Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nicht gelesen haben. Die heutige Etappe durch den Artikel 27 ist eher unspektakulär und hauptsächlich wichtig als Verbindungsweg zum Artikel 28 – der es in sich hat.

Worum Geht´s?

Die DS-GVO verpflichtet nach Artikel 3 Abs. 2 viele Verantwortliche und Auftragsverarbeiter außerhalb der EU – wenn sie personenbezogene Daten Betroffener verarbeiten,

• um ihr Verhalten in der EU zu beobachten oder
• um ihnen Waren/Dienstleistungen in der EU anzubieten.

Immer wenn Staaten – oder Staatenbünde wie die EU – über ihr eigenes Hoheitsgebiet hinausregieren wollen, haben sie dasselbe Problem: Wie setzt man sich im Ausland durch? (Man kann natürlich auch Regeln aufstellen ohne die Chance einer effektiven Umsetzung. Aber meist sieht das nicht gut aus.)

Artikel 27 klärt nur einen ganz kleinen Teil dieses Problems: Verantwortliche mit Sitz außerhalb der EU müssen Vertreter in der EU benennen und zwar als Ansprechpartner „insbesondere für die Aufsichtsbehörden und betroffene Personen“. Das „insbesondere“ heißt im üblichen juristischen Sprachgebrauch: Dies sind nur (besonders wichtige) Beispiele. Also dürfen auch Andere die Vertreter in DS-GVO-Fragen kontaktieren.

Die Benennung muss schriftlich erfolgen (Abs. 1), aber nicht gegenüber der Aufsichtsbehörde und auch nicht gegenüber den Betroffenen. Die Betroffenen erfahren vom Vertreter und seinen Kontaktdaten durch die Information nach Art. 13 (bzw. 14) Abs.1 lit. a. Die Aufsichtsbehörde liest entweder auch die Datenschutz-Information oder das Verarbeitungs-Verzeichnis; dort wird der Vertreter mit Kontaktdaten auch genannt (Art. 30 Abs. 1 Satz 2 lit. a). Beim Auftragsverarbeiter steckt die Nachricht ebenfalls im VVT (Art. 30 Abs. 2 lit. a).

Der Vertreter kann „zusätzlich … oder an … Stelle“ seiner Auftraggeber (Verantwortlicher/Auftragsverarbeiter) als Anlaufstelle für Datenschutzfragen dienen. Er kann auch die VVTs erstellen und muss sie der Aufsichtsbehörde auf Anforderung bereitstellen (siehe Art. 30 Abs. 1, 2 und 4). Außerdem muss er mit der Aufsichtsbehörde allgemein zusammenarbeiten (Art. 31).

Der Vertreter kann nicht in „irgendeinem“ EU-Staat ansässig sein, sondern nur in einem derjenigen Staaten, in denen sein Auftraggeber aktiv ist (also Betroffene beobachtet und/oder ihnen Waren/Dienstleistungen anbietet).

Was erreicht der Gesetzgeber? Vor allem kürzere Wege für die Aufsichtsbehörden und die Betroffenen. Allerdings: Wenn sich der Verantwortliche/Auftragsverarbeiter – auch – an diese DS-GVO-Vorschrift nicht hält, bleibt doch nur der lange, schwierigere Weg ins Ausland.

Was droht dem Vertreter? Erwägungsgrund 80 meint in Satz 6, bei Verstößen seiner Auftraggeber solle „der bestellte Vertreter Durchsetzungsverfahren unterzogen werden“. Im Normtext der DS-GVO findet sich dazu aber nichts. Artikel 82 gibt Schadenersatzansprüche nur gegen Verantwortliche und Auftragsverarbeiter. Ein Versehen des Gesetzgebers? Vielleicht.

Nach Artikel 58 Abs. 1 lit. a kann die Aufsichtsbehörde den Vertreter anweisen, Informationen bereitzustellen. Aber droht bei Verstößen Bußgeld? Artikel 83 erwähnt zwar in Abs. 5 lit. e die Pflichten zur Info-Bereitstellung, aber nicht den Vertreter. Und derselbe Artikel befasst sich in Abs. 4 lit. a zwar (u. a.) mit Verstößen gegen Artikel 30 und 31 (da sind ja auch Pflichten des Vertreters geregelt, siehe oben), meint aber ausdrücklich nur Fehlverhalten des Verantwortlichen und des Auftragsverarbeiters. Ein Versehen des Gesetzgebers? Höchstwahrscheinlich.

Fazit

Artikel 27 versucht im Rahmen des Möglichen, für die schwer greifbaren DSGVO-Akteure („weit weg“) einen leichter greifbaren Ansprechpartner („nah dran“) aufzubauen. Aber in der Umsetzung (Sanktionen gegen den greifbaren Ansprechpartner) hat der Gesetzgeber gepatzt. Schön wäre: Reparieren.

Etappenziel erreicht – gute Erholung vor dem nächsten Abschnitt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute geht es „durch und um“ die Beschränkungen der Betroffenenrechte. Dann haben wir den dritten Touren-Abschnitt (Kapitel III DS-GVO) geschafft und stehen staunend vor Kapitel IV, dem gewaltigen Gebirge Verantwortlicher und Auftragsbearbeiter.

Ein Überblick

Zu Artikel 23 gehört Erwägungsgrund 73, der leider wenig taugt und kaum eigene Informationen bringt. Ärgerlich oder lustig – je nach Tageslaune – jedenfalls falsch ist der dortige Satz 2: Beschränkungen der Betroffenenrechte sollen (englische Sprachfassung: should) den Anforderungen der EU-Charta und der Europäischen Menschenrechtskonvention entsprechen. Bitte den Gesetzeswortlaut nicht ernst nehmen. Die Beschränkungen müssen (must) natürlich die Vorgaben der Charta und der EMRK einhalten. Grund- und Menschenrechte sind kein „nice to have“.

Die Norm selbst ist klar strukturiert: Absatz 1 regelt, dass Betroffenenrechte nur gesetzlich und nur aus den dort gelisteten Gründen eingeschränkt werden dürfen. Absatz 2 schreibt vor, welchen Mindestinhalt die Beschränkungen brauchen.

Absatz 2

Bei der praktischen Anwendung von Artikel 23 ist es oft sinnvoll von hinten, also bei Absazt 2 zu beginnen. Ob Beschränkungsgesetze in die Liste von Absatz 1 passen und dann auch noch eine „notwendige und verhältnismäßige Maßnahme darstellen“, lässt sich häufig nicht sicher beurteilen. Viel schneller ist zu klären, ob ein (vermeintliches) Beschränkungsgesetz den Mindestinhalt nach Absatz 2 aufweist. Fehlen solche (Mindest-Pflicht-)Inhalte, ist das Gesetz ohnehin keine wirksame Beschränkung von Betroffenenrechten. Absatz 1 braucht dann nicht mehr geprüft zu werden.

Wer die Einleiteformel in Absatz 2 sorgfältig gelesen hat (sehr schön!) wendet jetzt vielleicht ein, dass die Mindestinhalte nur gegebenenfalls verlangt werden. Also doch nicht immer? Tatsächlich ist die Formulierung (wieder einmal) monströs: Spezifische Vorschriften sind „insbesondere gegebenenfalls […] zumindest in Bezug auf […]“ nötig. Ein Blick in die englische Sprachfassung hilft (meine ich) weiter. Dort ist gegebenenfalls mit where relevant ersetzt. Die Mindestanforderungen gelten also, wo sie relevant sind. Aha. Das muss wirklich nicht gesetzlich geregelt werden. Streichen wir das „insbesondere gegebenenfalls“ mal weg.

Art. 23 Abs. 2 DS-GVO legt die Hürden für wirksame Beschränkungen der Betroffenenrechte hoch und oft reisst der Gesetzgeber diese Hürden. Zum Beispiel: § 32 Abs. 1 Nr. 5 BDSG streicht die Informationspflicht nach Art. 13 Abs. 3 DS-GVO, wenn sonst „eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährdet würde“. Missbrauchsgefahren liegen auf der Hand. Die Norm im BDSG klärt nicht einmal, wer über den Vertraulichkeitsbedarf entscheidet. Die Schutzvorkehrungen nach § 32 Abs. 2 Satz 1 und 2 BDSG gelten – laut dortigem Satz 3 – ausdrücklich nicht.

Damit bleibt nur Absatz 3: Die Information muss nachgeholt werden. Missbrauchsgarantien gegen verspätete Information? Keine. § 32 Abs. 1 Nr. 5 BDSG ist deshalb m. E. unwirksam – weil mit Art. 23 Abs. 2 lit. d) DS-GVO nicht vereinbar. Noch besser als nationale Beschränkungsgesetze wäre natürlich, die Betroffenenrechte gleich in der DS-GVO klar und abschließend zu regeln, siehe unser 12. und 13. Wandertag für das Informationsrecht.

Absatz 1

Damit laufen wir zu Absatz 1 und dort sind wir ganz schnell durch: Wie schon gesagt, regelt er, dass Beschränkungen der Betroffenenrechte durch Gesetz erfolgen müssen. Bei den zulässigen Gesetzeszielen würden eigentlich die Buchstaben e), i) und j) genügen. Alle anderen Buchstaben sind Beispielsfälle für die in e) geregelten „wichtigen Ziele des allgemeinen öffentlichen Interesses“.

Und auch diesmal zum Abschluss eine Knobelfrage: Fällt Ihnen ein Gesetz ein, dass sich nicht unter „wichtige Ziele des allgemeinen öffentlichen Interesses“ fassen ließe? Nein? Dann würde bei Absatz 1 vielleicht auch schlicht genügen: „Beschränkungen der Betroffenenrechte dürfen nur auf gesetzlicher Grundlage erfolgen.“

Auf Wiedersehen in der vierten Etappe!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren..

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wer den Artikel 21 liest – und dafür ist der Spaziergang ja gedacht – fragt sich vielleicht: „Habe ich mich verlaufen? Sind wir hier nicht schon vorbeigekommen?“ Tatsächlich ist die Landschaft dem Artikel 18 zum Verwechseln ähnlich. Es wäre möglich – und sinnvoll? – beide Vorschriften zu verbinden. Laufen wir das Widerspruchsrecht nach Artikel 21 ab:

Was beinhaltet Artikel 21?

Absatz 1 gibt das Recht zum Widerspruch für Datenverarbeitungen im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sowie aufgrund eines berechtigten Interesses, Art. 6 Abs. 1 Satz 1 lit. e) und f) DS-GVO. Voraussetzung sind Gründe der Betroffenen, die sich aus ihrer besonderen Situation ergeben, also einfach Umstände des Einzelfalls. Weiter verarbeitet werden dürfen die Daten dann nur noch, wenn der Verantwortliche zwingende schutzwürdige Gründe nachweisen kann oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Absätze 2 und 3 klären, dass bei Datenverarbeitung für Direktwerbung die Betroffenen jederzeit widersprechen können – also auch ohne besondere Einzelfall-Umstände – und dieser Widerspruch die Direktwerbung in jedem Fall verbietet – also ohne weitere Interessenabwägung. Absatz 4 verlangt entsprechende Hinweise an die Betroffenen – seltsamerweise zusätzlich zu Artikel 13 Abs. 2 lit. b) und Artikel 14 Abs. 2 lit. c) DS-GVO in einer verständlichen und von anderen Informationen getrennten Form. Warum und wie von anderen Informationen getrennt? Absatz 5 provoziert die Rätselfrage: Gibt es automatisierte Verfahren, bei denen keine technischen Spezifikationen verwendet werden? Ich kenne keine.

Und Absatz 6 erlaubt – auch außerhalb von Einwilligung und Vertrag, also weitergehend als Absatz 1 – bei der Datenverarbeitung zu statistischen Zwecken und Forschungszwecken den Widerspruch, „es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich“. Wie so oft ist die DS-GVO auch hier wieder wunderbar unpräzise, umständlich und rätselhaft:

• Was ist Folge des Widerspruchs nach Absatz 6? Wahrscheinlich ein Verarbeitungsverbot, genau wie in Absatz 1 Satz 2. Das wird nur nicht gesagt.

• Darf dann trotzdem für andere Zwecke weiter verarbeitet werden, wenn die Anforderungen aus Absatz 1 Satz 2 erfüllt sind? Wahrscheinlich ja, es wird nur nicht gesagt.

• Artikel 89 DS-GVO regelt ja insgesamt nur Verarbeitungen, die im öffentlichen Interesse liegen. Wann soll dann ein Widerspruch nach Absatz 6 überhaupt wirksam sein? Wenn er doch bei öffentlichem Interesse nicht gilt? Hier wäre der Wanderleiter dankbar für Hinweise aus der Gruppe.

In der Praxis ist das Widerspruchsrecht nach Artikel 21 DS-GVO fast bedeutungslos. Wie andere Betroffenenrechte auch, wurde es sehr kompliziert konstruiert. Vielleicht wollte der Gesetzgeber den Betroffenen möglichst viele Rechte geben. Aber wie das Sprichwort weiß: Manchmal ist weniger mehr. Mit den Ansprüchen auf Auskunft und Löschung nach Art. 15 und 17 DS-GVO dürfte alles Wesentliche erreichbar sein.

Zur Verständlichkeit

„Fun-Fact“ zum Abschluss der heutigen Etappe: Die DS-GVO betont und verlangt immer wieder einfache, klare, präzise und leicht verständliche Sprache. Es gibt inzwischen wissenschaftlich etablierte Tools, mit denen Lesbarkeit bzw. Verständlichkeit recht gut beurteilt werden können. Und natürlich lassen sich diese Tools auch auf die DS-GVO anwenden.

Das funktioniert zum Beispiel beim sogenannten „Flesch-Index“ (nicht „Flash“). Er bewertet in der üblichen Skalierung Texte mit 0 bis 100 Punkten, wobei hohe Punktzahlen eine leichte Verständlichkeit bedeuten. 0 bis 30 Punkte stehen für sehr schwer verständliche Texte. Die DS-GVO erreicht bei meinen Versuchen – egal in welcher Sprache und auch in kleineren Abschnitten – keine Werte oberhalb von 25. Die ersten 99 Paragrafen des Bürgerliche Gesetzbuch (BGB) schaffen immerhin einen Flesch-Wert von 41 . Das deutsche Einkommensteuergesetz liegt mit §§ 1 bis 10 (das sind deutlich mehr als 10 Paragrafen) bei 27. Datenschutzgesetze sind also fast so klar und leicht verständlich wie das Steuerrecht…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das in Artikel 20 DS-GVO geregelte „Recht auf Datenübertragbarkeit“ sorgte seinerzeit für große Aufregung, viel Verwirrung und weckte viele Hoffnungen – also ein typischer Teil der ganzen DS-GVO. Die Aufregung hat sich gelegt. Nach wie vor sind nicht alle Zweifelsfragen geklärt. Der erhoffte Nutzen ist bisher nicht eingetreten – auch insoweit ein typischer Teil der DS-GVO?

Gerade in den letzten Tagen – genau: am 12. September 2025 – kam Art. 20 DS-GVO plötzlich wieder „ins Gerede“, weil seitdem der Data Act angewendet wird. Und dort ist Ähnliches wie in Art. 20 DS-GVO noch einmal geregelt. Aber der Reihe nach…

Zum Artikel 20 DS-GVO

Wenn Betroffene einem Verantwortlichen (1) zur automatisierten Verarbeitung (2) auf Grundlage einer Einwilligung oder eines Vertrags (3) eigene Daten überlassen, dann können sie vom Verantwortlichen verlangen, diese Daten „weiter verwendbar“ (standardisiert und maschinenlesbar) zu erhalten. Sie können auch verlangen, dass der Verantwortliche die entsprechenden Daten zur Weiterverwendung direkt einem anderen Verantwortlichen zuleitet.

Ist das Datenschutz oder kann das weg?

Hat die Norm überhaupt etwas mit Datenschutz zu tun oder gehört sie in den Bereich Wettbewerbsrecht bzw. Kartellrecht? Bekämpft werden sollte damit jedenfalls die Marktmacht großer Anbieter, die mit WhatsApp und Co. ihren Kunden eine „Datenheimat“ anbieten. Und wie es so geht mit Heimat: Hat man sich häuslich niedergelassen und einige Jahre eingerichtet, fällt das Weggehen schwer. Außer natürlich, man kann den Anbieter gesetzlich als „Umzugshelfer“ nutzen, der alle Daten sortiert und einpackt, damit der neue Anbieter für den Kunden die neue Heimat wohnlich einrichten kann. Ohne den Umzugsservice – so der Grundgedanke – zieht kaum jemand um. Die großen Anbieter werden immer größer und neue Anbieter haben kaum eine Chance. Das sollte Artikel 20 ändern.

Noch einmal: Was hat das mit Datenschutz zu tun? Etwas schon, aber nicht sehr viel: Zum Datenschutz gehört die „Kontrolle über eigene Daten“ zumindest in dem Sinne, dass Betroffene wissen, wo sich ihre Daten befinden und weitestmöglich auch darüber bestimmen dürfen, ob die Daten dort verbleiben. Der „Umzugsservice“ geht darüber natürlich deutlich hinaus. Datenschutz beinhaltet eigentlich nicht den Anspruch darauf, dass andere meine Daten für mich pflegen, sortieren und irgendwohin transportieren müssen. Wahrscheinlich gehört Art. 20 DS-GVO also doch eher ins Wettbewerbs- und Kartellrecht oder in das von der Europäische Union neu geschaffene Datenrecht, respektive Datennutzungsrecht – bei dem Datenschutz nur noch eine Facette darstellt.

Dieser Eindruck verstärkt sich noch, weil nach Art. 20 Abs. 3 Satz 2 DS-GVO die öffentliche Hand pflichtenfrei gestellt wird. Das Recht auf Datenübertragbarkeit gilt also nicht gegenüber dem Staat – dabei war Datenschutz zuerst einmal ein Grundrecht – sondern nur gegenüber der Privatwirtschaft.

Anfang September hatte ich Gelegenheit, bei einem Erfahrungsaustausch andere Datenschützer nach Anwendungsfällen von Art. 20 DS-GVO zu fragen. Mir selbst sind in den vergangenen sieben Jahren nämlich keinen echten Anwendungen untergekommen. Die Diskussion im größeren Kreis hat es bestätigt: Natürlich gibt es Datentransfers zum Beispiel beim Wechsel von Dienstleistern. Sie werden aber nicht über Art. 20 DS-GVO abgewickelt – der ja ohnehin nur für die Daten natürlicher Personen gilt, also zum Beispiel einer GmbH nicht weiterhilft. Artikel 20 kann also gern wegfallen, zumal dann, wenn neue Gesetze wie der Data Act „Ähnliches etwas anders regeln“. Was meinen Sie?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Initiative „Meine Daten. Meine Freiheit.“ für mehr Achtsamkeit im Umgang mit personenbezogenen Daten, stellt die Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) seit kurzer Zeit mehrere Textgeneratoren zur Umsetzung der gängigsten Betroffenenrechte der Datenschutz-Grundverordnung bereit. Die sächsische Datenschutz-Aufsichtsbehörde möchte damit betroffenen Personen die Kommunikation mit den datenverarbeitenden Stellen erleichtern und so eine bessere Kontrolle über die eigenen personenbezogenen Daten ermöglichen.

Weiterführende Informationen zu Betroffenenrechte

Neben den eigentlichen Textgeneratoren für das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht werden Betroffenen und Interessierten zusätzliche Informationen bereitgestellt. Dazu zählen etwa Erläuterungen zum jeweiligen Zweck und Umfang, Hinweise auf mögliche Einschränkungen und Besonderheiten sowie Verweise auf einschlägige Veröffentlichungen der Datenschutzkonferenz.

Einfache Bedienung der Textgeneratoren

Das Herzstück der Initiative bilden jedoch die fünf Textgeneratoren selbst. Mit wenigen Klicks und Eingaben wird ein fertiges Musterschreiben erstellt: Angaben zum Verantwortlichen und zur eigenen Person, optionale Präzisierungen, die gewünschte Form der Auskunft – und schon liegt das fertige Auskunftsersuchen vor. Wer zusätzlich das Häkchen für eine Datenkopie setzt, berücksichtigt zugleich auch das Recht gemäß Art. 15 Abs. 3 DS-GVO. Alle Eingaben werden schließlich mit einem Klick zu einem übersichtlichen Musterschreiben – wahlweise als Text- oder PDF-Datei – zusammengefügt.

Die Generatoren für die weiteren Betroffenenrechte sind naturgemäß noch einfacher: Für das Recht auf Berichtigung wird eine kurze Begründung ergänzt, der konkrete Grund bezüglich des Rechts auf Löschung wird ausgewählt – und in Sekundenschnelle steht auch hier das fertige Schreiben bereit.

Insgesamt scheinen die Textgeneratoren auf den ersten Blick sehr intuitiv und bedienungsfreundlich. Datenschutzsensible Personen brauchen zudem nicht befürchten, dass die getroffenen Eingaben zu weiteren Zwecken aufbewahrt oder weiterverwendet werden. Nach der Generierung des Musterschreibens stehen die jeweiligen Dokumente für nur 15 Minuten zum Download zur Verfügung und werden sodann unverzüglich gelöscht

Fazit

Ob die Bereitstellung der Textgeneratoren tatsächlich zu einer vermehrten Wahrnehmung der Betroffenenrechte führt, bleibt abzuwarten. Fest steht jedoch: Sie erleichtern den Zugang erheblich und senken die Hemmschwelle zur Geltendmachung dieser Rechte sowie zur Kontaktaufnahme mit den datenverarbeitenden Stellen. Auch Verantwortliche können profitieren – etwa durch die klare Struktur und präzise Formulierung der Anliegen, die den Willen der betroffenen Person deutlicher hervortreten lassen können. Nun bleibt abzuwarten, wie die neuen Textgeneratoren von den Betroffenen angenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Ausflug ist winzig kurz – aber besser, wenigstens einige Schritte vor die Tür gehen, als den ganzen Tag drinnen sitzen. Immerhin spazieren wir durch wenig bekannte Gegend. Selbst die/der eine oder andere Datenschutzbeauftragte wird Artikel 19 DS-GVO noch nie gelesen haben. Dann ruhig jetzt nachholen!

Zum Artikel

Satz 1 verlangt vom Verantwortlichen, etwaige Datenempfänger über Maßnahmen nach Artikel 16, 17 und 18 zu informieren. Warum bei Artikel 17 konkret Absatz 1 genannt wird und bei Artikel 18 nicht, ist Geheimnis des Gesetzgebers. Die Informationspflicht besteht allerdings nur, wenn sie mit angemessenem Aufwand erfüllt werden kann. Satz 2 ist überflüssig, weil bereits durch Artikel 15 DS-GVO abgedeckt. Und auch Satz 1 ist nicht durchdacht: Wenn Daten berichtigt oder gelöscht oder beschränkt verarbeitet werden, haben Betroffene gar nicht immer ein Interesse daran, dass „die ganze Welt“ davon erfährt.

Zum Beispiel: Eine Abteilungsleiterin behauptet per E-Mail im Kollegenkreis (falsch), Mitarbeiter X färbe sich die Haare. X stellt das bei ihr richtig und möchte keine weitere Publicity. Darf und muss der Arbeitgeber wirklich eine zweite E-Mail herumsenden „X färbt sich doch nicht die Haare“? Wäre Artikel 19 nicht sinnvoller als ein Anspruch zu gestalten, den Betroffene ausüben können, aber nicht müssen?

Anderes Beispiel: Personalchef A hat in einem Bewerbungsverfahren unerlaubt – peinliche, aber inhaltlich richtige – Daten über Frau X gesammelt, einigen Beschäftigten davon erzählt und die Daten gespeichert. X erfährt viel später davon und verlangt Löschung. Soll A den anderen Beschäftigten die Löschung mitteilen – am besten noch dokumentiert – und damit X noch einmal in Verruf bringen? Also wohl besser: „Wenn von Betroffenen verlangt und mit angemessenem Aufwand möglich, informieren Verantwortliche…“

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das Wanderziel heißt heute „Recht auf Einschränkung der Verarbeitung“. Wer genauer hinschaut, kann unter dem letzten Farbanstrich auf dem Wegweiser noch „Recht auf Sperrung“ entziffern. So hieß die Sache früher, im Datenschutzrecht vor DS-GVO. Verschaffen wir uns einen ersten Überblick.

Ein Blick auf die Karte

Absatz 1 nennt die (vier) Situationen, in den betroffene Personen eine Einschränkung der Verarbeitung verlangen können. Absatz 2 klärt dann (verspätet), was Einschränkung der Verarbeitung eigentlich bedeutet und Absatz 3 gibt den Betroffenen einen Informationsanspruch, bevor die Einschränkung der Verarbeitung endet, die Daten also wieder ohne Einschränkung verarbeitet werden.

Absatz 2

Beginnen wir mit dem genaueren Hinschauen bei Absatz 2, also der Definition: Einschränkung der Verarbeitung meint, dass die betroffenen Daten „eingefroren“ (alter Begriff: „gesperrt“) werden. Sie bleiben zwar erhalten – also gespeichert – sollen aber prinzipiell sonst keine Verwendung finden. Ausnahmsweise gehts dann doch – und die Ausnahmen sind großzügig:

• Die Einwilligung der betroffenen Person ist als Ausnahme klar und richtig. Schließlich betreiben wir Datenschutzrecht im Interesse informationeller Selbstbestimmung.

• Die Datennutzung für Rechtsansprüche und Rechte Anderer – das können der Verantwortliche sein oder eine dritte Person – geht schon sehr viel weiter und ist schwer abgrenzbar.

• Hinzu kommt dann noch das wichtige öffentliche Interesse.

Im Ganzen zeigt sich – erst recht, wenn wir gleich Absatz 1 näher anschauen – dass die Einschränkung der Verarbeitung eigentlich eine Interessenabwägung darstellt, wie wir sie ähnlich in Artikel 6 Abs. 1 Satz 1 lit. f) DS-GVO und in Artikel 21 DS-GVO finden: In bestimmten Situationen – siehe Absatz 1 – sollen die Verantwortlichen die Datennutzung möglichst weit „herunterfahren“ – siehe Absatz 2.

Absatz 1

Absatz 1 nennt vier Situationen, die sich in zwei Fallgruppen einteilen lassen:

• Buchstaben a) und d) betreffen Sachverhalte, in denen der Verantwortliche die Daten nutzen will und der Betroffene Einwände erhebt; a) Einwände gegen die Richtigkeit der Daten, d) Widerspruch gegen die Verarbeitung gemäß Artikel 21 DS-GVO.

• Bei Buchstaben b) und c) will bzw. muss der Verantwortliche eigentlich die Daten löschen und die betroffene Person verhindert das; b) Betroffene wählen die Einschränkung anstelle der Löschung und c) … ist nur ein Unterfall von b).

Die Buchstaben b) und c) verpflichten letztlich den Verantwortlichen, als Datenarchiv für betroffene Personen herzuhalten. Das ist auf den ersten Blick seltsam und wird auch beim zweiten und dritten Hinschauen nicht sinnvoll. In diesen Konstellationen wäre angemessen, den Verantwortlichen eine Pflicht zur Datenübertragung an die Betroffenen aufzuerlegen, nicht aber von ihnen die Datenaufbewahrung (wie lange eigentlich?) zu verlangen. Die Fallkonstellationen b) und c) aus Absatz 1 ergeben auch bei Artikel 19 DS-GVO Probleme – aber das betrifft schon den nächsten Ausflug …

Ein anderes Fehlerchen in Absatz 1: Wieso müssen Betroffene, wenn sie die Richtigkeit von Daten bestreiten oder der Verarbeitung nach Artikel 21 DS-GVO widersprechen, zusätzlich noch „die Einschränkung der Verarbeitung […] verlangen“? Ergibt sich das nicht schon aus dem Bestreiten bzw. Widersprechen?

Eine Alternativroute

Ein Textvorschlag für Artikel 18 DS-GVO – dann am besten als Absatz in Artikel 6 verlagert – in (hoffentlich) verständlicher und präziser Sprache:

Personenbezogene Daten dürfen – von ihrer Speicherung abgesehen – nur mit Einwilligung der Betroffenen oder bei überwiegenden Interessen Dritter verarbeitet werden, falls

- die Richtigkeit der personenbezogenen Daten von den Betroffenen bestritten wird, und zwar für eine Dauer, die es den Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, oder

- die Betroffenen Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe der Verantwortlichen gegenüber denen der Betroffenen überwiegen.

Die Betroffenen werden vor Wegfall der Einschränkungen nach Satz 1 informiert.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nach der kurzen letzten Etappe gibt es jetzt wieder ordentlich etwas „wegzuwandern“.

Ein Recht auf Vergessenwerden?

Artikel 17 zieht sich in die Länge, vor allem weil der Gesetzgeber den Wanderweg wieder in großen Schleifen angelegt hat. Absatz 1 und Absatz 3 könnte man zusammenfassen: „Betroffene können von Verantwortlichen die sofortige Löschung ihrer personenbezogenen Daten verlangen, wenn eine Rechtsgrundlage für die weitere Speicherung fehlt.“

Aber der Reihe nach: Schon die Überschrift enthält sprachlich eine „seltene Orchidee“. Das „Recht auf Vergessenwerden“ kann man Stars und Sternchen, A-, B- und C-Prominenten sowie Influencern wahrscheinlich gar nicht erklären. Wer will schon vergessen werden? Vermutlich führt der Begriff auch andere betroffene Personen, zum Beispiel Kinder und Jugendliche, nur in die Irre und sollte deshalb selbst schnell vergessen werden. Es gibt kein durchsetzbares (!) Recht auf Vergessenwerden und erzieherisch wertvoller als dieser einlullende, trügerische Begriff bleibt allemal die Erkenntnis „Das Internet vergisst nicht.“ Wie beim ökologischen Fußabdruck müssen Betroffene auch beim „data foot print“ zuallererst auf die eigenen „Emissionen“ achten und sollten sich nicht darauf verlassen, dass anschließend Andere den (Daten-)Abfall sauber wegräumen.

„Recht auf Vergessenwerden“ soll originell klingen, ist aber nur albern. Halten wir uns lieber an das „Recht auf Löschung“.

Absatz 1

In Absatz 1 wird es sehr lang abgehandelt. Wie schon erwähnt, lassen sich die dort aufgelisteten Einzelfälle zusammenfassen: Gelöscht werden muss, wenn eine Rechtsgrundlage für die weitere Speicherung fehlt. Der Anspruch auf Löschung bei der betroffenen Person ist dabei immer das Spiegelbild zur Löschpflicht des Verantwortlichen.

Absatz 2

Absatz 2 möchte erreichen, dass der Verantwortliche den Löschauftrag genauso weitergibt, wie er zuvor die personenbezogenen Daten weitergegeben hat. In der Praxis ist die Vorschrift zwar nicht gänzlich bedeutungslos, aber Betroffene sollten sich über die Erfolgsquote keinen Illusionen hingeben: Veröffentlichungen lassen sich selten oder nie rückgängig machen. Hilfreicher ist manchmal ein Effekt, den die DS-GVO gar nicht in Betracht zieht: Die Daten von heute werden zugedeckt durch die Daten von morgen.

Absatz 3

Absatz 3 regelt sehr umständlich Ausnahmen von den Löschpflichten aus Absatz 1 und 2, nämlich genau solche Fälle, in denen eben doch noch eine Rechtsgrundlage zur weiteren Speicherung besteht.

Geht es auch ein bisschen kürzer?

Die Abkürzung zum verschlungenen Wanderweg durch Artikel 17 könnte also beispielsweise insgesamt lauten:

„Recht auf Löschung“

(1) Betroffene können von Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten verlangen, sobald eine Rechtsgrundlage zur weiteren Speicherung fehlt.

(2) Haben Verantwortliche die betreffenden Daten an Dritte weitergegeben, bei denen vermutlich die Rechtsgrundlage zur Speicherung ebenfalls entfallen ist, sollen sie das Löschverlangen mitteilen.

Es geht sogar noch kürzer: Der zweite Absatz ist ganz verzichtbar, wenn man Artikel 19 anschaut. Aber laufen wir erst einmal zum achtzehnten Meilenstein…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Vermutlich löst kaum eine andere Norm der Datenschutz-Grundverordnung bei der praktischen Umsetzung vergleichbar Unbehagen bei den verantwortlichen Stellen aus wie der Auskunftsanspruch nach Art. 15 DS-GVO. Man stelle sich nur vor, welche Gedanken den intern Verantwortlichen durch den Kopf gehen, wenn plötzlich ein – vielleicht sogar anwaltliches –Schreiben eingeht, in welchem vollständige Auskunft über die personenbezogenen Daten der betroffenen Person verlangt wird. Mit den möglichen Anforderungen an die Auskunftserteilung haben wir uns erst neulich bei einem Spaziergang durch die DS-GVO befasst.  Im heutigen Beitrag wollen wir den Blick ein stückweit auf die Rechtsfolgenseite richten und uns mit der Frag beschäftigten, was passiert, wenn die Auskunft zu spät erteilt wird.

… unverzüglich, in jedem Fall aber innerhalb eines Monats…

Grundsätzlich gilt auch für die Auskunftserteilung die Frist des Art. 12 Abs. 3 Satz 1 DS-GVO: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“ Man könnte nun durchaus darüber diskutieren, ob mit „ergriffene Maßnahme“ im Falle von Art. 15 DS-GVO die vollständige Auskunftserteilung gemeint ist, aber dies wollen wir heute nicht betrachten, da es für unseren Fall auch nicht wirklich entscheidend ist (wir haben bereits über die Thematik berichtet).

Es bleibt also bei der in Datenschutzkreisen wohl bekannten Frist „unverzüglich, in jedem Fall aber innerhalb eines Monats„. Der „wunderbare“ unbestimmte Rechtsbegriff unverzüglich kann dabei wohl nach herrschender Meinung vergleichbar zu § 121 Bürgerliches Gesetzbuch also „ohne schuldhaftes Zögern“ verstanden werden. Hervorzuheben ist, dass „innerhalb eines Monats“ als Höchst- und nicht als Regelfrist zu verstehen ist. Nach Art. 12 Abs. 3 Satz 2 DS-GVO kann die Frist „[…] um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.“

Die Frage die sich nunmehr aufdrängt ist, wie weiter zu verfahren ist, wenn die erforderliche Auskunft nicht innerhalb der gesetzlichen Frist erfüllt wird und ob der jeweils betroffenen Person ein Schadenersatzanspruch gemäß Art. 82 DS-GVO zusteht.

Schadenersatz als Kontrollverlust?

Mit der geschildeten Situation hat sich jüngst das Bundesarbeitsgericht (BAG) in seinem Urteil vom 20. Februar 2025 (Az.: 8 AZR 61/24) auseinandergesetzt. In einer arbeitsrechtlichen Auseinandersetzung forderte der Kläger und ehemaliger Beschäftigter der Beklagten im Oktober 2022 Auskunft, nachdem er bereits 2020 Auskunft über die Ihn betreffenden personenbezogenen Daten erhalten hatte. Die Auskunft wurde ihm letztendlich nach mehreren fruchtlosen Fristsetzungen im Dezember 2022 erteilt. Nach Ansicht des Klägers allerdings unvollständig. Deshalb verlangte der Kläger Schadenersatz nach Art. 82 DS-GVO. In der Vorinstanz wurde ihm vom Arbeitsgericht Duisburg zunächst ein Anspruch in Höhe von 10.000€ zugesprochen (wir berichteten), bevor das Landesarbeitsgericht Düsseldorf das Urteil wiederrum aufhob und die Revision zum BAG zuließ.

Das BAG urteilte nun, dass allein eine verspätete Auskunft noch keinen Schadenersatzanspruch nach Art. 82 DS-GVO begründet. Vielmehr sei die Darlegung eines entsprechenden Schadens seitens des Klägers – dieser behauptete hier schlicht einen Kontrollverlust – erforderlich: „Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.“

Fast schon schulbuchartig prüft das BAG die durch den Europäischen Gerichtshof (EuGH) in verschiedenen Urteilen (wir berichteten hier, hier, hier und hier) statuierte Anwendung des Art. 82 DS-GVO. Zunächst stellt das BAG heraus, dass der Anspruch nach Art. 82 DS-GVO das Vorliegen eines Schadens, eines Verstoßes sowie eines Kausalzusammenhangs zwischen Schaden und Verstoß erfordert.

Hierfür wird herausgestellt: „Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“ Und weiter: „Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat […].“

Vorliegend aber konnte ein solcher Kontrollverlust durch den Kläger gerade nicht dargelegt werden: „Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen […]. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen […].“

Das BAG kommt daher zum Ergebnis: „Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus […] Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“

Oder doch aufgrund negativer Gefühle?

Anschließend befasst sich das BAG noch mit der Frage, ob der Schaden in Form von negativen Gefühlen wegen der verspäteten Erfüllung des Auskunftsanspruchs vorliegt und lehnt auch dies zu recht ab: „Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen […]. Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus […]. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos […].“

Ergänzt sei noch, dass das BAG hingegen die Frage offengelassen hat, ob eine potenzielle Verletzung von Art. 15 DS-GVO in Verbindung mit Art. 12 Abs. 3 DS-GVO überhaupt einen Verstoß im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann.

Fazit

Das BAG entschied in seinem Urteil, dass eine verspätete Auskunft allein keinen Schadenersatzanspruch begründet. Dies bedeutet für Betroffene jedoch nicht, dass mögliche Ansprüche nach Art. 82 DS-GVO in Gänze ausgeschlossen wären. In der Praxis wird entscheidend sein, das der gelten gemachte Schaden zum Beispiel in Form eines Kontrollverlustes zumindest nachvollziehbar dargelegt und eine missbräuchliche Verwendung bewiesen wird. Das bloße Abstellen auf die verspätete Auskunftserteilung ist hingegen nicht ausreichend.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.