Generalanwalt: Zulässigkeit der (zweckändernden) Verarbeitung von Kundendaten für Zwecke der Datensicherheit

In seinen Schlussanträgen in der Rs. C-77/21 vom 31.03.2022 des Generalanwalts Pikamäe, äußert sich dieser zu zwei interessanten Fragen, wenn es um eine Verarbeitung von Kundendaten nicht nur für die Vertragsdurchführung, sondern auch für Zwecke der Datensicherheit (insbesondere der Verfügbarkeit der Daten) geht.

  • Zum einen, ob die Verarbeitung, die auf die Einhaltung der Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO gerichtet ist, eine Zweckänderung darstellt
  • Zum anderen, ob, bei Vorliegen eines anderen Zwecks, die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO zulässig ist

Sachverhalt

In dem Verfahren aus Ungarn ging es um eine Klage eines Anbieters von Internet- und Fernsehdiensten (Digi) gegen eine Entscheidung der ungarischen Datenschutzbehörde.

Im April 2018 richtete Digi, nach einer technischen Serverstörung unter der Bezeichnung „test“ eine Datenbank ein, in die es personenbezogene Daten von ungefähr einem Drittel der Privatkunden kopierte. Am 23.09.2019 erfuhr Digi, dass ein „ethischer Hacker“ auf die personenbezogenen Daten von rund 322.000 Personen zugegriffen hatte. Der Hacker setzte das Unternehmen schriftlich davon in Kenntnis. Digi behob den Fehler, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und zahlte ihm eine Belohnung.

Digi meldete danach am 25.09.2019 die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde, die daraufhin ein Untersuchungsverfahren einleitete. Die Behörde stellte nachfolgend Verstöße gegen Art. 5 Abs. 1 lit. b und e DSGVO fest. U.a. mit dem Argument, dass Digi die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht gelöscht und dadurch in dieser Testdatenbank eine große Menge personenbezogener Daten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert habe, die die Identifizierung der betroffenen Personen ermöglicht habe.

Einschätzung des Generalanwalts

In seinen Schlussanträgen befasst sich der Generalanwalt u.a. mit den beiden oben beschriebenen Fragen.

Liegt eine Zweckänderung vor?

Fraglich war zunächst, ob das Kopieren und Speichern der Daten in der „test“ Datenbank eine Zweckänderung im Vergleich zu dem Zweck der Erhebung der Kundendaten darstellt.

Interessant ist hier, dass die Europäische Kommission nicht von einer zweckändernden Verarbeitung ausgeht. Die Verarbeitung der Daten für den Zweck der Sicherheit der Daten also von dem ursprünglichen Erhebungszweck (Durchführung der Kundenverträge) umfasst sieht. Eine solche Verarbeitung,

die auf die Einhaltung der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in deren Art. 32 näher erläuterten Sicherheitspflicht abziele, könne nicht als Verfolgung eines neuen oder anderen Zwecks angesehen werden“.

Dies würde in der Konsequenz auch bedeuten, dass keine Vereinbarkeitsprüfung der Zweck nach Art. 6 Abs. 4 DSGVO erfolgen müsste.

Der Generalanwalt lehnt diese Auffassung jedoch ab. Dieser, seiner Ansicht nach, abstrakte und systematische Ansatz stehe im Widerspruch zu dem Erfordernis, die Rechtmäßigkeit jedes einzelnen Verarbeitungsvorgangs unter Berücksichtigung aller relevanten Umstände des Einzelfalls zu beurteilen.

Vereinbarkeit der Zwecke oder gesetzliche Grundlage (Art. 6 Abs. 4 DSGVO)

Daher ist der Generalanwalt gezwungen, in die Prüfung nach Art. 6 Abs. 4 DSGVO einzusteigen.

Er verweist zusätzlich auf die Vorgaben in ErwG 50 DSGVO. Beide Vorschriften bringen seiner Ansicht nach eine Verbindung zwischen dem Grundsatz der Zweckbindung und der Rechtsgrundlage der betreffenden Verarbeitung zum Ausdruck.

Eine Vereinbarkeitsprüfung der Zwecke ist nach Art. 6 Abs. 4 DSGVO nicht erforderlich, wenn die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht. Dann müssen die Zwecke also gerade nicht miteinander vereinbar sein.

Wenn ja, ist der für die Verarbeitung Verantwortliche gemäß Abs. 2 des 50. Erwägungsgrundes der DSGVO berechtigt, personenbezogene Daten unabhängig von der Vereinbarkeit der Zwecke weiterzuverarbeiten“.

Ich bin ja ein Verfechter der Ansicht, dass personenbezogene Daten für Zwecke der Datensicherheit, also der Erfüllung gesetzlicher Pflichten nach Art. 32 DSGVO, auf der Grundlage von Art. 6 Abs. 1 lit. c) (Erfüllung rechtlicher Pflichten) verarbeitet werden dürfen.

Der Generalanwalt scheint diese Ansicht jedoch abzulehnen, wie sich aus seinen Anmerkungen in Fußnote 28 ergibt. Dort begründet er, dass

dass die auf Art. 6 Abs. 1 Buchst. c der DSGVO gestützten Verarbeitungen, die für die Erfüllung einer rechtlichen Verpflichtung erforderlich sind, der der für die Verarbeitung Verantwortliche unterliegt, und insbesondere die in Art. 5 Abs. 1 Buchst. f dieser Verordnung vorgesehene Verpflichtung zur Gewährleistung einer angemessenen Datensicherheit, nicht zu den vom Erfordernis der Vereinbarkeit befreiten Verarbeitungen gehören“.

Diese „befreite“ Verarbeitung wäre eine solche, die auf Grundlage der Einwilligung oder auf einer Rechtsvorschrift der Union beruht, also etwa Art. 32, Art. 6 Abs. 1 lit. c DSGVO. Der Generalanwalt, lehnt dies jedoch ab. Ich vermute, er würde die Datenverarbeitung dann auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Danach erfolgt logischerweise der Vereinbarkeitstest der beiden Zwecke nach den Vorgaben des Art. 6 Abs. 4 DSGVO.

Der Generalanwalt geht davon aus, dass

unbestreitbar eine Verbindung zwischen dem Zweck der ursprünglichen Datenerhebung, nämlich der Erfüllung des Vertrags über ein Internet- und Fernsehabonnement, und einer Verarbeitung zur Sicherung dieser Daten in einer zusätzlichen internen Datenbank und zur sicheren Durchführung von Tests zur Behebung einer technischen Störung, die für die Erbringung der vertraglich vereinbarten Dienstleistung potenziell schädlich sein könnte

besteht.

Zwar überschneiden sich die Zwecke nicht. Sie stünden aber dennoch logisch miteinander in Verbindung. Zudem geht der Generalanwalt davon aus, dass eine zusätzliche Speicherung von Daten auf einem internen Datenträger, die durch die Notwendigkeit begründet ist, eine technische Störung zu beheben, die den Zugang zu den Daten in der ursprünglichen Datenbank beeinträchtigt,

nicht als überraschend oder unwahrscheinlich angesehen werden

kann. Diese Feststellung ist sowohl für Art. 6 Abs. 4 DSGVO, aber auch für Art. 6 Abs. 1 lit. f DSGVO, nämlich die berechtigten Erwartungen der Betroffenen, relevant.

Zudem, so der Generalanwalt, werden die betreffenden Daten weiterhin von demselben Verantwortlichen verarbeitet. Insgesamt scheint er davon auszugehen, dass die Verarbeitung für Zwecke der Sicherheit der Daten also recht unproblematisch den Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO bestehen würde.

Fazit

Das Ergebnis teile ich. Wie beschrieben, würde ich aber einen anderen Weg wählen und von einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Anforderungen des Art. 32 DSGVO ausgehen. Eventuell äußert sich ja auch noch der EuGH zu der Frage der Rechtsgrundlage. Für die Praxis könnte man natürlich überlegen, ob man bereits bei Erhebung darüber informiert, dass die Daten gerade auch für Zwecke der Datensicherheit (insb. Verfpgbarkeit) verarbeitet werden. Dies könnte gegen eine Zweckänderung sprechen, da man die Daten schon von Beginn an für diesen Zweck verwendet.

Missbräuchliche Ausübung von Betroffenenrechten – Klarheit durch neuen Richtlinienvorschlag der EU-Kommission?

In der Praxis ist die Geltendmachung und Bearbeitung von Betroffenenrechten der DSGVO ein wichtiges Thema. Dabei fällt auf, dass gerade Rechte wie der Auskunftsanspruch (Art. 15 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) auch in Situationen geltend gemacht werden, in denen der Datenschutz ganz offensichtlich nicht im Fokus der Betroffenen steht. Sondern es geht, etwa in Verfahren vor Arbeitsgerichten, darum, der Gegenseite weiteren Aufwand zu machen bzw. diese, wenn möglich „auszuforschen“ (je nachdem, wie das Gericht den Umfang des Auskunftsrechts versteht). Oft stellt sich dann die Frage, ob denn der Verantwortliche nicht eine missbräuchliche Geltendmachung des Betroffenenrechts einwenden und die Erfüllung ablehnen kann. Mein Kollege Johannes Zwerschke und ich haben zu dem Thema „Missbräuchliche Ausübung von DS-GVO-Betroffenenrechten – zulässiger Verteidigungseinwand für Verantwortliche?“ einen Aufsatz in Heft 1/2022 der RDV veröffentlicht.

Merkmal „offenkundig unbegründet“

Fraglich ist hierbei unter anderem, wie das Merkmal „offenkundig unbegründet“ in Art. 12 Abs. 5 DSGVO in Bezug auf Anträge von Betroffenen zu verstehen ist. Die DSGVO gibt hierauf keine konkrete Antwort. Da es sich hierbei um unmittelbar anwendbares europäisches Recht handelt, ist das Merkmal nicht allein aus nationaler Sicht, sondern europarechtsautonom auszulegen.

Richtlinienvorschlag der Kommission zu missbräuchlichen Gerichtsverfahren

Spannend ist daher ein neuer Richtlinienvorschlag der EU-Kommission vom 27.4.2022. Es geht um eine Richtlinie zum Schutz von Personen, die sich öffentlich beteiligen, vor offenkundig unbegründeten oder missbräuchlichen Gerichtsverfahren („strategische Klagen gegen öffentliche Beteiligung“) (COM(2022) 177 final, PDF). Hintergrund des Vorschlags ist der Wunsch, Maßnahmen zur Verbesserung des Schutzes von Journalisten und Menschenrechtsverteidigern vor missbräuchlichen Gerichtsverfahren zu schaffen. „Strategische Klagen gegen öffentliche Beteiligung“ oder „SLAPP-Klagen“ (strategic lawsuits against public participation) sind nach Ansicht der Kommission eine besondere Form der Belästigung, um Äußerungen zu Angelegenheiten im öffentlichen Interesse zu verhindern oder zu sanktionieren. Die vorgeschlagene Richtlinie „ermöglicht es Richtern, offenkundig missbräuchliche Klagen gegen Journalisten und Menschenrechtsverteidiger rasch abzuweisen“.

Und hier wird es natürlich für uns aus DSGVO-Sicht interessant. Zum einen verwendet die Richtlinie exakt dasselbe Merkmal wie die DSGVO („offenkundig unbegründet“). Zum anderen ist die Ausgangssituation auch sehr ähnlich: es geht darum zu verhindern, dass Rechte missbräuchlich genutzt werden. Die Parallele zu Situationen unter der DSGVO, ergibt sich etwa aus ErwG 20 der Richtlinie: „Bei missbräuchlichen Gerichtsverfahren handelt es sich in der Regel um bösgläubige Verfahrenstaktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands“. Und: „Diese Taktiken werden von den Klägern zu anderen Zwecken eingesetzt, als um Zugang zur Justiz zu erhalten“.

Was versteht die Kommission unter „offenkundig unbegründet“?

Und was versteht die Kommission nun unter dem Begriff „offenkundig unbegründet“? Eine abschließende Definition dieses Merkmals bzw. des Oberbegriffs „missbräuchliche Gerichtsverfahren“ liefert die Richtlinie nicht. Art. 3 der Richtlinie zählt eine nicht erschöpfende Liste der häufigsten Indikatoren von Missbrauch auf. Darunter fallen nach Ansicht der Kommission:

  • Unverhältnismäßigkeit,
  • Maßlosigkeit oder
  • Unangemessenheit der Forderung oder eines Teils davon,
  • Vorhandensein mehrerer Verfahren, die vom Antragsteller oder mit ihm verbundenen Parteien in ähnlichen Angelegenheiten angestrengt wurden,
  • Einschüchterungen, Belästigungen oder Drohungen von Seiten des Klägers oder seiner Vertreter.

In den Erläuterungen zu dem Entwurf geht die Kommission noch etwas genauer auf mögliche Merkmale ein, die meines Erachtens durchaus auch im Bereich der DSGVO herangezogen werden können.

Bei missbräuchlichen Gerichtsverfahren handelt es sich häufig um bösgläubige Verfahrenspraktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands. Diese Taktiken, die von den Klägern zu anderen Zwecken als dem Zugang zur Justiz eingesetzt werden…

Gerade diese letzte Erläuterungen ist meiner Ansicht nach sehr gut auf die missbräuchliche Geltendmachung von Betroffenenrechten übertragebar (wie etwa: Verursachen unverhältnismäßig hoher Kosten; zu anderen Zwecken als dem Zugang zur Justiz (bzw. dem Schutz personenbezogener Daten)).

Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich

Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.

In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.

Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.

Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.

Der EDSB legt einige spezifische Anforderungen fest:

  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
  • Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.

Generalanwalt: Öffentlich abrufbare Daten stellen noch keine Übermittlung in ein Drittland dar

Was genau eine „Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation“ (Art. 45 Abs. 1 S. 1 DSGVO) darstellt, definiert die DSGVO nicht. Der EDSA hat ein, wie ich finde, sehr lesenswertes Papier (Leitlinien 05/2021 https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf PDF) zu dem Thema veröffentlicht, in dem er sich diesem Begriff definitorisch nähert und 3 Merkmale herausstellt, die für eine solche Übermittlung erfüllt sein müssen.

Interessant ist, dass der EDSA in seinem Papier eine der alltäglichsten Situationen nicht anspricht, die aber sogar unter der alten Datenschutzrichtlinie 95/46/EG schon einmal vor dem EuGH lag (in der Sache Lindqvist, C-101/01): findet eine Übermittlung in ein Drittland automatisch statt, wenn personenbezogene Daten öffentlich abrufbar im Internet, also auf einer Webseite, bereitgestellt werden?

Die Antwort auf diese Frage ist durchaus von praktischer Relevanz. Bsp: Daten zu Mitarbeitern auf Unternehmenswebseiten; Daten zu Personen auf Webseiten von News-Portalen etc.

EuGH zur alten Rechtslage

Der EuGH entschied mit Urteil vom 6.11.2003 (Rs C-101/01) noch zu Art. 25 der RL 95/46/EG, dass das Einstellen von personenbezogenen Daten auf einer Webseite, die weltweit abgerufen werden kann, keine „Übermittlung von Daten in ein Drittland“ darstellt (Rz. 70). U.a. begründete der EuGH dies damit, dass bei einer extensiven Auslegung der Übermittlung eine solche dann in jedes Land auf der Welt vorliegen würde. Und:

Damit würde die in Kapitel IV der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen Regelung für Vorgänge im Rahmen des Internets werden.

EDSA

Der EDSA äußert sich in seinen Leitlinien wie gesagt nicht konkret zu dieser Konstellation. Zwar deckt das Beispiel 1 in den Leitlinien eventuell einen Teilaspekt der Diskussion ab. Danach liegt keine Übermittlung nach Kap. V DSGVO vor, wenn ein Betroffener auf einer Webseite selbst Daten eingibt und an einen Verantwortlichen sendet, der außerhalb der EU sitzt.

Jedoch wird dort nicht die Frage beantwortet, was bei Webseiten gilt, auf denen schon personenbezogene Daten durch Verantwortliche eingestellt und öffentlich abrufbar sind. Zudem wird nicht die Konstellation angesprochen, dass der Verantwortliche für die Webseite in der EU sitzt und ob dieser dann Daten automatisch an alle Drittländer sendet.  

Generalanwalt

In seinen Schlussanträgen vom 20.1.2022 in den verbundene Rechtssachen C‑37/20 und C‑601/20 äußert sich der Generalanwalt Pitruzzella nun zumindest mittelbar zu dem Thema. Es ging dort um (teilweise) öffentlich abrufbar Daten auf online zugänglichen Registern.

Da es um den Spezialfall eines Registers ging, legt der Generalanwalt Art. 49 Abs. 1 lit. g) DSGVO aus. Es geht dort auch um die Frage, wann eine Übermittlung in ein Drittland vorliegt. Der Generalanwalt verweist darauf (Rz. 239), dass Art. 49 Abs. 1 lit. g) und Abs. 2 DSGVO speziell für jede Übertragung „aus“ einem öffentlichen Register gilt. Und dann kommt die interessante Feststellung bzw. Ansicht:

„Der Umstand, dass ein Register öffentlich ist, stellt an sich aber noch keine Übermittlung dar.“

Jetzt kann man natürlich argumentieren, dass der Generalanwalt hier allein Register und das Merkmal „aus“ interpretieren wollte. Dem lässt sich aber meines Erachtens entgegenhalten, dass der Generalanwalt ziemlich klar der Frage nachgeht, ob überhaupt eine Übermittlung nach Kap. V DSGVO vorliegt oder nicht. Zudem ist die Aussage des Generalanwalts auch abstrakt verwertbar, etwa für die Situation von Daten auf Webseiten. Darauf bezogen könnte man formulieren: der Umstand, dass eine Webseite öffentlich ist, stellt an sich noch keine Übermittlung der auf ihr vorhandenen Daten dar.

Dies lehnt er hier mit dem Argument ab, dass allein der Umstand, dass ein Register (und damit dort enthaltene Daten) öffentlich abrufbar sind, noch nicht ausreicht. Im Grunde dürfte eine solche Sichtweise mit der alten EuGH Rechtsprechung auf einer Linie liegen.

Spannend an dieser Interpretation ist, dass der Generalanwalt damit wohl auf noch keine „Form der Bereitstellung“ im Sinne von Art. 4 Nr. 2 DSGVO erkennt. Nach der Definition der „Verarbeitung“ liegt eine „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ vor. Der EDSA verweist etwa in seinen Leitlinien auch auf dieses Merkmal der „Bereitstellung“ von Daten.  

Fazit

Der Generalanwalt begründet seine Ansicht nicht weiter. Daher wird man, wie beschrieben, die Aussage auch anders verstehen können. Eventuell wird der EuGH in dem noch folgenden Urteil etwas dazu sagen, ob hier eine Übermittlung im Sinne von Kap. V DSGVO vorliegt.

Europäischer Datenschutzbeauftragter: Internationaler Datentransfer auf Basis eines im Interesse der betroffenen Person geschlossenen Vertrags

In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.

Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:

„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“

Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.

Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.

Einhaltung des Grundsatzes der Rechenschaftspflicht nach der DSGVO – weitere Hinweise des Europäischen Datenschutzausschusses

In der Praxis führt der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO häufig zu der Frage, wie Unternehmen die Anforderungen erfüllen können. Denn die rechtliche Anforderung ist sehr weit gefasst und vage: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wie der Nachweis konkret erfolgen soll bzw. kann, wird nicht spezifiziert.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu „Dark Patterns“ (Leitlinien 3/2022, PDF) einige Präzisierungen zur Frage der Umsetzung dieser Verpflichtung vorgenommen (Rz. 11). Der EDSA stellt fest (inoffizielle Übersetzung):

  • Die Benutzeroberfläche und die User Journey können als Dokumentationsinstrument verwendet werden, um nachzuweisen, dass die Nutzer bei ihren Handlungen auf der Social-Media-Plattform die Datenschutzinformationen gelesen und berücksichtigt haben, dass sie ihre Einwilligung frei gegeben haben, dass sie ihre Rechte problemlos wahrgenommen haben, usw.
  • Qualitative und quantitative Nutzerforschungsmethoden wie A/B-Tests, Eye-Tracking oder Nutzerinterviews, ihre Ergebnisse und ihre Analyse können ebenfalls zum Nachweis der Einhaltung der Vorschriften verwendet werden.
  • Wenn die Nutzer beispielsweise ein Kästchen ankreuzen oder eine von mehreren Datenschutzoptionen anklicken müssen, können Screenshots der Schnittstellen dazu dienen, den Weg der Nutzer durch die Datenschutzinformationen zu zeigen und zu erklären, wie die Nutzer eine informierte Entscheidung treffen.

Die Hinweise des EDSA zeigen, dass man bei der Erfüllung der Rechenschaftspflicht durchaus kreativ sein kann und auch Prozesse bzw. Dokumentation relevant ist, die ohnehin, etwa im Rahmen der Produktentwicklung, genutzt werden. Spannend ist sicherlich, ob der EDSA mit diesen Hinweisen gleichzeitig auch ein Tracking als zulässig ansehen würde, welches das Verhalten der Nutzer in Bezug auf die Interaktion mit Datenschutzhinweisen oder z.B. Datenschutzeinstellungen erfasst und auswertet. In diesem Fall kann man sicher argumentieren, dass hierfür keine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, sondern eine Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG. Zur Erfüllung rechtlicher Pflichten aus der DSGVO.

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.

VG Düsseldorf: Kein DSGVO-Auskunftsanspruch in Bezug auf Mitarbeitergesprächsprotokolle von Kollegen

Das Verwaltungsgericht (VG) Düsseldorf hat mit Urteil vom 7.3.2022 (Az 26 K 406/19) zu der Frage entschieden, ob im Rahmen eines Auskunftsanspruchs nach Art. 15 DSGVO auch das Protokoll eines Mitarbeitergesprächs herauszugeben ist, in dem sich eine Arbeitskollegin kritisch über die Klägerin äußerte und ihr unter anderem vorwarf, Drohungen gegenüber Mitarbeitern auszusprechen.

Sachverhalt

Die Klägerin war als Fallmanagerin (Arbeitsvermittlerin) dem Beklagten zu 2 zugewiesen. Dort fand ein Personalgespräch statt, in dem ihr unangemessenes Verhalten gegenüber einer Mitarbeiterin vorgehalten wurde. Diese Mitarbeiterin habe in ihrem Mitarbeitergespräch im April 2017 geäußert, sie – die Klägerin – sei eine polarisierende und spaltende Kraft und agiere gegen die Teamleitung. Sie – die Klägerin – habe zum Nachteil der anderen Mitarbeiterin auch eine Drohung ausgesprochen.

Die Klägerin bewarb sich danach bei der Beklagten zu 1. Im Zuge des Bewerbungsverfahrens forderte die Beklagte zu 1. beim Beklagten zu 2. eine anlassbezogene dienstliche Beurteilung an. In dieser wurde u.a. festgehalten, dass es vereinzelt mit wenigen Mitarbeitern im Team zu immer wiederkehrenden Meinungsverschiedenheiten gekommen sei. Die dienstliche Beurteilung wurde gegenüber der Klägerin nicht eröffnet. Die ausgeschriebene Stelle wurde anderweitig vergeben.

Zuletzt beantragte die Klägerin noch, den Beklagten zu 2. zu verurteilen, ihr das Protokoll des Mitarbeitergesprächs der Kollegin aus April 2017 herauszugeben.

Entscheidung

Das VG wies die Klage als unbegründet ab.

Zunächst geht das VG davon aus, dass § 86 LBG NRW (Auskunftsrecht) vorliegend nicht auf das Protokoll des Mitarbeitergesprächs der Arbeitskollegin anwendbar ist. Diese Norm sei im vorliegenden Fall nicht einschlägig, soweit das von der Klägerin begehrte Dokument nicht Teil der eigenen Personalakte ist. Denn das streitbefangene Mitarbeiterprotokoll beziehe sich auf die dienstrechtlichen Beziehungen zwischen der Kollegin und dem Beklagten zu 2.

Der Beklagte zu 2. habe zudem entsprechend der bis 24. Mai 2018 geltenden Rechtslage Auskunft erteilt. Dort enthalten war auch das die Klägerin betreffende Protokoll über ihr eigenes Mitarbeitergespräch, welches die wesentlichen Angaben über die Vorwürfe aus dem Gespräch der Kollegin enthielt.

Art. 15 DSGVO trete, als allgemeine Norm, die ein Auskunftsrecht bei der Verarbeitung personenbezogener Daten vorsieht, gegenüber der Spezialregelung im LBG NRW bereits aus systematischen Gründen zurück (§ 5 Abs. 6 DSG NRW).

Jedoch nutzt das VG dennoch die Gelegenheit, sich zu der Ausnahmeregelung des Art. 15 Abs. 4 DSGVO in dem konkreten Fall zu äußern.

Art. 15 Abs. 4 DSGVO schränke das Recht auf Erhalt einer Kopie ein, wenn Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das sei hier der Fall, da eine Kopie des Protokolls über das Mitarbeitergespräch vom April 2017 an die Klägerin herausgegeben werden würde.

Über ihre eigenen personenbezogenen Daten würde der Klägerin (als Betroffene) dann Einblick auch in solche personenbezogenen Daten ermöglicht werden, die ihre Kollegin oder weitere Personen betreffen.

Im Rahmen einer Abwägung aller Interessen ist ein solcher Eingriff nicht zu rechtfertigen, weil die Klägerin – wie bereits dargestellt – in anderer geeigneter Weise über die sie betreffenden personenbezogenen Daten informiert worden ist“.

Fazit

Die Ausführungen des VG sind recht kurz. Dennoch scheint das VG durchblicken zu lassen, dass Art. 15 DSGVO seiner Ansicht nach zum einen nicht dazu dient, personenbezogene Daten über andere Personen (hier der Arbeitskollegin und ihren Aussagen) zu erhalten. Zum anderen sieht das VG im konkreten Fall wohl auch die Rechte und Freiheiten der anderen Betroffenen beeinträchtigt, wenn deren Daten, in der Form von Gesprächsprotokollen, im Original herausgegeben würden. Das VG äußert sich nicht zu der Möglichkeit, ob eine geschwärzte Version des Protokolls zur Verfügung gestellt werden könnte.

Bayerischer Verwaltungsgerichtshof: Datenschutz in der Lieferkette – Verantwortlicher muss DSGVO-Konformität von eingekauften Produkten sicherstellen

Der Bayerische Verwaltungsgerichtshof hat eine, wie ich finde, abstrakt relevante Ansicht zu den datenschutzrechtlichen Anforderungen an Produkte, über die personenbezogene Daten verarbeitet werden, geäußert (Beschluss v. 07.03.2022 – 4 CS 21.2254). Der VGH geht davon aus, dass eine datenverarbeitende Stelle als datenschutzrechtlich Verantwortlicher verpflichtet ist, sich bei Geräteherstellern zu vergewissern, dass die Produkte die DSGVO einhalten.  

Sachverhalt

In dem Verfahren ging es um die Frage, ob Eigentümer eines Hauses den Austausch analoger Wasserzähler durch elektronische Wasserzähler mit Funkmodul durch die öffentliche Wasserversorgungseinrichtung dulden müssen. Die Hauseigentümer wehrten sich hiergegen, u.a. mit Verweis auf das Datenschutzrecht. Ihrer Ansicht nach verfüge das einzusetzende Gerät über keine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik und sei daher nicht sicher. Zudem sei die Erhebung von Wassertemperatur und Außentemperatur sowie das permanente Aufzeichnen zahlreicher weiterer Alarmcodes zum ordnungsgemäßen Betrieb der Wasserversorgung nicht erforderlich.

Entscheidung

Der VGH wies die Beschwerde der Eigentümer (gegen eine Entscheidung der Vorinstanz) zurück.

Der VGH geht zunächst davon aus, dass die in einem elektronischen (Funk-)Wasserzähler erfassten Verbrauchsmengen, wenn und soweit sich daraus Rückschlüsse auf das individuelle Verbrauchsverhalten einzelner Personen ziehen lassen, personenbezogene Daten der Bewohner oder sonstigen Nutzer des betreffenden Anwesens darstellen.

Es reiche nach Art. 4 Nr. 1 DSGVO aus, dass eine bestimmte natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie etwa einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem besonderen identitätsprägenden Merkmal identifiziert werden kann. Dies sei bei dem Betrieb eines Wasserzählers zumindest dann der Fall, wenn die aufgezeichneten Verbrauchsdaten eine Wohnung oder eine sonstige Gebäudeeinheit betreffen, die von einer einzelnen Person genutzt wird. Aber auch bei gemeinsamer Nutzung durch mehrere Personen lasse sich, wenn der Wasserverbrauch durch einen elektronischen Zähler kontinuierlich aufgezeichnet wird, unter Umständen mit nur geringem Zusatzwissen Rückschlüsse auf die Verbrauchsgewohnheiten Einzelner ziehen,

Die damit einhergehende Datenverarbeitung qualifiziert der VGH als zulässig. Diese ist nach Art. 6 Abs. 1 lit. e DSGVO nur rechtmäßig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Die dafür nach Art. 6 Abs. 3 lit. b DSGVO notwendige Rechtsgrundlage habe der Bayerische Gesetzgeber mit der in Art. 24 Abs. 4 Satz 1 GO enthaltenen Sonderregelung zum Einsatz und Betrieb derartiger Wasserzähler geschaffen.

Zudem lehnt der VGH einen Verstoß gegen Vorschriften der DSGVO bzgl. der Sicherheit der Datenverarbeitung (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) durch den Einsatz der Wasserzähler ab.

Relevant und meines Erachtens zu einem gewissen Grad auch allgemein zu beachten, ist die Ansicht des VGH zu den Anforderungen des Einsatzes von Geräten, über die personenbezogene Daten verarbeitet werden sollen.

Zum einen geht der VGH davon aus, dass der Einsatz der Wasserzähler nicht bereits deshalb datenschutzwidrig sei, weil die Geräte keine Zertifizierung des BSI besäßen.

Der Einsatz elektronischer Verbrauchserfassungsgeräte ist ihnen nicht deshalb verwehrt, weil diese keiner Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik bedürfen“.

Diese Ansicht ist meines Erachtens begrüßenswert und richtig. So ist etwa Art. 32 DSGVO bewusst offen formuliert, um verschiedenste Faktoren bei der Prüfung der Sicherheit der Datenverarbeitung berücksichtigen zu können. Eine Zertifizierung, etwas durch das BSI, kann natürlich positiv berücksichtigt werden. Jedoch entscheidet ein solches Zertifikat nicht zwingend allein über die DSGVO-Konformität eines Produkts.

Danach führt der VGH aus:

Die Wasserversorger sind unabhängig davon für die Einhaltung der allgemeinen Sicherheitsanforderungen nach Art. 5 Abs. 1 Buchst. f, Art. 32 DSGVO verantwortlich. Sie müssen sich daher vor dem Einsatz elektronischer (Funk-) Wasserzähler bei dem Gerätehersteller vergewissern, dass die gespeicherten und übermittelten Daten durch geeignete technisch-organisatorische Maßnahmen ausreichend vor dem Zugriff unberechtigter Dritter geschützt sind (LT-Drs. 17/19804 S. 2).

Das Gericht leitet hier aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO wohl die Pflicht des Verantwortlichen ab, in seiner Liefer- bzw. Einkaufskette zu prüfen, ob die eingekauften Produkte, über die später personenbezogene Daten verarbeitet werden, den Anforderungen der DSGVO genügen. Der VGH ist zwar nicht absolut klar hinsichtlich des Umfangs und der Tiefe der erforderlichen Prüfung. Er spricht aber zumindest davon, dass sich der Verantwortliche als Ausfluss seiner Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO davon „vergewissern“ muss, dass die Geräte die datenschutzrechtlichen Vorgaben einhalten.

Fazit

Der VGH spricht in seinem Beschluss eine praxisrelevante Schutzlücke der DSGVO an. Diese verpflichtet nur Verantwortliche und Auftragsverarbeiter. Gerätehersteller und Produzenten, die selbst keine Daten verarbeiten, sondern „nur“ das Werkzeug hierfür bereitstellen, unterfallen nicht der DSGVO, im Sinne einer „Vorfeldpflicht“. Daher hängt es derzeit vor allem an den Abnehmern der Produkte, den Verantwortlichen, die DSGVO-Konformität in die Lieferkette (nach vorne) zu tragen. Etwa durch vertragliche Verpflichtungen und Zusicherungen der Hersteller. ErwG 78 DSGVO umschreibt dieses Problem wie folgt: „… sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.