OLG Dresden: Haftung des Verantwortlichen für seinen Auftragsverarbeiter, wenn dieser Daten nicht löscht – Konkrete Anforderungen an Umfang und Tiefe der Kontrollpflichten

Das OLG Dresden (Urt. v. 15.10.2024 – 4 U 940/24, abrufbar über die Suchfunktion des OLG) hat sich in einem Schadenersatzverfahren nach Art. 82 DSGVO mit der Frage befasst, inwiefern ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Das Gericht legt einen strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1 DSGVO an und sprach, dem Grunde nach, einen Schadenersatzanspruch zu.

Sachverhalt

Das beklagte Unternehmen betreibt einen Online-Musikstreamingdienst und bediente sich in der Vergangenheit eines Auftragsverarbeiters nach Art. 28 DSGVO Sitz in Israel. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte der Auftragsverarbeiter per E-Mail mit, die Daten würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, bestätigte der Auftragsverarbeiter aber erst mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten. Hiervon umfasst waren auch Daten des klagenden Betroffenen.

Entscheidung

Das OLG Dresden geht davon aus, dass der Verantwortliche dem klagenden Betroffenen dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet ist.

Konkret nimmt das Gericht einen Verstoß gegen die „Pflicht zur sorgfältigen Überwachung des … beauftragten externen Auftragsdatenverarbeiters“ nach Art. 28, 32 DSGVO an. Diese Begründung ist für die Praxis sehr relevant, da die Überwachungspflicht zwar durchaus bekannt ist. Jedoch gibt es zu deren konkreten Inhalt praktisch kaum Entscheidungen und Vorgaben von Gerichten.

Haftung des Auftraggebers für den Auftragsverarbeiter

Zunächst äußert sich das OLG zum Haftungsumfang des Verantwortlichen. Dieses haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Bedeutet nach Ansicht des Gerichts: missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür.

Zwar bestehe in diesem Fall auch eine eigene Haftung des Auftragsdatenverarbeiters. Der Verantwortliche könne den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO entgegenstünde.

Nicht nur ordentliche Auswahl, sondern auch Überwachungspflicht

Danach geht das Gericht auf die konkrete Pflicht des Verantwortlichen, die es hier als verletzt ansieht. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen im Einklang mit der DSGVO durchgeführt werden.

Das Gericht erstreckt diese ausdrückliche Pflicht zur ordentlichen Auswahl jedoch weiter, in das Auftragsverhältnis.

Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen“.

Diese Pflicht zur Überwachung des Auftragsverarbeiters sei in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Zudem setze die Pflicht nach Art. 28 Abs. 3 lit h) DSGVO eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Danach muss der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen ermöglichen. Nach Art. 28 Abs. 3 lit. g) DSGVO hat der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen, alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben. Dies ergebe sich auch als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Die Pflichten des Auftragsverarbeiters korrespondieren mit Pflichten des Verantwortlichen.

Konkrete Umsetzung der Überwachungspflicht

Besonders praxisrelevant ist die Begründung des OLG, wie die vorgenannte Überwachungspflicht durch den Verantwortlichen konkret umgesetzt werden kann – welche Maßnahmen also (zumindest aus Sicht des Gerichts) erforderlich und auch ausreichend sind.

Zunächst gibt das OLG zu bedenken, dass „die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden“ dürfen.

Das Gericht vertritt einen risikobasierten Ansatz hinsichtlich des Umfangs und der Tiefe der Überwachung des Auftragsverarbeiters.

  • Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen. Eine „vollkommen praxisfremde“ Vor-Ort-Kontrolle sei dann grundsätzlich nicht erforderlich.
  • Gesteigerte Anforderungen ergeben sich nach Ansicht des OLG, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen.
  • Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9 DSGVO.

Vorliegend betraf die Verarbeitung nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte zu einer Überwachung ihres Auftragsverarbeiters dahingehend angehalten, dass

dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt“.

Diese Anforderung leitet das OLG direkt aus der Überwachungspflicht nach Art. 28 Abs. 1 DSGVO ab.

Der Verantwortliche ist hierbei verpflichtet,

die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen“.

Anforderungen an die Löschbestätigung

Vorliegend wurde eine solche Bestätigung der Löschung jedoch nicht vom Verantwortlichen verlangt.

Den Pflichtenverstoß erkennt das OLG hier vor allem darin, dass die (eigentlich auch vertraglich geregelte Bestätigung der Löschung) nicht eingeholt wurde. Der Verantwortliche habe hier gegen seine Kontrollpflichten aus Art. 28 DSGVO verstoßen, da er nicht nach Ablauf der vertraglich geregelten Frist von dem Auftragsverarbeiter

die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt“.

Bedeutet: das Gericht verlangt

  1. eine Bestätigung der Löschung durch den Auftragsverarbeiter, die der Verantwortliche zur Not anfordern muss. Die reine Ankündigung des Auftragsverarbeiters, dass Daten gelöscht werden, genügte im konkreten Fall nicht.
  2. dass die Bestätigung Details dazu enthält, in welchem Umfang Daten gelöscht wurden.

Nach Ansicht des OLG wiegt hier vor allem der erste Punkt schwer. Die E-Mail des Auftragsverarbeiters enthielt lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung.

Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können“.

Der Verantwortliche hätte sich mit der formal und inhaltlich nicht hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen.

Grundsätzlich bestünde für den Verantwortlichen die Möglichkeit, die Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO in Anspruch zu nehmen. Dies jedoch nur, wenn ihm selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies war hier vorliegend angesichts des eigenen Pflichtenverstoßes aber nicht der Fall.

Im Ergebnis lehnte das OLG hier aber einen Schadenersatzanspruch nach Art. 82 DSGVO ab, da der Kläger keinen tatsächlich erlittenen Schaden nachweisen konnte.

Fazit

Das OLG befasst sich recht ausführlich mit den Anforderungen an die Überwachungspflicht des Verantwortlichen für Auftragsverarbeiter. Sicherlich muss man nicht alle Ansichten des Gerichts teilen. Relevant ist aus meiner Sicht aber insbesondere die Auffassung, dass die Kontroll- bzw. Überwachungspflicht durchaus risikobasiert ausgestaltet sein darf. Gleichzeitig sollten Verantwortliche darauf achten, dass „bloße Ankündigungen“ durch Auftragsverarbeiter im Zweifel gerade nicht die tatsachliche Erfüllung bzw. Umsetzung von Pflichten, wie etwa der Löschung von Daten, belegen.

OLG Nürnberg zum Auskunftsanspruch eines Vorstandsmitglieds – langjährige Unternehmenszugehörigkeit und großer Aufwand für den Arbeitgeber steht der Geltendmachung nicht entgegen

Das OLG Nürnberg hat sich in seiner Entscheidung vom 29. November 2023 (4 U 347/21) mit einem „Klassiker“ des Datenschutzrechts befasst: dem Auskunftsanspruch eines ehemaligen Mitarbeiters gegen den Arbeitgeber und die Frage, ob diesem Anspruch eventuell ein Missbrauchseinwand entgegengehalten werden kann.

Sachverhalt

Der Kläger macht als ehemaliger Mitarbeiter, zuletzt als Vorstandsmitglied der Beklagten, Auskunfts- und Herausgabeansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO gegenüber seinem ehemaligen Arbeitgeber geltend. Der Kläger war vom 1.1.2000 bis zum 30.09.2016 in verschiedenen Positionen im Unternehmen tätig. Zuletzt mehrere Jahre als Vorstandsmitglied. Die Beklagte erteilte Auskunft in Bezug auf gespeicherte Personalstamm- und BAV-Daten (ich vermute „betriebliche Altersvorsorge“) des Klägers. Jedoch verlangte der Kläger eine Kopie aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers.

Das LG Nürnberg-Fürth (Endurteil vom 29.01.2021 – 11 O 5353/20) wies die Klage ab.

Entscheidung

Das OLG gab der Berufung des Klägers statt und verurteilte die beklagte Arbeitgeberin:

  • dem Kläger Auskunft über alle bei ihr gespeicherten personenbezogenen Daten des Klägers zu erteilen
  • eine Kopie aller bei ihr gespeicherten personenbezogenen Daten des Klägers herauszugeben.

Relevant an der Entscheidung des OLG ist, dass sich das Gericht in seiner Begründung bereits auf die neueste Rechtsprechung des EuGH zum Auskunftsanspruch nach Art. 15 DSGVO stützt.

Die Beklagte machte geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO sei. Ein verständlicher Einwand, da der Kläger über 15 Jahre im Unternehmen tätig war. Zudem brachte die Beklagte den Einwand des Missbrauchs vor, dass der Kläger die Daten wohl nicht aus datenschutzrechtlichen Motiven herausverlangte.

Das OLG lies beide Einwände jedoch nicht gelten.

Datenschutzfremde Zwecke

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Das OLG verweist hier auf das Urteil des EuGH vom 26.10.2023 – C-307/22, wonach Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in ErwG 63 S. 1 DSGVO genannten Zwecken begründet wird.

Großer Aufwand = exzessiv?

Auch sei der Anspruch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Nach Ansicht des OLG liegt kein Missbrauch vor,

wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen“.

Weiter geht das OLG davon aus, dass es kein Fall des Missbrauchs (in Form der „exzessiv“) darstelle, wenn die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist.

denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt

Auch, dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, stehe der Geltendmachung seiner Rechte nicht entgegen.

Ausblick – Missbrauchseinwand bleibt möglich

Die Entscheidung des OLG zeigt, wie die Vorgaben der EuGH-Urteile aus 2023 zu Art. 15 DSGVO in der Praxis Anwendung finden können. Gleichzeitig sollte man aus Sicht der Verantwortlichen beachten, dass auch der EuGH die Tür für Einwände gegen unbegründete oder missbräuchliche Ansprüche nicht in Gänze „geschlossen“ hat.

In seiner Entscheidung C-307/22 verweist der EuGH etwa auf Art. 15 Abs. 4 DSGVO und dass „[d]as Recht auf Erhalt einer Kopie … die Rechte und Freiheiten anderer Personen nicht beeinträchtigen [darf].“ Zudem geht der EuGH davon aus, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt.

Zu beachten ist zudem, dass der EuGH in der Rechtssache C-307/22 einen möglichen Missbrauch gar nicht geprüft hat. Denn er ging davon aus, dass das vorlegende Gericht (der BGH) ausdrücklich festgestellt hat, dass der Antrag der betroffenen Person gerade nicht missbräuchlich sei. Der Missbrauchseinwand auf EU-Ebene ist damit aber nicht ausgeschlossen, wie auch der Generalanwalt in Fn. 20 seiner Schlussanträge klargestellt hat. Sollte der Auskunftsantrag missbräuchlich erfolgen, würde dies den Kläger

nach ständiger Rechtsprechung des Gerichtshofs daran hindern [würde], die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Vgl. u. a. Urteil vom 27. Oktober 2022, Climate Corporation Emissions Trading (C‑641/21, EU:C:2022:842, Rn. 39 und die dort angeführte Rechtsprechung).

Gleichzeitig sollte man aber auch beachten, dass der Missbrauchseinwand natürlich die Ausnahme wäre und damit vom Verantwortlichen solide begründet sein muss. Pauschale Verweise auf einen möglichen hohen Arbeitsaufwand oder eine fehlende Begründung des Antrags, dürften dafür nicht genügen.

Hat das OLG Köln das EU-US Data Privacy Framework für unzulässig erklärt? Natürlich nicht.

Die Antwort lautet: natürlich nicht. Könnte das OLG auch gar nicht, da das EU-US Data Privacy Framework (genauer: der Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission) für die Mitgliedstaaten und deren Gerichte bindend ist (vgl. schon EuGH, Schrems I, Rz. 51 & 52).

Sachverhalt

Das OLG Köln hat sich in seinem Urteil vom 3.11.2023 (6 U 58/23) u.a. mit der Frage von Datentransfers an Stellen in den USA auseinandergesetzt. Im Ergebnis sah das OLG diese Datenübermittlung als unzulässig an. Jedoch nicht, wie zum Teil im Internet zu lesen war, weil das EU-US Data Privacy Framework (DPF) ungenügend sei oder im DPF Rechtsschutzmöglichkeit in den USA fehlten.

Entscheidung

Das OLG prüft in seiner Entscheidung die Zulässigkeit von Datentransfers in die USA einmal für die Rechtslage vor Erlass des DPF und einmal danach. Das OLG lehnt im Ergebnis die Zulässigkeit wie folgt ab:

Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“

Und hier erkennt man eigentlich schon, um was es geht: den Erlaubnistatbestand der Datenübermittlung. Also Art. 6 DSGVO – nicht Vorgaben aus Kap. V zu Drittlandstransfers.

Vor Erlass des DPF

Für die Zeit vor Erlass des DPF geht das OLG Köln aber tatsächlich davon aus, dass Übermittlung weder nach 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland zulässig war – also auf Basis von EU-Standarddatenschutzklauseln. Zudem sei die Übermittlung auch nicht aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO zulässig.

Hinsichtlich der EU-Standarddatenschutzklauseln sieht das OLG hier Probleme bei der Effektivität der zusätzlichen Schutzmaßnahmen, insbesondere um den Mangel des Fehlens von Rechtsschutzmöglichkeiten für Betroffene in den USA zu heilen.

Nach Erlass des DPF

Spannend und für uns in der aktuellen Situation relevant, ist natürlich die Frage, ob das OLG Datentransfers in die USA auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 Abs. 1 DSGVO nun für unzulässig erklärt hat. Wie bereits erwähnt: hat das OLG nicht.

Das OLG geht sogar davon aus, dass die empfangende Stelle unter dem DPF zertifiziert ist:

„Eine solche Teilnahme als „certified organisation“, …, ist auch für die G. L. festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov…hervorgeht“ (Rz. 81)

Das Gericht prüft im Grund den bekannten datenschutzrechtlichen Standard bei Drittlandstransfers. Eine Datenübermittlung in ein Drittland muss auf zwei Ebenen zulässig sein:

  • Einmal als Verarbeitung nach Art. 6 DSGVO. Wir benötigen eine Rechtsgrundlage.
  • Und parallel dazu als Drittlandstransfer nach Kap. V DSGVO.  

Und das OLG prüft hier für die Frage der Zulässigkeit der Datenübermittlung konsequenterweise dann eben die Rechtmäßigkeit nach Art. 6 DSGVO. Ob also für die Übermittlung ein Erlaubnistatbestand vorliegt.

Hinsichtlich des DPF erfolgen nur kurze Aussagen, die deutlich machen, dass das OLG den Beschluss der EU-Kommission akzeptieren muss.

Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ … stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen … . Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen

Zurecht verweist das OLG aber darauf, dass auch bei Vorliegen eines Angemessenheitsbeschlusses

„die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein“

müssen. Hierzu zählt das OLG unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung. Und hier sieht das OLG dann die rechtlichen Probleme. Bei dem Erlaubnistatbestand. Nicht jedoch bei der Frage, ob Datentransfers auf Grundlage des DPF in die USA übermittelt werden dürfen. Hierzu noch einmal der EuGH, hier aus Schrems II (Rz. 117 & 118):

„Nach Art. 288 Abs. 4 AEUV bindet ein Angemessenheitsbeschluss der Kommission in allen seinen Teilen alle Mitgliedstaaten und ist damit für alle ihre Organe verbindlich, soweit darin festgestellt wird, dass das betreffende Drittland ein angemessenes Schutzniveau gewährleistet, und die Übermittlung personenbezogener Daten im Ergebnis genehmigt wird“.

„Solange der Angemessenheitsbeschluss vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Aufsichtsbehörden gehören, somit zwar keine diesem Beschluss zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich der Beschluss bezieht, kein angemessenes Schutzniveau gewährleistet…, und mit denen infolgedessen die Übermittlung personenbezogener Daten in dieses Drittland ausgesetzt oder verboten wird.“

Also, bitte keine unnötige Panik aufkommen lassen. Das DPF gilt derzeit noch. Gleichzeitig zeigt die Entscheidung aber gut, dass man bei Drittlandstransfers den Fokus eben nicht allein auf Kap. V DSGVO legen sollte, sondern auch alle anderen Anforderungen einer Verarbeitung beachten muss.

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

OLG München: Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO ist weit auszulegen

Das OLG München hat mit Urteil vom 4.10.2021 (Az 3 U 2906/20) eine praxisrelevante Entscheidung zur Geltendmachung und zum Umfang des Anspruchs auf Herausgabe von Kopien personenbezogener Daten nach Art. 15 Abs. 3 DSGVO gefällt. Das OLG legt den Begriff „personenbezogene Daten“ weit aus und sieht in Art. 15 Abs. 3 DSGVO einen eigenständigen Anspruch, neben jenem auf Auskunft nach Art. 15 Abs. 1 DSGVO.

Sachverhalt

In der Vorinstanz verurteilte das Landgericht München I die Beklagten dazu, der Klägerin Kopien aller personenbezogenen Daten – insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen – auszuhändigen. Vorgerichtlich forderte die Klägerin die Beklagten nach Art. 15 Abs. 3 DSGVO zur Überlassung von Kopien aller bei den Beklagten vorhandenen personenbezogenen Daten der Klägerin auf. Die Beklagten übersandten eine Auskunft der einzelnen bei ihnen gespeicherten Daten der Klägerin, Kopien wurden jedoch nicht überlassen.

Die Beklagten legten gegen dieses Urteil Berufung ein. Die Beklagten gehen u.a. davon aus, dass die Klageerweiterung bezüglich des Anspruchs aus Art. 15 Abs. 3 DSGVO bereits unzulässig war. Auch sei der Antrag in der gestellten Form zu unbestimmt.

Entscheidung

Das OLG wies die Berufung als unbegründet zurück.

Interessant ist zunächst die Ansicht des OLG zur Bestimmtheit des Klageantrags. Wie erinnern und an die Entscheidung des BAG (2 AZR 342/20).

Vorliegend hat das OLG keine Bedenken hinsichtlich der Bestimmtheit des Klageantrages. Dieser lautete wie folgt:
Die Beklagten werden verurteilt, der Klägerin Kopien der von den Beklagten verarbeiteten personenbezogenen Daten der Klägerin betreffend die Datenkategorien Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen im Zeitraum vom 01.01.1997 bis ein 31.03.2018 zu überlassen.“

Das OLG begründet, dass für die Klägerin als Gläubigerin eines Anspruchs aus Art. 15 Abs. 3 DSGVO im Regelfall nicht ersichtlich sein wird, welche Unterlagen sich bei dem Auskunftsverpflichteten befinden.

Damit ist jedoch eine Konkretisierung der einzelnen herauszugebenden Schriftstücke nicht möglich“.

Nach Ansicht des OLG begegnet der Antrag (der noch minimal klargestellt wurde) im Hinblick auf die Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO keinen Bedenken.

Sodann geht das OLG davon aus, dass das Landgericht die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilte.

Das OLG geht von einem weiten Verständnis des Begriffs „personenbezogene Daten“ aus.

Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten“.

In dieser Entscheidung wurden personenbezogenen Daten „insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen“ aufgezählt. Diese Dokumente sieht das OLG insgesamt als personenbezogene Daten an.

Das OLG begründet seine Ansicht u.a. damit, dass sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen lasse. Schreiben und E-Mails der Klägerin an die Beklagten seien

grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen“.

Dies ist meines Erachtens eine relevante Ansicht des OLG. Nicht allein die in einem Dokument enthaltenen Daten sind personenbezogen, sondern das sie umschließende Dokument. Die Daten „infizieren“ quasi das Dokument mit dem Personenbezug.

Zuletzt geht das OLG noch auf den in der Literatur und Rechtsprechung geführten Streit ein, ob aus Art. 15 Abs. 3 D-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folge.

Zum Teil werde ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DSGVO einen eigenständigen Herausgabeanspruch.

Das OLG positioniert sich wie folgt:

Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche,…

Zudem erläutert das OLG, dass der Gegenstand dieses Anspruchs sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen richte, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO enthalten ist.

Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen

Das OLG scheint also die Ansicht zu vertreten, dass tatsächlich eine eins zu eins Kopie der Dokumente herauszugeben ist. Wie oben beschrieben, wird dies in Literatur und Rechtsprechung kontrovers diskutiert. Anders sah dies etwa das LAG Baden-Württemberg (Urt. v. 17.3.2021, Az 21 Sa 43/20):

besteht aus Sicht der erkennenden Kammer kein Anspruch der von der Datenverarbeitung betroffenen Person gegen den Verantwortlichen auf den Abdruck/Ausdruck/die elektronische Datei in der Form, in der die entsprechenden Daten der betroffenen Person beim Verantwortlichen verarbeitet worden sind.“

Nach Ansicht des OLG sei aber ein notwendiger Schutz des Schuldners durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DSGVO gewährleistet. Leider geht das OLG dann aber nicht weiter darauf ein, was und wie konkret der Verantwortliche vortragen muss, um sich auf diese Aufnahme berufen zu können. Zum Teil werden in der Rechtsprechung hier ja hohe Anforderungen an die Darlegung und Begründung gestellt.