforderlich sind.

So wird Art. 15 DSGVO durch … § 29 Abs. 1 S. 2 BDSG, konkretisiert bzw. eingeschränkt“.

Nach § 29 Abs. 1 S. 2 BDSG besteht das Recht auf Auskunft der betroffenen Person nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Die beklagte Rechtsanwältin konnte sich hier auf den Ausnahmetatbestand von § 29 Abs. 1 S. 2 BDSG berufen,

der auf der Öffnungsklausel des Art. 23 Abs. 1 lit. i DSGVO beruht, wonach Informations- und Benachrichtigungspflichten des Verantwortlichen bzw. das Auskunftsrecht betroffener Personen zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen beschränkt werden können.“

Die hier begehrte Auskunft unterfalle dem Anwaltsgeheimnis nach § 43a Abs. 2 BRAO. Danach ist der Rechtsanwalt zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihm in Ausübung seines Berufes bekanntgeworden ist, gilt aber nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen, § 43a Abs. 2 S. 2 und 3 BRAO.

Aus diesen Vorgaben folge nicht nur die Verschwiegenheitspflicht, sondern auch ein Verschwiegenheitsrecht des Anwalts. Dadurch werde der anwaltliche Beruf an sich geschützt.

Tatbestandlich erfasst die Norm nicht nur einige spezifische Informationen, sondern  „alles“ und bezieht sich auch auf Wissen, welches der Anwalt im Zusammenhang mit dem Mandat durch eigene Recherche erlangt hat.

In dem Verfahren wandte die betroffene Person ein, dass die „Befreiung von der Informationspflicht“ nicht uneingeschränkt besteht, sondern nur, „sofern nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt“.

Jedoch verweist die Betroffene hierbei auf eine anderen Ausnahmevorschrift, nämlich jene nach § 29 Abs. 2 BDSG, welche die Informationspflicht nach Art. 13 Abs. 3 DSGVO beschränkt.

Das OLG sieht für die Ausnahmevorschrift des § 29 Abs. 1 S. 2 BDSG hingegen kein Abwägungserfordernis. In der Norm ist eine solche Abwägung auch nicht vorgesehen.

„… besteht dieses Abwägungserfordernis nicht für den geltend gemachten Auskunftsanspruch nach Art. 15 DSGVO, dessen Ausnahme in § 29 Abs. 1 S. 2 BDSG geregelt ist, sondern nur für die (aktive) Pflicht des Mandanten zur Informationserteilung nach Art. 13 DSGVO, die vorliegend nicht streitgegenständlich ist“.

Zwar beziehe sich § 29 Abs. 1 S. 2 BDSG auf „überwiegende berechtigte Interessen eines Dritten“ – jedoch sollen diese Interessen das Recht auf Auskunft – neben geltenden Rechtsvorschriften – gerade ausschließen; sie führen zur Geheimhaltung, nicht zur Auskunftserteilung.

Die Regelung des § 29 Abs. 2 BDSG passe systematisch streng genommen bereits nicht in den Anwendungsbereich von § 29 BDSG, der nach der amtlichen Überschrift die Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse „im Fall von Geheimhaltungspflichten“ regele.

„Ausblenden“ von Daten ist kein Löschen nach der DSGVO – Gericht: Stammdatensoftware der Bundesagentur für Arbeit nicht datenschutzkonform

Posted on by

Personenbezogene Daten müssen irgendwann gelöscht werden. Art. 17 Abs. 1 DSGVO sieht sowohl ein Recht auf Löschung als auch eine Pflicht vor, Daten zu löschen, wenn keine Ausnahmesituation nach Art. 17 Abs. 3 DSGVO vorliegt – etwa, weil die Daten noch zur Erfüllung einer rechtlichen Verpflichtung gespeichert werden müssen. Der EuGH hat zu dem korrespondieren Datenschutzgrundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO festgestellt, dass „dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind“ (Rs. C‑446/21, Rz. 56). 

In der Praxis stellt das Thema „Löschen von Daten“ Verantwortliche und Auftragsverarbeiter oft vor faktische Probleme. „Wir können gar nicht löschen“, ist zu hören. „Unsere Software sieht eine Löschung nicht vor“. 

Genau solch einen Fall hatte kürzlich das Sozialgericht Dresden zu entscheiden (Urt. v. 22.10.2025 – S 15 SF 304/24 DS). Das Pikante an dem Verfahren: in Rede stand dort das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA).

Sachverhalt

Die Klägerin des Verfahrens betreute verschiedene Personen ausländischer Herkunft bei der Beantragung von Leistungen bei dem beklagten Jobcenter. So erbat sie z.B. unter Vorlage einer Schweigepflichtentbindungserklärung von dem Beklagten Informationen zu einer Klientin. Der Beklagte führt seine Verwaltungsakten elektronisch und nutzt dazu verpflichtend das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA). Darin war die Klägerin aufgrund früherer eigener Antragsvorgänge mit ihrer Privatadresse gespeichert.

Nach einem Datenschutzvorfall beantragte die Klägerin die Löschung ihrer Privatadresse und persönlichen Daten aus der Verwaltungsakte der Klienten.

Der Beklagte argumentierte, dass Dokumente/Schriftstücke/Vorblätter, die die private Anschrift der Klägerin enthielten, in der elektronischen Akte der Klienten „ausgeblendet“ seien. Damit werde dem Löschanspruch nach Art. 17 DSGVO nachgekommen. Der Beklagte weigere sich nicht, das Löschen vorzunehmen, es sei einfach technisch nicht möglich. Um den datenschutzrechtlichen Bestimmungen trotz der rechtlichen Vorgaben nachkommen zu können, gebe es in der elektronischen Akte die Funktion des Ausblendens von Dokumenten. Dieses Verfahren werde im Vier-Augen-Prinzip durchgeführt. Ein Einblenden der Dokumente ist zwar grundsätzlich wieder möglich, benötige aber ebenso wieder zwei Personen. Eine Löschung von einmal zu den Akten verfügten Dokumenten sei aufgrund kassenrechtlicher Vorgaben des Bundesministeriums für Finanzen untersagt und das Löschen technisch nicht mehr möglich.

Entscheidung

Das Gericht geht in seiner Entscheidung davon aus, dass die personenbezogenen Daten der Klägerin (jedoch nur die private Adresse) gelöscht werden müssen und bisher nicht entsprechend der DSGVO gelöscht wurden. Bezüglich der privaten Adresse sei eine unrechtmäßige Verarbeitung von Daten erfolgt.

Zum Begriff des „Löschens“ stellt das Gericht zunächst fest, dass

ein Ausblenden der Daten mit der technischen Möglichkeit des Wiedereinblendens jedoch kein Löschen i.S. von Art. 17 DSGVO“ darstelle.

Die DSGVO selbst enthalte keine Definition des Begriffs „Löschen“. Der Vorgang des „Löschens“ werde in Art. 4 Nr. 2 DSGVO neben der „Vernichtung“ als eine Form der Verarbeitung genannt.

Unter „Vernichtung“ versteht das Gericht die körperliche Zerstörung des Datenträgers und eine endgültige Löschung der personenbezogenen Daten.

Löschen ist – ohne zwingende körperliche Zerstörung – der Entzug des Personenbezuges in den Daten mit dem Ziel der (faktischen) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen, so dass die personenbezogenen Daten nicht mehr Gegenstand der (produktiven) Datenverarbeitung sind und dies irreversibel sicherzustellen ist„.

Das Gericht geht davon aus, dass „Löschen“ verschiedene Formen haben kann, wie z.B. die vollständige Zerstörung des Datenträgers oder die Löschung von Verknüpfungen oder Codierungen, die zur Wahrnehmung der Information erforderlich sind, wie etwa das Löschen eines Eintrags in einer Pseudonymliste oder andere Formen des dauerhaften Nichtzugriffs wie z.B. das Schwärzen.

Was jedoch nicht genügt

„… sind dagegen Beschränkungen der Verarbeitung i.S. von Art. 18 DSGVO, weil ein dauerhafter Zugriffsausschluss darin nicht enthalten ist„.

Das Ausblenden mit dem vom Beklagten genutzten Programm führe hier gerade nicht zu einem endgültigen Zugriffsausschluss. Vielmehr ist es nach den derzeitigen technischen Begebenheiten nur nicht mehr möglich, die Daten zu sehen. Allerdings bestehe technisch auch nach Ausblendung der Daten die Möglichkeit, dass zwei Führungskräfte oder deren Stellvertreter die ausgeblendeten Daten wieder sichtbar machen können.

Die Möglichkeit des Wiedereinblendens widerspricht dem Löschungsprinzip der DSGVO.“

Das Jobcenter hatte vorgebracht, dass es die Daten ja eigentlich löschen wollen würde und sich nicht weigere, das Löschen vorzunehmen.

„… es sei einfach technisch nicht möglich„.

Dieses faktische Argument lässt das Gericht jedoch mit klaren Worten nicht gelten und verweist in seiner Begründung unter anderem auf die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung“).

Die technischen Programme haben die geltenden Gesetze und Betroffenenrechte umzusetzen (vgl. auch Art. 25 DSGVO) und nicht anders herum. Insofern ist es Aufgabe des Beklagten bzw. der Bundesagentur für Arbeit, sein Programm zur Nutzung seiner elektronischen Akte so umschreiben zu lassen, dass ein irreversibles Löschen technisch tatsächlich auch erfolgen kann„.

Einen ebenfalls geltend gemachten Schadenersatzanspruch nach Art. 82 DSGVO lehnt das Gericht meines Erachtens jedoch zurecht ab. Insbesondere ein Kontrollverlust liege nicht vor. Mit dem derzeitigen Ausblenden bestehe eine begründete Befürchtung der Betroffenen bzgl. dieses Kontrollverlustes nicht. Die Privatadresse sei bereits ausgeblendet und kann weder von dem Klienten noch von einem Mitarbeiter des Beklagten alleine wieder eingeblendet werden.

Fazit

Überträgt man diesen Fall und die Ansichten des Gerichts auf den privatwirtschaftlichen Bereich von Unternehmen, dürfte schnell klar werden, dass Verantwortliche bei dem Einsatz von Software, in der personenbezogene Daten verarbeitet werden, als Anforderungsmerkmal darauf achten sollten, dass Daten gelöscht werden können. Wie das Gericht aufzeigt, bedeute dies nicht zwingend eine elektronische / physische Zerstörung. Auch eine Anonymisierung kann den Personenbezug endgültig entfernen.

Meiner Erfahrung nach ist jedoch extrem wichtig, dass Verantwortliche bereits bei der Entwicklung und noch mehr im (IT)Einkaufsprozess darauf achten, dass anzuschaffende Software die Grundprinzipien der DSGVO umsetzen kann. Es lohnen sich hierbei durchaus auch einmal konkrete Nachfragen an den Hersteller (und ja, mir ist bewusst, dass dies nicht in jeder Situation möglich ist).

Wichtig zu beachten ist zudem, dass die Softwarehersteller selbst oft gar nicht in den Anwendungsbereich der DSGVO fallen, da sie nicht zwingend als Verantwortliche agieren, wenn ihr Produkt durch Kunden genutzt und mit Daten gefüllt wird. Der „Verantwortliche“ nach der DSGVO ist in diesem Fall zumeist der Kunde, der die Software für die Datenverarbeitung verwendet.

 

Kontaktaufnahme per E-Mail oder Kontaktformular: bitte ohne Einwilligung

Posted on by

Immer wieder lese ich im Internet Datenschutzhinweise, in denen etwas steht wie:

„Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über die auf der Webseite angegebene E-Mailadresse des Kundenservice Kontakt aufzunehmen. Ihre Angaben werden zur Beantwortung Ihrer Anfrage verarbeitet. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit uns erfolgt nach Art. 6 Abs. 1 S. 1 lit. a DSGVO auf Grundlage Ihrer freiwillig erteilten Einwilligung.“

Ähnliche Texte gibt es auch zur Kommunikation via Kontaktformular (was ja im Hintergrund oft auch nur eine Mail auslöst).

Verwendung ohne Not

Und jedes Mal, wenn ich solche Angaben lese, denke ich: ihr glaubt doch nicht wirklich, dass so eine Kontaktaufnahme als Einwilligung nach Art. 6 Abs. 1 DSGVO gewertet werden kann? Wie soll das gehen? Wie dokumentiert ihr die Einwilligung? Wo findet man den Text der Einwilligungserklärung?

Wie so oft im Datenschutzrecht, werden solche Placebo-Hinweise aus Un- und fehlender Fachkenntnis oder mangelndem Willen zur richtigen Beratung in der Sache einfach „rausgefeuert“. Oft auch übernommen aus falschen Standardmustern.

Mit potentiellen Risiken

Für die Unternehmen, Vereine oder öffentliche Stellen, die solche Hinweise verwenden, kann dies (im worst case) durchaus negative Konsequenzen haben. Bsp: jemand ist mit dem Kundenservice nicht zufrieden und beschwert sich bei der Aufsichtsbehörde. Diese schreibt dem Verantwortlichen und fragt etwa nach der Rechtsgrundlage der Verwendung der Daten des Anfragenden. Wenn man nun antwortet „Einwilligung“, dann wird man diese im Zweifel auch nachweisen können müssen. Kann man aber nicht. Wenn man antwortet, „Sorry, wir haben uns vertan. Es ist doch eine andere Rechtsgrundlage“, dann hat man in den Datenschutzhinweisen falsch informiert. Beide Ergebnisse sind nicht gut – und absolut vermeidbar.

Es geht sehr viel ohne Einwilligung

Für mich sind solche Situationen (Anfrage von interessierten Personen per Mail oder Kontaktformular) aber eigentlich ein Paradebeispiel der Rechtsgrundlage nach Art. 6 Abs.  1 f) DSGVO, also der Interessenabwägung. Und für öffentliche Stellen dann ggfs. noch nach Art. 6 Abs. 1 e) DSGVO, zur Aufgabenwahrnehmung.

Nach ErwG 47 DSGVO sind vor allem zwei Aspekte bei Art. 6 Abs. 1 f) DSGVO relevant:

  • Vernünftige Erwartungen des Betroffenen: gerade in der oben beschrieben Situation weiß doch der Betroffene, dass er Kontakt aufnimmt. Er weiß auch, dass seine Angaben zur Kommunikation genutzt werden. Er erwartet diese Datenverwendung auch.
  • Kann der Betroffene absehen, „dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“: ja natürlich kann er das. Denn er initiiert die Kontaktaufnahme.

Und auch Art. 6 Abs. 1 b) DSGVO, also die Anbahnung eines Vertrags oder die Durchführung (Kommunikation mit Kunden) kann je nach Situation als Rechtsgrundlage dienen.

Auch deutsche Aufsichtsbehörden sind bei der Frage der Rechtsgrundlage gegen die Einwilligung.

Die hessische Datenschutzbehörde (TB 2024, S. 127) geht etwa davon aus: „Hier ist ganz deutlich Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO die passende und richtige Rechtsgrundlage für die Datenverarbeitung…“. Eine „Einwilligung der Dienstenutzenden in die Verarbeitung ihrer Daten ist in solchen Fällen offensichtlich nicht notwendig“.

Zu Kontaktformularen auf Websites vertritt etwa das BayLDA (TB 2017/18, S. 56) die Ansicht: „Grundsätzlich bedarf es keiner Einwilligung durch den Nutzer, da die Datenverarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt werden kann“.

Natürlich muss man neben der Rechtsgrundlage auch die übrigen Vorgaben der DSGVO beachten (etwas den Grundsatz der Datenminimierung bei Kontaktformularen, also welche Daten man von Betroffenen erfragt). Aber auch dies ist meiner Erfahrung nach wirklich kein Hexenwerk.

Externe „Spam-Mail“ zu einer Sicherheitslücke: Österreichische Datenschutzbehörde verhängt Bußgeld gegen Unternehmen wegen unterlassener Meldung einer Datenpanne

Posted on by

Am 4. September 2025 erließ die österreichische Datenschutzbehörde (DSB) eine Entscheidung in einem Fall, in dem ein Unternehmen es versäumt hatte, die DSB gemäß Art. 33 DSGVO über eine Datenschutzverletzung zu informieren.

Sachverhalt

Eine unbekannte Person entdeckte eine Sicherheitslücke auf der Subdomain der Website des Unternehmens, die es aufgrund fehlender technischer Sicherheitsvorkehrungen ermöglichte, personenbezogene Daten (u. a. Namen, E-Mail-Adressen, Telefonnummern, Geschlecht) zu extrahieren. Die Person informierte das Unternehmen per E-Mail, doch die Nachricht wurde von einer Mitarbeiterin fälschlicherweise als Spam behandelt und erreichte weder die Geschäftsleitung noch die IT-Abteilung. Nachdem keine Antwort erfolgt, schickte eine andere Person (Vertreter eines Vereins) eine zweite E-Mail, diesmal mit der österreichischen DSB in „CC“.

Das Unternehmen handelte daraufhin schnell, um die Sicherheitslücke zu schließen, und die Person, die die Sicherheitslücke gemeldet hatte, bestätigte die Löschung aller Dateien, auf die sie zugegriffen hatte. Die IT-Abteilung des Unternehmens dokumentierte den Vorfall, aber das Unternehmen meldete keine Datenschutzverletzung an die DSB.

Entscheidung der Datenschutzbehörde

Die DSB leitete eine Untersuchung ein und fragte das Unternehmen, warum sie nicht gemäß Art. 33 DSGVO über die Verletzung informiert worden sei. Das Unternehmen argumentierte, dass keine weitere Benachrichtigung erforderlich sei, da die Datenschutzbehörde bereits in der zweiten E-Mail in „CC“ gesetzt wurde.

Die DSB widersprach dieser Ansicht und stellte klar, dass eine externe E-Mail über ein potenzielles Sicherheitsproblem keine gültige Benachrichtigung gemäß Art. 33 DSGVO darstellt. Art. 33 DSGVO enthalte keine Ausnahme für einen solchen Fall, dass Dritte die Aufsichtsbehörde über eine Datenschutzverletzung informieren.

Wenn eine dritte Person die DSB über einen Vorfall informiert, handelt es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden.“

Zudem ging es noch um die Frage, wann der Verantwortliche Kenntnis von der Datenschutzverletzung erlangte – mit der ersten „Spam-Mail“ oder aber erst mit der zweiten Mail?

Die DSB geht davon aus, dass der Verantwortliche bereits durch den ersten Hinweis, welcher von einer Mitarbeiterin als „Spam-Nachricht“ eingestuft wurde, Kenntnis erlangte. Die unterlassene interne Weiterleitung der Nachricht, muss sich der Verantwortliche zurechnen lassen.

Die Beschuldigte übersieht hierbei, dass das Verhalten ihrer Arbeitnehmerin ihr unmittelbar zugerechnet wird. Für die Strafbarkeit nach Art. 83 DSGVO ist im Falle einer juristischen Person nämlich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans erforderlich“.

Fazit

Natürlich werden in der Praxis nicht alle Hinweise auf eine mögliche Sicherheitsverletzung wirklich echt sein. Jedoch sollten Verantwortliche darauf achten, interne Vorgaben und Prozesse vorzuhalten, dass die Einschätzung darüber, ob eine solche Nachricht „echt“ ist, durch fachliche geschulte Mitarbeiter, etwa in der IT-Abteilung, bei Compliance oder im Datenschutz, erfolgt.

„Zu viel Aufwand“ zählt nicht – EDSA lehnt Verhältnismäßigkeitsprüfung bei Auskunftsanfragen ab

Posted on by

Wenn Unternehmen oder öffentliche Stellen mit Auskunftsanträgen nach Art. 15 DSGVO konfrontiert sind, kann sich deren Erfüllung in der Praxis manchmal als extrem aufwendig herausstellen. Schließlich müssen in diesem Fall intern alle personenbezogenen Daten zu der betroffenen Person herausgesucht werden. Gerade im Verhältnis zwischen Arbeitgeber und Arbeitnehmern kann dies, bei langjährigen Arbeitsverhältnissen, zu nicht zu unterschätzenden Aufwänden führen.

Im Rahmen einer Stellungnahme zum Entwurf des Durchführungsbeschlusses der Kommission über den angemessenen Schutz personenbezogener Daten im Vereinigten Königreich befasste sich der EDSA – kurz, aber eindeutig – mit der Frage, ob bei der Erfüllung von Auskunftsanfragen ein Verhältnismäßigkeitskriterium angewendet werden darf. Konkret also, ob ein Verantwortlicher berechtigt sein kann, eine Anfrage nicht vollständig zu erfüllen, weil die Suche nach den Daten in internen Systemen zu aufwendig wäre.

Art. 15 Abs. 1A UK GDPR führt eine Verhältnismäßigkeitsprüfung ein, wie es in der britischen Rechtsprechung entwickelt wurde. Nach Absatz 1A

„hat die betroffene Person nur Anspruch auf eine solche Bestätigung, personenbezogene Daten und sonstige Informationen, die der Verantwortliche auf Grundlage einer angemessenen und verhältnismäßigen Suche nach den in diesem Absatz beschriebenen personenbezogenen Daten und sonstigen Informationen bereitstellen kann.“

Verantwortliche müssen daher nur „angemessene und verhältnismäßige Suchvorgänge“ durchführen, um Auskunftsanfragen zu erfüllen.

Der EDSA hebt hervor, dass eine solche Verhältnismäßigkeitsprüfung im EU-Datenschutzrahmen nicht vorgesehen ist:

„Das Unionsrecht sieht keinen allgemeinen Vorbehalt der Verhältnismäßigkeit in Bezug auf den Aufwand vor, den der Verantwortliche zur Erfüllung von Betroffenenanfragen nach Art. 12 DSGVO zu leisten hat, sondern enthält nur die in Absatz 5 genannten Ablehnungsgründe.“

Ist der Versuch einer Datenverarbeitung bereits eine „Verarbeitung“ im Sinne der DSGVO?

Posted on by

In seinem Urteil vom 4.10.2024 (Rs. C‑548/21) hatte der EuGH u.a. die Frage zu beantworten, ob der Anwendungsbereich der Richtlinie (EU) 2016/680 eröffnet ist und eine „Verarbeitung“ nach Art. 3 Nr. 2 der Richtlinie vorliegt, wenn Polizeibehörden versuchen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – auch wenn dieser Versuch scheitert und Daten faktisch nicht verarbeitet werden.

Zwar erging die Entscheidung zu Art. 3 Nr. 2 der Richtlinie 2016/680 (der Schwesterrichtlinie der DSGVO für den polizeilichen Bereich). Die Definition der „Verarbeitung“ ist jedoch deckungsgleich mit jener Definition in Art. 4 Nr. 2 DSGVO. Daher sind die Erwägungen des EuGH auch auf die DSGVO übertragbar.

„Verarbeitung“ bezeichnet nach Art. 3 Nr. 2 der Richtlinie und auch Art. 4 Nr. 2 der DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wortlaut

Der EuGH betrachtet zunächst den Wortlaut der Norm. Insbesondere aus der Verwendung der Begriffe „jeder … Vorgang“, „jede … Vorgangsreihe“ und „eine andere Form der Bereitstellung“, ergebe sich, dass der Unionsgesetzgeber den Ausdruck „Verarbeitung“ und damit den sachlichen Anwendungsbereich der Richtlinie weit fassen wollte.

Zudem fügt der EuGH hinzu, dass die Aufzählung an Verarbeitungsformen in der Definition bewusst nicht abschließend sei.

Bereits diese, den Wortlaut betreffenden Gesichtspunkte sprechen nach Auffassung des EuGH somit für eine Auslegung,

wonach Polizeibehörden, wenn sie ein Telefon sicherstellen und versuchen, auf diesem Telefon gespeicherte personenbezogene Daten auszulesen oder abzufragen, eine Verarbeitung im Sinne von Art. 3 Nr. 2 der Richtlinie 2016/680 vornehmen, auch wenn es ihnen aus technischen Gründen nicht gelingen sollte, auf diese Daten zuzugreifen“.

Allein der Versuch einer Verarbeitung stellt also bereits die Verarbeitung dar, auch wenn es faktisch gerade nicht zu der beabsichtigten Verarbeitung kommt.

Grundsatz der Zweckbindung

Zudem betrachtet der EuGH auch den Kontext, in dem Art. 3 Nr. 2 der Richtlinie steht.

Nach Art. 4 Abs. 1 b) sehen die Mitgliedstaaten vor, dass personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. In der DSGVO entspricht dies dem Grundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO.

Die Wirksamkeit dieses Grundsatzes setzt nach Ansicht des EuGH aber zwingend voraus, dass der Zweck der Datenerhebung

„schon dann ermittelt wird, wenn die zuständigen Behörden versuchen, auf personenbezogene Daten zuzugreifen, da ein solcher Versuch, wenn er erfolgreich ist, es ihnen u. a. ermöglichen kann, die fraglichen Daten unverzüglich zu erheben, auszulesen oder abzufragen“.

Der EuGH betrachtet hier also nicht isoliert den Versuch, sondern bezieht auch die Folge des erfolgreichen Versuchs (= Zugriff auf Daten) mit ein. Bei erfolgreichem Versuch kommt es zur Verarbeitung. Da dazwischen keine weiteren Schritte liegen, können die datenschutzrechtlichen nur bereits vorab erfüllt werden. Nach erfolgreichem Versuch wäre es etwa für eine Information des Betroffenen zu spät.

Im Ergebnis stellt der EuGH fest, dass ein Versuch von Polizeibehörden, für die Zwecke strafrechtlicher Ermittlungen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen, in den Anwendungsbereich der Richtlinie 2016/680 fällt. Auch der Generalanwalt hatte in seinen Schlussanträgen diese Ansicht vertreten. Seines Erachtens führt eine Polizeibehörde, die ein Telefon sicherstellt, auf dem solche Daten gespeichert sind, und daran hantiert, um auf die Daten zuzugreifen, einen „Verarbeitungsvorgang“ durch, auch wenn dieser aus technischen Gründen infolge der Verschlüsselung erfolglos bleibt.

Fazit

Ich denke, dass für den EuGH bei seiner Auslegung ein wichtiger Aspekt war, dass der erfolgreiche Versuch direkt zur Verarbeitung geführt hätte. Datenschutzrechtliche Pflichten konnten dann nur bereits vor dem Versuch ordentlich beachtet und erfüllt werden.

Vorbeugende Beschwerde bei der Datenschutzbehörde zulässig?

Posted on by

In seinen Schlussanträgen vom 25.9.2025 (Rs. C‑474/24) befasst sich Generalanwalt Spielmann u.a. auch mit der interessanten Frage, ob Betroffene nach Art. 77 eine Beschwerde bei einer Datenschutzbehörde gegen eine Verarbeitung einlegen können, die noch nicht stattfindet – also eine Art vorbeugende Beschwerde.

Wortlaut sieht diesen Fall nicht explizit vor

Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, „wenn [sie] der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Der Wortlaut der Norm sieht zumindest nicht ausdrücklich den Fall vor, in dem die Verarbeitung noch nicht stattgefunden hat. Es wird der Ausdruck „verstößt“ im Präsens verwendet, was nach Ansicht des Generalanwalt zu bedeuten scheint, dass die Verarbeitung bereits stattgefunden haben muss. Jedoch schließt er die Möglichkeit, dass auch eine künftige Verarbeitung umfasst sein kann, als solche nicht aus).

Zweck der Beschwerde

Danach widmet sich der Generalanwalt im Rahmen der Auslegung dem Sinne und Zweck des Art. 77 DSGVO.

Eine Beschwerde durch Betroffene soll dazu führen, dass Datenschutzbehörden tätig werden, um ihre Aufgaben zu erfüllen und ihre Befugnisse wahrzunehmen.

Der Generalanwalt verweist auf Art. 58 Abs. 1 DSGVO, wonach jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse zur Bearbeitung eingereichter Beschwerden zur Verfügung stehen. Zu den Befugnissen der Aufsichtsbehörde nach Art. 58 Abs. 2 a) DSGVO gehört es, einen Verantwortlichen zu „warnen“, dass „beabsichtigte“ Verarbeitungsvorgänge „voraussichtlich“ gegen die DSGVO verstoßen.

Dass die DSGVO hier vorsieht, dass eine Aufsichtsbehörde auch eine zukünftige Verarbeitung prüfen kann, sieht der Generalanwalt als Teil eines Ansatzes,

den man als „vorbeugenden Schutz“ der Rechte der betroffenen Person bezeichnen kann“.

Vorbeugende Pflichten der DSGVO

Zudem stellt der Generalanwalt heraus, dass der Verantwortliche, bestimmte Verpflichtungen erfüllen und insbesondere die betroffene Person vor der Verarbeitung informieren muss.

Aus diesen kontextbezogenen Gesichtspunkten leitet der Generalanwalt ab, ein vorsorglicher oder präventiver Ansatz der Aufsichtsbehörden bei der Bearbeitung von Beschwerden im Kontext der DSGVO nicht von vornherein ausgeschlossen werden kann.

Ziele der DSGVO

Zuletzt betrachtet der Generalanwalt bei seiner Auslegung des Art. 77 DSGVO auch die generellen Ziele der DSGVO. Aus ErwG 10 geht hervor, dass sie darauf abzielt, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten.

Würde man die den Aufsichtsbehörden in Art. 57 Abs. 1 f) DSGVO auferlegte Verpflichtung, sich mit Beschwerden zu befassen, durch eine Auslegung von Art. 77 Abs. 1 DSGVO einschränken, nach der jede Möglichkeit ausgeschlossen wäre, eine Beschwerde bei einer Aufsichtsbehörde „im Vorfeld einer Verarbeitung“ einzureichen, könnte dies den Zielen dieser Verordnung zuwiderlaufen.

Zulässigkeit der vorbeugenden Beschwerde – aber …

Insgesamt geht der Generalanwalt daher davon aus, dass eine gemäß Art. 77 DSGVO eingelegte Beschwerde zulässig sein kann, obwohl die Verarbeitung personenbezogener Daten der betroffenen Person zum Zeitpunkt der Einreichung ihrer Beschwerde bei der Aufsichtsbehörde noch nicht stattgefunden hat.

Rein praktisch stellt sich dann natürlich die Frage, „wie früh“ die Beschwerde eingelegt werden kann? Wie konkret muss also die geplante Verarbeitung feststehen?

Einschränkend zur generellen Zulässigkeit der vorbeugenden Beschwerde geht der Generalanwalt davon aus, dass der geltend gemachte Verstoß gegen die DSGVO dafür geeignet sein muss und dass die betreffende Verarbeitung

nicht rein hypothetischer Natur sein darf“.

So wäre seiner Ansicht nach etwa eine Beschwerde, die sich auf die in Art. 12 DSGVO vorgesehene Informationspflicht oder auf das in Art. 15 DSGVO vorgesehene Auskunftsrecht bezieht, beispielsweise vor Beginn einer Datenverarbeitung zulässig.

Der Generalanwalt fügt danach ein Beispiel an, wann eine vorbeugende Beschwerde jedoch unzulässig ist. Hierbei stellt er auf den konkret geltend gemachten Verstoß und auch die Möglichkeit des Verantwortlichen ab, diesen Verstoß zu beseitigen.

Im vorliegenden Fall legte die Betroffene eine Beschwerde zur Löschung von Daten nach Art. 17 DSGVO sein, wobei die Daten noch nicht veröffentlicht waren. Die Betroffene hat angegeben, dass die Veröffentlichung ihrer Daten „mit ziemlicher Sicherheit unmittelbar bevorstehe“.

Konkret zu dieser Beschwerde geht der Generalanwalt davon aus, dass die auf das Recht auf Löschung gemäß Art. 17 DSGVO gestützte Beschwerde unzulässig war, weil sie eine Verarbeitung (hier die Veröffentlichung der personenbezogenen Daten der betroffenen Person) betrifft, die, auch wenn sie unmittelbar bevorsteht, weder zum Zeitpunkt der Einreichung der Beschwerde bei der Aufsichtsbehörde noch zum Zeitpunkt des Erlasses der Entscheidung dieser Aufsichtsbehörde vorlag.

Eine auf Löschung der Daten gerichtete Beschwerde setze naturgemäß voraus, dass die betreffende Verarbeitung, in diesem Fall die Veröffentlichung der Daten, tatsächlich stattgefunden hat. Dem Verantwortlichen dürfte es nämlich unmöglich sein, aufgrund einer solchen Beschwerde tätig zu werden und Daten zu löschen, wenn diese noch nicht veröffentlicht wurden.