Bereits Anfang des Jahres haben wir über ein Urteil berichtet, in welchem der Schadenersatz nach Art. 82 DS-GVO aufgrund einer fehlgeleiteten Steuererklärung im Mittelpunkt stand. Nun hat das Sächsische Finanzgericht in einer Entscheidung (FG Sachsen, Urt. v. 04.02.2026 – 8 K 793/24) einem Kläger einen Schadenersatzanspruch in Höhe von 1000,00 € aufgrund einer Fehlversendung seiner Steuerklärung zugesprochen. Das Urteil aus Leipzig soll in unserem heutigen Beitrag im Blickpunkt stehen.

Worum geht es in dem Urteil?

Der Kläger hatte seine Einkommenssteuererklärung für das Jahr 2020 beim zuständigen Finanzamt eingereicht. Nach der internen Bearbeitung versandt das Finanzamt Steuererklärung des Klägers samt weiteren Unterlagen (sowie weitere 34 Steuererklärungen) aufgrund eines falsch aufgeklebten Paketscheins an einen anderen Steuerpflichtgen. Die Unterlagen umfassten neben den Stammdaten hierbei allerhand – teilweise sensible – personenbezogene Daten wie bspw. Angaben zu seinen Familienverhältnissen (Lebenspartnerin, Tochter), Angaben zu Einkünften aus nicht selbstständiger Arbeit, einen Rentenbezug, Vorsorgeaufwendungen sowie Krankengeld und Spenden (inklusive politischer Gesinnung). Die Fehlversendung wurde vom unberechtigten Empfänger zeitnah an das Finanzamt zurückgebracht.

Die Datenschutzverletzung wurde daraufhin nach Art. 33 DS-GVO beim Bundesdatenschutzbeauftragten gemeldet. Die Betroffenen (somit u.a. der Kläger) wurden gemäß Art. 34 DS-GVO ebenfalls informiert.

In der Folge stellte der Kläger durch seinen Prozess bevollmächtigten zunächst einen Auskunftsantrag und verlangte anschließend Schadenersatz nach Art. 82 DS-GVO in Höhe von 2.500,00 € aufgrund des Kontrollverlustes über seine personenbezogenen Daten. Die unbefugte Offenlegung seiner personenbezogenen Daten habe zu einem Gefühl der Verletzlichkeit geführt.  

Die Beklagte – das Finanzamt – lehnte die Zahlung zunächst ab, da es nach ihrer Ansicht an einem konkreten Schaden fehle, denn die behaupteten psychischen Belastungen des Klägers vermögen keinen immateriellen Schaden zu begründen. Es genüge gerade nicht jede individuell empfundene Unannehmlichkeit aus, um einen Ausgleichsanspruch zu begründen. Es bedarf vielmehr eines spürbaren Nachteils und einer Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht.

Der Kläger erhob in der Folge Klage gegen den Freistaat Sachsen unter Angabe eines vorläufigen Streitwertes von 1.000,00 €.

Was hat das Gericht entschieden?

Das Finanzgericht Sachsen sprach in seiner Entscheidung dem Kläger einen Schadenersatzanspruch (nach Art. 82 DS-GVO) in Höhe von 1.000,00 € zu. Über die Voraussetzung des Art. 82 DS-GVO haben wir ebenfalls bereits in unserem Blog berichtet.

Der Verstoß gegen die Datenschutz-Grundverordnung sei nach Auffassung des Gerichtes bereits darin zu sehen, dass die Steuererklärung und mithin die darin enthaltenen personenbezogenen Daten des Klägers an einen unbefugten Dritten gelangt sei. Dies stellt einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO dar.

Im Weiteren stellte das Gericht einen Schaden durch den konkreten Kontrollverlust bezüglich der in der Einkommenssteuererklärung enthaltenen personenbezogenen Daten des Klägers fest. Durch den Umstand, dass die Daten offengelegt wurden, besteht insoweit kein rein hypothetisches Risiko, sondern die konkrete Gefahr einer missbräuchlichen Verwendung der Daten durch eine unbefugte Person. Nach der Beweisaufnahme stand fest, dass neben dem Empfänger und dessen Familienangehörigen auch die Paketboten Gewahrsam an den geöffneten Sendungen mit den Steuererklärungen hatten und sich somit jederzeit Kenntnis vom Inhalt der Steuererklärung des Klägers verschaffen konnten.  

Was bleibt für die Praxis?

Die Entscheidung zeigt uns, dass bereits vermeintlich kleine Fehler bzw. Versehen datenschutzrechtliche Schadenersatzansprüche auslösen können. Verantwortliche sind daher gut beraten, entsprechende Kontrollmaßnahmen zu etablieren und insbesondere ein Managementsystem zum Umgang mit Datenschutzverletzungen zu initiieren und zu pflegen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es ist eine Entscheidung, von welcher man mit Fug und recht behaupten kann, dass die Datenschutzwelt auf sie gewartet hat: Es ist die Brillen Rottler Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache C-526/24. Das wird zunächst vermutlich nur Wenigen etwas sagen. Im Kern dreht sich die Entscheidung um die für die Praxis bedeutende Frage nach dem Missbrauchseinwand des Art. 12 Abs. 5 DS-GVO bei der Geltendmachung von Auskunftsansprüchen nach Art. 15 DS-GVO. Zur praktischen Umsetzung von Art. 15 DS-GVO praktischer Umsetzung haben wir bereits berichtet. Heute wollen wir nun das aktuelle Urteil zum Missbrauchseinwand näher beleuchten.

Ein Blick ins Gesetz und so…

Blicken wir doch zunächst einmal ins Gesetz. Art. 12 Abs. 5 DS-GVO lautet:

„Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
2. sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“

Das Gesetz zeigt uns eine Reihe unbestimmter Rechtsbegriffe: „offenkundig unbegründet“, „exzessiv“ oder aber „häufige Wiederholungen“. Kurzum: Verantwortliche haben zwar grundsätzlich die Möglichkeit einem Antrag Betroffener Personen entgegenzutreten, bisher waren die Konturen für diesen Einwand jedoch weitestgehend ungeklärt. Bisher…

Nun zu dem Eugh-Urteil

Worum geht es eigentlich. Aus dem Sachverhalt:

Im März 2023 abonnierte eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete die betroffene Person einen Auskunftsantrag nach Art. 15 DS-GVO an Brillen Rottler. Diese wiesen den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich i.S.v. Art. 12 Abs. 5 UAbs. 1 Satz 2 DS-GVO hielten. Der „Betroffene verfolgte“ seinen Auskunftsantrag weiter und machte darüber hinaus Schadenersatz in Höhe von 1.000€ nach Art. 82 DS-GVO geltend.

In der Folge klagte Brillen Rottler dann vor dem AG Arnsberg auf Feststellung, dass dem „Betroffenen“ kein Anspruch aus Art. 82 DS-GVO zustehe. Gestützt wurde der Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass der „Betroffene“ Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der Datenschutz-Grundverordnung zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.

Das AG Arnsberg wandte sich in der Folge mit diversen Vorlagefragen an den EuGH.

Was hat denn der Eugh nun entschieden?

Zunächst stellt der EuGH klar: „Was […] die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden.“

Und weiter: „Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […] Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.“

Bemerkenswert ist zudem folgender Hinweis: „Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […] In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.“

Damit aber nicht genug: „Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt. […] Da der Begriff „exzessive Anträge“, wie sich aus Rz. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen (…) hoch sein.“

Der EuGH fordert für den Missbrauchseinwand zweit grundlegende Voraussetzungen:

Ein objektives sowie ein subjektives Element: „Was […] die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rz. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.“

Fazit

Diese letzte Klarstellung dürfte in vielen Praxiskonstellationen – wohl allen voran im Beschäftigtendatenschutz – eine gewichtige Weichenstellung sein. Es kann sich aus den Umständen des Einzelfalls ergeben, dass ein Missbrauch seitens des Betroffenen vorliegt. Insbesondere in bereits vorangetriebenen Streitigkeiten dürfte dies Relevanz entfalten, wenn zum Auskunftsanspruch gegriffen wird. Für die Einstufung möglicher objektiver Missbrauchskriterien verweist der EuGH zudem auf Erwägungsgrund 63 Satz 1 der DS-GVO in welchem die ursprünglichen Zwecke des Auskunftsanspruchs niedergelegt sind: „Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“

Klar ist allerdings auch, dass ein einfaches Berufen auf den Missbrauchseinwand seitens der Verantwortlichen nicht ausreichend sein wird. Vielmehr bedarf es der vertieften Darlegung der objektiven wie subjektiven Missbrauchskriterien.

Der Ball für die Entscheidung, ob im konkreten Fall ein Rechtsmissbrauch vorlag, liegt nun wieder beim AG Arnsberg, welches die Entscheidung unter Berücksichtigung des Urteils des EuGH treffen muss.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir lehnen uns sicherlich nicht zu weit aus dem Fenster, wenn wir die Behauptung aufstellen, dass Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz – zu den meist diskutiertesten Normen in der Datenschutz-Grundverordnung gehört. Wir haben uns in der Vergangenheit ebenfalls bereits mehrfach mit den Fragen rund um den datenschutzrechtlichen Schadenersatz befasst, beispielsweise im Rahmen der Frage zum Schadenersatz wegen verspäteter Auskunftserteilung. Grundlegende Beiträge zum Schadenersatzanspruch lassen sich zudem hier, hier und hier finden.

In unserem heutigen Beitrag soll es nunmehr um eine Entscheidung des Amtsgericht Wesel (Urt. v. 23.7.2025, 30 C 138/21) gehen, in welcher das Gericht über einen Schadenersatzanspruch nach Art. 82 DS-GVO eines Ehepaares gegenüber der (ehemaligen) Steuerkanzlei aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung infolge einer Fehlversendung zu entscheiden hatte.

Worum geht es in dem Urteil?

Die Kläger – das Ehepaar – waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der beklagten Steuerkanzlei per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Die Kläger wiesen in der Folge vorsichtshalber noch mehrfach auf die neue Adresse hin. Im Juli 2020 beauftragten die Kläger die Kanzlei mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Bei der Erstellung der Erklärung wurden automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die jedoch noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet. Die (unberechtigten) Empfänger haben den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und ebenso vom Inhalt Kenntnis genommen.

Was hat das Gericht entschieden?

Das Gericht stellt zunächst fest, dass die Steuerkanzlei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d) DS-GVO („Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“) verstoßen habe, indem diese die ehemalige (und veraltete) Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Als unerheblich wurde vom Gericht angesehen, dass die veraltete Adresse durch das Programm bei der Erstellung der Erklärung automatisch eingefügt worden war. Dies gilt bereits deswegen, weil die Kanzlei dafür Sorge zu tragen hat, dass die veraltete Adresse überhaupt nicht mehr im System hinterlegt ist.

Im Rahmen der Betrachtung von Art. 82 Abs. 1 DS-GVO stellt der Verstoß gegen den Grundsatz der Richtigkeit der Datenverarbeitung zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht zu begründen. Noch einmal zum besseren Verständnis der Inhalt von Art. 82 Abs. 1 DS-GVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Den Klägern ist infolge des Verstoßes der verantwortlichen Steuerkanzlei auch ein Schaden entstanden. Das Gericht nimmt hierzu zunächst Bezug auf die geltende Rechtsprechung des Europäischen Gerichtshof und des Bundesgerichtshof: „Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert […]. Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten.“

Der Kontrollverlust des Ehepaares über Ihre personenbezogenen Daten ist demnach durch die irrtümliche Versendung der Einkommenssteuererklärung eingetreten, denn so wurde dem Ehepaar die Kontrolle darüber entzogen, welchem Personenkreis die sie betreffenden personenbezogenen Daten zugänglich waren. Bemerkenswert ist zudem, dass das Gericht feststellt, dass der Kontrollverlust bereits durch die Fehlversendung eingetreten sei, auf das tatsächliche Öffnen des Briefes kommt es insoweit nicht an, denn die Daten waren bereits dem Verfügungskreis der Kläger entzogen.

Die Kläger hätten sich zudem wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es „viel Gerede“ gebe, sehr auf Diskretion bedacht seien.

Das Amtsgericht Wesel spricht nach alledem den Klägern einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu.

Was bleibt für die Praxis?

Leicht verwundert lässt einen der Sachverhalt dennoch zurück. Insbesondere der Umstand, dass an der ehemaligen Adresse tatsächlich namensgleiche Personen wohnten lädt zumindest dazu ein, darüber nachzudenken, ob nicht zwischen den Klägern und den „unberechtigten“ Empfängern vielleicht ein Verwandtschaftsverhältnis besteht. Andernfalls wäre es schon ein reichlich großer Zufall…

Im Ergebnis wurde den Klägern gemeinsam ein Schadenersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 € zugesprochen. Die Betonung muss hier auf „gemeinsam“ liegen. Dies bedeutet eben auch, dass jedem Ehepartner jeweils nur 500 € zugesprochen wurde. Hinzu tritt, dass der Umfang des zugesprochenen Schadens erheblich unterhalb der von den Klägern angegebenen Größenordnung (insgesamt 15.000 €, je also 7.500 €) liegt.

Das Gericht führt hierzu aus: „Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind.“

Was bleibt also? Schadenersatzanspruch ja, aber bitte im Rahmen. Verantwortliche (Steuer-)Kanzleien sind dennoch gut beraten bei der täglichen Arbeit die tragenden Grundsätze des Datenschutzrechtes zu berücksichtigen. Nur weil eine verantwortliche Stelle einer berufsrechtlichen Verschwiegenheit unterliegt, ist dies nicht gleichbedeutend mit einer Nichtanwendbarkeit des Datenschutzrechtes.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Einen Tag nach dem von uns bereits besprochenen Urteil des Gerichtes der Europäischen Union (EuG) in der Rechtssache T-553/23 und der (vorläufigen) Entscheidung über den Fortbestand des Data Privacy Framework, ist auch beim Europäischen Gerichtshof (EuGH) eine für das Datenschutzrecht bedeutende Entscheidung gefallen. Mit der Entscheidung in der Rechtssache C-413/23 P hat sich der EuGH mit dem Begriff der personenbezogenen Daten befasst. Inhalt und Bedeutung des Urteils wollen wir im heutigen Beitrag näher beleuchten.

Der EuGH und der Personenbezug

First at all ist das aktuelle Urteil des EuGH nicht die erste Entscheidung in der jüngeren Datenschutzvergangenheit, welche sich mit dem Vorliegen und den Voraussetzungen des Personenbezuges auseinandersetzt.

Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. In zwei weiteren Entscheidungen vom 7. März 2024 befasst sich der EuGH wiederrum mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten einzuordnen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).

In diesen Entscheidungskanon reiht sich auch das Urteil des EuG vom 26. April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt, ein. Das Urteil haben wir zwar bereits im Rahmen eines separaten Beitrages näher beleuchtet, zum besseren Verständnis der aktuellen Entscheidung – welcher das Verfahren beim EuG vorausgegangen ist – fassen wir noch einmal kurz zusammen:

Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen dieses Abwicklungsverfahrens koordinierte der Einheitliche Abwicklungsausschuss, der Single Resolution Board (SRB), entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen.

In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den Europäischen Datenschutzbeauftragten (EDSB), dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei. Nach Ansicht des EuGH sei darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung ist insoweit auf die Sicht des Datenempfängers abzustellen.

Die Möglichkeiten der Re-Identifizierung sind entscheidend

Zunächst setzt sich der EuGH mit dem Personenbezug der Stellungnahmen auseinander, welche auch persönliche Meinungen enthielten:

„Der Gerichtshof hat entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten […] das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt […] Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist.“

Mithin kann es sich also auch bei den Stellungnahmen wie im streitgegenständlichen Fall um personenbezogene Daten handeln. So weit so gut. Für die Weitergabe dieser Daten ist mit dem EuGH nunmehr entscheidend, ob der Datenempfänger einen Rückschluss auf die betroffene Person ziehen kann und ob eine Re-Identifizierung möglich ist: „In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information […] auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung […] setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.“

Diesbezüglich verweist der EuGH ebenfalls auf die pseudonymisierten Daten. Durch einen Blick in Art. 4 Nr. 5 DS-GVO erhalten wir sogleich eine Definition, was unter einer Pseudonymisierung zu verstehen ist: „„Pseudonymisierung“  [meint] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Nach dem EuGH gilt zudem zu berücksichtigen: „der Begriff „Pseudonymisierung“ [setzt] das Vorliegen von Informationen [voraus], die eine Identifizierung der betroffenen Person ermöglichen […]. Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten […] auswirken.“

Und weiter: „Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.“

Zudem „[…] wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.“

Im Ergebnis handelt es sich demnach um personenbezogene Daten, solange besagte Re-Identifizierung technisch und/oder organisatorisch möglich ist: „[…] die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.“

Fazit

Der EuGH bestätigt damit den sogenannten subjektiven Ansatz zur Bestimmung des Personenbezugs beziehungsweise den sogenannten relativen Personenbezug und auch die Breyer-Rechtsprechung. Es kommt bei einer Datenübermittlung mithin entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt. Hierdurch entsteht durch das Urteil in der Praxis unter Umständen neue Bedeutung rund um die Verschlüsselung.

Überlegenswert erscheint zudem die Überlegung zu hinterfragen, wie hoch das „Risiko“ einer Identifizierung ist, wenn diese gesetzlich verboten ist, z. B. in Fällen von Cyber-Angriffen und damit in Zusammenhang stehenden Datenexfiltrationen.Für die Praxis weiterhin relevant sein dürfte die Auseinandersetzung über die Informationspflichten im Zusammenhang mit potenziellen Pseudonymisierung sein (vgl. Rn. 111-113). Zur Vertiefung der Thematik empfehle ich schließlich die Lektüre dieses Blog-Beitrages von den Kollegen von Piltz Legal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am vergangenen Mittwoch hatte das Gericht der Europäischen Union (EuG) in der Rechtssache T-553/23 über eine Klage aus dem Jahr 2023 gegen den Angemessenheitsbeschluss der Europäischen Kommission für Datenübermittlungen in die USA, dem sogenannten Data Privacy Framework, zu entscheiden. Nachdem in der Vergangenheit bereits die beiden vorherigen Angemessenheitsbeschlüsse durch Urteile des Europäischen Gerichtshofes (EuGH) in den Jahren 2015 und 2020 gekippt wurden, waren die Befürchtungen zum Teil groß, dass es nun erneut zu einem abrupten Ende der transatlantischen Übermittlungsgrundlage kommen könnte. Diese Befürchtungen sollten sich jedoch nicht bewahrheiten…

Zur Klage

Bereits am 6. September 2023 reichte Philippe Latombe, ein französischer Abgeordneter und Mitglied der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL), eine Nichtigkeitsklage gegen den zu diesem Zeitpunkt erst jüngst verabschiedeten Angemessenheitsbeschluss auf Basis des Data Privacy Framework ein. Der Antrag lautete konkret „die Art. 1 und 2 des Durchführungsbeschlusses […] für nichtig zu erklären, mit dem […] festgestellt wird, dass das im Datenschutzrahmen EU‑USA gebotene Schutzniveau für personenbezogene Daten angemessen ist.“

Als Argumentation führte Latombe unter anderem an, dass „das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet sei.“ Weiterhin sei „die in den Vereinigten Staaten von Amerika errichtete Rechtsbehelfsbehörde, die durch einen Akt der amerikanischen Exekutive und nicht durch Gesetz geschaffen worden sei, sei kein unabhängiges Gericht und biete keine den Anforderungen des europäischen Rechts entsprechende Garantien.“ Daneben wurden weitere Verstöße, insbesondere gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union sowie Art. 22 DS-GVO und Art. 32 in Verbindung mit Art. 45 Abs. 2 der DS-GVO vorgetragen.

Zum Urteil

Mit Beschluss vom 3. September 2025 wies das EuG die Nichtigkeitsklage nun ab. In der Pressemitteilung heißt es hierzu in Bezug auf die angezeigte fehlende Unabhängigkeit Data Protection Review Court (DPRC), einer Institution, die es europäischen Bürgern ermöglichen soll, Beschwerden in Bezug auf die Verarbeitung personenbezogener Daten durch US-amerikanische Ermittlungsbehörden überprüfen zu lassen:

„Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.“

Und weiter: „Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.“

Auch in Bezug auf mögliche Sammelerhebungen personenbezogener Daten durch US-amerikanische Nachrichtendienste folgte das Gericht der Argumentation des Klägers nicht.

Ist das Data Privacy Framework damit sicher?

Nein. Bereits aus der dargestellten Pressemitteilung geht besonders aus zwei Passagen deutlich hervor, dass in Bezug auf den derzeitigen Angemessenheitsbeschluss zu jeder Zeit auch anderslautende Beschlüsse getroffen werden könnten.

Einerseits heißt es, „dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten […].“ Andererseits wird wie zuvor bereits zitiert darauf hingewiesen, dass die Europäische Kommission bei Änderungen der Rechtslage in den USA den Angemessenheitsbeschluss jederzeit aussetzen, ändern, aufheben oder in seinem Anwendungsbereich einschränken kann. Diesbezüglich wurde bereits im Februar dieses Jahres bekannt, dass die Europäische Kommission seitens Mitglieder des Europäischen Parlaments aufgefordert wird, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.

Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Unser heutiger Beitrag soll ein recht aktuelles Urteil des Bundesarbeitsgericht (BAG) vom 8. Mai 2025 (8 AZR 209/21) näher beleuchten. Dieses Urteil des BAG hat bereits in den vergangenen Wochen die datenschutzrechtliche Welt beschäftigt. Hierbei standen laut Pressemitteilung des BAG insbesondere Fragen rund um Datenverarbeitungen nach § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) im Zusammenhang mit Betriebsvereinbarungen und den Schadenersatz eines Beschäftigten nach Art. 82 DS-GVO aufgrund unzulässiger Datenübermittlungen innerhalb einer Konzerngruppe im Blickpunkt. Ein guter Bericht findet sich hier. Nunmehr wurde auch der Volltext des Urteils veröffentlicht.

Ein Blick in die Urteilsbegründung lohnt sich eben doch!

Viel spannender für die datenschutzrechtliche Praxis sind die Ausführungen des BAG ab Randziffer 16. Hier heißt es zunächst: „Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.“ Noch einmal zum auf der Zunge zergehen lassen: „§ 26 Abs. 1 BDSG hat unangewendet zu bleiben.“

Zur Verdeutlichung, § 26 Abs. 1 Satz 1 BDSG umfasst als Grundtatbestand mehrere Regelungstatbestände: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist […].“ Auf Satz 2 verzichten wir an dieser Stelle, dieser enthält Vorgaben zur Datenverarbeitung zur Aufdeckung von Straftaten.

Und wie geht es nun weiter?

Wir erinnern uns zurück: Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 30. März 2023 (Rs. C-34/21) mit der Vereinbarkeit des § 23 Abs. 1 Satz 1 Hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) und der Datenschutz-Grundverordnung, insbesondere natürlich Art. 88 Abs. 1 DS-GVO, befasst und diese verneint (wir berichteten). Seitdem ist in der Literatur umstritten, ob dieses Urteil Ausstrahlungswirkung auf den wortgleichen § 26 Abs. 1 BDSG hat.

Nunmehr hat sich das BAG in seinem Urteil offenkundig mit der Rechtslage befasst. Es führt hierzu weiter aus: „§ 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet.“

Und weiter: „Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen […] Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt.“

Das BAG spricht klar von einer Unanwendbarkeit des § 26 Abs. 1 BDSG, kommt aber bei den vertieften Ausführungen zu der Darstellung, dass „lediglich“ § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 Abs. 1 DS-GVO nicht erfüllt. Letzteres könnte in der Anwendung konsequent sein, da auch die vom EuGH zitierte Entscheidung beispielsweise nicht die Regelungen zur Aufdeckung von Straften adressiert.  

Das BAG führt zudem weiter aus, dass nationale Vorschriften, zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, die nicht die Voraussetzungen und Grenzen des Art. 88 Abs. 1 und 2 DS-GVO beachten, unangewendet bleiben müssen, es sei denn die Rechtsvorschriften stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar. Dies war in dem zugrundeliegenden Sachverhalt nicht gegeben.

Fazit

War nach dem Urteil des EuGH zum HDSIG noch umstritten, ob es eine Ausstrahlungswirkung des Urteils auf § 26 Abs. 1 Satz 1 BDSG gibt, verdichten sich nun mit dem Urteil des BAG die Anzeichen, dass Verantwortliche bei der Bewertung von Fragen rund um Datenverarbeitungen im Beschäftigungskontext auf Art. 6 Abs. 1 UAbs. lit. b) oder f) DS-GVO zurückgreifen müssen. Eventuell wird künftig sogar noch einmal der Plan nach einem Beschäftigtendatenschutzgesetz aus der Schublade geholt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem seinerzeit noch – der – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im Februar 2023 das Bundespresseamt anwies, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen (wir berichteten), reichte das Bundespresseamt (BPA) Klage gegen den Bescheid ein. Das zuständige Verwaltungsgericht Köln entschied nun, dass die Bundesregierung die Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterbetreiben darf.

Hintergrund des Verfahrens

Nach dem Urteil des Europäischen Gerichtshofs (Rs. C-201/16) zur gemeinsamen Verantwortlichkeit zwischen dem Plattformbetreiber Meta und dem Betreiber der jeweiligen Facebook-Fanpage sowie einer Entschließung der Datenschutzkonferenz (DSK) aus Juni 2018, richtete sich der Bundesbeauftragte im Mai 2019 in einem ersten Rundschreiben sowie im Juni 2021 in einem zweiten Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen des Bundes und wies auf die datenschutzrechtlichen Problematiken bei dem Betrieb von Facebook-Fanpages hin.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hatte zudem die DSK im März 2022 erneut in einem Kurzgutachten dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. Daraufhin ging der Bundesbeauftragte noch weiter und versendete entsprechende Anhörungen zu Facebook-Fanpages. Hieraus resultierte letzten Endes die Untersagungsverfügung für das Bundespresseamt.

Zur Begründung hieß es zum damaligen Zeitpunkt unter anderem: „Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“ Konkret: „Das BPA hat entgegen Artikel 26 Absatz 1 Satz 2 DSGVO keinen hinreichenden Vertrag über die gemeinsame Verantwortlichkeit mit Meta geschlossen. […] Ferner hat das BPA fahrlässig gegen § 25 Absatz 1 Satz 1 TTDSG verstoßen, da für die bei Besuch einer Fanpage ausgelöste Speicherung von [Cookies], […] keine wirksame Einwilligung eingeholt wird, obwohl dies erforderlich ist.“

Entscheidung des Gerichts

In seiner Entscheidung vom 17. Juli 2025 (Az. 13 K 1419/23) folgte das Verwaltungsgericht Köln dieser Argumentation ausdrücklich nicht. In der Pressemitteilung heißt es hierzu: „Nicht das Bundespresseamt, sondern allein Meta ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer.“

Und: „Auch nach der DSGVO sind Meta und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.“

Abzuwarten bleibt, ob – zwischenzeitlich die – Bundesbeauftragte für Datenschutz und Informationsfreiheit gegen die Entscheidung Berufung einlegen wird. Offen ist auch, welche Auswirkungen das Urteil auf das laufende Verfahren der Sächsischen Datenschutz- und Transparenzbeauftragten gegen die Sächsische Staatskanzlei haben wird. In diesem Zusammenhang berichtete die sächsische Datenschutzaufsichtsbehörde zuletzt, dass Meta eine Drittanfechtungsklage gegen die Untersagungsverfügung eingereicht hat – mit der Begründung, dass allein Meta für die Datenverarbeitung verantwortlich sei und daher ausschließlich die irische Datenschutzaufsicht zuständig wäre

Fazit

Das Verwaltungsgericht Köln hat entschieden: Die Bundesregierung darf ihre Facebook-Fanpage weiter betreiben. Laut Gericht ist allein Meta – also der Plattformbetreiber – für die Einhaltung der datenschutzrechtlichen Anforderungen in Bezug auf Cookies verantwortlich, nicht das Bundespresseamt. Eine gemeinsame Verantwortung sieht das Gericht nicht, da das Bundespresseamt keinen Einfluss auf die Cookie-Nutzung hat. Ob die Bundesdatenschutzbeauftragte gegen das Urteil vorgeht, bleibt offen. Auch in ähnlichen Fällen könnten sich daraus wichtige Folgen ergeben.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Urteil hat das Verwaltungsgericht Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22) konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager getroffen. In diesem Blog-Beitrag beleuchten wir die wesentlichen Aussagen des Gerichts und geben wichtige Hinweise für Betreibende von Internetseiten.

Zum Sachverhalt

Gegenstand des Gerichtsverfahrens war die Internetseite der Neuen Osnabrücker Zeitung sowie insbesondere die Ausgestaltung des implementierten Cookie-Banners. Nutzenden wurde beim Besuch der Internetseite zunächst eine Auswahl mit eingeschränkten Entscheidungsoptionen präsentiert – namentlich Schaltflächen mit den Beschriftungen „Alle akzeptieren“ und „Einstellungen“. Erst durch einen weiteren Klick auf die Schaltfläche „Einstellungen“ öffnete sich eine detailliertere Ansicht, in der einzelne Kategorien von Cookies beziehungsweise Datenverarbeitungen auswählbar waren. Gleichzeitig kam ein Dienst zur Verwaltung von Tracking-Skripten – konkret der Google Tag Manager – ohne vorherige Einwilligung der Nutzenden zum Einsatz.

Die zuständige Datenschutz-Aufsichtsbehörde des Landes Niedersachsen äußerte Kritik an der Art und Weise der Einholung von Einwilligungen und beanstandete im Rahmen eines Bescheids insbesondere den Einsatz des Google Tag Managers ohne ausdrückliche Zustimmung. Das betroffene Unternehmen erhob Klage gegen den Bescheid.

Zum Urteil

Zunächst stellte das Gericht klar, dass die niedersächsische Datenschutz-Aufsichtsbehörde auch in Bezug auf die Überwachung und Einhaltung des § 25 TDDDG („Schutz der Privatsphäre bei Endeinrichtungen“) zuständig ist. Bei dieser Regelung hinsichtlich der rechtmäßigen Verarbeitung von Cookies handele es sich um „andere datenschutzrechtliche Bestimmungen“ im Sinne des § 20 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG).

Weiterhin sah es das Gericht als erwiesen an, dass die Beanstandung durch die Datenschutz-Aufsichtsbehörde zu Recht erfolgte:

„Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind […] werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht – im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht.“

Und weiter:

„Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf “Einstellungen” die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend.“

Schließlich würden die Nutzer darüber hinaus durch die Ausgestaltung des Cookie-Banners und dessen Schaltflächen hinsichtlich Gestaltung und Farbe ebenfalls zur Zustimmung gedrängt („Nudging“).

In Bezug auf die Verwendung des Google Tag Manager führte das Gericht aus, dass die Verwendung einer ausdrücklichen Einwilligung der Nutzenden bedürfe, da die Verwendung des Dienstes nicht notwendig und ebenfalls nicht vom berechtigten Interesse der Seitenbetreibenden gedeckt sei. Dies ergebe sich insbesondere aus der mit der Nutzung des Dienstes im Zusammenhang stehende Zugriff auf Endgeräte:

„Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. […] Im Internet werden dazu ebenfalls verschiedene Alternativen vorgeschlagen […]. Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.“

Fazit

Betreibende von Internetseiten sollten darauf achten, dass ihr Cookie-Banner bereits auf der ersten Ebene eine klare und gleichwertige Auswahl bietet. Gestaltungselemente, die Nutzer zu einer Zustimmung drängen, sind dabei zu vermeiden. Die Informationen zur Datenverarbeitung müssen transparent und verständlich sein, damit Nutzer eine informierte Entscheidung treffen können. Der Einsatz des Google Tag Managers ist ohne vorherige, ausdrückliche Einwilligung unzulässig, da er nicht technisch notwendig ist. Es empfiehlt sich, datenschutzfreundlichere Alternativen zu prüfen. Zudem muss sichergestellt sein, dass keine einwilligungspflichtigen Dienste vor der Zustimmung aktiviert werden. Eine regelmäßige rechtliche und technische Überprüfung des Einwilligungsmanagements ist daher dringend anzuraten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Vermutlich löst kaum eine andere Norm der Datenschutz-Grundverordnung bei der praktischen Umsetzung vergleichbar Unbehagen bei den verantwortlichen Stellen aus wie der Auskunftsanspruch nach Art. 15 DS-GVO. Man stelle sich nur vor, welche Gedanken den intern Verantwortlichen durch den Kopf gehen, wenn plötzlich ein – vielleicht sogar anwaltliches –Schreiben eingeht, in welchem vollständige Auskunft über die personenbezogenen Daten der betroffenen Person verlangt wird. Mit den möglichen Anforderungen an die Auskunftserteilung haben wir uns erst neulich bei einem Spaziergang durch die DS-GVO befasst.  Im heutigen Beitrag wollen wir den Blick ein stückweit auf die Rechtsfolgenseite richten und uns mit der Frag beschäftigten, was passiert, wenn die Auskunft zu spät erteilt wird.

… unverzüglich, in jedem Fall aber innerhalb eines Monats…

Grundsätzlich gilt auch für die Auskunftserteilung die Frist des Art. 12 Abs. 3 Satz 1 DS-GVO: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“ Man könnte nun durchaus darüber diskutieren, ob mit „ergriffene Maßnahme“ im Falle von Art. 15 DS-GVO die vollständige Auskunftserteilung gemeint ist, aber dies wollen wir heute nicht betrachten, da es für unseren Fall auch nicht wirklich entscheidend ist (wir haben bereits über die Thematik berichtet).

Es bleibt also bei der in Datenschutzkreisen wohl bekannten Frist „unverzüglich, in jedem Fall aber innerhalb eines Monats„. Der „wunderbare“ unbestimmte Rechtsbegriff unverzüglich kann dabei wohl nach herrschender Meinung vergleichbar zu § 121 Bürgerliches Gesetzbuch also „ohne schuldhaftes Zögern“ verstanden werden. Hervorzuheben ist, dass „innerhalb eines Monats“ als Höchst- und nicht als Regelfrist zu verstehen ist. Nach Art. 12 Abs. 3 Satz 2 DS-GVO kann die Frist „[…] um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.“

Die Frage die sich nunmehr aufdrängt ist, wie weiter zu verfahren ist, wenn die erforderliche Auskunft nicht innerhalb der gesetzlichen Frist erfüllt wird und ob der jeweils betroffenen Person ein Schadenersatzanspruch gemäß Art. 82 DS-GVO zusteht.

Schadenersatz als Kontrollverlust?

Mit der geschildeten Situation hat sich jüngst das Bundesarbeitsgericht (BAG) in seinem Urteil vom 20. Februar 2025 (Az.: 8 AZR 61/24) auseinandergesetzt. In einer arbeitsrechtlichen Auseinandersetzung forderte der Kläger und ehemaliger Beschäftigter der Beklagten im Oktober 2022 Auskunft, nachdem er bereits 2020 Auskunft über die Ihn betreffenden personenbezogenen Daten erhalten hatte. Die Auskunft wurde ihm letztendlich nach mehreren fruchtlosen Fristsetzungen im Dezember 2022 erteilt. Nach Ansicht des Klägers allerdings unvollständig. Deshalb verlangte der Kläger Schadenersatz nach Art. 82 DS-GVO. In der Vorinstanz wurde ihm vom Arbeitsgericht Duisburg zunächst ein Anspruch in Höhe von 10.000€ zugesprochen (wir berichteten), bevor das Landesarbeitsgericht Düsseldorf das Urteil wiederrum aufhob und die Revision zum BAG zuließ.

Das BAG urteilte nun, dass allein eine verspätete Auskunft noch keinen Schadenersatzanspruch nach Art. 82 DS-GVO begründet. Vielmehr sei die Darlegung eines entsprechenden Schadens seitens des Klägers – dieser behauptete hier schlicht einen Kontrollverlust – erforderlich: „Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.“

Fast schon schulbuchartig prüft das BAG die durch den Europäischen Gerichtshof (EuGH) in verschiedenen Urteilen (wir berichteten hier, hier, hier und hier) statuierte Anwendung des Art. 82 DS-GVO. Zunächst stellt das BAG heraus, dass der Anspruch nach Art. 82 DS-GVO das Vorliegen eines Schadens, eines Verstoßes sowie eines Kausalzusammenhangs zwischen Schaden und Verstoß erfordert.

Hierfür wird herausgestellt: „Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“ Und weiter: „Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat […].“

Vorliegend aber konnte ein solcher Kontrollverlust durch den Kläger gerade nicht dargelegt werden: „Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen […]. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen […].“

Das BAG kommt daher zum Ergebnis: „Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus […] Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“

Oder doch aufgrund negativer Gefühle?

Anschließend befasst sich das BAG noch mit der Frage, ob der Schaden in Form von negativen Gefühlen wegen der verspäteten Erfüllung des Auskunftsanspruchs vorliegt und lehnt auch dies zu recht ab: „Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen […]. Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus […]. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos […].“

Ergänzt sei noch, dass das BAG hingegen die Frage offengelassen hat, ob eine potenzielle Verletzung von Art. 15 DS-GVO in Verbindung mit Art. 12 Abs. 3 DS-GVO überhaupt einen Verstoß im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann.

Fazit

Das BAG entschied in seinem Urteil, dass eine verspätete Auskunft allein keinen Schadenersatzanspruch begründet. Dies bedeutet für Betroffene jedoch nicht, dass mögliche Ansprüche nach Art. 82 DS-GVO in Gänze ausgeschlossen wären. In der Praxis wird entscheidend sein, das der gelten gemachte Schaden zum Beispiel in Form eines Kontrollverlustes zumindest nachvollziehbar dargelegt und eine missbräuchliche Verwendung bewiesen wird. Das bloße Abstellen auf die verspätete Auskunftserteilung ist hingegen nicht ausreichend.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung. Eine solche kann grundsätzlich im Zusammenhang mit einem Einsatz von Künstlicher Intelligenz stattfinden. Doch was bedeutet das konkret? Ein Überblick.

Zum Begriff der automatisierten Entscheidungsfindung

Der Begriff der automatisierten Entscheidungsfindung ist innerhalb der DS-GVO nicht näher definiert. Im Rahmen von Art. 22 Abs. 1 DS-GVO wird lediglich ausgeführt, dass die betroffene Person „das Recht [hat], nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Aus der Regelung kann entnommen werden, dass es sich bei einem Profiling um eine Sonderform einer automatisierten Entscheidungsfindung handelt, wobei Profiling gemäß Art. 4 Nr. 4 DS-GVO als automatisierten Verarbeitung personenbezogener Daten zu verstehen ist, „die darin besteht, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […].“

Hieraus folgend kann eine „allgemeine“ automatisierte Entscheidungsfindung als eine ohne die Beteiligung einer Person vorgenommene Entscheidung verstanden werden, deren Ziel nicht in der Bewertung persönlicher Aspekte, sondern in der Vornahme einer konkreten Auswahl zwischen verschiedenen Möglichkeiten liegt. Entsprechend können die einschlägigen Regelungen im Kontext Künstlicher Intelligenz neue Relevanz entfalten. Das gilt insbesondere dann, wenn mithilfe von KI-Anwendungen Auswahlentscheidungen, beispielsweise im Rahmen des Bewerbungs- oder Personalmanagements, getroffen werden – auch unabhängig von der Bewertung des Risikos nach der KI-Verordnung.

Transparenzanforderungen nach DS-GVO

Liegt eine solche automatisierte Entscheidungsfindung bzw. Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO vor, greifen neben den allgemein bekannten und üblichen Anforderungen des Artikels 13 DS-GVO, zum Beispiel Angaben zum Zweck, zur Rechtsgrundlage und zur Speicherdauer, auch die spezifischen Anforderungen gemäß Art. 13 Abs. 2 lit. f) DS-GVO. In diesen Fällen hat der Verantwortliche ergänzend „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitzustellen.

In der Praxis werden diese Anforderungen oftmals falsch hinsichtlich einer Darlegung konkreter Algorithmen missverstanden und damit einer Offenlegung von Geschäftsgeheimnissen gleichgesetzt. Dieser Ansicht erteilt der Europäische Gerichtshof (EuGH) im Rahmen eines in diesem Jahr ergangenen Urteils (EuGH, Urt. v. 27. Februar 2025, Rs. C-203/22) jedoch eine deutliche Absage.

In dem betreffenden Urteil heißt es zu den bestehenden Transparentanforderungen: „Weder die bloße Übermittlung einer komplexen mathematischen Formel […], noch die detaillierte Beschreibung jedes Schrittseiner automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.“ Konkret: „Die „aussagekräftigen Informationen über die involvierte Logik“ […] müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität […] den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.“ Dazu gehört nach Ansicht des EuGH auch eine Darstellung, „in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnisgeführt hätte.“

Letztgenannter Punkt ist auch in Bezug auf „die Tragweite und die angestrebten Auswirkungen“ im Sinne des Art. 13 Abs. 2 lit. f) DS-GVO essenziell. Hiernach dürfte es ebenfalls erforderlich sein, der betroffenen Person transparent darzustellen, welche Entscheidungsmöglichkeiten grundsätzlich bestehen und welche Ergebnisse der Verarbeitung personenbezogener Daten zu welchen Entscheidungen führen oder potenziell führen können.

Fazit

Das aktuelle Urteil des EuGH macht deutlich, dass Transparenzpflichten und Geheimhaltungsinteressen einander nicht ausschließen müssen.Die Offenlegung konkreter Algorithmen ist nach Ansicht des Gerichts durch Artikel 13 DS-GVO nicht gefordert, das vollständige Verwehren jeglicher Darstellungen aufgrund von Geschäftsgeheimnissen jedoch ebenso nicht zulässig.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.