Es ist eine Entscheidung, von welcher man mit Fug und recht behaupten kann, dass die Datenschutzwelt auf sie gewartet hat: Es ist die Brillen Rottler Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache C-526/24. Das wird zunächst vermutlich nur Wenigen etwas sagen. Im Kern dreht sich die Entscheidung um die für die Praxis bedeutende Frage nach dem Missbrauchseinwand des Art. 12 Abs. 5 DS-GVO bei der Geltendmachung von Auskunftsansprüchen nach Art. 15 DS-GVO. Zur praktischen Umsetzung von Art. 15 DS-GVO praktischer Umsetzung haben wir bereits berichtet. Heute wollen wir nun das aktuelle Urteil zum Missbrauchseinwand näher beleuchten.

Ein Blick ins Gesetz und so…

Blicken wir doch zunächst einmal ins Gesetz. Art. 12 Abs. 5 DS-GVO lautet:

„Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
2. sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“

Das Gesetz zeigt uns eine Reihe unbestimmter Rechtsbegriffe: „offenkundig unbegründet“, „exzessiv“ oder aber „häufige Wiederholungen“. Kurzum: Verantwortliche haben zwar grundsätzlich die Möglichkeit einem Antrag Betroffener Personen entgegenzutreten, bisher waren die Konturen für diesen Einwand jedoch weitestgehend ungeklärt. Bisher…

Nun zu dem Eugh-Urteil

Worum geht es eigentlich. Aus dem Sachverhalt:

Im März 2023 abonnierte eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete die betroffene Person einen Auskunftsantrag nach Art. 15 DS-GVO an Brillen Rottler. Diese wiesen den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich i.S.v. Art. 12 Abs. 5 UAbs. 1 Satz 2 DS-GVO hielten. Der „Betroffene verfolgte“ seinen Auskunftsantrag weiter und machte darüber hinaus Schadenersatz in Höhe von 1.000€ nach Art. 82 DS-GVO geltend.

In der Folge klagte Brillen Rottler dann vor dem AG Arnsberg auf Feststellung, dass dem „Betroffenen“ kein Anspruch aus Art. 82 DS-GVO zustehe. Gestützt wurde der Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass der „Betroffene“ Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der Datenschutz-Grundverordnung zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.

Das AG Arnsberg wandte sich in der Folge mit diversen Vorlagefragen an den EuGH.

Was hat denn der Eugh nun entschieden?

Zunächst stellt der EuGH klar: „Was […] die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden.“

Und weiter: „Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […] Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.“

Bemerkenswert ist zudem folgender Hinweis: „Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […] In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.“

Damit aber nicht genug: „Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt. […] Da der Begriff „exzessive Anträge“, wie sich aus Rz. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen (…) hoch sein.“

Der EuGH fordert für den Missbrauchseinwand zweit grundlegende Voraussetzungen:

Ein objektives sowie ein subjektives Element: „Was […] die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rz. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.“

Fazit

Diese letzte Klarstellung dürfte in vielen Praxiskonstellationen – wohl allen voran im Beschäftigtendatenschutz – eine gewichtige Weichenstellung sein. Es kann sich aus den Umständen des Einzelfalls ergeben, dass ein Missbrauch seitens des Betroffenen vorliegt. Insbesondere in bereits vorangetriebenen Streitigkeiten dürfte dies Relevanz entfalten, wenn zum Auskunftsanspruch gegriffen wird. Für die Einstufung möglicher objektiver Missbrauchskriterien verweist der EuGH zudem auf Erwägungsgrund 63 Satz 1 der DS-GVO in welchem die ursprünglichen Zwecke des Auskunftsanspruchs niedergelegt sind: „Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“

Klar ist allerdings auch, dass ein einfaches Berufen auf den Missbrauchseinwand seitens der Verantwortlichen nicht ausreichend sein wird. Vielmehr bedarf es der vertieften Darlegung der objektiven wie subjektiven Missbrauchskriterien.

Der Ball für die Entscheidung, ob im konkreten Fall ein Rechtsmissbrauch vorlag, liegt nun wieder beim AG Arnsberg, welches die Entscheidung unter Berücksichtigung des Urteils des EuGH treffen muss.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir lehnen uns sicherlich nicht zu weit aus dem Fenster, wenn wir die Behauptung aufstellen, dass Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz – zu den meist diskutiertesten Normen in der Datenschutz-Grundverordnung gehört. Wir haben uns in der Vergangenheit ebenfalls bereits mehrfach mit den Fragen rund um den datenschutzrechtlichen Schadenersatz befasst, beispielsweise im Rahmen der Frage zum Schadenersatz wegen verspäteter Auskunftserteilung. Grundlegende Beiträge zum Schadenersatzanspruch lassen sich zudem hier, hier und hier finden.

In unserem heutigen Beitrag soll es nunmehr um eine Entscheidung des Amtsgericht Wesel (Urt. v. 23.7.2025, 30 C 138/21) gehen, in welcher das Gericht über einen Schadenersatzanspruch nach Art. 82 DS-GVO eines Ehepaares gegenüber der (ehemaligen) Steuerkanzlei aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung infolge einer Fehlversendung zu entscheiden hatte.

Worum geht es in dem Urteil?

Die Kläger – das Ehepaar – waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der beklagten Steuerkanzlei per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Die Kläger wiesen in der Folge vorsichtshalber noch mehrfach auf die neue Adresse hin. Im Juli 2020 beauftragten die Kläger die Kanzlei mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Bei der Erstellung der Erklärung wurden automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die jedoch noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet. Die (unberechtigten) Empfänger haben den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und ebenso vom Inhalt Kenntnis genommen.

Was hat das Gericht entschieden?

Das Gericht stellt zunächst fest, dass die Steuerkanzlei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d) DS-GVO („Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“) verstoßen habe, indem diese die ehemalige (und veraltete) Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Als unerheblich wurde vom Gericht angesehen, dass die veraltete Adresse durch das Programm bei der Erstellung der Erklärung automatisch eingefügt worden war. Dies gilt bereits deswegen, weil die Kanzlei dafür Sorge zu tragen hat, dass die veraltete Adresse überhaupt nicht mehr im System hinterlegt ist.

Im Rahmen der Betrachtung von Art. 82 Abs. 1 DS-GVO stellt der Verstoß gegen den Grundsatz der Richtigkeit der Datenverarbeitung zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht zu begründen. Noch einmal zum besseren Verständnis der Inhalt von Art. 82 Abs. 1 DS-GVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Den Klägern ist infolge des Verstoßes der verantwortlichen Steuerkanzlei auch ein Schaden entstanden. Das Gericht nimmt hierzu zunächst Bezug auf die geltende Rechtsprechung des Europäischen Gerichtshof und des Bundesgerichtshof: „Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert […]. Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten.“

Der Kontrollverlust des Ehepaares über Ihre personenbezogenen Daten ist demnach durch die irrtümliche Versendung der Einkommenssteuererklärung eingetreten, denn so wurde dem Ehepaar die Kontrolle darüber entzogen, welchem Personenkreis die sie betreffenden personenbezogenen Daten zugänglich waren. Bemerkenswert ist zudem, dass das Gericht feststellt, dass der Kontrollverlust bereits durch die Fehlversendung eingetreten sei, auf das tatsächliche Öffnen des Briefes kommt es insoweit nicht an, denn die Daten waren bereits dem Verfügungskreis der Kläger entzogen.

Die Kläger hätten sich zudem wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es „viel Gerede“ gebe, sehr auf Diskretion bedacht seien.

Das Amtsgericht Wesel spricht nach alledem den Klägern einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu.

Was bleibt für die Praxis?

Leicht verwundert lässt einen der Sachverhalt dennoch zurück. Insbesondere der Umstand, dass an der ehemaligen Adresse tatsächlich namensgleiche Personen wohnten lädt zumindest dazu ein, darüber nachzudenken, ob nicht zwischen den Klägern und den „unberechtigten“ Empfängern vielleicht ein Verwandtschaftsverhältnis besteht. Andernfalls wäre es schon ein reichlich großer Zufall…

Im Ergebnis wurde den Klägern gemeinsam ein Schadenersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 € zugesprochen. Die Betonung muss hier auf „gemeinsam“ liegen. Dies bedeutet eben auch, dass jedem Ehepartner jeweils nur 500 € zugesprochen wurde. Hinzu tritt, dass der Umfang des zugesprochenen Schadens erheblich unterhalb der von den Klägern angegebenen Größenordnung (insgesamt 15.000 €, je also 7.500 €) liegt.

Das Gericht führt hierzu aus: „Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind.“

Was bleibt also? Schadenersatzanspruch ja, aber bitte im Rahmen. Verantwortliche (Steuer-)Kanzleien sind dennoch gut beraten bei der täglichen Arbeit die tragenden Grundsätze des Datenschutzrechtes zu berücksichtigen. Nur weil eine verantwortliche Stelle einer berufsrechtlichen Verschwiegenheit unterliegt, ist dies nicht gleichbedeutend mit einer Nichtanwendbarkeit des Datenschutzrechtes.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem wir uns in der vergangenen Woche im Rahmen des ersten Teils unseres alljährlichen Jahresrückblicks den Monaten Januar bis Juni gewidmet haben, werfen wir heute einen Blick auf die Monate Juli bis Dezember.

Juli

In den sommerlichen Tagen des Jahres wandten wir uns zunächst zwei relevanten Veröffentlichungen der Bundesnetzagentur sowie des Bundesverband IT-Sicherheit e. V. (TeleTrust) zu. Unter dem Titel „KI-Kompetenzen nach Artikel 4 KI-Verordnung“ veröffentlichte zunächst die Bundesnetzagentur ein Hinweispapier, welches wir im Rahmen unseres Blog-Beitrages „Bundesnetzagentur äußert sich zu KI-Kompetenz“ näher betrachteten. Weiterhin setzten wir uns aufgrund der aktualisierten Fassung der „Handreichung zum Stand der Technik in der IT-Sicherheit“ des TeleTrust mit der Begrifflichkeit des Standes der Technik sowie den wesentlichen Inhalten der Handreichung auseinander – nachzulesen in unserem Beitrag „Zum aktuellen Stand der Technik“.

Ebenfalls im Juli, genauer gesagt am 17. Juli 2025, entschied das Verwaltungsgericht Köln (Az. 13 K1419/23), dass das Bundespresseamt – entgegen des Bescheids des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), seine Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterhin betreiben dürfe. Die Hintergründe zum Verfahren und Urteil können in unserem Beitrag „Verwaltungsgericht Köln zu Facebook-Fanpages“ nachgelesen werden. Im August wurde gegen das Urteil Berufung eingelegt.

August

Weiter ging es im August mit der Einordnung von zahlreichen Veröffentlichungen der Datenschutzkonferenz. Hierbei thematisierten wir die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“, die Entschließungen „Confidential Computing“ und „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ sowie das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilpraxen“, welches auch für andere Branchen eine gute Orientierung darstellen kann.

Auch das Ende Juli durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Whitepaper zu „Bias in der künstlichen Intelligenz“ stellten wir im Rahmen eines Blog-Beitrages vor.

September

Statt eines Herbstes der Reformen stand uns ein September der Urteilsbesprechungen bevor. Im Rahmen des Beitrages „Darf § 26 BDSG nun doch nicht mehr angewendet werden?“ ordneten wir zunächst das Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 (8 AZR 209/21) ein und klärten die Frage, welche konkreten Auswirkungen das Urteil auf den Beschäftigtendatenschutz hat.

Anschließend widmeten wir uns der Entscheidung des Gerichts der Europäischen Union vom 3. September 2025 (T-553/23) hinsichtlich des Data Privacy Frameworks (DPF). Auch wenn dieses Urteil zunächst bestätigt, dass die USA zum Zeitpunkt des Erlasses des DPF ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, wird hierdurch ebenfalls deutlich, dass mit zugrunde legen eines anderen zeitlichen Bezugspunktes hierzu jederzeit auch ein anderslautendes Urteil gefällt werden könnte. Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Und da aller guten Dinge bekanntlich drei sind, widmeten wir uns ebenfalls dem Urteil des Europäischen Gerichtshofs vom 4. September 2025 (C-413/23 P) bezüglich der Reichweite des Begriffs personenbezogener Daten. Ergebnis: Es lebe der relative Personenbezug! Im Rahmen einer Datenübermittlung kommt es beispielsweise entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt und damit auch für den Empfänger der Anwendungsbereich des Datenschutzrechts eröffnet ist – oder nicht.

Oktober

Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Grund genug für uns, diesem Thema zu Beginn des Herbstes einen eigenen Blog-Beitrag zu widmen. Denn auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm des CRA bereits im Herbst 2026 anwendbar.

Weiter stellten wir die Inhalte einer vorläufigen Handreichung des BSI zur Schulungspflicht der Geschäftsleitung nach NIS2 dar. Grundlage hierfür bildet § 38 Abs. 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG): „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Welche konkreten Anforderungen sich hieraus für die Praxis ergeben, können Sie unserem Blog-Beitrag entnehmen.

November

Und sprachen wir im Oktober noch vom Entwurf des BSIG und verfolgten bis dahin den scheinbar nicht endenden Prozess zur Etablierung eines NIS2-Umsetzungsgesetzes, war es nun am 13. November 2025 endlich so weit: Der Bundestag verabschiedet die Umsetzung der NIS2-Richtlinie in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.

Und auch bei uns stand der Monat November ganz im Zeichen der IT-Sicherheit und daran unmittelbar angrenzender Themenbereiche: Beginnend bei der Frage, was zu tun ist, wenn plötzlich das E-Mail-Konto kompromittiert ist und wie derartigen Fällen vorgebeugt werden kann, über die Broschüre des BSI zum Business Continuity Management für KMU, bis hin zur aktuellen Lage der IT-Sicherheit in Deutschland 2025.

Nahezu unbemerkt passierten in diesem November der IT-Sicherheit jedoch auch neue Verfahrensregelungen für die Durchsetzung der DS-GVO den Rat der Europäischen Union: Dieser verabschiedete am 17. November 2025 einen neuen Rechtsakt zur Beschleunigung der Bearbeitung grenzüberschreitender Datenschutzbeschwerden. Dieser wird 15 Monate nach Inkrafttreten und somit im ersten Quartal 2027 anwendbar.

Dezember

Aber fest steht auch: Dies wird nicht die letzte Änderung im Kontext der DS-GVO gewesen sein. Der digitale Omnibus, mit dem die Europäische Kommission in Bezug auf die Digitalregulierung deutlich zurückrudern möchte (eigentlich ein untypisches Verhalten für einen Omnibus), wird kommen. Wann und wie genau ist noch unklar. Was das konkret für die DS-GVO bedeuten könnte, thematisierten wir Anfang Dezember in unserem Blog-Beitrag „Warten bis der Bus kommt“.

Dem aber nicht genug. Wie aus einer Besprechung des Bundeskanzlers mit den Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025 hervorgeht, soll die Pflicht zur Benennung des Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG abgeschafft werden. In Maßnahme 160 heißt es hierzu: „Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränken.“ Die Frage, ob diese Maßnahme tatsächlich zu einer Entbürokratisierung führt, kann bereits jetzt verneint werden.

Im Hinblick auf solche Entwicklungen kann das Jahr gar nicht schnell genug zu Ende gehen… In diesem Sinne beenden wir nun unseren Jahresrückblick für das Jahr 2025 und erwarten mit Spannung die Entwicklungen, die das kommende Jahr in den Bereichen Datenschutz und Informationssicherheit bereithalten wird. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leserinnen und Leser unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

Wir wünschen Ihnen nun ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie
einen guten und gesunden Start in das Jahr 2026!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem seinerzeit noch – der – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im Februar 2023 das Bundespresseamt anwies, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen (wir berichteten), reichte das Bundespresseamt (BPA) Klage gegen den Bescheid ein. Das zuständige Verwaltungsgericht Köln entschied nun, dass die Bundesregierung die Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterbetreiben darf.

Hintergrund des Verfahrens

Nach dem Urteil des Europäischen Gerichtshofs (Rs. C-201/16) zur gemeinsamen Verantwortlichkeit zwischen dem Plattformbetreiber Meta und dem Betreiber der jeweiligen Facebook-Fanpage sowie einer Entschließung der Datenschutzkonferenz (DSK) aus Juni 2018, richtete sich der Bundesbeauftragte im Mai 2019 in einem ersten Rundschreiben sowie im Juni 2021 in einem zweiten Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen des Bundes und wies auf die datenschutzrechtlichen Problematiken bei dem Betrieb von Facebook-Fanpages hin.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hatte zudem die DSK im März 2022 erneut in einem Kurzgutachten dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. Daraufhin ging der Bundesbeauftragte noch weiter und versendete entsprechende Anhörungen zu Facebook-Fanpages. Hieraus resultierte letzten Endes die Untersagungsverfügung für das Bundespresseamt.

Zur Begründung hieß es zum damaligen Zeitpunkt unter anderem: „Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“ Konkret: „Das BPA hat entgegen Artikel 26 Absatz 1 Satz 2 DSGVO keinen hinreichenden Vertrag über die gemeinsame Verantwortlichkeit mit Meta geschlossen. […] Ferner hat das BPA fahrlässig gegen § 25 Absatz 1 Satz 1 TTDSG verstoßen, da für die bei Besuch einer Fanpage ausgelöste Speicherung von [Cookies], […] keine wirksame Einwilligung eingeholt wird, obwohl dies erforderlich ist.“

Entscheidung des Gerichts

In seiner Entscheidung vom 17. Juli 2025 (Az. 13 K 1419/23) folgte das Verwaltungsgericht Köln dieser Argumentation ausdrücklich nicht. In der Pressemitteilung heißt es hierzu: „Nicht das Bundespresseamt, sondern allein Meta ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer.“

Und: „Auch nach der DSGVO sind Meta und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.“

Abzuwarten bleibt, ob – zwischenzeitlich die – Bundesbeauftragte für Datenschutz und Informationsfreiheit gegen die Entscheidung Berufung einlegen wird. Offen ist auch, welche Auswirkungen das Urteil auf das laufende Verfahren der Sächsischen Datenschutz- und Transparenzbeauftragten gegen die Sächsische Staatskanzlei haben wird. In diesem Zusammenhang berichtete die sächsische Datenschutzaufsichtsbehörde zuletzt, dass Meta eine Drittanfechtungsklage gegen die Untersagungsverfügung eingereicht hat – mit der Begründung, dass allein Meta für die Datenverarbeitung verantwortlich sei und daher ausschließlich die irische Datenschutzaufsicht zuständig wäre

Fazit

Das Verwaltungsgericht Köln hat entschieden: Die Bundesregierung darf ihre Facebook-Fanpage weiter betreiben. Laut Gericht ist allein Meta – also der Plattformbetreiber – für die Einhaltung der datenschutzrechtlichen Anforderungen in Bezug auf Cookies verantwortlich, nicht das Bundespresseamt. Eine gemeinsame Verantwortung sieht das Gericht nicht, da das Bundespresseamt keinen Einfluss auf die Cookie-Nutzung hat. Ob die Bundesdatenschutzbeauftragte gegen das Urteil vorgeht, bleibt offen. Auch in ähnlichen Fällen könnten sich daraus wichtige Folgen ergeben.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Urteil hat das Verwaltungsgericht Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22) konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager getroffen. In diesem Blog-Beitrag beleuchten wir die wesentlichen Aussagen des Gerichts und geben wichtige Hinweise für Betreibende von Internetseiten.

Zum Sachverhalt

Gegenstand des Gerichtsverfahrens war die Internetseite der Neuen Osnabrücker Zeitung sowie insbesondere die Ausgestaltung des implementierten Cookie-Banners. Nutzenden wurde beim Besuch der Internetseite zunächst eine Auswahl mit eingeschränkten Entscheidungsoptionen präsentiert – namentlich Schaltflächen mit den Beschriftungen „Alle akzeptieren“ und „Einstellungen“. Erst durch einen weiteren Klick auf die Schaltfläche „Einstellungen“ öffnete sich eine detailliertere Ansicht, in der einzelne Kategorien von Cookies beziehungsweise Datenverarbeitungen auswählbar waren. Gleichzeitig kam ein Dienst zur Verwaltung von Tracking-Skripten – konkret der Google Tag Manager – ohne vorherige Einwilligung der Nutzenden zum Einsatz.

Die zuständige Datenschutz-Aufsichtsbehörde des Landes Niedersachsen äußerte Kritik an der Art und Weise der Einholung von Einwilligungen und beanstandete im Rahmen eines Bescheids insbesondere den Einsatz des Google Tag Managers ohne ausdrückliche Zustimmung. Das betroffene Unternehmen erhob Klage gegen den Bescheid.

Zum Urteil

Zunächst stellte das Gericht klar, dass die niedersächsische Datenschutz-Aufsichtsbehörde auch in Bezug auf die Überwachung und Einhaltung des § 25 TDDDG („Schutz der Privatsphäre bei Endeinrichtungen“) zuständig ist. Bei dieser Regelung hinsichtlich der rechtmäßigen Verarbeitung von Cookies handele es sich um „andere datenschutzrechtliche Bestimmungen“ im Sinne des § 20 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG).

Weiterhin sah es das Gericht als erwiesen an, dass die Beanstandung durch die Datenschutz-Aufsichtsbehörde zu Recht erfolgte:

„Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind […] werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht – im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht.“

Und weiter:

„Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf “Einstellungen” die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend.“

Schließlich würden die Nutzer darüber hinaus durch die Ausgestaltung des Cookie-Banners und dessen Schaltflächen hinsichtlich Gestaltung und Farbe ebenfalls zur Zustimmung gedrängt („Nudging“).

In Bezug auf die Verwendung des Google Tag Manager führte das Gericht aus, dass die Verwendung einer ausdrücklichen Einwilligung der Nutzenden bedürfe, da die Verwendung des Dienstes nicht notwendig und ebenfalls nicht vom berechtigten Interesse der Seitenbetreibenden gedeckt sei. Dies ergebe sich insbesondere aus der mit der Nutzung des Dienstes im Zusammenhang stehende Zugriff auf Endgeräte:

„Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. […] Im Internet werden dazu ebenfalls verschiedene Alternativen vorgeschlagen […]. Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.“

Fazit

Betreibende von Internetseiten sollten darauf achten, dass ihr Cookie-Banner bereits auf der ersten Ebene eine klare und gleichwertige Auswahl bietet. Gestaltungselemente, die Nutzer zu einer Zustimmung drängen, sind dabei zu vermeiden. Die Informationen zur Datenverarbeitung müssen transparent und verständlich sein, damit Nutzer eine informierte Entscheidung treffen können. Der Einsatz des Google Tag Managers ist ohne vorherige, ausdrückliche Einwilligung unzulässig, da er nicht technisch notwendig ist. Es empfiehlt sich, datenschutzfreundlichere Alternativen zu prüfen. Zudem muss sichergestellt sein, dass keine einwilligungspflichtigen Dienste vor der Zustimmung aktiviert werden. Eine regelmäßige rechtliche und technische Überprüfung des Einwilligungsmanagements ist daher dringend anzuraten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

E-Mail-Kommunikation ist im heutigen Geschäftsverkehr nach wie vor nicht wegzudenken. Je nach Anwendungsfall kann sich hieraus auch mal eben ein ganz heißes Thema entwickeln. Das betrifft insbesondere Fragen rund um die E-Mail-Sicherheit; ganz speziell die (Ende-zu-Ende-)Verschlüsselung des E-Mail-Versandes erhitzt nach wie vor regelmäßig die Gemüter. Es liegt bereits etwas zurück, aber wir haben in der Vergangenheit schon über das Thema E-Mail-Kommunikation und mögliche Pflichten zur Nutzung von Verschlüsselungstechnologien berichtet. Konkret adressierte unserer Beitrag die E-Mail-Verschlüsselung bei Berufsgeheimnisträgern. Sofern man sich etwas vertiefter mit der Thematik auseinandersetzt, wird man sehr schnell merken, dass dies kein ganz einfaches Thema ist, vielmehr kann man sich durchaus gut die Finger daran verbrennen.

Nunmehr ist die Feuer neu entfacht wurden. „Schuld“ ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az.: 12 U 9/24). Auf die Entscheidung und mögliche Auswirkungen für die Praxis soll sich der nachfolgende Beitrag fokussieren.

Worum geht es in dem Urteil?

Dem Urteil lag folgender Sachverhalt zu Grunde: Ein Unternehmen versendete eine Schlussrechnung über 15.000 Euro per einfacher E-Mail an einen Geschäftspartner. Die betroffene E-Mail wurde jedoch abgefangen und manipuliert. Es wurde dabei unter anderem die Bankverbindung verändert. Der Empfänger bemerkte die Manipulation nicht und überwies den Betrag auf das falsche Konto. Das Unternehmen fordertet im weiteren Fortgang erneute Überweisung der Rechnungssumme. Der Geschäftspartner und Auftraggeber verweigerte die Zahlung mit der Begründung, dass die Rechnung unzureichend geschützt versandt worden sei. Im konkreten Fall wies der E-Mail-Versand lediglich eine Sicherung mittels der sogenannten Transportverschlüsselung (TLS-Verschlüsselung) auf. Das Unternehmen – aus der Baubranche – erhob hieraufhin Klage auf Zahlung des offenen Rechnungsbetrages.

Welche Anforderungen gelten nun für Verantwortliche?

Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Vielmehr habe das Unternehmen versäumt die erforderliche Ende-zu-Ende-Verschlüsselung einzurichten:

„Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen […] Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält.“

Mit Blick auf das Datenschutzrecht ergeben sich insbesondere aus Art. 24 und Art. 32 DS-GVO entsprechende Sicherheitsanforderungen. Insbesondere Art. 32 Abs. 1 lit. a) DS-GVO fordert:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […].“

Das Gesetz bekennt sich also relativ klar zur Verschlüsselung als technische Maßnahme. Eine bestimmte Verschlüsselungstechnologie wird offenkundig jedoch nicht gefordert. Das OLG konstatiert, dass Unternehmen bei dem Versand von Rechnungen oder aber anderen sensiblen Daten ein angemessenes Sicherheitsniveau gewährleisten müssen:

„Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z. B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.“ Außerdem: „Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“

Diese Entscheidung zu einer konkreten technischen Maßnahme überrascht, ist jedoch zu begrüßen. Gleichwohl darf die Entscheidung nicht direkt als Blaupause für sämtliche E-Mail-Kommunikation dienen. Fordern doch die gesetzlichen Vorgaben selten konkrete technische und organisatorische Maßnahmen.Im Ergebnis kommt das OLG zu dem Ergebnis, dass ein Schadenersatzanspruch aus Art. 82 DS-GVO begründet ist. Zu dem Schadenersatzanspruch nach der Datenschutz-Grundverordnung haben wir bereits hier, hier sowie hier und hier berichtet.

Fazit

Für die Praxis lässt sich jedenfalls ableiten, dass Verantwortliche gut beraten sind, die Vorgaben zu IT-Sicherheit respektive zur Datensicherheit nicht nur ernst zu nehmen, sondern die bereits lange fällige Umsetzung anzugehen. Dies gilt nicht wenige mit dem Blick auf die kommenden Anforderungen im Bereich des IT-Sicherheitsrechtes. Denn sollte die Umsetzung der NIS-2-Richtlinie in Deutschland durch die Neuwahlen des Bundestages vorerst zum Halten gekommen sein, so ist aufgeschoben bekanntlich nicht aufgehoben.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die letzten Tage und Wochen sind – mal wieder möchte man meinen – von einigen Highlights in der datenschutzrechtlichen Rechtsprechung geprägt wurden. Bereits in unserem Jahresrückblick haben wir das Urteil des Europäischen Gerichtshof (EuGH) vom 19. Dezember 2024 (Rs. C-65/23) zu Art. 88 DS-GVO und Betriebsvereinbarungen erwähnt. In den letzten Tagen sorgte zudem ein Urteil des Gericht der Europäischen Union (EuG) vom 8. Januar 2025 (Rs. T-354/22) für Aufsehen, in dem die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt wird.

In unserem heutigen Beitrag wollen wir uns jedoch dem Urteil des EuGH vom 9. Januar 2025 (Rs. C-394/23) näher zuwenden, zumindest ausschnittsweise. Im Kern adressiert das Urteil die Frage nach der Zulässigkeit der Rechtmäßigkeit der Verarbeitung hinsichtlich Anrede und Geschlechtsidentität. Wir wollen uns jedoch lediglich den Ausführungen des EuGH zum Thema des berechtigten Interesses widmen. Doch lest selbst.

Das berechtigte Interesse

… nach Abwägung müsste der Tatbestand in Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO richtigerweise genannt werden. In der Praxis hat sich jedoch weit überwiegend die Bezeichnung „berechtigtes Interesse“ durchgesetzt, wenn nicht sogar beiläufig die Bezeichnung „Auffangtatbestand“ genutzt wird. Mit den Voraussetzungen des Tatbestandes inklusiv Verweisen auf die Rechtsprechung des EuGH haben wir uns hier in der Vergangenheit bereits auseinandergesetzt. Hierbei betont der EuGH stets, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen.

Gleichgültig auf welches berechtigte Interesse im Rahmen der Abwägung der Verantwortliche zurückgreift, allein mit der Festlegung ist es nicht getan. Vielmehr bedarf es auch der Information der Betroffenen über das jeweils gegenständliche Interesse. Es bedarf der Information? Genau, steht zwar nicht direkt im Tatbestand, macht aber nichts. Wie so häufig schadet es nicht, einen Blick ins Gesetz zu riskieren. In Art. 13 DS-GVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) wird in Abs. 1 lit. d) Folgendes normiert:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […], wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […].“

Spiegelbildlich wird in Art. 14 DS-GVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) in Abs. 2 lit. b) folgendes geregelt:

„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: […] wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […]“

So weit, so gut. Doch was bedeutet diese Informationspflicht für den Tatbestand und damit letztendlich auch für Anwendung des berechtigten Interesses in der Praxis?

Zurück zum Urteil

Die Frage nach der Auswirkung bei fehlender oder mangelhafter Informationspflicht in der Praxis beantwortet der EuGH nun in seinem Urteil (Rn. 46): „Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist darauf hinzuweisen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht.“

Und weiter in Rn. 52: „Wie der Generalanwalt in Nr. 58 seiner Schlussanträge ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung gerechtfertigt werden kann.“

Im konkreten Verfahren lässt der EuGH eine weitere Beurteilung der Frage offen, da sich dies nicht aus den vorliegenden Akten ableiten lässt.

Fazit

Für die Praxis lassen sich diese Ausführungen des EuGH dahingehend zusammenfassen, dass die Erfüllung des Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO den Verantwortlichen bei der Datenverarbeitung auf Grundlage des berechtigten Interesses nach Abwägung noch nicht in Sicherheit wiegen darf. Vielmehr müssen auch die Informationspflichten aus Art. 13 DS-GVO (und sofern anwendbar vermutlich auch Art. 14 DS-GVO) erfüllt sein, damit die gegenständliche Datenverarbeitung als rechtmäßig betrachtet werden kann. Verantwortliche sollten daher insbesondere bei der Erfüllung der Datenschutzinformationen darauf achten, dass nicht nur gebetsmühlenartig auf den Tatbestand verweisen wird, sondern das eine tatsächliche Auseinandersetzung erfolgt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Auslagerung von Leistungen ist im Bereich des Datenschutzrechts kein ungewöhnlicher Prozess. Rein datenschutzrechtlich betrachtet handelt es sich in vielen Fällen um eine sogenannte Auftragsverarbeitung. In der Datenschutzorganisation wird vielfach ein Prozess implementiert, der zumindest den Abschluss von Auftragsverarbeitungsverträgen bei Beauftragung der Dienstleister vorsieht. In vielen Fällen ist an dieser Stelle allerdings „Schluss“, will heißen Unternehmen ruhen sich – aus unterschiedlichen Gründen – auf diesem IST-Stand aus, eine laufende Überprüfung des Dienstleisters erfolgt nicht oder nur äußert selten.

Wie wir in der Vergangenheit gesehen haben, kann in der Auftragsverarbeitung jedoch durchaus die Frage nach Verantwortung auftreten. Unzureichende Prüfungen können außerdem Haftungsfragen aufwerfen, wie kürzlich in einem Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urt. v. 15.10.2024 – Az.: 4 U 940/24) bekannt geworden ist. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung sollen im heutigen Beitrag näher betrachtet werden.

Verantwortlicher und Auftragsverarbeiter

Das Gesetz grenzt beiden Rollen (Verantwortlicher und Auftragsverarbeiter) in Art. 4 Nr. 7 und 8 DS-GVO voneinander ab und formt in Art. 28 DS-GVO genauer aus, wie das Rechtsverhältnis und auch die zugrunde liegenden Auftragsverarbeitungsverträge ausgestaltet sein müssen. In Art. 28 Abs. 1 DS-GVO wir folgendes normiert: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO besteht weiter folgende Pflicht: „Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Nun zum Urteil des OLG Dresden

Kurz zum Sachverhalt: Die Beklagte setzte in der Vergangenheit (Vertragsende datierte auf den 1.12.2019) einen Auftragsverarbeiter ein, dessen Hauptsitz in Israel lokalisiert ist. Mit Schreiben vom 30.11.2019 kündigte der Auftragsverarbeiter an, die Daten aus dem vorangegangenen Vertragsverhältnis zu löschen. Eine endgültige Bestätigung der Löschung erfolgt anschließend erst mit Schreiben vom 22.2.2023. Zwischenzeitlich war bekannt geworden, dass unbekannte Cyberkriminelle seit dem 6.11.2022 im sogenannten Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten hatten. Die Beklagte wurde in der Folge von einer betroffenen Person auf Schadenersatz aus Art. 82 DS-GVO in Anspruch genommen.

Zunächst stellt das OLG dar, dass eine Haftung des Verantwortlichen gegeben ist: „Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür […]. Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde.“

Anschließend befasst sich das Gericht mit der oben zitierten Pflicht aus Art. 28 Abs. 1 DS-GVO: „Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“)“ und weiter: „Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft“ deshalb „[…] ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen“.

Wie weit reicht nun die Kontrollpflicht?

Das OLG kommt anschließend zu dem Ergebnis, dass Art. 28 DS-GVO eine fortwährende Kontrollpflicht impliziert: „Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt.“ Dies gilt allen voran dann, wenn eine große Menge an Daten oder besonders sensible Daten verarbeitet werden: „Gesteigerte Anforderungen ergeben sich indes, soweit z. B. große Datenmengen oder besonders sensible Daten gehostet werden sollen […] Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO.“

Allerdings holt das OLG das weit gespannte Netz wieder etwas zurück: „Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z. B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-Ort-Kontrolle erforderlich wäre.“

Im vorliegenden Fall war daher ein Sorgfaltsverstoß des Unternehmens anzunehmen, dass nach Beendigung der Vertragsbeziehung keine Überwachung bzw. Kontrolle des externen Auftragsverarbeiters durchgeführt hatte. Der Verantwortlich darf sich nicht auf die bloße Ankündigung seines Auftragnehmers verlassen die Daten zu löschen. Vielmehr muss eine Kontrolle erfolgen (z. B. durch Einholen einer Bestätigung der Löschung), dass die Maßnahme tatsächlich erfolgt, ist:

„Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde – auch um das eigene Haftungsrisiko zu minimieren.“

Fazit

Zusammenfassend lässt sich festhalten, dass das OLG Dresden einen recht strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1, Abs. 3 DS-GVO an den Verantwortlichen gegenüber dem eingesetzten Auftragsverarbeiter anlegt. Die Kontrollpflicht besteht gerade nicht nur vor der Beauftragung, sondern wird insbesondere während der laufenden Vertragsbeziehung und nach deren Ende fortgeführt.

P.S. Das OLG lehnte den Schadenersatzanspruch aus Art. 82 DS-GVO letztendlich dennoch ab, da die betroffenen personenbezogenen Daten (E-Mail-Adresse, IP-Adresse, Nutzer-ID) zwar einen Personenbezug aufwiesen, aber nicht als sensible Daten im Sinne der DS-GVO einzustufen seien und darüber hinaus keine konkrete Gefahr, die zu einem Missbrauch der Daten führt, durch die Klägerin dargelegt werden konnte. Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher.  Dies sei vorliegend jedoch gerade nicht der Fall.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es lässt sich mit Sicherheit sehr gut vertreten, dass im Datenschutz zunehmend eine Verrechtlichung stattfindet. Immer neue gesetzliche Anforderungen treten in Kraft und die Rechtsprechung beschäftigt sich mit allerlei Rechtsfragen. Insbesondere der Europäische Gerichtshof (EuGH) war in den letzten Wochen und Monaten fleißig und hat sich mit einer Reihe umstrittener Punkte auseinandergesetzt. Der heutige Beitrag soll einen Überblick über zwei dieser Urteile aus den letzten Wochen verschaffen.

Und täglich grüßt das Murmeltier – Max Schrems vs. Meta

Am 4. Oktober 2024 stand – mal wieder könnte man meinen – eine Entscheidung zwischen dem Datenschutzaktivisten Max Schrems und Meta Platforms, Inc. an. Im Kern behandelt die Rechtssache C-446/21 den Aspekt, dass nicht sämtliche personenbezogene Daten zeitlich unbegrenzt und ohne Unterscheidung nach Ihrer Art verwendet werden dürfen. Konkret hatte Facebook personenbezogene Daten, die sie ursprünglich für Zwecke der zielgerichteten Werbung erhoben hatten, in einem Werbeprofil verwendet. Es handelte sich hierbei um Aussagen einer Person über die eigene sexuelle Orientierung, mithin also um ein besonders schützenswertes Datum Im Sinne des Art. 9 DS-GVO.

Der EuGH urteilte wie folgt: „Als Zweites ist zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wie der Verarbeitung, um die es im Ausgangsverfahren geht, darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.“ „Die Folgen für die Interessen und das Privatleben der betroffenen Person sind nämlich umso schwerer und die Anforderungen an die Rechtmäßigkeit der Speicherung der betreffenden Daten sind umso höher, je länger diese gespeichert werden“

Und weiter: „Des Weiteren ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e DSGVO die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.  Somit ist diesem Artikel eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, […] nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.“

Deshalb: „Daraus ergibt sich, wie der Gerichtshof bereits entschieden hat, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind.“ Es lässt sich demnach festhalten, dass der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO einer zeitlich unbegrenzten und nicht nach der Art der Daten unterscheidenden (Weiter-)Verarbeitung entgegensteht. Kritik am Urteil gibt es bereits.

Wenn sich zwei streiten – der Fall „Lindenapotheke“

In der Rechtssache C-21/23 – ebenfalls vom 4. Oktober 2024 – geht der EuGH nicht nur einer, sondern gleich zwei spannenden Fragen des Datenschutzrechts nach.

Zum einen setzt sich der Gerichtshof mit der Bestimmung des Begriffes der Gesundheitsdaten im Sinne des Art. 4 Nr. 15, Art. 9 DS-GVO auseinander. Im Ergebnis bestätigt der EuGH seine Ansicht aus vorangegangenen Urteilen und kommt zu einer weiten Auslegung des Begriffs. Zunächst einmal sind Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO „[…]  personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Der EuGH kommt zu dem Schluss, dass Kundendaten im Zusammenhang mit apothekenpflichtigen Arzneimitteln, die über eine Onlineplattform vertrieben werden und die Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen, Gesundheitsdaten im Sinne dieser Bestimmung darstellen. Dies gelte auch dann, wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Dies wird damit begründet, dass aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können. Ziel der DS-GVO sei es ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten. Aus diesem Grunde sei auch eine weite Auslegung des Begriffs der Gesundheitsdaten geboten.

Außerdem beschäftigt sich der Gerichtshof mit dem Verhältnis von Datenschutz- und Wettbewerbsrecht. Eine seit 2018 in der datenschutzrechtlichen Welt mal mehr, mal weniger diskutierte Frage betraf im Kern die Überlegung, ob die Regelung der DS-GVO – insbesondere die Regelungen des Kapitels VIII – das nationale Wettbewerbsrecht sperren. In der Rechtssache lag ursprünglich ein Streit zwischen zwei Wettbewerben, konkret zwei Apothekern, zu Grunde. Der EuGH kommt zu dem Ergebnis, dass nationale Regelungen zum Wettbewerbsrecht, die es Mitbewerben ermöglichen gegen die Verletzung von Vorschriften zum Schutz personenbezogener Daten unter Gesichtspunkten der Vornahme unlauterer Geschäftspraktiken zu klagen, nicht durch die DS-GVO gesperrt werden.

Der Gerichtshof differenziert zwischen den jeweiligen Schutzrichtungen: „Vorab ist darauf hinzuweisen, dass Kapitel VIII DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt.“

Und weiter: „Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann […] Dass Kapitel VIII DSGVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – …]  – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.“

Zusammengefasst: „Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.“

Mit diesem Urteil schriebt der EuGH seine bisherige Linie zur Anwendung von Art. 9 DS-GVO und einer anzuwendenden weiten Auslegung fort. Dies wird mit Sicherheit zu einigen Unsicherheiten und neuen Anwendungsfragen führen. Erfreulich hingegen kann die Klärung des Verhältnisses zwischen Datenschutz- und Wettbewerbsrecht aufgefasst werden.

Fazit

Das Rad in der Datenschutzwelt steht nicht still. Unaufhaltsam geht die Entwicklung in Gesetzgebung, Rechtsprechung und behördlicher Praxis voran. Insbesondere Datenschutzbeauftragte in Unternehmen und Behörden sind also stets gut beraten, sich auf dem Laufenden zu halten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Urteil vom 4. Oktober 2024 musste sich der Europäische Gerichtshof (EuGH) mit der Frage auseinandersetzen, inwieweit der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO auch im Rahmen personalisierter Werbung und bei Vorliegen einer entsprechenden Rechtsgrundlage umzusetzen ist. Im Detail ging es einerseits um die mögliche Verarbeitungsdauer zu Zwecken personalisierter Werbung, andererseits um die zweckbeschränkte Nutzung von seitens betroffener Personen öffentlich zugänglich gemachter personenbezogener Daten. Hintergrund des Verfahrens (C-446/21) ist eine Klage des österreichischen Datenschutz-Aktivisten Maximilian Schrems gegen die Datenverarbeitungspraktiken des Facebook-Mutterkonzerns Meta. Der Oberste Gerichtshof Österreichs hatte in diesem Kontext den EuGH um Auslegung der datenschutzrechtlichen Normen ersucht.

Zeitnah nach der Verkündung des Urteils äußerte sich der EuGH in einer kurzen Pressemitteilung zu seinen Entscheidungen. Mit der Veröffentlichung des vollständigen Urteils wird in Kürze zu rechnen sein.

Grundsatz der Datenminimierung gilt auch für personalisierte Werbung

Der EuGH musste sich zunächst mit folgender Vorlagefrage auseinandersetzen: „Ist Art. 5 Abs. 1 lit. c) DS-GVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform […] verfügt […], ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?“

Diese Frage wird seitens des EuGH deutlich verneint und hebt zugleich hervor, dass der Grundsatz der Datenminimierung eine zeitlich unbegrenzte und nach Art der Daten undifferenzierte Verarbeitung ausschließe: „First, the Court replies that the principle of data minimisation provided for by the GDPR precludes all of the personal data obtained by a controller, such as the operator of an online social network platform, from the data subject or third parties and collected either on or outside that platform, from being aggregated, analysed and processed for the purposes of targeted advertising without restriction as to time and without distinction as to type of data.”

Dies verdeutlicht, dass Verantwortliche grundsätzlich verpflichtet sind, für sämtliche zu verarbeitende personenbezogene Daten eine maximale Aufbewahrungsdauer festzulegen, die sich an einem zwingend erforderlichen Minimum zu orientieren hat. Eine Verarbeitung personenbezogener Daten über einen Zeitraum von bis zu 20 Jahren – wie im vorliegenden Fall – entspricht nicht dem Grundsatz der Datenminimierung.

Nutzung öffentlich zugänglich gemachter Informationen nur zweckgebunden möglich

Weiterhin bat der Oberste Gerichtshof Österreichs den EuGH um Beantwortung folgender Frage: „Ist Art. 5 Abs. 1 lit. b) [Zweckbindung, Anm. d. Autors] i.V.m. Art. 9 Abs. 2 lit. e) DS-GVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?“

Diesbezüglich verweist der EuGH darauf, dass zwar öffentlich zugänglich gemachte Informationen im Einklang mit der DS-GVO verarbeitet werden können, eine solche Legitimation aber nicht für solche Informationen gelten kann, die ein Verantwortlicher an anderer Stelle erlangt hat: „The consequence of the fact that a data subject has manifestly made public data concerning his or her sexual orientation is that those data may be processed in compliance with the provisions of the GDPR. However, that fact alone does not authorise the processing of other personal data relating to that data subject’s sexual orientation.”

Und weiter: „Thus, the fact that a person has made a statement about his or her sexual orientation on the occasion of a public panel discussion does not authorise the operator of an online social network platform to process other data relating to that person’s sexual orientation, obtained, as the case may be, outside that platform using partner third-party websites and apps, with a view to aggregating and analysing those data, in order to offer that person personalized advertising.”

Auch diesbezüglich setzt der EuGH seine bisherige Rechtsprechungstendenz zur umfassenden Wahrung der Grundrechte betroffener Personen fort und erteilt der weit verbreiteten Ansicht, alle ansatzweise veröffentlichen Informationen einer Person dürften umfassend zu eigenen Zwecken, insbesondere zur personalisierter Werbung, verarbeitet werden, eine Absage.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.