Category Archives: Datenschutzbehörde

Negativauskunft nach Art. 15 DSGVO – Muss über personenbezogene Daten aus dem Auskunftsantrag informiert werden? Österreichische Datenschutzbehörde sagt „nein“

Posted on by

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sowohl von Aufsichtsbehörden als auch der Rechtsprechung ist mittlerweile anerkannt, dass damit ein Anspruch auf Negativauskunft besteht. 

Verantwortliche müssen also, wenn keine Daten zu der Person vorhanden sind, auf den Antrag antworten, dass keine Daten vorhanden sind. 

In der Praxis stellt sich jedoch die Frage (bzw. legen es manche Betroffene darauf an), ob es denn eine solche Negativauskunft überhaupt geben kann? Wenn doch im Rahmen des Antrags auf Auskunft, also etwa per E-Mail, personenbezogene Daten an den Verantwortlichen gesendet wurden.

Einen solchen Fall hatte die Datenschutzbehörde aus Österreich zu entscheiden (Entscheidung vom 17. September 2025, GZ 2025-0.502.649). 

Sachverhalt

In dem Beschwerdeverfahren rügte die Betroffene u.a., dass die Beschwerdegegnerin auf ihren Antrag auf Auskunft nicht (fristgerecht) reagiert habe. Im Beschwerdeverfahren erteilte die Verantwortliche eine Negativauskunft, dass keine Daten vorliegen würden. 

Nach Ansicht der Betroffenen sei aber einerseits ihr Antrag auf Auskunft bearbeitet worden und schon deshalb müsse eine Datenverarbeitung vorliegen.

Entscheidung

Nach Ansicht der Datenschutzbehörde (DSB) ist für eine Negativauskunft ausreichend, dass, „sofern zu einer antragsstellenden Person (aktuell) keine personenbezogenen Daten verarbeitet werden“, die Information erteilt wird, dass keine personenbezogenen Daten verarbeitet werden. 

Nun mag man sich fragen: aber die Verantwortliche verarbeitet doch personenbezogene Daten? Und zwar jene, die mit dem Auskunftsantrag übersendet wurden. 

Hierzu führt die Aufsichtsbehörde aus: 

„… dass Gegenstand einer zu erteilenden datenschutzrechtlichen Auskunft die im 

Zeitpunkt des Einlangens des Auskunftsverlangens tatsächlich verarbeiteten Daten sind“.

Die DSB sieht also von der Auskunft gerade nur solche Daten erfasst, die vor dem Zeitpunkt des Eingangs des Antrags verarbeitet werden. Daher folgert die DSB, dass die Negativauskunft hier korrekt erteilt wurde.

Somit waren die personenbezogenen Daten der Beschwerdeführerin, die in ihrem Antrag auf Auskunft bzw. im Identitätsnachweis enthalten gewesen sind, in zeitlicher Hinsicht nicht vom Auskunftsrecht umfasst.“

Zudem verdeutlicht die DSB auch, dass das Auskunftsrecht sich nicht auf ehemals vorhandene Daten bezieht, die aber mittlerweile gelöscht wurden. 

„…, dass aufgrund des klaren Wortlauts von Art. 15 Abs. 1 DSGVO keine inhaltliche Auskunftspflicht hinsichtlich der in der Vergangenheit verarbeiteten (bereits gelöschten) Daten besteht“.

Fazit

Die Ansicht der DSB kann in der Praxis eine wertvolle Hilfe für Verantwortliche bei der Bearbeitung von Auskunftsansprüchen darstellen. Insbesondere für Fälle, in denen Betroffene einen Verstoß gegen die DSGVO dadurch sehen, dass in einer Negativauskunft nicht über jene Daten informiert wird, die durch die Auskunftsanfrage an den Verantwortlichen übermittelt wurden.

Was ist eine „Verarbeitungstätigkeit“ und wann muss diese im Verzeichnis nach Art. 30 DSGVO dokumentiert werden?

Posted on by

Nach Art. 30 Abs. 1 DSGVO muss jeder Verantwortliche ein Verzeichnis „aller Verarbeitungstätigkeiten“, die seiner Zuständigkeit unterliegen, führen. In der Praxis stellt sich oft die Frage, welche Arten von Verarbeitungen personenbezogener Daten als „Verarbeitungstätigkeit“ zu qualifizieren sind und daher ins Verzeichnis aufgenommen werden müssen. Ebenso ist von Bedeutung, wie man eine solche „Verarbeitungstätigkeit“ beschreibt und auch, ob etwa ein einmaliger Verarbeitungsprozess ebenfalls im Verzeichnis dokumentiert sein muss?

Hinweise der DSK

In der Vergangenheit hat sich zu diesen Fragen u.a. die deutsche Datenschutzkonferenz (DSK) in ihrem Anwendungshinweis zum Verzeichnis nach Art. 30 DSGVO geäußert. 

Dort wird empfohlen, für „jede einzelne Verarbeitungstätigkeit“ eine Beschreibung nach Maßgabe des Art. 30 DSGVO anzufertigen. Unter dem Begriff „Verarbeitungstätigkeit“ versteht die DSK im Allgemeinen einen Geschäftsprozess, der auf „geeignetem Abstraktionsniveau“ beschrieben wird. Diese Ansicht klingt zunächst danach, dass als „Verarbeitungstätigkeit“ gerade nicht etwa eine einzelne Datenverarbeitung an sich zu verstehen ist, sondern ein Prozess, der viele solche Verarbeitungen unter einem gemeinsamen Zweck bündelt.

Jedoch vertritt die DSK direkt nachfolgend in den Hinweisen die Ansicht, dass ein „strenger Maßstab anzulegen“ sei und: 

„… so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt“. 

Bei einer nur geringen Zweckänderung müsse geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen sei. 

Diese Auffassung scheint wiederum eine „Verarbeitung“ mit der „Verarbeitungstätigkeit“ gleich zu setzen – was in der Praxis aber wohl dazu führen dürfte, dass das Verzeichnis riesig und kaum kontrollierbar wäre, wenn man eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO (also etwa den Vorgang der Übermittlung oder Löschung an sich) bereits als „Verarbeitungstätigkeit“ ansehen würde. 

Eventuell kann man die Ansicht der DSK aber auch so verstehen, dass auch viele Verarbeitungen (z.B. Speicherung, Übermittlung, Löschung) unter einer „Verarbeitungstätigkeit“ zusammengefasst werden können, wenn diese Verarbeitungen denselben Zwecken dienen. Denn die Ansicht der DSK verweist auf den Fall der Zweckänderung („neuer Zweck“). Völlig eindeutig sind die Hinwiese jedoch nicht. 

Ansicht der Verwaltungsgerichts Hannover zur „Verarbeitungstätigkeit“ und Aktualität des Verzeichnisses

Das VG Hannover (Urteil vom 5.Juni 2025 , Az: 10 A 4017/23) hat sich in einer Entscheidung ebenfalls mit dem Begriff der „Verarbeitungstätigkeit“ nach Art. 30 Abs. 1 DSGVO befasst. Die Entscheidung hat in jedem Fall Praxisrelevanz, da es eher selten gerichtliche Entscheidungen zu Art. 30 Abs. 1 DSGVO und zum Verzeichnis gibt. 

Nach Ansicht des Gerichts hatte im vorliegenden Fall die Klägerin (ein Unternehmen, welches gegen eine Verwarnung der Datenschutzbehörde klagte) gegen Art. 30 Abs. 1 DSGVO verstoßen, da sie nicht schon zu Beginn eines Prozesses, der auch die Verarbeitung von Daten beinhaltete, ein Verarbeitungsverzeichnis geführt hat. Konkret ging es um eine sog. EPA-Auditierung. Diese wurde im Rahmen einer Verwaltungsvereinbarung mit der US-Umweltbehörde „Environmental Protection Agency“ (EPA) vereinbart. 

Die EPA-Auditierung war darauf ausgerichtet, das interne Compliance-Management-System der Klägerin fortzuentwickeln und die bestehenden Compliance-Strukturen auf ihre Effektivität zu überprüfen.

Nach Ansicht des Gerichts 

„stellen die Datenverarbeitungen, die im Rahmen der EPA-Auditierung erfolgt sind, eine Verarbeitungstätigkeit dar“.

Das VG sieht also (meines Erachtens zurecht) nicht einzelne Verarbeitungen für sich jeweils als „Verarbeitungstätigkeit“ an, sondern fasst viele Verarbeitungen unter der Tätigkeit oder dem Prozess „EPA-Auditierung“ als eine Verarbeitungstätigkeit zusammen. Der verklammernde Faktor, wenn man so will, ist der übergeordnete Zweck der Durchführung der Auditierung. 

Das Gericht verweist darauf, dass der Begriff der Verarbeitungstätigkeit von der DSGVO selbst nicht legal definiert wird. Er werde jedoch an mehreren Stellen in der Verordnung genannt. Dabei werde er häufig in Kontexten verwendet, wenn es um mehrere gleichartige Verarbeitungen oder um eine Kategorie der Verarbeitung gehe. 

Zudem sei der Begriff durch eine „gewisse zeitliche Kontinuität gekennzeichnet“, da eine punktuelle Verarbeitung personenbezogener Daten nicht als „Tätigkeit“ bezeichnet werden würde. 

Diese Ansicht des VG ist aus meiner Sicht für die Praxis wichtig, wenn man sich die Frage stellt, ob eine Verarbeitungstätigkeit aufgenommen werden muss, wenn diese Tätigkeit bereits absehbar nur einmal durchgeführt wird. Dann wäre eine Dokumentation nach Art. 30 Abs. 1 DSGVO nicht erforderlich. 

Im konkreten Fall ging das VG davon aus, dass eine Verarbeitungstätigkeit vorlag, da es während der Dauer der EPA-Auditierung zu einer Vielzahl von gleichartigen Datenverarbeitungen gekommen ist, weil die Klägerin in diesem Zeitraum personenbezogene Daten von mindestens 234 Beschäftigten an den EPA-Auditor übersandt hatet.

Des Weiteren urteilt das VG, dass die Pflicht nach Art. 30 Abs. 1 S. 1 DSGVO, ein Verarbeitungsverzeichnis zu führen, nicht auf einen bestimmten Zeitpunkt beschränkt sei. Vielmehr sei der Verantwortliche verpflichtet, die Grundsätze aus Art. 5 Abs. 1 DSGVO – zu denen auch die Transparenz gehöre – (jederzeit) nachweisen zu können. 

Aus dem Sinn und Zweck der Norm gehe hervor, dass der Verantwortliche der Aufsichtsbehörde jederzeit auf Verlangen ein Verzeichnis vorlegen können muss. Zwar sei eine explizite Aktualisierungspflicht gesetzlich nicht vorgesehen. 

… jedoch ist angesichts des Sinnes und Zweckes des Verarbeitungsverzeichnisses davon auszugehen, dass nur ein solches, welches die tatsächliche, nicht überholte Sachlage widerspiegelt, den Anforderungen des Art. 30 Abs. 1 S. 1 DSGVO gerecht werden kann“.

Im Grunde ist die Aussage des VG aus meiner Sicht nachvollziehbar, aber praktisch in größeren Einheiten wohl kaum umsetzbar. Da das Gericht verlangt, dass stets ein aktuelles Verzeichnis vorliegt. Beispiel: würde man eine Verarbeitungstätigkeit prüfen und intern freigeben, diese jedoch erst 2-3 Tage später im Verzeichnis dokumentiert, befände man sich in diesem Zeitraum in einem Verstoß gegen Art. 30. Abs. 1 DSGVO. Da das Verzeichnis in dieser Zeit eben nicht 100% aktuell ist. 

Das VG folgert, dass bereits bei Aufnahme der konkreten Verarbeitungstätigkeiten ein neues Verarbeitungsverzeichnis zu erstellen oder ein bestehendes Verarbeitungsverzeichnis zu ergänzen sei, sodass es die aktuelle Sachlage bei Beginn der Verarbeitungstätigkeiten wiedergibt. 

Es ist sodann fortlaufend zu pflegen und nach Bedarf zu aktualisieren“.

Fazit

Die Entscheidung des Gerichts gibt einige wichtige Anhaltspunkte für die Erfüllung der Pflicht zur Führung des Verzeichnisses nach Art. 30 Abs. 1 DSGVO. Insbesondere die Auslegung des Begriffs der „Verarbeitungstätigkeit“ kann in der Praxis hilfreich sein. 

Oberverwaltungsgericht: Das Recht zur Datenschutzbeschwerde erlischt mit dem Tod der betroffenen Person – kein Übergang auf die Erben

Posted on by

Das Oberverwaltungsgericht Koblenz (OVG) hat sich in seinem Urteil vom 28.11.2025 (Az. 10 A 11059/23.OVG) mit der Frage befasst, inwiefern Erben der betroffenen Person eine Datenschutzbeschwerde nach Art. 77 DSGVO bei einer Aufsichtsbehörde einreichen dürfen.

Sachverhalt

Die Klägerin ist Alleinerbin ihrer verstorbenen Ehefrau und wendet sich gegen die Beendigung ihres datenschutzrechtlichen Beschwerdeverfahrens durch die Datenschutzbehörde. Sie hatte dort zuvor um eine Bewertung einer Verarbeitung von Daten ihrer verstorbenen Ehefrau durch ein Institut und einen Professor erbeten.

Die Klägerin klagte gegen das Einstellungsschreiben der Datenschutzbehörde vor dem Verwaltungsgericht, welches die Klage abwies.

Entscheidung

Das OVG weist die Berufung der Klägerin zurück. Die Klage ist unbegründet.

Die Klägerin war nach Art. 77 Abs. 1 DSGVO nicht berechtigt, für ihre verstorbene Ehefrau eine Datenschutzbeschwerde einzureichen und daraus Rechte geltend zu machen.

Die Klägerin berufe sich zwar auf etwaige Verstöße gegen die DSGVO. Bezogen auf die in Rede stehenden Datenverarbeitungen ist sie aber weder betroffene Person nach Art. 77 Abs. 1 DSGVO noch kann sie das Beschwerderecht als Erbin ihrer verstorbenen Ehefrau geltend machen.

Die Klägerin ist nicht Betroffene im Sinne von Art. 77 Abs. 1 DSGVO, denn sie bezieht sich mit ihrer Beschwerde nicht auf die Verarbeitung ihrer eigenen personenbezogenen Daten, sondern auf die ihrer verstorbenen Ehefrau.

Die Klägerin kann auch nicht als Erbin ihrer verstorbenen Ehefrau deren Datenschutzrechte nach Art. 77 Abs. 1 DSGVO wahrnehmen. Sie ist weder nach § 1922 Abs. 1 BGB in die Betroffenenstellung der Verstorbenen eingetreten, noch ist Art. 77 Abs. 1 DSGVO und der Begriff der betroffenen Person für den vorliegenden Fall einer erweiternden Auslegung oder analogen Anwendung zugänglich. Auch eine nationale Regelung (im Sinne von Erwägungsgrund 27 Satz 2 DSGVO) zur (allgemeinen) Datenschutzbeschwerde betreffend die Daten Verstorbener besteht nicht.

Das Schutzregime der DSGVO bezieht sich grundsätzlich („nur“) auf den Schutz lebender natürlicher Personen. Der Begriff „natürliche Person“ impliziere dabei ein auf den Menschen als lebende Person zielendes Schutzkonzept. Er knüpft an die Rechtsfähigkeit des Menschen an, die grundsätzlich mit dem Tod endet. Das Verständnis, wonach die DSGVO keine Anwendung auf personenbezogene Daten verstorbener Personen findet, steht ferner in inhaltlicher Kontinuität zur Datenschutzrichtlinie 95/46/EG.

„Hiervon ausgehend geht das Recht zur Datenschutzbeschwerde nach Art. 77 Abs. 1 DSGVO grundsätzlich mit dem Tod der betroffenen Person unter. Eine übergangsfähige Rechtsposition im Sinne von § 1922 Abs. 1 BGB besteht nicht“.

Das Beschwerderecht nach Art. 77 DSGVO ist Ausfluss des in Art. 8 GRCh verbürgten Schutzes personenbezogener Daten und soll dem Betroffenen die effektive Durchsetzung „seiner“ Datenschutzrechte sichern. Eine eigene Betroffenheit, wie sie Kern des Rechts aus Art. 77 DSGVO ist und wie sie auch anderen Betroffenenrechten der Datenschutz-Grundverordnung immanent ist, liegt bei einem Erben aber gerade nicht vor.

Auch der vorgebrachte Einwand, im Verfahren nach Art. 77 DSGVO gehe es in erster Linie um eine objektive Rechtskontrolle, die losgelöst von der Person der Betroffenen auch nach deren Tod „fortgesetzt“ werden könne, verfängt auf dieser Grundlage nicht.

Denn der Schutzzweck von Art. 77 DSGVO, der effektive Schutz des Betroffenen im Anwendungsbereich der Datenschutz-Grundverordnung, kann nach dem Tod nicht mehr verwirklicht werden. Bei einer Geltendmachung des Anspruchs durch die Erben ginge es gerade nicht mehr um den Schutz der Grundrechte und der Grundfreiheiten des datenschutzrechtlich Betroffenen.

Auch das postmortale Persönlichkeitsrecht gebietet keine andere (erweiternde) Auslegung. Denn die Schutzwirkungen des (verfassungsrechtlichen) postmortalen Persönlichkeitsrechts sind nicht identisch mit denen, die sich aus dem Recht auf informationelle Selbstbestimmung lebender Personen ergeben.

Kontaktaufnahme per E-Mail oder Kontaktformular: bitte ohne Einwilligung

Posted on by

Immer wieder lese ich im Internet Datenschutzhinweise, in denen etwas steht wie:

„Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über die auf der Webseite angegebene E-Mailadresse des Kundenservice Kontakt aufzunehmen. Ihre Angaben werden zur Beantwortung Ihrer Anfrage verarbeitet. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit uns erfolgt nach Art. 6 Abs. 1 S. 1 lit. a DSGVO auf Grundlage Ihrer freiwillig erteilten Einwilligung.“

Ähnliche Texte gibt es auch zur Kommunikation via Kontaktformular (was ja im Hintergrund oft auch nur eine Mail auslöst).

Verwendung ohne Not

Und jedes Mal, wenn ich solche Angaben lese, denke ich: ihr glaubt doch nicht wirklich, dass so eine Kontaktaufnahme als Einwilligung nach Art. 6 Abs. 1 DSGVO gewertet werden kann? Wie soll das gehen? Wie dokumentiert ihr die Einwilligung? Wo findet man den Text der Einwilligungserklärung?

Wie so oft im Datenschutzrecht, werden solche Placebo-Hinweise aus Un- und fehlender Fachkenntnis oder mangelndem Willen zur richtigen Beratung in der Sache einfach „rausgefeuert“. Oft auch übernommen aus falschen Standardmustern.

Mit potentiellen Risiken

Für die Unternehmen, Vereine oder öffentliche Stellen, die solche Hinweise verwenden, kann dies (im worst case) durchaus negative Konsequenzen haben. Bsp: jemand ist mit dem Kundenservice nicht zufrieden und beschwert sich bei der Aufsichtsbehörde. Diese schreibt dem Verantwortlichen und fragt etwa nach der Rechtsgrundlage der Verwendung der Daten des Anfragenden. Wenn man nun antwortet „Einwilligung“, dann wird man diese im Zweifel auch nachweisen können müssen. Kann man aber nicht. Wenn man antwortet, „Sorry, wir haben uns vertan. Es ist doch eine andere Rechtsgrundlage“, dann hat man in den Datenschutzhinweisen falsch informiert. Beide Ergebnisse sind nicht gut – und absolut vermeidbar.

Es geht sehr viel ohne Einwilligung

Für mich sind solche Situationen (Anfrage von interessierten Personen per Mail oder Kontaktformular) aber eigentlich ein Paradebeispiel der Rechtsgrundlage nach Art. 6 Abs.  1 f) DSGVO, also der Interessenabwägung. Und für öffentliche Stellen dann ggfs. noch nach Art. 6 Abs. 1 e) DSGVO, zur Aufgabenwahrnehmung.

Nach ErwG 47 DSGVO sind vor allem zwei Aspekte bei Art. 6 Abs. 1 f) DSGVO relevant:

  • Vernünftige Erwartungen des Betroffenen: gerade in der oben beschrieben Situation weiß doch der Betroffene, dass er Kontakt aufnimmt. Er weiß auch, dass seine Angaben zur Kommunikation genutzt werden. Er erwartet diese Datenverwendung auch.
  • Kann der Betroffene absehen, „dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“: ja natürlich kann er das. Denn er initiiert die Kontaktaufnahme.

Und auch Art. 6 Abs. 1 b) DSGVO, also die Anbahnung eines Vertrags oder die Durchführung (Kommunikation mit Kunden) kann je nach Situation als Rechtsgrundlage dienen.

Auch deutsche Aufsichtsbehörden sind bei der Frage der Rechtsgrundlage gegen die Einwilligung.

Die hessische Datenschutzbehörde (TB 2024, S. 127) geht etwa davon aus: „Hier ist ganz deutlich Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO die passende und richtige Rechtsgrundlage für die Datenverarbeitung…“. Eine „Einwilligung der Dienstenutzenden in die Verarbeitung ihrer Daten ist in solchen Fällen offensichtlich nicht notwendig“.

Zu Kontaktformularen auf Websites vertritt etwa das BayLDA (TB 2017/18, S. 56) die Ansicht: „Grundsätzlich bedarf es keiner Einwilligung durch den Nutzer, da die Datenverarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt werden kann“.

Natürlich muss man neben der Rechtsgrundlage auch die übrigen Vorgaben der DSGVO beachten (etwas den Grundsatz der Datenminimierung bei Kontaktformularen, also welche Daten man von Betroffenen erfragt). Aber auch dies ist meiner Erfahrung nach wirklich kein Hexenwerk.

Externe „Spam-Mail“ zu einer Sicherheitslücke: Österreichische Datenschutzbehörde verhängt Bußgeld gegen Unternehmen wegen unterlassener Meldung einer Datenpanne

Posted on by

Am 4. September 2025 erließ die österreichische Datenschutzbehörde (DSB) eine Entscheidung in einem Fall, in dem ein Unternehmen es versäumt hatte, die DSB gemäß Art. 33 DSGVO über eine Datenschutzverletzung zu informieren.

Sachverhalt

Eine unbekannte Person entdeckte eine Sicherheitslücke auf der Subdomain der Website des Unternehmens, die es aufgrund fehlender technischer Sicherheitsvorkehrungen ermöglichte, personenbezogene Daten (u. a. Namen, E-Mail-Adressen, Telefonnummern, Geschlecht) zu extrahieren. Die Person informierte das Unternehmen per E-Mail, doch die Nachricht wurde von einer Mitarbeiterin fälschlicherweise als Spam behandelt und erreichte weder die Geschäftsleitung noch die IT-Abteilung. Nachdem keine Antwort erfolgt, schickte eine andere Person (Vertreter eines Vereins) eine zweite E-Mail, diesmal mit der österreichischen DSB in „CC“.

Das Unternehmen handelte daraufhin schnell, um die Sicherheitslücke zu schließen, und die Person, die die Sicherheitslücke gemeldet hatte, bestätigte die Löschung aller Dateien, auf die sie zugegriffen hatte. Die IT-Abteilung des Unternehmens dokumentierte den Vorfall, aber das Unternehmen meldete keine Datenschutzverletzung an die DSB.

Entscheidung der Datenschutzbehörde

Die DSB leitete eine Untersuchung ein und fragte das Unternehmen, warum sie nicht gemäß Art. 33 DSGVO über die Verletzung informiert worden sei. Das Unternehmen argumentierte, dass keine weitere Benachrichtigung erforderlich sei, da die Datenschutzbehörde bereits in der zweiten E-Mail in „CC“ gesetzt wurde.

Die DSB widersprach dieser Ansicht und stellte klar, dass eine externe E-Mail über ein potenzielles Sicherheitsproblem keine gültige Benachrichtigung gemäß Art. 33 DSGVO darstellt. Art. 33 DSGVO enthalte keine Ausnahme für einen solchen Fall, dass Dritte die Aufsichtsbehörde über eine Datenschutzverletzung informieren.

Wenn eine dritte Person die DSB über einen Vorfall informiert, handelt es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden.“

Zudem ging es noch um die Frage, wann der Verantwortliche Kenntnis von der Datenschutzverletzung erlangte – mit der ersten „Spam-Mail“ oder aber erst mit der zweiten Mail?

Die DSB geht davon aus, dass der Verantwortliche bereits durch den ersten Hinweis, welcher von einer Mitarbeiterin als „Spam-Nachricht“ eingestuft wurde, Kenntnis erlangte. Die unterlassene interne Weiterleitung der Nachricht, muss sich der Verantwortliche zurechnen lassen.

Die Beschuldigte übersieht hierbei, dass das Verhalten ihrer Arbeitnehmerin ihr unmittelbar zugerechnet wird. Für die Strafbarkeit nach Art. 83 DSGVO ist im Falle einer juristischen Person nämlich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans erforderlich“.

Fazit

Natürlich werden in der Praxis nicht alle Hinweise auf eine mögliche Sicherheitsverletzung wirklich echt sein. Jedoch sollten Verantwortliche darauf achten, interne Vorgaben und Prozesse vorzuhalten, dass die Einschätzung darüber, ob eine solche Nachricht „echt“ ist, durch fachliche geschulte Mitarbeiter, etwa in der IT-Abteilung, bei Compliance oder im Datenschutz, erfolgt.

„Zu viel Aufwand“ zählt nicht – EDSA lehnt Verhältnismäßigkeitsprüfung bei Auskunftsanfragen ab

Posted on by

Wenn Unternehmen oder öffentliche Stellen mit Auskunftsanträgen nach Art. 15 DSGVO konfrontiert sind, kann sich deren Erfüllung in der Praxis manchmal als extrem aufwendig herausstellen. Schließlich müssen in diesem Fall intern alle personenbezogenen Daten zu der betroffenen Person herausgesucht werden. Gerade im Verhältnis zwischen Arbeitgeber und Arbeitnehmern kann dies, bei langjährigen Arbeitsverhältnissen, zu nicht zu unterschätzenden Aufwänden führen.

Im Rahmen einer Stellungnahme zum Entwurf des Durchführungsbeschlusses der Kommission über den angemessenen Schutz personenbezogener Daten im Vereinigten Königreich befasste sich der EDSA – kurz, aber eindeutig – mit der Frage, ob bei der Erfüllung von Auskunftsanfragen ein Verhältnismäßigkeitskriterium angewendet werden darf. Konkret also, ob ein Verantwortlicher berechtigt sein kann, eine Anfrage nicht vollständig zu erfüllen, weil die Suche nach den Daten in internen Systemen zu aufwendig wäre.

Art. 15 Abs. 1A UK GDPR führt eine Verhältnismäßigkeitsprüfung ein, wie es in der britischen Rechtsprechung entwickelt wurde. Nach Absatz 1A

„hat die betroffene Person nur Anspruch auf eine solche Bestätigung, personenbezogene Daten und sonstige Informationen, die der Verantwortliche auf Grundlage einer angemessenen und verhältnismäßigen Suche nach den in diesem Absatz beschriebenen personenbezogenen Daten und sonstigen Informationen bereitstellen kann.“

Verantwortliche müssen daher nur „angemessene und verhältnismäßige Suchvorgänge“ durchführen, um Auskunftsanfragen zu erfüllen.

Der EDSA hebt hervor, dass eine solche Verhältnismäßigkeitsprüfung im EU-Datenschutzrahmen nicht vorgesehen ist:

„Das Unionsrecht sieht keinen allgemeinen Vorbehalt der Verhältnismäßigkeit in Bezug auf den Aufwand vor, den der Verantwortliche zur Erfüllung von Betroffenenanfragen nach Art. 12 DSGVO zu leisten hat, sondern enthält nur die in Absatz 5 genannten Ablehnungsgründe.“

Vorbeugende Beschwerde bei der Datenschutzbehörde zulässig?

Posted on by

In seinen Schlussanträgen vom 25.9.2025 (Rs. C‑474/24) befasst sich Generalanwalt Spielmann u.a. auch mit der interessanten Frage, ob Betroffene nach Art. 77 eine Beschwerde bei einer Datenschutzbehörde gegen eine Verarbeitung einlegen können, die noch nicht stattfindet – also eine Art vorbeugende Beschwerde.

Wortlaut sieht diesen Fall nicht explizit vor

Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, „wenn [sie] der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Der Wortlaut der Norm sieht zumindest nicht ausdrücklich den Fall vor, in dem die Verarbeitung noch nicht stattgefunden hat. Es wird der Ausdruck „verstößt“ im Präsens verwendet, was nach Ansicht des Generalanwalt zu bedeuten scheint, dass die Verarbeitung bereits stattgefunden haben muss. Jedoch schließt er die Möglichkeit, dass auch eine künftige Verarbeitung umfasst sein kann, als solche nicht aus).

Zweck der Beschwerde

Danach widmet sich der Generalanwalt im Rahmen der Auslegung dem Sinne und Zweck des Art. 77 DSGVO.

Eine Beschwerde durch Betroffene soll dazu führen, dass Datenschutzbehörden tätig werden, um ihre Aufgaben zu erfüllen und ihre Befugnisse wahrzunehmen.

Der Generalanwalt verweist auf Art. 58 Abs. 1 DSGVO, wonach jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse zur Bearbeitung eingereichter Beschwerden zur Verfügung stehen. Zu den Befugnissen der Aufsichtsbehörde nach Art. 58 Abs. 2 a) DSGVO gehört es, einen Verantwortlichen zu „warnen“, dass „beabsichtigte“ Verarbeitungsvorgänge „voraussichtlich“ gegen die DSGVO verstoßen.

Dass die DSGVO hier vorsieht, dass eine Aufsichtsbehörde auch eine zukünftige Verarbeitung prüfen kann, sieht der Generalanwalt als Teil eines Ansatzes,

den man als „vorbeugenden Schutz“ der Rechte der betroffenen Person bezeichnen kann“.

Vorbeugende Pflichten der DSGVO

Zudem stellt der Generalanwalt heraus, dass der Verantwortliche, bestimmte Verpflichtungen erfüllen und insbesondere die betroffene Person vor der Verarbeitung informieren muss.

Aus diesen kontextbezogenen Gesichtspunkten leitet der Generalanwalt ab, ein vorsorglicher oder präventiver Ansatz der Aufsichtsbehörden bei der Bearbeitung von Beschwerden im Kontext der DSGVO nicht von vornherein ausgeschlossen werden kann.

Ziele der DSGVO

Zuletzt betrachtet der Generalanwalt bei seiner Auslegung des Art. 77 DSGVO auch die generellen Ziele der DSGVO. Aus ErwG 10 geht hervor, dass sie darauf abzielt, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten.

Würde man die den Aufsichtsbehörden in Art. 57 Abs. 1 f) DSGVO auferlegte Verpflichtung, sich mit Beschwerden zu befassen, durch eine Auslegung von Art. 77 Abs. 1 DSGVO einschränken, nach der jede Möglichkeit ausgeschlossen wäre, eine Beschwerde bei einer Aufsichtsbehörde „im Vorfeld einer Verarbeitung“ einzureichen, könnte dies den Zielen dieser Verordnung zuwiderlaufen.

Zulässigkeit der vorbeugenden Beschwerde – aber …

Insgesamt geht der Generalanwalt daher davon aus, dass eine gemäß Art. 77 DSGVO eingelegte Beschwerde zulässig sein kann, obwohl die Verarbeitung personenbezogener Daten der betroffenen Person zum Zeitpunkt der Einreichung ihrer Beschwerde bei der Aufsichtsbehörde noch nicht stattgefunden hat.

Rein praktisch stellt sich dann natürlich die Frage, „wie früh“ die Beschwerde eingelegt werden kann? Wie konkret muss also die geplante Verarbeitung feststehen?

Einschränkend zur generellen Zulässigkeit der vorbeugenden Beschwerde geht der Generalanwalt davon aus, dass der geltend gemachte Verstoß gegen die DSGVO dafür geeignet sein muss und dass die betreffende Verarbeitung

nicht rein hypothetischer Natur sein darf“.

So wäre seiner Ansicht nach etwa eine Beschwerde, die sich auf die in Art. 12 DSGVO vorgesehene Informationspflicht oder auf das in Art. 15 DSGVO vorgesehene Auskunftsrecht bezieht, beispielsweise vor Beginn einer Datenverarbeitung zulässig.

Der Generalanwalt fügt danach ein Beispiel an, wann eine vorbeugende Beschwerde jedoch unzulässig ist. Hierbei stellt er auf den konkret geltend gemachten Verstoß und auch die Möglichkeit des Verantwortlichen ab, diesen Verstoß zu beseitigen.

Im vorliegenden Fall legte die Betroffene eine Beschwerde zur Löschung von Daten nach Art. 17 DSGVO sein, wobei die Daten noch nicht veröffentlicht waren. Die Betroffene hat angegeben, dass die Veröffentlichung ihrer Daten „mit ziemlicher Sicherheit unmittelbar bevorstehe“.

Konkret zu dieser Beschwerde geht der Generalanwalt davon aus, dass die auf das Recht auf Löschung gemäß Art. 17 DSGVO gestützte Beschwerde unzulässig war, weil sie eine Verarbeitung (hier die Veröffentlichung der personenbezogenen Daten der betroffenen Person) betrifft, die, auch wenn sie unmittelbar bevorsteht, weder zum Zeitpunkt der Einreichung der Beschwerde bei der Aufsichtsbehörde noch zum Zeitpunkt des Erlasses der Entscheidung dieser Aufsichtsbehörde vorlag.

Eine auf Löschung der Daten gerichtete Beschwerde setze naturgemäß voraus, dass die betreffende Verarbeitung, in diesem Fall die Veröffentlichung der Daten, tatsächlich stattgefunden hat. Dem Verantwortlichen dürfte es nämlich unmöglich sein, aufgrund einer solchen Beschwerde tätig zu werden und Daten zu löschen, wenn diese noch nicht veröffentlicht wurden.

Bundesverwaltungsgericht Österreich: Falsche Einschätzung des Datenschtzbeauftragten wird dem Verantwortlichen im Bußgeldverfahren zugerechnet

Posted on by

Das Bundesverwaltungsgericht Österreich musste sich in seiner Entscheidung vom 27. Dezember 2024 (Aktenzeichen W258 2227269-1/39E) mit der Rechtmäßigkeit des Verkaufs personenbezogener Daten, darunter auch Angaben zu politischen Affinitäten der betroffenen Personen befassen. Eine wichtige Frage war hier, ob bestimmte Informationen „personenbezogene Daten“ darstellen.


Sachverhalt
Im Jahr 2019 leitete die österreichische Aufsichtsbehörde eine Untersuchung ein, nachdem Medienberichte behauptet hatten, ein Unternehmen habe personenbezogene Daten, einschließlich Angaben zu „politischen Affinitäten“, verkauft. Daraufhin wurde ein Verwaltungsstrafverfahren wegen des Verdachts der unrechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten ohne Einwilligung, weiterer rechtswidriger Verarbeitungen, Versäumnissen bei der Datenschutz-Folgenabschätzung, sowie unzureichender Transparenz eingeleitet. Nachdem gegen das Unternehmen eine Geldbuße verhängt wurde, legte es Rechtsmittel gegen den Bescheid beim Bundesverwaltungsgericht ein, welches die Entscheidung zunächst aufhob. Diese Aufhebung kassierte allerdings der österreichische Verwaltungsgerichtshof unter Verweis auf das EuGH-Urteil in der Rechtssache C-807/21. Damit landete der Fall wieder beim Bundesverwaltungsgericht.


Entscheidung
Das Urteil ist insbesondere in Bezug auf die Haftung des Verantwortlichen für Fehleinschätzungen des eigenen Datenschutzpersonals und des Datenschutzbeauftragten bemerkenswert.

Im Rahmen der subjektiven Voraussetzungen zur Verhängig einer Geldbuße gemäß Art. 83 DSGVO ist es erforderlich, dass der Verantwortliche einen in Art. 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. Das BVwG geht hier von einem fahrlässigen Verhalten aus, welches u.a. aus den Fehleinschätzungen der Datenschutzmanagerin und der Datenschutzbeauftragten abgeleitet wird.

Kein Ausschluss der Zurechnung durch das existierende Kontrollsystem

Zwar geht das BVwG davon aus, dass sich das Unternehmen auf organisatorischer Seite mit beachtlichen Ressourcen-Aufwand auf die Anwendbarkeit der DSGVO vorbereitet hat.

So wurde intern die datenschutzrechtliche Bewertung wie folgt gegliedert:

  • Erstbeurteilung einer Datenverwendung in dem jeweiligen Fachbereich einerseits.
  • Verpflichtenden Einbindung der Datenschutzbeauftragten andererseits.

Dieses System scheint nach Auffassung des BVwG auf den ersten Blick zweckmäßig zu sein, zumal die Fachbereiche den besten Einblick in die von Ihnen vorgenommenen Datenverwendung haben und die Datenschutzbeauftragte eine rechtlich unabhängige Kontrolle ermöglichen sollte.

„Im konkreten Fall gestaltet sich diese Aufteilung allerdings als problematisch, weil die Erstbeurteilung damit Personen auferlegt worden ist, die – wenngleich datenschutzrechtlich ausgebildeten – juristischen Laien sein konnten/bzw waren und – als aus dem Fachbereich kommend – ein starkes Interesse an der Durchführung der geplanten „eigenen“ Datenverarbeitungen haben können.“

Hieraus folgte nach Ansicht des Gerichts „die beachtliche Gefahr grundlegender juristischer Fehlinterpretationen aufgrund fehlender allgemeiner juristischer Kenntnisse„.

Das BVwG geht daher hinsichtlich des Kontrollsystemens davon aus, dass dies nicht ausreichend war.

„entgegen ihrer Meinung lag damit auch kein wirksames Überwachungs- und Kontrollsystem vor, dass eine verschuldensbegründende Zurechnung an die Beschwerdeführerin ausschließen könnte“

Fehlerhafte Einschätzungen der Mitarbeiter

Hinsichtlich der Datenverarbeitungen sind die Datenschutzmanagerin und die Datenschutzbeauftragte davon ausgegangen, dass es sich bei statistischen Werten nicht um personenbezogene Daten handelt, und zwar auch dann, wenn sie konkreten Personen zugeschrieben werden.

Nach Auffassung des BVwG war diese Rechtsansicht

„insbesondere vor dem Hintergrund der bereits vor Anwendbarkeit der DSGVO zur in diesen Aspekten vergleichbaren Datenschutz-Richtlinie (95/46/EG) und dem DSG 2000 vorliegenden Judikatur der Datenschutzkommission, der Datenschutzbehörde (…) und des EuGH (EuGH 22.06.2017, C-434/16, Nowak) unvertretbar“

Das Gericht geht in seiner Begründung danach u.a. darauf ein, welches Verhalten den beteiligten Personen vorzuwerfen ist.

„Der Datenschutzmanagerin ist vorzuwerfen, dass sie bei ihrer Meinungsbildung auffallend sorglos war, zumal sie eine einschlägige datenschutzrechtliche Entscheidung denkunmöglich interpretiert…“

„Die weiteren von der Datenschutzmanagerin ergriffen Recherchetätigkeiten waren ungeeignet ihren Fehler aufzudecken,…“

„Der Datenschutzbeauftragten ist vorzuwerfen, dass sie sich – in offenbarer Unkenntnis der bestehenden Rechtsprechung sowie trotz einer neuen Rechtslage – auf ihre bestehende (irrige) Meinung verlassen hat, dass es sich bei statistischen Daten auch dann um keine personenbezogenen Daten handelt, wenn sie konkreten Personen zugeschrieben werden, und keine eigenen relevanten Recherchen durchgeführt hat.“

Die führte im Ergebnis dazu, dass das Unternehmen die „ XXXX -Affinitäten“ nicht weiter dahingehend überprüft hat, ob es sich tatschlich um eine besondere Kategorie von Daten nach Art. 9 Abs. 1 DSGVO handelt und ob und unter welchen Voraussetzungen ihre Verarbeitung zulässig sein könnte.

Hieraus folgert das BVwG:

„Dieses fahrlässige Verhalten muss sich die Beschwerdeführerin zurechnen lassen; eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin, ist hierfür nicht erforderlich (EuGH 05.12.2023, C-807/21, Deutsche Wohnen SE, Rz 77).“

Bedeutung für die Praxis
Die Entscheidung zeigt, dass Verantwortliche auch für fehlerhafte Einschätzungen bzw. Handlungen ihrer Datenschutzbeauftragten haften müssen. Bereits in der Entscheidung C-807/21 (Deutsche Wohnen) hat der EuGH klargestellt, dass Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans des Verantwortlichen voraussetzt. Diese Position wurde vom Kammergericht Berlin in seiner Entscheidung vom 22. Januar 2024 bestätigt. Die vorliegende Entscheidung folgt dem Ansatz, dass die Unternehmen auch für solche Verstöße haften, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person gehandelt hatte.

Das BVwG geht sogar noch einen Schritt weiter: Trotz der (zumindest teilweise) unabhängigen Stellung der Datenschutzbeauftragten haften die Unternehmen auch für deren Verstöße, zumindest solange diese Verstöße in den Bereich ihrer gesetzlichen Pflichten gem. Art. 39 DSGVO fallen.

Geht es um Rechtsansichten (wie hier, bei der Auslegung und Anwendung der DSGVO), sollten Verantwortliche und Auftragsverarbeiter daher darauf achten, internes Personal entsprechend zu qualifizieren oder extern spezialisierten Fachrat einzuholen.

Zudem sind die Ansichten des BVwG zu dem Compliance/Konrollsystem sehr praxisrelevant.

Erlaubte oder geduldete private Nutzung von E-Mail und Internet durch Arbeitnehmer – BNetzA lehnt Anwendung des Fernmeldegeheimnisses ab

Posted on by

Weiter rechtlich umstritten und damit in der Praxis ein wichtiges Beratungsthema ist die Frage, ob Arbeitgeber, die ihren Mitarbeitern die private Nutzung des betrieblichen E-Mail-Postfaches oder des Internets am Arbeitsplatz gestatten oder dies zumindest dulden, als „Anbieter von Telekommunikationsdiensten“ gelten. Die Folge wäre, dass für Arbeitgeber nach § 3 Abs. 2 Nr. 1 oder 2 TDDDG das Fernmeldegeheimnis zu beachten wäre. Inklusive des strafrechtlichen Verbots nach § 206 Abs. 1 StGB.

Kurzer Rückblick
Nach § 3 Abs. 2 Nr. 1 und 2 TDDDG sind zur Wahrung des Fernmeldegeheimnisses

  • Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken, oder auch
  • Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken, verpflichtet.

Im Juli 2024 hatte ich hier im Blog zuletzt zu dem Thema geschrieben. Dort habe ich auch auf die (alte) Ansicht der DSK verwiesen, wonach für Arbeitgeber bei erlaubter oder geduldeter Privatnutzung des Internets oder von E-Mail-Postfächern das Fernmeldegeheimnis gelten soll. Die DSK (und auch einige Gerichte in der Vergangenheit) gehen davon aus, dass Arbeitgeber in diesen Fällen als „Anbieter von Telekommunikationsdiensten“ anzusehen sind.

In dem Blogbeitrag habe ich auch die neue, abweichende Ansicht der LDI NRW dargestellt. Nach der LDI gilt das Fernmeldegeheimnis in diesen Fällen nicht.

Die DSK hat sich zu dem Thema bislang jedoch nicht neu geäußert.

Rechtlicher Hintergrund
Wie oben beschrieben, gibt § 3 Abs. 2 TDDDG vor, für wen das Fernmeldegeheimnis gilt. In beiden Varianten, die ggfs. für die Situation der privaten Nutzung von betrieblichen Arbeitsmitteln relevant sein könnten (Nr. 1 und Nr. 2), ist stets erforderlich, dass ein „Telekommunikationsdienst“ vorliegt.

Anbieter von Telekommunikationsdiensten“ ist nach § 3 Nr. 1 TKG „jeder, der Telekommunikationsdienste erbringt“.

Und „Telekommunikationsdienste“ werden in § 3 Nr. 61 TKG legal definiert als „in der Regel gegen Entgelt über Telekommunikationsnetze erbrachte Dienste, die – mit der Ausnahme von Diensten, die Inhalte über Telekommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen: a) Internetzugangsdienste, b) interpersonelle Telekommunikationsdienste und c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden“.

Die Definition verlangt also auch, dass der Dienst „in der Regel gegen Entgelt erbracht wird“.

Ansicht der BNetzA
Neuen Rückenwind erhält die Ansicht, dass auf Arbeitgeber das Fernmeldegeheimnis keine Anwendung findet, nun aber von der Bundesnetzagentur (BNetzA). Die Aufsichtsbehörde hat mit Stand Juli 2025 ein „Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS)“ (PDF) veröffentlicht.

Dort setzt sich die BNetzA auch mit dem Tatbestandsmerkmal „in der Regel gegen Entgelt erbracht wird“ auseinander (ab S. 11 ff.). Sie verweist für die Auslegung des Begriffs auf die Rechtsprechung des EuGH, der von einem weiten Entgeltbegriff ausgehe. Von einer Entgeltlichkeit der Dienstleistung kann bereits dann ausgegangen werden, wenn es sich um wirtschaftliche Tätigkeiten handelt, die einen Teil des Wirtschaftslebens ausmachen. Das Tatbestandsmerkmal „gewöhnlich bzw. in der Regel gegen Entgelt“ diene nach der Rechtsprechung des EuGH einer Abgrenzung von wirtschaftlichen zu rein privaten Sachverhalten.

Und hier kommt die BNetzA dann auch zu dem für uns wichtigen Fall: Arbeitgeber erlaubt oder duldet die private Nutzung von betrieblichem E-Mail-Postfach.

Die Ansicht der BNetzA: “Ebenfalls nicht erfasst sind in der Regel Angebote zwischen Arbeitgeber und Arbeitnehmer.“

Die BNetzA begründet ihre Auffassung damit, dass es sich regemäßig um ein Arbeitsmittel handele, welches der Arbeitnehmer auch privat nutzt. Dies stelle jedoch keine „eigenständige wirtschaftliche Tätigkeit des Arbeitgebers“ dar.

„Auch die private Nutzungsmöglichkeit, zum Beispiel eines E-Mail-Dienstes durch den Arbeitnehmer führt nicht dazu, dass das Angebot des Arbeitgebers vorrangig auf einen geschäftlichen Vorteil oder eine andere Form der Entgeltung gerichtet wäre.“

Fazit
Die Tendenz in der rechtlichen Diskussion um die Anwendung des Fernmeldegeheimnisses auf Arbeitgeber entwickelt sich zurecht immer mehr in die Richtung, § 3 Abs. 2 TDDDG hier nicht als einschlägig anzusehen. Die Folge ist, dass „nur“ datenschutzrechtliche Vorgaben der DSGVO und z.B. des BDSG zu beachten sind. Jedoch keine Verbote nach § 3 Abs. 1 TDDDG oder nach § 206 StGB.

Verwaltungsgericht: Rechtsmissbräuchliche Instrumentalisierung der Datenschutzbehörde – hier: Beschwerde gegen gegnerische Anwaltskanzlei

Posted on by

Das Verwaltungsgericht Hamburg hat sich in einem Beschluss (Beschl. v. 6.8.2025 – 17 K 3445/24, aktuell nur bei BeckRS 2025, 20692 verfügbar) sehr deutlich zu einem möglichen Anspruch eines Betroffenen auf Einschreiten der Datenschutzbehörde gegen eine gegnerische Anwaltskanzlei geäußert.

Hintergrund

Der Kläger des Verfahrens befand sich offensichtlich mit einem Unternehmen in einer zivilrechtlichen Auseinandersetzung in Bezug auf einen Schadenersatzanspruch. Das Unternehmen wurde von einer Anwaltskanzlei vertreten.

In einem Schreiben der Kanzlei an den Kläger verwendete diese irrtümlich „428/23“ als Zeichen des Klägers und speicherte das Schreiben mit diesem unzutreffenden Zeichen bei sich. Hiergegen legte der Kläger eine Beschwerde bei der Datenschutzbehörde in Hamburg ein. Die Aufsichtsbehörde wollte sich jedoch entweder mit der Beschwerde gar nicht befassen (ggfs. unter Berufung auf die EuGH Rechtsprechung) oder zumindest keine Maßnahmen ergreifen.

Der Kläger erhob darauf hin gegen die Datenschutzbehörde Klage beim Verwaltungsgericht. Da er einen Anspruch auf Behandlung seiner Beschwerde nach Art. 57 Abs. 1 f) DSGVO, Art. 77 DSGVO habe.

Entscheidung

Das Verwaltungsgericht musste, da die Parteien den Rechtsstreit für erledigt erklärt hatten, nur noch über die Kosten und dort über die Erfolgsaussuchten der Klage des Betroffenen entscheiden.

Die Ansicht des Gerichts fällt mehr als deutlich aus.  Der Kläger trägt die gesamten Kosten, da er mit seiner Klage wahrscheinlich unterlegen wäre.

Seine datenschutzrechtliche Beschwerde dürfte … als rechtsmissbräuchliche Instrumentalisierung des Beklagten, nur um der Beschwerdegegnerin in feindseliger Haltung Nachteile zuzufügen.“

Das VG geht hier also von einer missbräuchlichen Geltendmachung des Beschwerderechts nach der DSGVO aus. Hierzu führt das Gericht auch einige Faktoren an, die aus seiner Sicht für eine Missbräuchlichkeit der Geltendmachung der Beschwerde sprachen.

Erstens

Die Beschwerde des Klägers diente allein dazu, der Rechtsanwaltskanzlei der Gegenseite, an die der Kläger einen Schadensersatzanspruch gerichtet hatte, Probleme und Aufwand zu bereiten.“

Für das VG war es hier also offensichtlich, dass es dem Kläger gerade nicht um Fragen des Datenschutzes ging, sondern die DSGVO nur als Instrument genutzt wurde, um Probleme zu bereiten.

Zweitens

Die datenschutzrechtliche Beschwerde an den Beklagten hat der Kläger erkennbar dazu genutzt, die Rechtsanwaltskanzlei, die in der zivilrechtlichen Auseinandersetzung mit ihm für die Gegenseite tätig war, weiter zu eskalieren, ohne hierdurch einen relevanten Vorteil für sich zu gewinnen.“

Zudem geht das VG davon aus, dass es dem Kläger erkennbar nur um eine weitere Eskalationsstufe des Streits ging. Also er gerade nicht Zwecke des Datenschutzes verfolgte.

Dies begründet das Gericht u.a. auch damit „kein auch nur ansatzweise anzuerkennendes rechtliches Interesse des Klägers daran“ bestehe, dass die Rechtsanwaltskanzlei das Schreiben und die Speicherung entsprechend berichtigt und hierzu die Kanzlei mit einem aufsichtsbehördlichen Verfahren zu überziehen.

Drittens

Zudem argumentiert das VG mit dem Sinn und Zweck des Datenschutzrechts.

„Das Datenschutzrecht mit der Einrichtung des Datenschutzbeauftragten als staatliche Stelle ist nicht dazu bestimmt, völlig belanglose Irrtümlichkeiten bei der Verarbeitung von Daten…, behördlich verfolgen zu lassen, nur um mit dem Mittel der Datenschutzaufsicht eine aus einem anderen Grund bestehende Auseinandersetzung, hier der Streit um einen zivilrechtlichen Schadensersatz, böswillig auf dieses weitere Konfliktfeld auszuweiten.“

Das Gericht sieht anscheinend die Kombination aus Zweck und Mittel auch als Faktor für den Missbrauch.

Fazit

Die Begründung des VG ist sehr deutlich. Man mag, mit Blick auf die Rechtsprechung des EuGH zur Geltendmachung des Auskunftsrechts, welches danach keine Begründung erfordert, eventuell auch gegen das Gericht argumentieren. Aus Sicht der Verantwortlichen kann die Begründung jedoch auch gut auf Situationen übertragen werden, in denen Betroffene im Streit mit der „Aufsichtsbehörde drohen“ – und das passiert in der Praxis leider regelmäßig.