BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Urteil vom 11.11.2025
VI ZR 396/24
DSGVO Art. 82 Abs. 1; Art. 28 Abs. 3 Satz 2 Buchst. g, h; Art. 5 Abs. 1 Buchst. c, e, f; Art. 5 Abs. 2; Art. 32

Der BGH hat entschieden, dass eine Schadensersatzanspruch aus Art. 82 Abs. 1 DGSVO besteht, wenn personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter verbleiben und dort von Dritten abgegriffen werden.

Leitsätze des BGH:
a) Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.

b) Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.

BGH, Urteil vom 11. November 2025 - VI ZR 396/24 - OLG Dresden

Den Volltext der Entscheidung finden Sie hier:

VGH München
Beschluss vom 21.02.2025
7 ZB 24.651

Der VGH München hat entschieden, dass ein Betroffener keinen Anspruch auf Einsicht in den Auftragsverarbeitungsvertrag zwischen dem Beitragsservice und einem Inkassounternehmen hat.

Aus den Entscheidungsgründen:
1. Es bestehen keine ernstlichen Zweifel an der Richtigkeit des angefochtenen Urteils (§ 124 Abs. 2 Nr. 1 VwGO).

Ernstliche Zweifel im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind anzunehmen, wenn in der Antragsbegründung ein einzelner tragender Rechtssatz oder eine erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage gestellt werden (vgl. etwa BVerfG, B.v. 10.9.2009 – 1 BvR 814/09 – NJW 2009, 3642) und die Zweifel an der Richtigkeit einzelner Begründungselemente auf das Ergebnis durchschlagen (BVerwG, B.v. 10.3.2004 – 7 AV 4.03 – DVBl 2004, 838/839). Schlüssige Gegenargumente in diesem Sinne liegen dann vor, wenn der Rechtsmittelführer substantiiert rechtliche oder tatsächliche Umstände aufzeigt, aus denen sich die gesicherte Möglichkeit ergibt, dass die erstinstanzliche Entscheidung im Ergebnis unrichtig ist (vgl. BVerfG, B.v. 20.12.2010 – 1 BvR 2011/10 – NVwZ 2011, 546/548). Welche Anforderungen an Umfang und Dichte der Darlegung zu stellen sind, hängt wesentlich von der Intensität ab, mit der die Entscheidung begründet worden ist (Happ in Eyermann, VwGO, 16. Aufl. 2022, § 124a Rn. 64 m.w.N.).

Die klägerischen Ausführungen stellen die Richtigkeit der Entscheidung des Verwaltungsgerichts nicht ernstlich in Frage und zeigen keine Gesichtspunkte auf, die weiterer Klärung in einem Berufungsverfahren bedürften. Der Kläger begehrt, dies stellt er in seiner Zulassungsbegründung ausdrücklich klar, Einsicht in die Urkunde des Auftragsverarbeitungsvertrags, der zwischen dem Beklagten und der P. GmbH geschlossen wurde, gleichzeitig bezweifelt er deren Existenz.

Zutreffend hat das Verwaltungsgericht ausgeführt, dass sich der Kläger insbesondere nicht auf § 11 Abs. 8 Satz 1 RBStV berufen kann. Der geltend gemachte Einsichtsanspruch ist von dieser Norm nicht erfasst. Auch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung; im Folgenden: DS-GVO) räumt dem Kläger kein solches Einsichtsrecht ein. Der Kläger führt in seiner Zulassungsbegründung selbst aus, ein materielles Gesetz mit einer entsprechenden Anspruchsgrundlage „gebe es bekanntlich nicht“.

Entgegen seinem Vorbringen kann er sich für den geltend gemachten Anspruch auf Einsicht in den Auftragsverarbeitungsvertrag auch nicht auf die von ihm zitierte Rechtsprechung des Bundesverwaltungsgerichts (U.v. 16.9.1980 – 7 C 10.81 – juris; U.v. 5.6.1984 – 5 C 73.82 – juris) stützen. Der Kläger stellt ohne Erfolg auf das sog. ungeschriebene Akteneinsichtsrecht außerhalb des Anwendungsbereichs von Art. 29 BayVwVfG ab. Soweit das in Art. 29 BayVwVfG normierte Recht auf Akteneinsicht durch Beteiligte nicht eingreift und positiv-rechtliche Regelungen nicht bestehen, bleibt der Betroffene nicht schutzlos, wenn und soweit er ein berechtigtes Interesse an der Akteneinsicht geltend machen kann. In diesen Fällen steht die Gewährung von Akteneinsicht grundsätzlich im pflichtgemäßen Ermessen der zuständigen Behörde (vgl. Ramsauer in Kopp/Ramsauer, VwVfG, 25. Aufl. 2024, § 29 Rn. 10 m.w.N.).

Vorliegend fehlt es hierfür bereits an der Voraussetzung des berechtigten Interesses. Der Kläger weist selbst darauf hin, dass das berechtigte Interesse durch „rechtliche Aspekte bestimmt“ wird. Nicht ausreichend ist insoweit ein schlichtes persönliches Interesse an der begehrten Akteneinsicht. Ein berechtigtes Interesse des Klägers an der Einsichtnahme in den zwischen dem Beklagten und der P. GmbH gemäß Art. 28 DS-GVO geschlossen Auftragsverarbeitungsvertrag besteht nicht. Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DS-GVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde. Denn für die Überwachung der Anwendung der Datenschutz-Grundverordnung ist gemäß Art. 51 Abs. 1 DS-GVO die Aufsichtsbehörde zuständig, nicht Private. Als externe Datenschutzaufsichtsbehörde i.S.v. Art. 51 DS-GVO ist für den Beklagten gemäß Art. 21 Abs. 1 Satz 2 BayRG der Rundfunkdatenschutzbeauftragte bestellt. Zu dessen Aufgaben gehört gemäß Art. 57 Abs. 1 Buchst. a DS-GVO die Überwachung und Durchsetzung der Anwendung der Datenschutz-Grundverordnung. Hierbei hat er als Aufsichtsbehörde gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DS-GVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung zu prüfen und die ihm hierzu eingeräumten Befugnisse nach Art. 58 DS-GVO zu nutzen (vgl. Art. 21 Abs. 6 BayRG). Dem Betroffenen selbst ist hingegen nach Art. 15 DS-GVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt (vgl. auch Erwägungsgrund 63 DS-GVO). Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 18.02.2025
VI ZR 64/24

Der BGH hat das Verfahren Künast gegen Meta / Facebook zur Haftung der Betreiber sozialer Netzwerke für Inhalte der Nutzer bis zur Entscheidung des EuGH im Verfahren C-492/23 (siehe dazu: EuGH-Generalanwalt: Zur Haftung des Betreibers eines Online-Marktplatzes nach der DSGVO und der Richtlinie über den elektronischen Geschäftsverkehr) ausgesetzt.


Die Pressemitteilung des BGH:
Bundesgerichtshof: Aussetzung des Verfahrens zur Haftung des Betreibers eines sozialen Netzwerks
für von seinen Nutzern eingestellte rechtswidrige Inhalte

Der VI. Zivilsenat hat am 18. Februar 2025 über wechselseitige Revisionen verhandelt, in denen sich die Frage stellt, welche Ansprüche gegen den Betreiber eines sozialen Netzwerks Betroffenen zustehen, über die auf der Plattform dieses Netzwerks falsche Tatsachenbehauptungen verbreitet werden. Hinsichtlich des Sachverhalts und des bisherigen Prozessverlaufs wird auf die Pressemitteilung Nr. 027/2025 vom 6. Februar 2025 hingewiesen.

Nach ausführlicher Erörterung in der mündlichen Verhandlung hat der VI. Zivilsenat am Ende der Sitzung das Verfahren analog § 148 ZPO bis zu der Entscheidung des Gerichtshofs der Europäischen Union in dem dort anhängigen Verfahren C-492/23 ausgesetzt.

Vorinstanzen:

LG Frankfurt a.M. - Entscheidung vom 8. April 2022 - 2-03 O 188/21

OLG Frankfurt a.M. - Entscheidung vom 25. Januar 2024 - 16 U 65/22

EuGH-Generalanwalt
Schlussansträge vom 06.02.2025
C-492/23
Russmedia Digital und Inform Media Press

Der EuGH-Generalanwalt hat sich vorliegend mit der Haftung des Betreibers eines Online-Marktplatzes nach der DSGVO und der Richtlinie über den elektronischen Geschäftsverkehr befasst.

Die Pressemitteilung des EuGH:
Elektronischer Geschäftsverkehr und DSGVO: Generalanwalt Szpunar nimmt Klarstellungen zur Haftung des Betreibers eines Online-Marktplatzes vor

Im Jahr 2018 wurde auf der Website Publi24.ro (Website der Gesellschaft Russmedia), einem Online-Marktplatz, eine Anzeige veröffentlicht, aus der hervorging, dass eine Person (X) sexuelle Dienstleistungen anbiete. Die Anzeige enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken des Opfers stammten und die ohne seine Zustimmung verwendet wurden. Russmedia entfernte zwar die Anzeige rasch, doch wurde sie auf andere Websites kopiert. X erhob Klage gegen Russmedia.

Das Berufungsgericht Cluj (Rumänien) hat den Gerichtshof der Europäischen Union angerufen, um die Haftung des Betreibers eines Online-Marktplatzes für diesen Fall zu klären.

Generalanwalt Maciej Szpunar geht in seinen Schlussanträgen, um die Vorlagefragen des vorlegenden Gerichts zu beantworten, auf den Zusammenhang zwischen der Richtlinie über den elektronischen Geschäftsverkehr und der Datenschutz-Grundverordnung (DSGVO) ein.

In Bezug auf die Richtlinie über den elektronischen Geschäftsverkehr weist er darauf hin, dass ein Betreiber eines Online-Marktplatzes wie Russmedia in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen könne, sofern seine Rolle neutral und rein technisch bleibe.

Dies gelte nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen werde.

Zur DSGVO stellt der Generalanwalt klar, dass der Betreiber eines Online-Marktplatzes für die in den Anzeigen enthaltenen personenbezogenen Daten als Auftragsverarbeiter agiere. Folglich sei der Betreiber nicht verpflichtet, vor der Veröffentlichung systematisch den Inhalt der Anzeigen zu überprüfen. Er müsse jedoch organisatorische und technische Maßnahmen zum Schutz dieser Daten ergreifen. Demgegenüber vertritt der Generalanwalt die Ansicht, dass der Betreiber des Online-Marktplatzes in Bezug auf die personenbezogenen Daten der auf diesem Online-Marktplatz registrierten inserierenden Nutzer als Verantwortlicher handele und in diesem Rahmen die Identität der inserierenden Nutzer überprüfen müsse.

Die vollständigen Schlussanträge finden Sie hier:

OLG Dresden
Urteil vom 15.10.2024
4 U 940/24

Das OLG Dresden hat entschieden, dass die unzureichende Kontrolle des Auftragsverarbeiters einen Schadensersatzanspruch aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen kann.

Aus den Entscheidungsgründen:
1. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.

2. Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet. Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).

a) Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.

Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.

Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:

„9. BEENDIGUNG DER VERARBEITUNG
9.1 Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.

9.2 Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.

9.3 Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.

In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.

Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.

Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“.

erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O...... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.

b) Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.

Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhanden gekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.

c) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem HackingVorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

d) Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.

Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DSGVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85).

Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.

Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.

LG Lübeck
Urteil vom 04.10.2024
15 O 216/23

Das LG Lübeck hat entschieded, dass das Fehlen einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einen Schadensersatzanspruch nach Art. 82 DSGVO zur Folge haben kann.

Aus den Entscheidungsgründen:
bbb. Das Gericht ist jedoch überzeugt, dass bereits die Übertragung der streitgegenständlichen Daten von der Beklagten an die O. (vgl. oben) unter Verstoß gegen Bestimmungen der DSGVO erfolgte.

Dabei ergeben sich die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter aus Art. 28 DSGVO. Hiernach setzt die Verarbeitung von Daten durch Auftragsverarbeiter (und entsprechend die Übergabe der Daten an den Auftragsverarbeiter) voraus, dass zwischen der Beklagten und dem Auftragsverarbeiter ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht. Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, § 28 Abs. 4 DSGVO. Fehlt es an diesen Voraussetzungen, so stellt sich (entgegen der hierzu geäußerten Rechtsansicht der Beklagten im Termin zur mündlichen Verhandlung) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar (vgl. hierzu etwa BeckOK DatenschutzR/Spoerr, 49. Ed. 1.8.2024, DS-GVO Art. 28 Rn. 29-32.1 m.w.N. zur dogmatischen Herleitung; Kühling/Buchner/Hartung, 4. Aufl. 2024, DS-GVO Art. 28 Rn. 61-63: „Umgekehrt ist eine fehlende oder unvollständige Vereinbarung ein eigener Normverstoß (…)“).

Diese vorgenannten Voraussetzungen für die rechtskonforme Übermittlung geschützter Daten an Auftragsdatenverarbeiter wurden hier nicht beachtet. Dabei kann dahinstehen, ob die O. als Auftragsdatenverarbeiter oder - wie dies der Vortrag der Beklagten nahelegt - als Unterauftragsdatenverarbeiter der M. tätig wurde. Denn nach dem insoweit unstreitigen Sachverhalt liegt weder ein den Anforderungen des Art. 28 Abs. 3 DSGVO genügender Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. vor - an welche aber dennoch die Daten herausgegeben wurden -, noch ein Unterauftragsverarbeitungsvertrag zwischen der O. und der M.. Auch auf entsprechenden Hinweis vom 8. Mai 2024 erfolgte hierzu kein weiterer Sachvortrag. Eine wirksame Übertragung von Datenschutzverpflichtungen auf die O. lag damit entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vor.

Dem kann die Beklagte auch nicht entgegenhalten, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. Dies überzeugt die Kammer nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Entsprechend nimmt es nicht Wunder, dass auch in der einschlägigen datenschutzrechtlichen Literatur betont wird, dass es sich bei konzernverbundenen Gesellschaften um getrennte Organisationen handelt und auch datenschutzrechtlich eine Privilegierung von Konzernen nicht stattfindet (vgl. Nickel: Alternativen der konzerninternen Auftragsverarbeitung, ZD 2021, 140).

ccc. Des Weiteren muss sich die Beklagte auch die bei O. selbst unstreitig geschehenen Verstöße gegen die DSGVO zurechnen lassen.

(1) Die Verarbeitung der Daten bei der O. erfolgte unter Außerachtlassung des nach der DSGVO erforderlichen Schutzniveaus, welches - im Wege der Vertragsgestaltung nach Art. 28 Abs. 3 und 4 - sicherzustellen die Beklagte verpflichtet war. Da die Beklagte es unterlassen hat, die entsprechenden Verträge zu schließen bzw. deren Abschluss durch die M. zu gewährleisten, sieht die Kammer insoweit die Beklagte zumindest in der sekundären Darlegungslast, dass dennoch und entgegen des entsprechenden Anscheins bei der O. durchgängig ein den Vorgaben der DSGVO hinreichendes Schutzniveau aufrechterhalten wurde. Dieser sekundären Darlegungslast ist die Beklagte schon deshalb nicht nachgekommen, da sie selbst vorträgt, dass Mitarbeiter der O. die streitgegenständlichen Daten weisungswidrig aus der hierfür vorgesehenen Produktivumgebung („production environment") entnommen und in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hätten. Vortrag der Beklagten, dass in dieser vertragswidrigen Produktivumgebung dennoch alle maßgeblichen und erforderlichen Schutzvorkehrungen gewahrt wurden, findet sich nicht. Vielmehr geht auch die Beklagte davon aus, dass gerade diese Verschiebung der Daten in einen nicht hinreichend gesicherten Bereich ursächlich für den Datenschutzvorfall war.

(2) Diese Verstöße muss sich die Beklagte - entgegen der vorläufigen Einschätzung der Kammer in der Verhandlung am 22. Februar 2024 (vgl. hierzu auch den nachfolgenden Hinweis vom 8. Mai 2024) - zurechnen lassen. Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO geht insoweit deutlich weiter als von der Kammer zunächst angenommen. In der einschlägigen Literatur ist insoweit weitgehend Konsens, dass eine Beteiligung im Sinne der Verordnung nicht zwingend voraussetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es grundsätzlich, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 22; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14; Paal, MMR 2020, 14, 15; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 9, 10; i.d.S. wohl auch: BeckOK DatenschutzR/Quaas, 47. Ed. 1.2.2024, DS-GVO Art. 82 Rn. 39-43). Hieraus folgt, dass selbst ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergibt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten weiterhin „beteiligt“ im Sinne der Verordnung ist (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14). Vor diesem Hintergrund liegt hier eine Beteiligung der Beklagten im Rechtssinne an der Datenverarbeitung durch Mitarbeiter von O. vor. Denn die Beklagte hat jedenfalls durch die (zudem rechtswidrige) Herausgabe der Daten an O. eine conditio sine qua non für diese nachfolgende Verarbeitung gesetzt. Durch diese weite Zurechnung wird auch nicht die Haftung der Verantwortlichen überzogen. Eine Begrenzung der Haftung findet vielmehr nach der Konzeption des Art. 82 DSGVO nicht über den weiteren Begriff der „Beteiligung“, sondern über die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DSGVO statt.

dd. Soweit nach den obigen Ausführungen haftungsbegründende und der Beklagten zuzurechnende Verletzungen der DSGVO vorliegen, sind diese auch von der Beklagten zu vertreten.

Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DSGVO eine verschuldensunabhängige Haftung begründet (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, juris Rn. 40), eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens (vgl. hierzu etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22) oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DSGVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag (vgl. etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14, 15; so wohl auch: Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz; EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 17, 18; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24-26).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 14.03.2024
C‑46/23

Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 25.05.2023
C‑667/21

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass sich Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters richten.

Ergebnis des EuGH-Generalanwalts:
Art. 9 Abs. 2 Buchst. h und Abs. 3 sowie Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),

sind dahin auszulegen, dass

es einem Medizinischen Dienst einer Krankenkasse nicht untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Sie lassen eine Ausnahme vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten zu, wenn diese Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers erforderlich ist; dabei sind die in Art. 5 genannten Grundsätze sowie eine der in Art. 6 der Verordnung 2016/679 genannten Bedingungen für die Rechtmäßigkeit einzuhalten.

Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters ist weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens von Bedeutung.

Die Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, kann je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 der Verordnung 2016/679 führen.

Die vollständigen Schlussanträge finden Sie hier:

BAG
Beschluss vom 22.09.2022
8 AZR 209/21

Wir hatten bereits in dem Beitrag "BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses" über die Entscheidung berichtet.

Tenor der Entscheidung:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:

Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:

Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

BAG
Beschluss vom 22.09.2022
8 AZR 209/21

Der BAG hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DSGVO zur Entscheidung vorgelegt. Es geht dabei um die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses und möglichen Ansprüchen auf immateriellen Schadensersatz.

Die Vorlagefragen:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.