Wann sind DSGVO-Betroffenenanfragen „exzessiv“? Generalanwalt entwickelt praktische Checkliste

Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.

Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.

Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.

Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.

Der GA lehnt eine solche Sichtweise ab.

die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag

könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.

Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.

Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin

zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.

Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,

nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.

Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.

Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:

Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“

Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.

Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.

Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.

In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.

Prüfung im Einzelfall – welche Kriterien sind relevant?

Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.

Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,

dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.

Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn

sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.

Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.

Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,

wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.

Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge

  • denselben Verantwortlichen betreffen,
  • denselben Inhalt haben,
  • sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
  • in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
  • damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.

Ausforschung des Prozessgegners per Auskunftsanspruch nach Art. 15 DSGVO? Bundesverwaltungsgericht Österreich sagt „nein“. 

In einer Entscheidung vom 8.7.24 (Geschäftszahl W137 2278780-1) hat sich das österreichische Bundesverwaltungsgericht (BVwG) u.a. mit der Frage befasst, ob und wie weit der Auskunftsanspruch nach Art. 15 DSGVO reicht, wenn dieser gegenüber einer Partei geltend gemacht wird, mit der der Betroffene aktuell in rechtlichen (gerichtlichen) Auseinandersetzungen steht. Insbesondere ging es um die Anwendung der Ausnahmevorschrift nach Art. 15 Abs. 4 DSGVO in diesem Fall.

Sachverhalt

Die betroffene Person beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), da sie ihr Recht auf Auskunft nach Art. 15 DSGVO verletzt sah. Sie verlangte Auskunft von einer Bildungsbehörde. Diese erteilte auch Auskunft, jedoch nicht von vollem Umfang. Zum Teil wurde die Auskunft verweigert, weil gegen die betroffene Person zwei arbeits- und sozialgerichtliche Verfahren anhängig waren, wobei etwaige E-Mailverläufe sowie Stellungnahmen Teil dieser Verfahren seien und daher nicht herausgegeben wurden.

Die DSB wies die Beschwerde u.a. mit dem Argument zurück, dass die Verweigerung der Zurverfügungstellung einer Datenkopie dann gerechtfertigt sei, wenn die Geheimhaltungsinteressen des Verantwortlichen bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen würden. Da derzeit ein Zivilverfahren anhängig war, sei dem Verantwortlichen ein diesbezügliches Interesse an der Geheimhaltung von Beweismitteln zuzubilligen, zumal dadurch eine Verschlechterung der Prozessposition zu befürchten wäre.

Entscheidung des BVwG

Das BVwG folgt der Begründung der DSB und sieht keinen Verstoß gegen Art. 15 DSGVO. Die Ansicht des BVwG ist vor allem deshalb praxisrelevant, da Art. 15 DSGVO oft (ziemlich klar) dafür verwendet wird, um an Dokumente und Informationen bei dem Verantwortlichen zu gelangen, die im Rahmen eines Rechtsstreits verwendet werden sollen. 

Nun mag man entgegenhalten: aber der EuGH hat doch entschieden, dass der Auskunftsanspruch auch für „datenschutzfremde“ Zweck ausgeübt werden kann (z.B. EuGH, C-307/22 Rz. 43). Ja, das stimmt. Der EuGH hatte aber noch nicht die (im hier vorliegenden Fall relevante) Frage zu entscheiden, inwiefern sich der Verantwortliche oder auch Dritte in einer solchen Situation auf die Ausnahme nach Art. 15 Abs. 4 DSGVO berufen dürfen, wenn es um die Geheimhaltung von Dokumenten u.a. für die eigene Verfahrens-/Prozessposition geht.  

Das BVwG weist darauf hin, dass nach ErwG 63 DSGVO die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen soll. 

Es ist aber davon auszugehen, dass grundsätzlich alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden“.

Daher geht das Gericht davon aus, dass Unterlagen nicht vom Auskunftsrecht umfasst sind (man müsste wohl eher sagen: zwar umfasst, aber im Wege der Ausnahme ausgenommen sind), wenn der Verantwortliche eine E-Mail beauskunften muss, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind als jene des Betroffenen. 

Nach der auf Grundlage der Öffnungsklausel des Art. 23 DSGVO erlassenen Bestimmung des § 4 Abs. 6 DSG in Österreich besteht das Auskunftsrecht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen „in der Regel“ dann nicht, wenn durch die Erteilung der Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet würde. 

Aus dem Einschub „in der Regel“ schließt das BVwG, dass hier kein absolutes Ablehnungsrecht geschaffen wurde, sondern sorgfältig abzuwägen sein wird, inwieweit die Auskunftserteilung dieses Recht tatsächlich beeinträchtigt.

Vorliegend stützte der Verantwortliche die Verweigerung der Auskunft im Wesentlichen auf überwiegende Geheimhaltungsinteressen, welche das Auskunftsinteresse des Beschwerdeführers überwiegen würden. Der Verantwortliche brachte vor, dass gegen den Beschwerdeführer zwei arbeits- und sozialgerichtliche Verfahren anhängig seien, 

wobei etwaige E-Mailverläufe und Stellungnahmen Teile dieser Verfahren seien (unstrittig ist, dass zumindest ein Verfahren noch anhängig ist). Da gerade dies eine strittige Frage in anhängigen Zivilverfahren darstelle, würde die Beauskunftung eine Verschlechterung der Prozessposition der mitbeteiligten Partei bedeuten.“ 

Damit führt der Verantwortliche nach Ansicht des BVwG ein berechtigtes Geheimhaltungsinteresse ins Treffen, wobei den Ausführungen des Betroffenen nicht entnommen werden konnte, inwiefern sein Interesse an der Beauskunftung den Geheimhaltungsinteressen überwiegt. 

Daher kommt das BVwG hier zu dem Schluss, 

dass die Beschaffung von prozessstärkender Information des Beschwerdeführers über den Schutzzweck der Norm hinausgeht und im gegenständlichen Fall das Interesse der mitbeteiligten Partei an der Geheimhaltung der genannten E-Mailverläufe und Stellungnahmen das Interesse des Beschwerdeführers überwiegt.“

Zudem wurde hervorgehoben, dass der Betroffene ja durchaus Auskunft erhalten hat – nur eben ein gewisser Teil nicht beauskunftet wurde. 

Fazit

Die Begründung des BVwG (und vorgelagert auch schon der DSB) kann in der Praxis für Verantwortliche wertvolle Argumente zur Verteidigung gegen Auskunftsansprüche bieten, die klar auf eine („pre-trial“) Ausforschung abzielen. Im Rahmen der Anwendung des BDSG könnten sich Anwälte etwa zusätzlich auf § 29 Abs. 1 BDSG berufen. Jedoch sind in der Vergangenheit schon Fälle diskutiert worden, in denen diese Ausnahme durch Betroffene umgangen wird, indem die Auskunft nicht gegenüber den Anwälten, sondern gegenüber der vertretenen Partei direkt geltend gemacht wird – gerade für diese Situation kann die Entscheidung des BVwG hilfreich sein. 

Generalanwalt am EuGH: Wichtige Ausführungen zur Erforderlichkeit für Art. 6 (1) b DSGVO und der Information über „berechtigte Interessen“ für Art. 6 (1) f DSGVO

Am 11. Juli 2024 wurden die Schlussanträge des Generalanwalts Szpunar in der Rechtssache C-394/23veröffentlicht. 

In dem anhängigen Rechtsstreit zwischen einem Verband auf einer Seite und der französischen Datenschutzaufsichtsbehörde CNIL sowie Transportunternehmen SNCF Connect auf der anderen Seite geht es um die Frage der Verarbeitung der Anrededaten von Kunden des SNCF Connect, das über seine Website und Apps Zugtickets, Abos und Ermäßigungskarten vertreibt. Nach Angaben des Unternehmens werden die Daten in der geschäftlichen Kommunikation mit den Kunden verwendet und seien hierfür auch erforderlich. Es handelt sich hierbei um Pflichtfelder im Bestellformular – die Kunden müssen also bei der Bestellung ihre Anrede als „Herr“ oder „Frau“ angeben. 

Position des Verbands und bisheriges Verfahren 

Der Verband beschwerte sich gegen SNCF Connect bei der Aufsichtsbehörde. Zur Begründung machte er geltend, die Erhebung der Anrededaten sei mangels Rechtsgrundlage nicht mit dem in Art. 5 Abs. 1 lit. a DSGVO verankerten Grundsatz der Rechtmäßigkeit vereinbar. Zudem verstoße eine solche Erhebung gegen den Grundsatz der Datenminimierung und den Grundsatz der Richtigkeit, die in Art. 5 Abs. 1 lit. c bzw. d DSGVO festgelegt seien, sowie gegen die Transparenz- und Informationspflichten gem. Art. 13 DSGVO. Der Verband argumentierte insoweit, dass SNCF Connect die Anrededaten nicht erheben dürfe oder zumindest seinen Kunden alternative Möglichkeiten anbieten müsse, wie z. B. die Option „neutral“ oder „sonstige“. Die Datenschutzbehörde stellte keinen Verstoß gegen die DSGVO fest und der Verband reichte gegen diese Entscheidung eine Klage ein, im Rahmen welcher die Fragen dem EuGH vorgelegt wurden.

Ist die Angabe der Anrede erforderlich?

Die Erforderlichkeit wurde von dem Generalanwalt unter zwei Gesichtspunkten untersucht:

  1. Ist die Anrede der Kunden für die Erfüllung des Vertrags erforderlich? (Art. 6 Abs. 1 b) DSGVO)
  2. Ist die Angabe der Anrede zur Wahrung berechtigter Interessen im Hinblick auf die allgemeine Verkehrssitte in der personalisierten geschäftlichen Kommunikation erforderlich? (Art. 6 Abs. 1 f) DSGVO)

Vertragserfüllung

In seinen Ausführungen stellt der Generalanwalt fest, dass der Hauptgegenstand des Vertrags vorliegend die Bereitstellung eines Fahrscheins ist. Es war daher zu prüfen, ob erstens die Anrededaten des Kunden verarbeitet werden, um einen Zweck zu erreichen, der notwendiger Bestandteil der Beförderungsdienstleistung ist, und ob zweitens diese Verarbeitung hierfür objektiv unerlässlich ist.

Nach Ansicht des Generalanwalts sei die Kommunikation mit dem Kunden als notwendiger Bestandteil des Beförderungsvertrags anzusehen. Denn die Bereitstellung des Fahrscheins setze die Kontaktaufnahme mit dem Kunden voraus, um diesem den Fahrschein zu übermitteln. Diese Notwendigkeit bestehe auch während der Beförderung fort, um den Kunden z.B. über die möglichen Störungen bei der Reise zu informieren. 

Das Argument von SNCF, dass dieser Zweck in Übereinstimmung mit der Verkehrssitte in der geschäftlichen Kommunikation auch die Angabe der Anrede erfordert, wurde von dem Generalanwalt aber zurückgewiesen. Auch ohne geschlechtsspezifischer Anrede könne die Kommunikation durchgeführt werden. Dies werde unter anderem dadurch indiziert, dass die Anrede nicht bei jeder Kommunikation verwendet wird. So werden teilweise neutrale Formulierungen wie „Danke, gute Reise“ oder „Guten Tag“ benutzt.

Darüber hinaus sei die Verarbeitung der Anrededaten für die Erreichung des geltend gemachten Zwecks nicht unerlässlich und alternativlos. Sie gehe über das hinaus, was notwendig ist, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Denn die ordnungsgemäße Erfüllung des Beförderungsvertrags könne nicht von der Verwendung der Anrede in der Kommunikation abhängen, selbst wenn der für die Verarbeitung Verantwortliche mit seinen Kunden in personalisierter Weise kommunizieren möchte. 

Interessenabwägung

Im Zusammenhang mit der Prüfung der berechtigten Interessen verweist der Generalanwalt auf das Urteil „Meta Platforms“ (C-252/21), wo der EuGH entschieden hat, dass die Verarbeitung nur dann erforderlich sei, wenn der Verantwortliche den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat. 

Hier vertritt der Generalanwalt daher eine strenge Ansicht (Rz. 56):

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.

Aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 lit. d DSGVO resultiere also nach Ansicht des EuGH die Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten. Da SNCF in der Datenschutzerklärung keine Angaben zu den konkreten Interessen hinsichtlich der Verarbeitung von Anrededaten gemacht hat, führe dies dazu, dass die Verarbeitung auf diese Rechtsgrundlage nicht gestützt werden könne.

Und nach Ansicht des Generalanwalts reichen auch nicht floskelhafte Verweise auf berechtigte Interessen aus (Rz. 58):

Zum einen wird durch den bloßen Verweis auf ein berechtigtes Interesse ohne Angabe, worin genau dieses berechtigte Interesse besteht, die Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO nicht erfüllt, die den Verantwortlichen verpflichtet, das verfolgte berechtigte Interesse mitzuteilen.

In der weiteren Prüfung befasst sich der Generalanwalt mit den einzelnen Anforderungen des Art. 6 Abs. 1 f) DSGVO und stellt fest, dass obwohl die Kommunikation mit dem Kunden grds. als berechtigtes Interesse des Unternehmens anzusehen sei, die Verarbeitung von Anrededaten im konkreten Fall über das hinausgehe, was zur Erreichung des Zwecks der Kommunikation mit dem Kunden notwendig sei. Die Kommunikation könne – wie oben dargelegt – auch ohne Verwendung der Anrede erfolgen.

Auch die vernünftigen Erwartungen der Person reichen nach seiner Ansicht nicht für die Feststellung aus, dass das berechtigte Interesse des Verantwortlichen die Interessen der betroffenen Person überwiegt. Ein solcher Aspekt sei zwar im Rahmen der Abwägung erheblich, könne jedoch nicht automatisch dazu führen, dass das berechtigte Interesse des Verantwortlichen überwiegt.

Weitere Fragen

Grundsatz der Datenminimierung

Nach dem Grundsatz der Datenminimierung sei nach Ansicht des Generalanwalts zu prüfen, ob der Zweck der Verarbeitung nicht in zumutbarer Weise mit anderen Mitteln erreicht werden kann. Die Prüfung umfasse dabei nicht nur quantitative Aspekte, sondern auch die inhaltlichen.

Der Grundsatz der Datenminimierung gelte auch dann, wenn die Person in die Verarbeitung eingewilligt hat. Denn nur so kann ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten gewährleistet werden. 

Widerspruchsrecht

Die letzte relevante Frage betrifft das Widerspruchsrecht der betroffenen Person nach Art. 21 Abs. 1 DSGVO und seine Bedeutung i.R.d. Beurteilung der Erforderlichkeit gem. Art. 6 Abs. 1 f) DSGVO.

Es ergebe sich schon aus dem Wortlaut des Art. 21 Abs. 1 DSGVO, dass das Bestehen eines Widerspruchsrechts für die Beurteilung der Erforderlichkeit einer Verarbeitung nach Art. 6 Abs. 1 Buchst. f DSGVO in keiner Weise relevant sei, da die Geltendmachung des Rechts aus Art. 21 Abs. 1 DSGVO voraussetze, dass die Voraussetzungen der Rechtsgrundlage bereits erfüllt seien.

Praktische Auswirkungen

Zwar bleibt noch die finale Entscheidung des EuGH abzuwarten. Es ist aber sehr wahrscheinlich, dass der Gerichtshof den Ausführungen des Generalanwalts weitgehend folgen wird.

Für die Praxis ist im Hinblick auf die Datenverarbeitung zur Vertragserfüllung festzuhalten, dass die Korrespondenz mit dem Kunden als Bestandteil des Vertrages anzusehen ist. Das ist insbesondre für E-Commerce-Unternehmen relevant, die ihre Kunden über diverse Updates zum Bestellstatus informieren wollen (z.B. Versandbestätigung, Änderung des Lieferdatums usw.). Dabei ist aber zu beachten, dass die erhobenen Daten auch tatsächlich für die Kommunikation (oder sonstige vertragliche Zwecke) benutzt werden. Sollten bei manchen Kunden diese Daten verwendet werden, bei anderen aber nicht, dürfte dies gerade gegen eine generelle Erforderlichkeit im Rahmen der Vertragsdurchführung sprechen. Es reicht nicht, wenn die Verwendung des Datums inkonsistent bzw. nur gelegentlich erfolgt. Anders ausgedrückt: ganz oder gar nicht.

Für die Verarbeitung von Daten auf Grundlage berechtigter Interessen gilt, dass die mangelhafte Erfüllung der spezifischen Informationspflichten zu den berechtigten Interessen dazu führen kann, dass diese Interessen (über die nicht informiert wurde) nicht als Verarbeitungsgrundlage genutzt werden dürfen. Eine falsche bzw. inhaltlich mangelhafte Information kann hier im Ergebnis zur Rechtswidrigkeit der Verarbeitung führen – selbst wenn berechtigte Interessen vorliegen, über die nur eben nicht informiert wurde.

Unternehmen müssen darauf achten, konkrete Interessen für Verarbeitungsvorgänge bei der Erhebung der Daten zu benennen. Allein die vernünftigen Erwartungen der betroffenen Person führen nicht dazu, dass die Interessenabwägung zugunsten des Verantwortlichen ausfällt, obwohl sie bei der Interessenabwägung zu berücksichtigen sind.

Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

VG Wiesbaden: Inkassounternehmen sind in der Regel keine Auftragsverarbeiter

Das Verwaltungsgericht (VG) Wiesbaden hat ich in seinem Beschluss vom 13.05.2024 (Az. 6 K 1306/22.WI; derzeit leider nur kostenpflichtig zugänglich, zB via BeckRS 2024, 11305) mit der Frage auseinandergesetzt, welche datenschutzrechtliche Rolle Inkassodienstleiter nach der DSGVO einnehmen, wenn sie personenbezogene Daten verarbeiten: Auftragsverarbeiter oder Verantwortliche?

Das VG verweist zunächst auf Ansichten in der Rechtsprechung und Literatur, wonach überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung weitgehend selbst bestimmen und nur ausnahmsweise, beispielsweise bei der teilweisen weisungsgebundenen Übertragung des Forderungsmanagements auch Auftragsverarbeitungen i. S. d. Art. 28 DSGVO denkbar seien.

Als Argumente gegen eine Einordnung als Auftragsverarbeiter führt das VG dann folgende Aspekte an:

  • Auch bei der (teilweise) weisungsgebundenen Überragung des Forderungsmanagements ist diese durch eine weitgehend selbstständige Aufgabenwahrnehmung des Inkassounternehmens geprägt, die deren Einordnung als Verantwortliche nahelegen.
  • Aus der sog. teilweisen weisungsabhängigen „Einziehungsermächtigung“, bei der der Auftraggeber rechtlicher Eigentümer der Forderung bleibt, folgt nach Ansicht des VG auch keine andere Bewertung. Denn das Rechtsdienstleistungsgesetz (RDG) unterscheide nicht zwischen der Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen. Die rechtliche Inhaberschaft einer Forderung bleibe auf die Zulässigkeit der Rechtsdienstleistung ohne Einfluss, wie auch die Ausführung der Inkassotätigkeit vom Status der Forderung nicht abhängt.
  • Gegen eine Einordnung als Auftragsverarbeiter spreche auch der nur graduelle Unterschied zu Rechtsanwälten im erforderlichen Knowhow und Professionalisierungsgrad.
  • Zudem die häufig völlige Freiheit bei der Wahl der Mittel zur Umsetzung, die sehr weitgehende Freiheit bei der Bestimmung des Zwecks bzw. die erheblichen Eigeninteressen an dieser Dienstleistung.
  • Bei einem externem Inkassomanagement stehe der Einordnung einer Auftragsverarbeitung auch regelmäßig entgegen, dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte.
  • Zudem verweist das Gericht auf die Entscheidung des VG Mainz aus 2020, wonach eine Auftragsverarbeitung bei der Übermittlung von Daten im Rahmen einer Forderungsabtretung eines Tierarztes an ein Inkassobüro mangels Weisungsgebundenheit aus scheide (Az. 1 K 467/19.MZ).
  • Gegen eine Einordnung als Verantwortlicher spreche auch nicht, dass die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei.  Das Inkassounternehmen bestimme faktisch die Zwecke und Mittel der Datenverarbeitung derart autonom, dass es datenschutzrechtlich als der für die Datenverarbeitung personenbezogener Daten Verantwortliche erscheine.

Im Ergebnis geht des VG daher davon aus: „In aller Regel ist daher auch das Inkassounternehmen im Mandatsverhältnis für die Verarbeitung personenbezogener Daten Verantwortlicher und nicht Auftragsverarbeiter“.

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Kurioses (und falsches) Urteil des Arbeitsgerichts Mainz – 5.000 EUR für verspätete Auskunft an einen Bewerber

Klagen auf Zahlung von Schadenersatz nach Art. 82 DSGVO sind vor allem im arbeitsgerichtlichen Bereich im Vergleich zu anderen Gerichtsbarkeiten eher erfolgreich (zumindest in den unteren Instanzen). Wenn aber die Gerichte die zum Teil gefestigte Rechtsprechung des EuGH nicht beachten, ist dies mehr als ärgerlich. Ein solcher Fall ereignete sich am Arbeitsgericht (ArbG) Mainz (Urteil vom 08.04.2024 – 8 Ca 1474/23. Derzeit nur bei BeckOnline abrufbar).

Sachverhalt

Die Parteien streiten über Auskunfts- und Entschädigungsansprüche auf der Grundlage von Art. 15 DSGVO. Der Kläger bewarb sich auf eine Stelle bei der Beklagten und forderte, nachdem er eine Absage erhalten hatte, dass man ihm eine „umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Art. 15 DSGVO“ erteilen soll.

Die Beklagte antwortete hierauf nur mit einer Mail und fügte die Datenschutzhinweise bei. Weitere Anfragen sollten an die dort genannte E-Mail-Adresse gerichtet werden. Danach erhob der Bewerber Klage – irgendwie auch nicht überraschend, denn die Übersendung der Datenschutzhinweise stellt natürlich keine Auskunft dar.

Der Kläger forderte unter anderem, an ihn eine Geldentschädigung, die einen Betrag in Höhe von 5.000,00 Euro aber nicht unterschreiten sollte, zu zahlen.

Entscheidung

Nach Ansicht des ArbG hat der Kläger einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 DSGVO. Und zwar tatsächlich in Höhe der 5.000 EUR.

Richtig geht das ArbG noch davon aus, dass das Auskunftsrecht des Betroffenen nicht erfüllt wurde.

Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben“.

Bei der Begründung des Schadenersatzes ist die Begründung dann meines Erachtens aber nicht mehr haltbar bzw. angreifbar.

Kritik 1

Das ArbG begründet, dass nach Art. 82 Abs. 1 DSGVO „ein Verstoß gegen die Verordnung einen Schadensersatzanspruch im Falle eines materiellen oder immateriellen Schadens, wobei die maßgebende Rechtsprechung des Europäischen Gerichtshofes den Schadensbegriff derart weit auslegt, dass er auch im vorliegenden Falle zu bejahen ist.“

Das Gericht lässt hier meines Erachtens unbeachtet, dass der EuGH gerade nicht allein von einem verstoß gegen die DSGVO direkt auf das Vorliegen eines Schadens schließt.

  • C-300/21, Rz. 33: „Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet.“
  • C-456/22, Rz. 21: „Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen.“

Kritik 2

Das Gericht begründet nicht bzw. fehlerhaft (siehe Kritik 3), wie es zu einem Schaden in Höhe von 5.000 EUR gelangt und vor allem nicht, ob und wie der Kläger diesen Schaden nachgewiesen hat

Der dem Kläger entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000,00 € für einen angemessenen Betrag“. Auch dies entspricht nicht der Rechtsprechung des EuGH und die (fehlende) Begründung des ArbG verstößt gegen diese Rechtsprechung.  

  • C-300/21, Rz. 32: „Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt,…“
  • C-687/21, Rz. 60: „Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen,…“

Kritik 3

Nach Ansicht des ArbG sind 5.000 EUR Schadenersatz hier gerechtfertigt, „weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen“.

Zudem komme es „weniger darauf an, wie sehr der Kläger „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Beklagten entsteht“. Das Gericht stellt sich auch hier konträr zur Rechtsprechung des EuGH und nimmt eine Straffunktion des Schadenersatzes nach Art. 82 DSGVO an.

  • C-667/21, Rz. 85: „Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat.“
  • C-687/21, Rz. 48: „Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat,…“
  • C-687/21, Rz. 50: „… da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.“

Das ArbG gesteht hier also 5.000 EUR Schadenersatz für eine verspätete und ungenügende Auskunft zu, ohne die Tatbestandsvoraussetzung von Art. 82 DSGVO entsprechend den Vorgaben des EuGH zu beachten. Wenn man dann auch noch im Blick hat, dass der EuGH selbst in einem jüngeren Urteil „nur“ 2.000 EUR Schadenersatz auf Grundlage von Art. 50 der sog. Europol-Verordnung (VO 2016/794) zugesprochen hatte (hierzu der Beitrag von Philipp Quiel), obwohl es dort um sensibelste Daten aus dem Intimbereich ging, scheint das vorliegende Urteil noch diskutabler.

Neue Schlussanträge: Abkehr von der strengen Ansicht des EuGH zu „Gesundheitsdaten“ nach Art. 9 DSGVO?

Am 25.4.2024 hat Generalanwalt am EuGH Szpunar seine Schlussanträge in dem Verfahren Rs. C-21/23 vorgelegt. In dem Verfahren geht es um zwei spannende Fragen:

  • Sind im Rahmen einer Bestellung bei einer Online-Apotheke angegebene Daten stets „Gesundheitsdaten“ im Sinne des Art. 9 Abs. 1 DSGVO?
  • Können Wettbewerber nach dem deutschen UWG gegen Mitbewerber wegen Datenschutzverstößen vorgehen?

Nachfolgend möchte ich mich allein auf die erste Frage fokussieren. Wie weit ist der Begriff „Gesundheitsdaten“ nach der DSGVO zu verstehen?

Das vorlegende Gericht möchte wissen, ob die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, nicht aber verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, „Gesundheitsdaten“ im Sinne von Art. 9 Abs. 1 DSGVO sind.

Rückschau – strenge Ansicht des EuGH

„Moment“, mag man sich fragen. Hat der EuGH nicht bereits seine Position zu diesem Thema deutlich gemacht?

Eigentlich schon, dachten wir. Zumindest hat der EuGH in seinem Urteil vom 4.7.2023 in der Rs. C-252/21 (Meta Platforms u.a.) eine sehr strenge Ansicht vertreten und die Voraussetzungen für die Annahme, dass Gesundheitsdaten vorliegen, extrem niedrig angesetzt.

Nach Ansicht des EuGH gilt das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot der Verarbeitung nämlich

unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen“. (Rz. 69)

Für den EuGH spielte es bei der Einordnung von Informationen als „Gesundheitsdaten“ mithin keine Rolle, ob die Daten 1) sachlich richtig sind, also etwa wirklich auf physische oder z.B. psychische Zustände hinweisen, die tatsächlich existieren und 2) für welchen Zweck diese Daten verwendet werden. Der Kontext der Verarbeitung spielte aus Sicht des EuGH für die Einordnung nach Art. 9 Abs. 1 DSGVO keine Rolle.

Art. 9 Abs. 1 DSGVO ziele darauf ab,

solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck zu verbieten“. (Rz. 70)

Die Gegenansicht – wir können nicht alle Informationen zu „Gesundheitsdaten“ werden lassen

Generalanwalt Szpunar hat in seinen neuen Schlussanträgen nun Argumente vorgebracht, die aus meiner Sicht gegen diese Auslegung des EuGH sprechen und den Anwendungsbereich von „Gesundheitsdaten“ einschränken würden.

Hierbei stellt der Generalanwalt die Formel auf, dass es eines Mindestmaßes an Gewissheit der Schlussfolgerungen aus Informationen bedürfe, die über den Gesundheitszustand einer betroffenen Person gezogen werden können (ab Rz. 44). Interessanterweise verwendet er dazu auch die beiden Kriterien des Inhalts bzw. der Richtigkeit der Daten (Merkmal 1) sowie des Zwecks / Kontextes der Verarbeitung (Merkmal 2) – also jene Faktoren, die auch schon der EuGH erwähnte.

Die Kernaussage des Generalanwalts für die Prüfung, ob „Gesundheitsdaten“ vorliegen, ist: sowohl der Inhalt der in Rede stehenden Daten (Merkmal 1) als auch sämtliche Umstände ihrer Verarbeitung (Merkmal 2) müssen geprüft werden, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit (neues Merkmal 3) Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können (Rz. 49).

Der Generalanwalt ergänzt die beiden bekannten Merkmale 1 und 2 um ein drittes Merkmal: es muss ein gewisser Grad an Sicherheit bestehen, dass Informationen sich tatsächlich auf den Gesundheitszustand einer Person beziehen. Eventuell mag man dieses dritte Merkmal auch dem von mir benannten Merkmal 1, der Richtigkeit der Daten, zuordnen.

Merkmale 1 und 3 – Richtigkeit der Informationen und gewisser Gerad an Sicherheit

Aus dem Wortlaut von Art. 4 Nr. 15 DSGVO und ErwG 35 DSGVO leitet der Generalanwalt ab, dass das entscheidende Merkmal für die Feststellung, dass bestimmte personenbezogene Daten Gesundheitsdaten sind, der Umstand ist,

dass aus den betreffenden Daten Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können.“ (Rz. 37)

„Gesundheitsdaten“ können daher zwar auch Informationen sein, die allein Rückschlüsse auf den Gesundheitszustand der betroffenen Person zulassen. Dieser Rückschluss muss nach Ansicht des Generalanwalt aber mit Indizien untermauert und darf nicht rein hypothetisch sein.

So stellen etwa Daten, die von einer App erhoben werden, die die von der betroffenen Person zurückgelegten Schritte zählt, keine „Gesundheitsdaten“ dar, wenn die Anwendung diese Daten nicht mit anderen Daten dieser Person verknüpfen kann und die erhobenen Daten nicht in einem medizinischen Kontext verarbeitet werden (Rz. 41).

Es können überhaupt nur solche Informationen als „Gesundheitsdaten“ angesehen werden,

die geeignet sind, Rückschlüsse auf den Gesundheitszustand der betroffenen Person zuzulassen“. (Rz. 42)

Der EuGH hatte in seinem Urteil betont, dass die Richtigkeit der Daten keine Relevanz habe. Dies sieht der Generalanwalt offensichtlich anders. Die Daten müssen faktisch geeignet sein, einen Rückschluss auf die Gesundheit zuzulassen.

Die Schlussfolgerungen, die aus den Daten gezogen werden können, dürfen nicht lediglich potenziell sein. Im Sinne von: „Die Information zum Gesundheitszustand könnte sich auf die betroffene Person beziehen oder auch nicht. Das ist nicht klar.“

Die Informationen, die aus den Daten in Bezug auf den Gesundheitszustand der betroffenen Person hervorgehen, dürfen

keine bloßen Vermutungen sein, sondern müssen ein Mindestmaß an Gewissheit bieten“. (Rz. 46)

Basierend auf diesen Ansichten, ein Beispiel: eine Person betrifft eine Apotheke und wird dabei per Video aufgezeichnet. Art. 9 Abs. 1 DSGVO anwendbar? Ohne weitere Informationen dazu, dass diese Person tatsächlich krank ist (Indizien), würde der Generalanwalt hier wohl ein Vorliegen von Gesundheitsdaten ablehnen. Denn auch gesunde Personen können eine Apotheke betreten, um z.B. Pflaster oder Bonbons zu kaufen.

Im vorliegenden Verfahren (Bestelldaten bei einer Online-Apotheke) sieht der Generalanwalt diese erforderlichen Indizien gerade als nicht gegeben bzw. als zu „schwach“ an. Er lehnt daher das Vorliegen von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO ab (Rz. 43).

Merkmal 2 – Zweck und Kontext

Zudem vertritt der Generalanwalt, ebenfalls anders als der EuGH, die Ansicht, dass es sehr wohl von den Umständen des jeweiligen Falls abhängt, ob Daten als Gesundheitsdaten eingestuft werden können. Insbesondere müssten der Kontext, in dem die Daten gesammelt werden, und die Art und Weise, wie sie verarbeitet werden, beachtet werden (Rz. 47). Hier vertritt der Generalanwalt also sehr klar eine andere Ansicht als der EuGH, der ja den Zweck der Verarbeitung völlig ausklammern wollte.

Zusätzlich schlägt der Generalanwalt vor, etwa die Identität des Verantwortlichen in diesem Zusammenhang zu beachten. Wenn die Daten nämlich von einer Stelle im Gesundheitsbereich verarbeitet werden, kann ein Indiz dafür sein, dass es sich bei diesen Daten tatsächlich um „Gesundheitsdaten“ handelt (Rz. 48).

Insgesamt verlangt der Generalanwalt also, dass es Indizien und ein Mindestmaß an Gewissheit geben müsse, dass Daten sich faktisch wirklich auf den Gesundheitszustand einer Person beziehen. Diese Indizien können sich auf dem Inhalt der Daten, den Umständen der Verarbeitung und den Zwecken ergeben.

Im konkreten Fall lehnt der Generalanwalt das Vorliegen von „Gesundheitsdaten“ nach Art. 9 DSGVO ab, weil aus den betreffenden Daten

nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist“. (Rz. 54)

Ein Argument: die nicht verschreibungspflichtigen Arzneimittel werden häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben. Beispielsweise lasse eine Bestellung von Paracetamol keinen Rückschluss auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben (Rz. 51).

Ausblick

Nun müssen wir abwarten, wie der EuGH mit diesen Gegenargumenten umgeht. Aus praktischer Sicht wäre es wünschenswert, wenn der Anwendungsberiech von Art. 9 Abs. 1 DSGVO nicht zu weit ausgedehnt wird und ansonsten viele Alltagssituationen erfassen würde. Diese Gefahr sieht auch der Generalanwalt: „Sofern nicht ein sehr großer Teil der Datenverarbeitung im Online-Handel der Regelung in Art. 9 Abs. 2 DSGVO unterworfen werden soll, scheint es mir daher notwendig, die Auslegung des Begriffs „Gesundheitsdaten“ in dem Sinne weiter zu verfeinern, dass die Schlussfolgerungen, die aus den Daten einer Bestellung gezogen werden können, nicht lediglich potenziell sein dürfen.“ (Rz. 46).

Geschäftsmodell der personalisierten Werbung ist kein „Schaden“ im Sinne der DSGVO

Das Landgericht (LG) Magdeburg (Urt. v. 29.2.2024, Az. 10 O 530/23; derzeit leider noch nicht frei verfügbar; GRUR-RS 2024, 8057) hatte sich im Rahmen einer Klage auf Schadenersatz nach Art, 82 DSGVO u.a. mit der Frage zu befassen, ob die Betroffenheit eines Nutzers von personalisierter Onlinewerbung einen ersatzfähigen Schaden nach der DSGVO darstellt.

Sachverhalt
Der Kläger ist Nutzer u.a. von Facebook und Instagram. Dort hatte er sich mit seinen personenbezogenen Daten registriert. Nachdem Meta ab dem 3.11.2023 das sog. Einwilligungsmodell in Europa einführte, willigte der Kläger am 8.11.2023 ein, dass die Beklagte weiterhin Informationen des Klägers zu Werbezwecken verwenden darf.

Zuletzt beantragte der Kläger u.a., Auskunft über ihn betreffende personenbezogene Daten zu erteilen, die die Beklagte in Zusammenhang mit der individualisierten Werbung verarbeitet. Zudem verlangte er als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe den Betrag von 1.500 EUR nicht unterschreiten sollte. Er begründet den Anspruch damit, dass er mit dem Geschäftsmodell der Beklagten personalisiert zu werben, nicht einverstanden sei.

Entscheidung
Einen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO lehnt das LG als unbegründet ab.

Der Vortrag des Klägers zum behaupteten Schaden wurde als unsubstantiiert angesehen.

Hierbei verweist das LG auf die Rechtsprechung des EuGH zur Frage, wer die Beweislast für das Vorliegen eines Schadens trägt.

Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei.

Der Kläger müsse den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden im Sinne der DSGVO darstellen.

Zudem weist das LG die Begründung des Klägers für einen angeblichen Schaden, personalisierte Werbung zu verwenden, zurück.

Dies allein führt zu keinem Schaden.

Aus Sicht des LG ist ein derartiges Geschäftsmodell nicht ungewöhnlich. Die Plattformen der Beklagten würden Nutzern kostenlos bereitgestellt. Die Fähigkeit, Nutzern ihre derzeitigen Dienste kostenlos bereitzustellen, hänge aber von Werbeeinnahmen ab. Nach Ansicht des L ist dieses Geschäftsmodell aber üblich.

Das Gericht nennt hierfür etwa Beispiele von kostenfreien Zeitungen und frei empfangbare, private Fernsehsender, die ein ähnliches Geschäftsmodell verwenden: Sie versuchen, über Inhalte Leser oder Zuschauer zu gewinnen, denen dann auf Grundlage demografischer Merkmale/ Interessen der Zielgruppe relevante Werbung präsentiert wird. Hierzu das LG:

Schon dem gesunden Menschenverstand nach ist es offensichtlich, dass die Beklagte ihr Angebot nur deswegen kostenlos zur Verfügung stellen kann, weil sie Werbung verkauft. Dies ist weder ehrenrührig, noch verboten. Wenn die Klagepartei sich hierdurch unwohl fühlt, steht es ihr völlig frei die Angebote der Beklagten nicht zu nutzen oder für ein Angebot ohne Werbung zu bezahlen.