Category Archives: Betroffenenrechte

Kundenbeschwerde wegen 1,50 EUR führt zu DSGVO-Bußgeld in Höhe von ca. 172.000 EUR – Ein Problem: Teilzeit-DSB, der seine Aufgaben nicht erfüllen konnte

Posted on by

Die Datenschutzbehörde aus Belgien (APD) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 172.431 EUR, weil es das Unternehmen unter anderem versäumt hatte, die personenbezogenen Daten einer betroffenen Person im Zusammenhang mit Direktwerbung zu löschen und weil es einen Teilzeit-DSB beschäftigte, der aber überlastet war und seine Aufgaben nicht wirksam wahrnehmen konnte (hier die englische Zusammenfassung der Entscheidung bei noyb).

Hintergrund

Die betroffene Person kaufte ein Produkt von dem Verantwortlichen und entdeckte auf der Rechnung eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Die betroffene Person bat um die Erstattung dieses Zuschlags und verlangte die Löschung aller ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung der Gebühr ab, bestätigte jedoch den Eingang des Löschungsantrags und bestätigte, dass dieser umgehend bearbeitet werde.

Es kam, wie es kommen musste. Die Daten wurden zunächst nicht gelöscht. Die betroffene Person erhielt weiterhin Werbung von dem Verantwortlichen. Der Betroffene wandte sich dann mit der Bitte um Schlichtung an die belgische Datenschutzbehörde. 

Spätestens jetzt hätten bei dem Verantwortlichen wirklich alle Hebel in Bewegung gesetzt werden müssen. Aber: der Verantwortliche reagierte nicht auf Anschreiben der APD. Daraufhin legte die betroffene Person Beschwerde bei der Datenschutzbehörde ein.

Der Verantwortliche räumte im Verfahren Fehler des früheren eigenen Datenschutzbeauftragten (DSB) ein und erklärte außerdem, dass das Ausbleiben einer Antwort an die APD während der Schlichtung auf den früheren DSB zurückzuführen war und dass weder der derzeitige DSB noch die Geschäftsleitung von diesen Problemen wussten und der frühere DSB weder die Korrespondenz mit der APD oder der betroffenen Person bearbeitet noch diese Informationen intern weitergegeben hat.

Im Rahmen des Verfahrens erläuterte der Verantwortliche, dass er Initiativen ergriffen habe, um seine Reaktionsfähigkeit zu verbessern, insbesondere durch die Einstellung eines neuen DSB, der in Vollzeit mit einem Team von zwei Personen arbeitet.

Entscheidung der Datenschutzbehörde 

Die APD geht unter anderem von Verstößen gegen Art. 5 Abs. 2 und Art. 24 DSGVO aus. Insbesondere kritisiert die Behörde, dass der frühere Teilzeit-DSB nicht die erforderliche Zeit und Ressourcen zur Verfügung hatte, um seinen Tätigkeiten nachzukommen. 

Die APD weist ganz generell darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um sicherzustellen, dass er in der Lage ist, nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO durchgeführt wird. Die Unfähigkeit des Verantwortlichen im vorliegenden Fall, die tatsächliche Löschung der Daten der betroffenen Person zu überprüfen oder schlüssig zu bestätigen, ließen Zweifel an der Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen aufkommen.

Als Verstoß gegen Art. 5 Abs. 1und Art. 24 DSGVO sah die Behörde auch die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren. Nach Ansicht der APD verdeutlichte dies das Versäumnis, Maßnahmen zur Gewährleistung der Einhaltung der DSGVO entsprechend Art. 5 und 24 DSGVO zu ergreifen.

Zudem verweist die Behörde auch auf die Anforderungen des Art. 38 Abs. 2 DSGVO hinsichtlich der Aufgaben des internen Datenschutzbeauftragten. Der Verantwortliche muss den DSB unterstützen, indem er ihm die zur Erfüllung seiner Aufgaben erforderlichen Mittel zur Verfügung stellt und hierbei muss er folgende Faktoren berücksichtigen.

  • der DSB muss gegebenenfalls in alle datenschutzrelevanten Angelegenheiten einbezogen werden
  • der Verantwortliche muss dem DSB ausreichend Zeit für die Wahrnehmung seiner Aufgaben zur Verfügung stellen
  • der Verantwortliche muss die Bestellung des DSB allen Mitarbeitern mitteilen, um sicherzustellen, dass seine Rolle innerhalb der Organisation weithin bekannt ist
  • der Verantwortliche muss für laufende Schulungen sorgen, um die Kenntnisse des DSB auf dem neuesten Stand zu halten.

Einen Verstoß gegen diese Vorgaben sah die Behörde unter anderem in der Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren.

Kurioses (und falsches) Urteil des Arbeitsgerichts Mainz – 5.000 EUR für verspätete Auskunft an einen Bewerber

Posted on by

Klagen auf Zahlung von Schadenersatz nach Art. 82 DSGVO sind vor allem im arbeitsgerichtlichen Bereich im Vergleich zu anderen Gerichtsbarkeiten eher erfolgreich (zumindest in den unteren Instanzen). Wenn aber die Gerichte die zum Teil gefestigte Rechtsprechung des EuGH nicht beachten, ist dies mehr als ärgerlich. Ein solcher Fall ereignete sich am Arbeitsgericht (ArbG) Mainz (Urteil vom 08.04.2024 – 8 Ca 1474/23. Derzeit nur bei BeckOnline abrufbar).

Sachverhalt

Die Parteien streiten über Auskunfts- und Entschädigungsansprüche auf der Grundlage von Art. 15 DSGVO. Der Kläger bewarb sich auf eine Stelle bei der Beklagten und forderte, nachdem er eine Absage erhalten hatte, dass man ihm eine „umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Art. 15 DSGVO“ erteilen soll.

Die Beklagte antwortete hierauf nur mit einer Mail und fügte die Datenschutzhinweise bei. Weitere Anfragen sollten an die dort genannte E-Mail-Adresse gerichtet werden. Danach erhob der Bewerber Klage – irgendwie auch nicht überraschend, denn die Übersendung der Datenschutzhinweise stellt natürlich keine Auskunft dar.

Der Kläger forderte unter anderem, an ihn eine Geldentschädigung, die einen Betrag in Höhe von 5.000,00 Euro aber nicht unterschreiten sollte, zu zahlen.

Entscheidung

Nach Ansicht des ArbG hat der Kläger einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 DSGVO. Und zwar tatsächlich in Höhe der 5.000 EUR.

Richtig geht das ArbG noch davon aus, dass das Auskunftsrecht des Betroffenen nicht erfüllt wurde.

Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben“.

Bei der Begründung des Schadenersatzes ist die Begründung dann meines Erachtens aber nicht mehr haltbar bzw. angreifbar.

Kritik 1

Das ArbG begründet, dass nach Art. 82 Abs. 1 DSGVO „ein Verstoß gegen die Verordnung einen Schadensersatzanspruch im Falle eines materiellen oder immateriellen Schadens, wobei die maßgebende Rechtsprechung des Europäischen Gerichtshofes den Schadensbegriff derart weit auslegt, dass er auch im vorliegenden Falle zu bejahen ist.“

Das Gericht lässt hier meines Erachtens unbeachtet, dass der EuGH gerade nicht allein von einem verstoß gegen die DSGVO direkt auf das Vorliegen eines Schadens schließt.

  • C-300/21, Rz. 33: „Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet.“
  • C-456/22, Rz. 21: „Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen.“

Kritik 2

Das Gericht begründet nicht bzw. fehlerhaft (siehe Kritik 3), wie es zu einem Schaden in Höhe von 5.000 EUR gelangt und vor allem nicht, ob und wie der Kläger diesen Schaden nachgewiesen hat

Der dem Kläger entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000,00 € für einen angemessenen Betrag“. Auch dies entspricht nicht der Rechtsprechung des EuGH und die (fehlende) Begründung des ArbG verstößt gegen diese Rechtsprechung.  

  • C-300/21, Rz. 32: „Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt,…“
  • C-687/21, Rz. 60: „Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen,…“

Kritik 3

Nach Ansicht des ArbG sind 5.000 EUR Schadenersatz hier gerechtfertigt, „weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen“.

Zudem komme es „weniger darauf an, wie sehr der Kläger „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Beklagten entsteht“. Das Gericht stellt sich auch hier konträr zur Rechtsprechung des EuGH und nimmt eine Straffunktion des Schadenersatzes nach Art. 82 DSGVO an.

  • C-667/21, Rz. 85: „Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat.“
  • C-687/21, Rz. 48: „Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat,…“
  • C-687/21, Rz. 50: „… da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.“

Das ArbG gesteht hier also 5.000 EUR Schadenersatz für eine verspätete und ungenügende Auskunft zu, ohne die Tatbestandsvoraussetzung von Art. 82 DSGVO entsprechend den Vorgaben des EuGH zu beachten. Wenn man dann auch noch im Blick hat, dass der EuGH selbst in einem jüngeren Urteil „nur“ 2.000 EUR Schadenersatz auf Grundlage von Art. 50 der sog. Europol-Verordnung (VO 2016/794) zugesprochen hatte (hierzu der Beitrag von Philipp Quiel), obwohl es dort um sensibelste Daten aus dem Intimbereich ging, scheint das vorliegende Urteil noch diskutabler.

Geschäftsmodell der personalisierten Werbung ist kein „Schaden“ im Sinne der DSGVO

Posted on by

Das Landgericht (LG) Magdeburg (Urt. v. 29.2.2024, Az. 10 O 530/23; derzeit leider noch nicht frei verfügbar; GRUR-RS 2024, 8057) hatte sich im Rahmen einer Klage auf Schadenersatz nach Art, 82 DSGVO u.a. mit der Frage zu befassen, ob die Betroffenheit eines Nutzers von personalisierter Onlinewerbung einen ersatzfähigen Schaden nach der DSGVO darstellt.

Sachverhalt
Der Kläger ist Nutzer u.a. von Facebook und Instagram. Dort hatte er sich mit seinen personenbezogenen Daten registriert. Nachdem Meta ab dem 3.11.2023 das sog. Einwilligungsmodell in Europa einführte, willigte der Kläger am 8.11.2023 ein, dass die Beklagte weiterhin Informationen des Klägers zu Werbezwecken verwenden darf.

Zuletzt beantragte der Kläger u.a., Auskunft über ihn betreffende personenbezogene Daten zu erteilen, die die Beklagte in Zusammenhang mit der individualisierten Werbung verarbeitet. Zudem verlangte er als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe den Betrag von 1.500 EUR nicht unterschreiten sollte. Er begründet den Anspruch damit, dass er mit dem Geschäftsmodell der Beklagten personalisiert zu werben, nicht einverstanden sei.

Entscheidung
Einen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO lehnt das LG als unbegründet ab.

Der Vortrag des Klägers zum behaupteten Schaden wurde als unsubstantiiert angesehen.

Hierbei verweist das LG auf die Rechtsprechung des EuGH zur Frage, wer die Beweislast für das Vorliegen eines Schadens trägt.

Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei.

Der Kläger müsse den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden im Sinne der DSGVO darstellen.

Zudem weist das LG die Begründung des Klägers für einen angeblichen Schaden, personalisierte Werbung zu verwenden, zurück.

Dies allein führt zu keinem Schaden.

Aus Sicht des LG ist ein derartiges Geschäftsmodell nicht ungewöhnlich. Die Plattformen der Beklagten würden Nutzern kostenlos bereitgestellt. Die Fähigkeit, Nutzern ihre derzeitigen Dienste kostenlos bereitzustellen, hänge aber von Werbeeinnahmen ab. Nach Ansicht des L ist dieses Geschäftsmodell aber üblich.

Das Gericht nennt hierfür etwa Beispiele von kostenfreien Zeitungen und frei empfangbare, private Fernsehsender, die ein ähnliches Geschäftsmodell verwenden: Sie versuchen, über Inhalte Leser oder Zuschauer zu gewinnen, denen dann auf Grundlage demografischer Merkmale/ Interessen der Zielgruppe relevante Werbung präsentiert wird. Hierzu das LG:

Schon dem gesunden Menschenverstand nach ist es offensichtlich, dass die Beklagte ihr Angebot nur deswegen kostenlos zur Verfügung stellen kann, weil sie Werbung verkauft. Dies ist weder ehrenrührig, noch verboten. Wenn die Klagepartei sich hierdurch unwohl fühlt, steht es ihr völlig frei die Angebote der Beklagten nicht zu nutzen oder für ein Angebot ohne Werbung zu bezahlen.

Verzicht auf den Auskunftsanspruch im arbeitsgerichtlichen Vergleich? Zur Abdingbarkeit von Betroffenenrechten

Posted on by

Bekanntlich gehört die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO in arbeitsgerichtlichen Verfahren mittlerweile „zum guten Ton“ – ob nun wirklich immer mit einer Intention des Datenschutzes oder doch eher, um Aufwände zu kreieren, sei hier dahingestellt.

In ihrem aktuellen Tätigkeitsbericht 2023 (ab S. 119) befasst sich die Datenschutzbehörde des Saarlandes (LfDI) mit der relevanten Frage, ob Arbeitgeber und Arbeitnehmer eine Vereinbarung (etwa in Form eines Vergleichs) mit dem Inhalt treffen können, dass der Betroffene auf die Ausübung seines Auskunftsanspruchs nach Art. 15 DSGVO verzichtet? Ob das Betroffenenrecht also zur Disposition der Parteien steht?

Datenschutz als Grundrecht – Selbstbestimmtheit der Betroffenen

Die LfDI verweist darauf, dass das europäische Datenschutzrecht Ausfluss des Grundrechts aus Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) ist. Dieses Grundrecht sei wichtig – jedoch kein Grundrecht unabdingbarer Natur, wie etwa die Menschenwürde aus Art. 1 GRCh.

Die Behörde geht davon aus, dass das Prinzip der Selbstbestimmtheit des Betroffenen im Datenschutzrecht besondere Bedeutung hat. Was etwa durch das Institut der Einwilligung aus Art. 6 Abs. 1 lit. a, Art. 7 DSGVO unmissverständlich zum Ausdruck komme.

Die LfDI leitet hieraus in einem Erst-Recht-Schluss ab:

Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und in wieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Dies gelte auch in Situationen, in denen es evtl. ein Machtgefälle bzw. Ungleichgewicht zwischen den Parteien gibt – wie im Beschäftigtenverhältnis. Die LfDI macht hier aber eine relevante Einschränkung ihrer Ansicht. Sie sieht insbesondere dort die Möglichkeit der Selbstbestimmtheit, wo es um zurückliegende Verarbeitungen in der Vergangenheit geht.

Formulierung des Vergleiches / Verzichts

Zudem befasst sich die LfDI auch mit der erforderlichen Formulierung einer solchen Vereinbarung. Grundsätzlich müssen die Formulierungen in einem arbeitsgerichtlichen Vergleich natürlich hinreichend klar und bestimmt sein,

um ein datenschutzrechtliches Betroffenenrecht einvernehmlich auszuschließen“.

Auch eine sog. Salvatorische Abgeltungsklausel, mit der jegliche Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt und gleich aus welchem Rechtsgrund, abgegolten sein sollen, genügt nach Auffassung der LfDI dem Bestimmtheitserfordernis.

Auch wenn sich die Vereinbarung dem Wortlaut nach „nur“ auf Ansprüche „aus dem Arbeitsverhältnis“ bezieht, ist dies nach Auffassung der Behörde unschädlich, da das Arbeitsverhältnis gerade Grundlage der Datenverarbeitung ist. Der Bezug zum „Arbeitsverhältnis“ umfasst danach nicht nur arbeitsrechtliche Ansprüche im engeren Sinne,

sondern auch solche datenschutzrechtlicher Art, welche mit dem Arbeitsverhältnis in Verbindung stehen und für welche das Arbeitsverhältnis Verarbeitungsgrundlage war“.

Jedoch macht die LfDI noch eine Einschränkung.

Der Verzicht auf das Betroffenenrecht könne sich nicht auf solche Verarbeitungen beziehen, die der Betroffene noch nicht absehen kann. Hier müsse er weiterhin einen Auskunftsanspruch haben.

Mit Blick auf die Begründung zuvor, dass es sich um Ansprüche aus dem „Arbeitsverhältnis“ handeln muss, scheint die LfDI also eine Grenze zu solchen Verarbeitungen zu ziehen, die erst in Zukunft stattfinden würden.

Insgesamt stellt die Aufsichtsbehörde aber am Ende ihrer Ausführungen noch einmal fest:

Auskunftsansprüche über Datenverarbeitungen der Vergangenheit, genauer über solche Verarbeitungen, welche aus zeitlich vor dem hierauf gerichteten Vertragsschluss (Vergleichsschluss) resultierenden Datenerhebungen stammen, stehen indes grundsätzlich zur Disposition der Vertragsparteien“.

Fazit

Die LfDI vertritt eine, aus meiner Sicht, durchaus pragmatische und eher verantwortlichenfreundliche Position zur Frage, ob Betroffenenrechte abdingbar sind. Wichtig ist der Behörde zurecht eine klar verständliche und transparente Regelung hierzu. Zudem will die LfDI den Verzicht auf das Betroffenenrecht „nur“ für vergangene Verarbeitungen gelten lassen. Wichtig: ob der Betroffene von den vergangenen Verarbeitungen auch tatsächlich Kenntnis hat, scheint keine Voraussetzung aus Sicht der Behörde zu sein.

Spannend wäre jetzt natürlich die Diskussion, ob die Argumentation der LfDI auf andere Betroffenenrechte übertragbar ist (zB das Recht auf Löschung oder Berichtigung) – aus meiner Sicht schon. Zum einen beschränkt die LfDI ihre Ansicht nicht nur auf das Auskunftsrecht. Zum anderen sind die vorgebrachten Argumente durchaus auch für andere Betroffenenrechte anwendbar.  

Verwaltungsgericht Stuttgart: DSGVO-Auskunft über gelöschte Daten oder Löschprotokolle?

Posted on by

Mit Urteil vom 30.11.2023 (Az. 11 K 3946/21) hat sich das Verwaltungsgericht (VG) Stuttgart sehr umfassend mit dem Auskunftsanspruch aus Art. 15 DSGVO befasst. Eventuell berichte zu weiteren Aspekten des Urteils noch nachfolgend im Blog. Heute möchte ich nur einen kleinen Aspekt beleuchten.

In dem Verfahren verlangte der Kläger von einer Körperschaft des öffentlichen Rechts Auskunft nach Art. 15 DSGVO. Hierbei ging es u.a. um die Frage, ob der Verantwortliche auch Auskunft über gelöschte personenbezogene Daten erteilen muss.

Das VG vertritt hierzu die einzig richtige Ansicht:

Was nicht mehr existiert, kann nicht beauskunftet werden.“

Zwar stelle nach Art. 4 Nr. 2 DSGVO auch das Löschen von Daten eine „Verarbeitung“ personenbezogener Daten dar. Vollständig gelöschte Daten können allerdings denklogisch nicht Anknüpfungspunkt des Auskunftsanspruchs aus Art 15 Abs. 1 2. Hs. i.V.m. Abs. 3 DSGVO sein.

Interessant und auch konsequent ist aber die Auffassung des VG hinsichtlich der Auskunft zu vorhandenen Löschprotokollen.

Das Gericht verweist darauf, dass, wenn ein Löschungsvorgang jedenfalls seinem Umfang nach noch dokumentiert und gespeichert ist, dies ein (einzelnes) personenbezogenes Datum über den Betroffen darstelle.

Das VG erläutert diese Ansicht auch an einem Beispiel: eine Dokumentation eines Löschungsvorgangs wie „Löschungsvorgang am XX.XX.XXXX: alle vom Kläger eingereichten Belege aus dem Kalenderjahr XXXX und davor“ sei dann vom Auskunftsrecht umfasst, wenn sich diese Information noch auf den Betroffenen beziehen lasse. Aus meiner Sicht ist die Auffassung des VG richtig. Denn eine Information „Daten 1,2,3 von Carlo Piltz wurden am XX.XX.XXXX gelöscht“ oder auch die Angabe „Von der Person erhaltene Dokumente aus 2020 wurden gelöscht„, bezieht sich auf eine natürliche Person, wenn intern nachvollzogen werden kann, wer diese Person ist.

Leider geht das VG hier nicht darauf ein, ob die Ausnahmevorschrift des § 34 Abs. 1 Nr. 2 b BDSG greifen würde. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, wenn Daten ausschließlich Zwecken der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Werden Löschprotokolle zum Nachweis aufbewahrt, dass Daten tatsächlich gelöscht wurden, stellt dies auch meiner Sicht eine Maßnahme zu „Zwecken der Datenschutzkontrolle“ dar – ob also der Löschverpflichtung nachgekommen würde. Natürlich müsste der Verantwortliche, um sich auf die Ausnahme berufen zu können, dann aber auch die übrigen Voraussetzungen des § 34 Abs. 1 Nr. 2 b BDSG erfüllen.

Schwedische Datenschutzbehörde: Umsetzung eines Widerspruchs gegen Werbe-E-Mails innerhalb von 2 Tagen

Posted on by

In einer Entscheidung vom 17.10.2023 hatte sich die schwedische Datenschutzbehörde (IMY) mit mehreren Beschwerden gegen das Unternehmen H&M wegen unzulässiger Marketing-E-Mails und Newsletter befasst. Unter anderem ging es um die Frage, wie schnell ein Verantwortlicher einen Werbewiderspruch nach Art. 21 Abs. 2 DSGVO umsetzen muss.

Sachverhalt

Ein Betroffener beschwerte sich, dass er am 5. April 2019 einen Widerspruch nach Art. 21 Abs. 2 DSGVO gegenüber H&M ausgeübt hatte, in der Folgezeit aber weiterhin werbliche E-Mails, in der Form von Newslettern, erhielt.

Der Widerspruch erfolgt wohl einmal in den Kontoeinstellungen und auch durch direkte Kontaktaufnahme mit dem Kundenservice in Polen und England. Am 8. April 2019 antwortete H&M, dass der Betroffene keine weiteren Newsletter erhalten würde.

Intern wurde der Betroffene wohl auch vom allgemeinen Newsletter genommen. Aber nicht von einem speziellen Kundenclub-Newsletter. Der Betroffene erhielt weiter bis zum 1. August 2019 diese Newsletter zugesendet – also ca. 4 Monate. Am 2. August 2019 wurde der Widerspruch dann auch für den Kundenclub-Newsletter umgesetzt.

Entscheidung der IMY

In ihrer Begründung stellt die IMY zunächst die gesetzlichen Anforderungen für diesen Fall dar.

Nach Art. 21 Abs. 2 DSGVO hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke von Werbung einzulegen. Es bedarf hierzu keiner weiteren Abwägung durch den Verantwortlichen oder Begründung durch den Betroffenen. Erfolgt der Widerspruch, so gibt Art. 21 Abs. 3 DSGVO vor, dass die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden dürfen.

Nach Ansicht der Aufsichtsbehörde folgt hieraus, dass eine weitere Verwendung der Daten für werbliche Zwecke einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt, da hierfür keine Rechtsgrundlage vorliegt.

Die Umsetzung des Werbewiderspruchs stellt aus Sicht der IMY eine Routineaufgabe für Verantwortliche dar, da gerade keine weiteren Voraussetzungen zur Umsetzung des Widerspruchs zu erfüllen sind.

Zudem verlangt Art. 12 Abs. 3 DSGVO, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Die IMY versteht diese Vorgabe so, dass der Verantwortliche unverzüglich den Werbewiderspruch zu bearbeiten und umzusetzen hat.

Die IMY legt hier einen strengen Maßstab an die zeitliche Umsetzung des Widerspruchs in den Systemen von H&M an. Die Aufsichtsbehörde verweist darauf, dass H&M ein automatisiertes Verfahren zur Umsetzung von Widersprüchen implementiert hatte.

Es sei aber stets eine Frage des Einzelfalls und der konkreten Umstände, wie schnell der Verantwortliche den Widerspruch umsetzen muss – wie also die Vorgabe „unverzüglich“ zu verstehen ist.

Im konkreten Fall nahm die Aufsichtsbehörde an:

In Anbetracht der Umstände des Falles ist IMY der Ansicht, dass zwei Tage eine angemessene Frist für die Bearbeitung des Widerspruchs durch das Unternehmen waren

Die IMY begründet ihre Ansicht unter anderem damit, dass hier gerade ein automatisiertes Verfahren eingerichtet wurde. Die Frist könnte etwa im Fall von manuellen Umsetzungen eine andere sein. Zwei Tage sind also nicht als starre Vorgabe zu verstehen. Zudem dürfte hier auch der Umstand eine Rolle gespielt haben, dass es sich um ein großes Unternehmen handelt, welches viele Kunden weltweit hat und daher Widersprüche an sich nichts Besonderes darstellen.

Generell fordert die Aufsichtsbehörde, dass Widersprüche nach Art. 21 Abs. 2 DSGVO schnell umzusetzen sind, da entsprechend Abs. 3 gerade verhindert werden soll, dass die Daten für werbliche Zwecke weiter verarbeitet werden.

Insgesamt ging die Aufsichtsbehörde hier von Verstößen gegen Art. 12 Abs. 3, Art. 21 Abs. 3 und Art. 6 Abs. 1 DSGVO aus.

Österreichisches Bundesverwaltungsgericht: Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegen den (alten) Arbeitgeber? Ja, aber…

Posted on by

Art. 20 DSGVO ist in der Rechtsprechung bisher kaum relevant geworden. Daher ist eine jüngere Entscheidung des österreichischen Bundesverwaltungsgericht (BVwG) zum Recht auf Datenübertragbarkeit gegen eine ehemalige Arbeitgeberin besonders interessant (20.12.2023 – W211 2261679-1).

Sachverhalt

Die Klägerin war bei der Verantwortlichen, einem Transportunternehmen, beschäftigt und kündigte das Arbeitsverhältnis. Die Klägerin verfügte über eine berufliche Emailadresse. Über diese Emailadresse wickelte sowohl berufliche als auch private Emailkorrespondenz ab.

Nach der Kündigung forderte die Klägerin von ihrer ehemaligen Arbeitgeberin basierend auf Art. 20 DSGVO, ihre personenbezogenen Daten, insbesondere ihre Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert sei, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.

Die Herausgabe der Daten wurde von der Arbeitgeberin in Bezug auf berufliche Emails verweigert, u.a. weil die Klägerin nun in einem Konkurrenzunternehmen arbeite. Hinsichtlich privater Emails sei diese Nutzung zwar gegen eine Dienstanweisung erfolgt – diese würden aber übermittelt und danach gelöscht.

Die Klägerin legte hierzu Beschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB wies die Beschwerde wegen Verletzung des Rechts auf Datenübertragbarkeit jedoch als unbegründet ab.

Nach Ansicht der DSB betreffe das Recht auf Datenübertragbarkeit jene Daten, die eine betroffene Person einem Verantwortlichen bereitgestellt habe. Dazu würden keine Daten zählen, die von anderen Nutzern eines Dienstes bereitgestellt worden seien. Deswegen würden empfangene Emails nicht unter den Anspruch aus Art. 20 DSGVO fallen. Darüber hinaus dürften bei Ausübung dieses Rechts die Rechte und Freiheiten anderer nicht beeinträchtigt werden. Die Übermittlung der beruflichen Emails würde die Arbeitgeberin schwer und unzulässig beeinträchtigen. Die Übermittlung privater Emails würde ebenfalls Rechte und Freiheiten Dritter beeinträchtigen, und zwar die Absender. Auch könnte der Inhalt der Emails sich auf Dritte beziehen.

Gegen diese Entscheidung der DSB wendet sich die Klägerin.

Entscheidung

Das BVwG verhielt sich nicht zu der Frage, welche Auswirkung die (vorgebrachte) Untersagung der privaten Nutzung der Emails hat. Nach Ansicht des BVwG ist die Frage, ob es eine Dienstanweisung gegen die private Nutzung des beruflichen Emailaccounts gab oder nicht,

für die datenschutzrechtliche Einschätzung im Endeffekt unerheblich“.

Das BVwG scheint hier also den Bereich des Datenschutzes streng von Fragen des (möglicherweise geltenden) Fernmeldegeheimnisses zu trenne.

Wichtig: Art. 20 DSGVO gilt auch im Arbeitsverhältnis

Implizit stellt das BVwG klar, dass das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO auch im (beendeten) Arbeitsverhältnis gilt. Denn es befasst sich nicht mit der Frage, ob Art. 20 DSGVO in der vorliegenden Konstellation überhaupt greift. Vielmehr prüft das BVwG das Vorliegen der Tatbestandsvoraussetzungen und Ausnahmen.

Was bedeutet „bereitgestellt“?

Nach Ansicht des BVwG sind unter „bereitgestellten“ Daten zunächst jene Daten zu verstehen, welche die betroffene Person aktiv und wissentlich der Verantwortlichen übermittelt hat (zB Daten, die bei der Kontoeröffnung angegeben werden, hochgeladene Bilder in sozialen Medien, Kontaktlisten des Webmail-Kontos).

Zudem verweist das BVwG auf die sehr weite Auslegung des Begriffs durch die Art.-29-Datenschutzgruppe. Danach umfasst das Recht auch jene Daten, die durch Nutzung des Dienstes der Verantwortlichen oder durch Beobachtung angefallen bzw. generiert worden sind.

Im Beschäftigungskontext könnten dies etwa Bewerbungsunterlagen, dienstliche E-Mails und elektronische Zeitaufzeichnungen sein. Damit war der Anwendungsberiech von Art. 20 DSGVO eröffnet. Diese Ansicht ist meines Erachtens richtig (vgl. etwa meinen Beitrag in RDV 2018, S. 3 “Datenübertragbarkeit im Beschäftigungsverhältnis – Arbeitgeberwechsel: Und die Daten kommen mit?“), auch wenn Art. 20 DSGVO wohl eigentlich nicht für diese Situationen gedacht war. Spannend wird es vielmehr bei den einzelnen Voraussetzungen und auch Ausnahmen des Art. 20 DSGVO.

BVwG: Betroffener muss „Bereitstellung“ darlegen

Eine erste Einschränkung bei der Ausübung des Rechts macht das BVwG bei dem Antrag auf Datenübertragung.

Die betroffene Person wird zur Geltendmachung ihres Begehrens darlegen müssen, dass die Daten, die sie übertragen lassen möchte, von ihr bereitgestellt wurden und sie betreffen, dass ihre Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und dass sie automatisch verarbeitet werden“.

Das BVwG verlangt hier also vom Betroffenen den Nachweis, dass es sich um „bereitgestellte“ Daten iSv Art. 20 DSGVO handelt. Das Gericht begründet seine Ansicht u.a. damit, dass es sich um ein antragsbedürftiges Recht handele.

Im vorliegenden Fall habe der Antrag kein ausreichend konkretisiertes Begehren auf Datenübertragbarkeit nach Art. 20 DSGVO für andere Daten als die Emails enthält. Abgesehen von der Korrespondenz über den Emailaccount werden weitere Daten, die übermittelt werden sollen, nicht ausreichend konkretisiert.

Übertragung beruflicher Mails?

Das BVwG stützt sich in seiner Entscheidung auf die Argumentation der DSB. Eine Übertragung der beruflichen Emails wird auf der Grundlage der Ausnahme nach Art. 20 Abs. 4 DSGVO abgelehnt.

Die Übermittlung der beruflichen Emails würde die Rechte der Arbeitgeberin, zB in Bezug auf Geschäftskontakte und Rechnungsdaten, insbesondere vor dem Hintergrund, dass die Klägerin nunmehr in einem Konkurrenzunternehmen tätig ist, schwer beeinträchtigen.

Wichtig: damit macht das BVwG auch klar, dass der Verantwortliche selbst im Rahmen des Art. 20 Abs. 4 DSGVO eine „andere Person“ ist.

Übertragung private Mails?

Hier begründet das BVwG die Ablehnung des Anspruchs aus Art. 20 DSGVO anders. Hinsichtlich der auf der personalisierten Emailadresse verfassten privaten Emails kann nicht davon ausgegangen werden, dass die Betroffene diese im Sinne der Bestimmung der Verantwortlichen „bereitgestellt“ hat.

Das BVwG verneint hier also bereits das Vorliegen eines Tatbestandsmerkmals.

Zwar würde rein technisch, durch die Nutzung des Emailaccounts eine quasi automatische Bereitstellung der Daten an die Verantwortliche erfolgen.

Aber: es handelt sich dabei um keine Daten, die die Verantwortliche in irgendeiner sonstigen Weise verarbeitet noch verarbeiten will, noch der Betroffenen diesbezüglich einen Dienst zu Verfügung stellt, noch im eigentlichen Sinne einen solchen Dienst – für private Emails – zur Verfügung stellen will.

Nach dem BVwG fehlt es am Merkmal „bereitgestellt“, weil der Verantwortliche keine Absicht hat, diese Daten zu erhalten oder für die Bereitstellung einen Dienst zur Verfügung zu stellen. „Bereitstellen“ verlangt also nach dem BVwG, dass der Verantwortliche bewusst und willentlich die Daten empfängt bzw. verarbeitet.

Das Ergebnis des BVwG: Ein Recht auf Datenübertragbarkeit der verfassten privaten Emails aus dem Emailaccount besteht demnach nicht.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Posted on by

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.

Widerspruch gegen die Datenverarbeitung: wann liegen „Gründe, die sich aus ihrer besonderen Situation ergeben“ vor?

Posted on by

Nach Art. 21 Abs. 1 DSGVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung, die aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen. Wann diese „besondere Situation“ vorliegt, erläutert das Gesetz aber nicht. 

Für die Praxis stellt Art. 6 Abs. 1 f) DSGVO in der Wirtschaft eine wichtige Rechtsgrundlage dar. Umso interessanter ist daher die Antwort auf die Frage, wann Betroffene einer Verarbeitung widersprechen können.

Wortlaut

Art. 21 Abs. 1 DSGVO gewährt eindeutig kein voraussetzungsloses Widerspruchsrecht, sondern macht dieses von Gründen abhängig, die sich aus der besonderen Situation des Betroffenen ergeben. Nur zu widersprechen, genügt daher nicht. Dies ergibt sich auch aus einem systematischen Vergleich mit Art. 21 Abs. 3 DSGVO, der gerade allein den Widerspruch (ohne Bezug zu einer besonderen Situation) genügen lässt, wenn Daten für Zwecke der Direktwerbung verwendet werden. 

Rechtsprechung

Landessozialgericht Hessen

Das LSG Hessen (Beschl. v. 29.1.2020 – L 4 SO 154/19 B) hat sich zu den Anforderungen der Darlegung der besonderen Situation des Betroffenen geäußert. 

Das LSG verlangt, dass konkrete Tatsachen zu dieser besonderen Situation vorgetragen werden müssen, die ausnahmsweise das Unterlassen der Erhebung von Daten rechtfertigen sollen. Dies ergebe sich aus der Normstruktur des Art. 21 Abs. 1 S. 2 DSGVO, die eine Abwägung erfordert.

Im konkreten Fall verwies der Kläger u.a. auf eine nach seiner Auffassung der Rechtsprechung des Bundessozialgerichts widersprechende Verwaltungspraxis. Dies genügte dem LSG nicht. Zudem brachte der Betroffene gegen die Verarbeitung seinen Gesundheitszustand vor. Auch dies lehnte das LSG als „besondere Situation“ ab. 

sind dies keine Gründe, die einen Bezug zu Datenschutzbelangen haben.“ 

Interessant an dieser Ansicht des LSG ist, dass das Gericht anscheinend bei den Gründen einen konkreten Datenschutzbezug verlangt. 

Bundesverwaltungsgericht Österreich

Im letzten Jahr hat sich auch das Bundesverwaltungsgericht (BVwG) Österreich (19.4.2023 – W287 2243166-1) mit den Anforderungen an den Widerspruch befasst. 

Das BVwG verlangt, dass der Betroffene im Widerspruch anzugeben hat, inwiefern eine Verarbeitung der Daten, die sich auf den Erlaubnistatbestand des Art. 6 Abs. 1 f) DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll. 

Vom Betroffenen ist konkret darzulegen, 

worin im grundrechtlichen Schutzzweck des Datenschutzes seine besondere Situation liegt, die über die im Rahmen des Art. 6 Abs. 1 lit. e und lit. f DSGVO bereits erfolgte allgemeine Güterabwägung hinaus eine Ausnahme von der rechtmäßigen Verarbeitung gegeben sein soll“.

Interessant ist hier, dass das BVwG die besondere Situation des Betroffenen wohl eher als Ausnahme ansieht. Denn es führt aus, dass bei der Annahme der besonderen Situation Zurückhaltung geboten sei. 

Legt der Betroffene „nicht einmal ansatzweise dar, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte“, sind die Anforderungen des Art. 21 Abs. 1 DSGVO nicht erfüllt. In dem Verfahren des BVwG hat übrigens auch die Österreichische Datenschutzbehörde genau diese Ansicht, die das Gericht stützt, vertreten. 

Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt nach Ansicht des BVwG beim Betroffenen.

Dementsprechend hat sein Antrag eine qualifizierte Darlegung zu enthalten, die es dem Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen.

Fazit

Abschließend geklärt scheint die Frage, wann eine „besondere Situation“ vorliegt, noch nicht. Gerade die Entscheidung und Begründung des BVwG enthält jedoch nützliche Hinweise dazu, wie Verantwortliche mit Widersprüchen gegen Datenverarbeitungen nach Art. 21 Abs. 1 DSGVO umgehen können.

„personenbezogene Daten unverzüglich gelöscht werden“ – Datenschutzbehörde Irland: 49 Tage sind nicht mehr „unverzüglich“

Posted on by

Mit Entscheidung (PDF) vom 15. November 2023 hat die irische Datenschutzbehörde (DPC) unter anderem einen Verstoß der Microsoft Operations Ireland Limited gegen Art. 17 Abs. 1 DSGVO festgestellt.

Sachverhalt

In dem Verfahren ging es auch um das Auslisten von Links aus der Suchmaschine Bing. Der Betroffene beschwerte sich beim BayLDA und dieses leitete die Beschwerde nach Irland weiter. Unter anderem wandte sich der Betroffene am 9. Oktober 2021 mit mehreren Löschaufforderungen an Microsoft. Diese wurden zunächst zurückgewiesen – wie Microsoft aber später eingestand, fälschlicherweise. Der Löschprozess für die personenbezogenen Daten startete dann erst ab dem 26. November 2021. Aus Sicht der DPC sind hier 49 Tage vergangen (wobei man dafür den 9. Oktober mit einbezieht).

Entscheidung

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern bestimmte Voraussetzungen erfüllt sind.

Was genau „unverzüglich“ bedeutet, ist in der DSGVO nicht geregelt. Eine rein nationale Auslegung verbietet sich. Nach der Rechtsprechung des EuGH müssen Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (zum Begriff „Schaden“ in Art. 82 DSGVO, C-300/21, Rz. 29).

Im konkreten Fall vergingen nach Ansicht der DPC 49 Tage, bis der der Löschprozess angestoßen wurde. Die Aufsichtsbehörde geht davon aus, dass diese Dauer nicht mehr als „unverzüglich“ im Sinne von Art. 17 Abs. 1 DSGVO angesehen werden kann.