Aus den Entscheidungsgründen: Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.
a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.
aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.
bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).
Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.
Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).
Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.
Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.
b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.
aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).
Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).
bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).
cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.
aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).
bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.
Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.
ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.
(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).
(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).
Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.
Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.
(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).
Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).
ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.
Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).
Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).
Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.
Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es
„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“
als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.
Der BFH hat entschieden, dass statthafte Klageart für die Geltendmachung eines Auskunftsanspruch gemäß Art. 15 DSGVO gegen das Finanzamt eine Verpflichtungsklage ist. Es gilt nach Ansicht des BFH hierfür die einmonatige Frist nach §§ 47 Abs.1 , 55 Abs. 2 Satz 1 FGO.
Leitsätze des BFH:
1. Statthafte Klageart für die gerichtliche Geltendmachung des gegen eine Finanzbehörde gerichteten Anspruchs aus Art. 15 Abs. 1 und Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 Satz 1 der Datenschutz-Grundverordnung (DSGVO) ist die Verpflichtungsklage gemäß § 40 Abs. 1 Alternative 2 der Finanzgerichtsordnung ‑‑FGO‑‑ (Anschluss an Urteil des Bundesverwaltungsgerichts vom 30.11.2022 - 6 C 10.21, BVerwGE 177, 211, Rz 14).
2. Die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität gebieten es nicht, eine Verpflichtungsklage, die einen Auskunftsanspruch gemäß Art. 15 DSGVO zum Gegenstand hat, losgelöst von der in § 47 Abs. 1 FGO beziehungsweise in § 55 Abs. 2 Satz 1 FGO geregelten Frist (das heißt "jederzeit") erheben zu können.
Die BfDI hat Geldbußen in Höhe von insgesamt 45 Millionen EURO gegen Vodafone verhängt. Es ging um Verstöße gegen Art. 28 und Art. 32 DGSVO.
Die Pressemitteilung der BfDI: BfDI verhängt Geldbußen gegen Vodafone
Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.
Eine Geldbuße in Höhe von 15 Millionen Euro erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO).
Darüber hinaus hat die BfDI Vodafone aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen verwarnt.
Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhangen. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.
Die Vodafone GmbH hat ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem hat sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.
Ich möchte hervorherben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat, betont Specht-Riemenschneider. Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.
Die Erfahrungen der Datenschutzbehörden zeigen, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen besteht. Bei der Sicherheit wird daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern wird in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führen zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen können.
Im Falle der Vodafone GmbH hat das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, die Bereiche Compliance und Datenschutz wurden gestärkt. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes hat die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, die sich für die Förderung des Datenschutzes, der Medienkompetenz und Digital Literacy sowie die Bekämpfung von Cybermobbing einsetzen.
Specht-Riemenschneider abschließend: Wo Datenschutzverstöße stattfinden, muss sanktioniert werden. Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt. Unternehmen, die das Datenschutzrecht einhalten wollen, müssen dazu befähigt werden. Datenschutz ist Vertrauensfaktor für Nutzerinnen und Nutzer digitaler Angebote und kann daher zum Wettbewerbsvorteil werden. Das verstehen auch mehr und mehr Unternehmen.
Das OLG Köln hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass Meta Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden darf. Das Gericht sah insbesondere keinenn Verstoß gegen die Vorgaben der DSGVO und des DMA.
Die Pressemitteilung des Gerichts: Meta darf Daten aus öffentlich gestellten Nutzerprofilen für KI-Training verwenden
Der 15. Zivilsenat des Oberlandesgerichts Köln hat heute (23.05.2025) in einem Eilverfahren einen Antrag der Verbraucherzentrale NRW e.V. gegen den Mutterkonzern von "Facebook" und "Instagram" abgelehnt, mit dem eine Verarbeitung öffentlich gestellter Nutzerdaten ab der kommenden Woche verhindert werden sollte.
Im April 2025 kündigte die Meta Platforms Ireland Limited (nachfolgend: Meta) öffentlich an, ab dem 27.05.2025 personenbezogene Daten aus öffentlichen Profilen ihrer Nutzer zum Training von Künstlicher Intelligenz zu verwenden. Meta betreibt unter anderem die Dienste "Facebook" und "Instagram". Die Verbraucherzentrale Nordrhein-Westfalen e.V. ist ein qualifizierter Verbraucherverband. Sie geht mit ihrem Antrag vom 12.05.2025 auf Grundlage des Unterlassungsklagengesetzes (UKlaG) gegen Meta vor. Betroffen sind Daten von Verbrauchern und von Dritten in öffentlich gestellten Profilen, soweit die Nutzer keinen Widerspruch eingelegt haben.
Nach vorläufiger und summarischer Prüfung im Rahmen des am 12.05.2025 eingeleiteten Eilverfahrens liegt weder ein Verstoß von Meta gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) noch gegen den Digital Markets Act (DMA) vor. Diese Einschätzung stimmt mit der aufsichtsrechtlichen Bewertung durch die für Meta zuständige irische Datenschutzbehörde überein. Diese führt wegen des Sachverhalts keine aufsichtsrechtlichen Maßnahmen durch und hat angekündigt, die Handlungen zu begleiten. Hinsichtlich der Daten, die von Nutzern nach Mitte des Jahres 2024 öffentlich gestellt wurden, sieht auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Verarbeitung als rechtlich möglich an. Er wurde in der mündlichen Verhandlung am 22.05.2025 angehört.
Die angekündigte Verwendung der Daten für KI-Trainingszwecke stellt sich bei vorläufiger Betrachtung auch ohne Einwilligung der Betroffenen als rechtmäßig im Sinne des Art. 6 Abs. 1 Buchstabe f) DSGVO dar. Meta verfolgt mit der Verwendung zum Training von Systemen Künstlicher Intelligenz einen legitimen Zweck. Dieser Zweck kann nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden. Unzweifelhaft werden für das Training große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können. Im Rahmen der Abwägung der Rechte von Nutzern und Meta als Betreiberin überwiegen die Interessen an der Datenverarbeitung. Diese heutige Bewertung beruht unter anderem auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) aus Dezember 2024, welcher die Beklagte durch verschiedene Maßnahmen Rechnung getragen hat. Es sollen ausschließlich öffentlich gestellte Daten verarbeitet werden, die auch von Suchmaschinen gefunden werden. Der Umstand, dass große Mengen von Daten, auch von Dritten einschließlich Minderjährigen und auch sensible Daten im Sinne des Art. 9 DSGVO, betroffen sind, überwiegt bei der Abwägung nicht. Meta hat insoweit wirkungsvolle Maßnahmen ergriffen, welche den Eingriff wesentlich abmildern. Die geplante Verarbeitung wurde bereits im Jahre 2024 angekündigt. Die Nutzer wurden über die Apps und - soweit möglich - auf anderem Wege informiert. Sie haben die Möglichkeit, die Datenverarbeitung durch Umstellung ihrer Daten auf "nicht-öffentlich" oder durch einen Widerspruch zu verhindern. Die verwendeten Daten enthalten keine eindeutigen Identifikatoren wie Name, E-Mail-Adresse oder Postanschrift einzelner Nutzer.
Nach Ansicht des Senats liegt bei vorläufiger und summarischer Prüfung im Rahmen des vorliegenden Eilverfahrens auch kein Verstoß gegen Art. 5 Abs. 2 DMA vor. Es fehlt bei vorläufiger rechtlicher Würdigung an einer "Zusammenführung" von Daten, weil Meta im Rahmen der beabsichtigten Vorgehensweise keine Daten aus Nutzerprofilen bei verschiedenen Diensten oder aus anderen Quellen im Hinblick auf einen einzelnen konkreten Nutzer kombiniert. Insoweit fehlt es an einschlägiger Rechtsprechung. Dem Senat war im Eilverfahren auch keine in der Rechtsgrundlage vorgesehene Kooperation mit der Europäischen Kommission möglich.
Das heutige Urteil ist in einem Eilverfahren infolge einer summarischen Prüfung ergangen. Es gelten hier abweichende rechtliche Anforderungen, insbesondere an die Beurteilung von streitigem Tatsachenvortrag. Die Parteien können ihre Rechte in einem gesonderten Hauptsacheverfahren wahrnehmen.
Das heute verkündete Urteil ist rechtskräftig. Die Revision zum Bundesgerichtshof findet nicht gegen Entscheidungen eines Oberlandesgerichts im einstweiligen Rechtschutz statt (§ 542 Abs. 2 Satz 1 ZPO). Für Verfahren nach dem Unterlassungsklagengesetz sind die Oberlandesgerichte in erster Instanz zuständig. Die örtliche Zuständigkeit des Oberlandesgerichts Köln folgt aus dem behaupteten Ort des drohenden Verstoßes gegen Verbraucherschutzgesetze (vergleiche § 6 Abs. 1 Satz 2 Nr. 2 UKlG).
Das VG Hannover hat entschieden, dass ein Cookie-Banner / Cookie-Consent-Tool für technisch nicht notwendige Cookies eine "Alles ablehnen"-Schaltfläche enthalten muss.
Die dazugehörige Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen: Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss
Auf nahezu jeder Webseite im Internet werden Nutzerinnen und Nutzer beim Öffnen mit einem Einwilligungsbanner konfrontiert. Viele weisen eine Schaltfläche mit der Bezeichnung „Alle akzeptieren“ auf, die Nutzerinnen und Nutzer häufig anklicken werden, damit der Einwilligungsbanner verschwindet und der Inhalt der Webseite gelesen werden kann. Mit diesem Klick wird allerdings die Erlaubnis erteilt, dass unter Umständen sehr viele Cookies und andere Trackingtechnologien eingesetzt werden, um detaillierte Nutzerprofile zu generieren und in Echtzeit personalisierte Werbung auf der Webseite auszuspielen.
Der Landesbeauftragte für den Datenschutz in Niedersachsen setzt sich seit vielen Jahren gegen manipulativ gestaltete Einwilligungsbanner und für wirksame – insbesondere informierte und freiwillige – Einwilligungen ein. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt und die Rechte von Internetnutzerinnen und -nutzern in Sachen Datenschutz gestärkt: Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt. Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, so das Verwaltungsgericht Hannover in seiner Urteilsbegründung. Andernfalls seien die derart eingeholten Einwilligungen unwirksam, was einen Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie die Datenschutz-Grundverordnung darstellt.
Hintergrund des Verfahrens war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem niedersächsischen Medienhaus. Dieses hatte Cookie-Einwilligungen mittels eines Banners eingeholt – ohne Nutzerinnen und Nutzern eine echte Wahlmöglichkeit zu bieten.
Gericht erkennt mehrere Verstöße
Das Verwaltungsgericht kritisierte die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht:
das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
die Überschrift „optimales Nutzungserlebnis“ und die Beschriftung „akzeptieren und schließen“ auf dem Schließen-Button waren irreführend,
der Begriff der „Einwilligung“ fehlte vollständig,
die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.
Das Gericht erkannte, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.
Dazu der Landesbeauftragte für den Datenschutz in Niedersachsen, Denis Lehmkemper: „Die allermeisten Menschen sind vermutlich von Cookie-Bannern genervt. Diese erfüllen jedoch eine wichtige Funktion für die Aufrechterhaltung der Privatsphäre im Internet. Genau deshalb setzen sich die Datenschutz-Aufsichtsbehörden für eine echte Wahlmöglichkeit bei der Gestaltung der Banner ein. Diese Wahlmöglichkeit wird von vielen Webseitenbetreibern bisher jedoch nicht umgesetzt. Ich hoffe, das Urteil sendet ein Signal an möglichst viele Anbieter und trägt so dazu bei, datenschutzkonforme Einwilligungslösungen umzusetzen.“
Das OLG Hamburg hat entschieden, dass ein Online-Shop nicht zwingend eine Bestellung als Gast per Gastzugang ohne Kundenaccount anbieten muss.
Aus den Entscheidungsgründen: a. Dem Kläger steht gegen die Beklagte der mit dem Antrag zu 1.a) im Berufungsrechtszug geltend gemachte Unterlassungsanspruch aus §§ 3 Abs. 1 S. 1 Nr. 1, 2 Abs. 1, Abs. 2 Nr. 13 UKlaG i.V.m. Art. 5 Abs. 1 lit. c) DSGVO nicht feststellbar zu. Denn der Kläger kann von der Beklagten nicht mit Erfolg verlangen, es gemäß dem gestellten Antrag im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern zu unterlassen, Waren oder Dienstleistungen im Onlinehandel auf ihrer Website www.......de anzubieten, ohne Verbrauchern einen Gastzugang, also einen Zugang, der auf eine dauerhafte Registrierung unter Angabe von Registrierungsdaten verzichtet und über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden, für die Bestellung bereitzustellen, wenn dies erfolgt wie im Antrag zu 1.a) nachfolgend dargestellt.
aa. Der Antrag des Klägers muss bereits deshalb erfolglos bleiben, weil von der Beklagten nicht mit Erfolg - wie allerdings mit dem Antrag zu 1.a) geschehen - verlangt werden kann, einen Zugang einzurichten, über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden, nicht aber personenbezogene Daten, deren Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die Verarbeitung ist gemäß Art. 6 DSGVO nicht nur in den vom Kläger zugestandenen Fällen des Art. 6 Abs. 1 UAbs. 1 lit. b) und c) DSGVO rechtmäßig, sondern insbesondere auch im Falle des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zur Wahrung berechtigter Interessen des Verantwortlichen. Dies kann der Kläger der Beklagten mit dem Antrag zu 1.a) nicht erfolgreich absprechen.
Eine entsprechende Einschränkung des begehrten Verbots kann vorliegend nicht tenoriert werden. Denn, wie ausgeführt, hat der Kläger hier gerade bestimmt, wie ein Zugang genau einzurichten ist. Eine abweichende Gestaltung hält sich nicht mehr im Rahmen dieses Antrags. Dementsprechend kommt es hier auch auf den Streit der Parteien, ob die Beklagte im Rahmen des Bestellvorgangs hinreichend deutlich über Zweck und Inhalt des Kundenkontos aufkläre, nicht entscheidend an. Auch diesen Vorwurf hat der Antrag zu 1.a) nicht zum Gegenstand.
bb. Unabhängig davon ist, wie bereits vom Landgericht Hamburg in der angefochtenen Entscheidung im Einzelnen ausgeführt worden ist, ein der Beklagten anzulastender Verstoß gegen den Grundsatz der Datenminimierung nicht zu erkennen. Insoweit wird zur Vermeidung von Wiederholungen vollen Umfangs auf die Ausführungen des Landgerichts im Urteil vom 22.02.2024 Bezug genommen. Ergänzend ist insoweit im Hinblick auf das Berufungsvorbringen Folgendes auszuführen:
aaa. Der Kläger zählt als Verbraucherverband allerdings zu den anspruchsberechtigten Stellen gemäß § 3 Abs. 1 S. 1 Nr. 1 UKlaG. Er ist in die Liste qualifizierter Einrichtungen im Sinne von § 4 UKlaG beim Bundesamt für Justiz eingetragen (vgl. Anlage K 1, dort Nr. 63).
bbb. Nach § 2 Abs. 1 S. 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Nach § 2 Abs. 2 Nr. 13 DSGVO sind Verbraucherschutzgesetze im Sinne dieser Vorschrift insbesondere die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in der jeweils geltenden Fassung, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten.
ccc. Art. 5 Abs. 1 lit. c) DSGVO bestimmt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen („Datenminimierung“). Der Grundsatz der Datenminimierung setzt eine Zweckbestimmung voraus und knüpft seine Erfordernisse hieran an, nicht umgekehrt (vgl. BVerwG NJW 2024, 2479, 2485 Rn. 49). Im vorliegenden Fall verstößt die Beklagte durch die Verpflichtung von Bestellinteressenten auf ihrem Online-Marktplatz unter der URL www.......de, auf dem sowohl die Beklagte als auch andere Händler Waren zum Kauf anbieten, zur Anlegung eines Kundenkontos nicht gegen diesen Grundsatz der Datenminimierung.
(1) Der Grundsatz der Datenminimierung ist, wie vom Landgericht in der angefochtenen Entscheidung angenommen, nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich sind, deren Erhebung also der Erreichung eines legitimen Zieles dient, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt wird. Art. 5 Abs. 1 lit. c) DSGVO stellt sicher, dass die Verarbeitung personenbezogener Daten durch den festgelegten Zweck begrenzt wird. Der Grundsatz der Datenminimierung verlangt nicht nach einer absoluten Reduzierung oder Beschränkung der Datenmenge; wenn der Zweck der Verarbeitung nur durch die Verarbeitung großer Datenmengen erreicht werden kann, verstößt eine solche Verarbeitung nicht gegen diesen Grundsatz (Herbst in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 5 DS-GVO Rn. 56). Wie das Landgericht in der angefochtenen Entscheidung zutreffend ausgeführt hat, ist eine Datenverarbeitung dann nicht erforderlich, wenn ihr Ziel sich mit einem geringeren Eingriff in die Rechte der betroffenen Person ebenso effektiv erreichen ließe, die personenbezogenen Daten, die verarbeitet werden, also dem Zweck der Datenverarbeitung nicht angemessen sind, sondern eine exzessive Datenverarbeitung oder eine solche für rein hypothetische Zwecke, für die es im Zeitpunkt der Erhebung noch keinen absehbaren Anlass gibt, darstellen.
(a) Insoweit hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (im Folgenden: DSK), wie vom Landgericht im angefochtenen Urteil im Einzelnen ausgeführt, mit Beschluss vom 24.03.2022 (Anlage K 7) Hinweise zum datenschutzkonformen Online-Handel mittels eines Gastzugangs erteilt. Auch im Online-Handel gelte, so die DSK, der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). Danach seien nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich seien. Die zulässige Verarbeitung der personenbezogenen Daten hänge im Einzelfall insbesondere davon ab, ob Kundinnen und Kunden einmalig einen Vertrag abschließen wollten oder eine dauerhafte Geschäftsbeziehung anstrebten. Dazu müssten sie jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder bereit seien, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden sei. Daraus ergebe sich, dass Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anböten, ihren Kundinnen und Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellten, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen müssten. Soweit im Einzelfall besondere Umstände vorlägen, bei denen ein fortlaufendes Kundenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden könne (Art. 6 Abs. 1 lit. b) DSGVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich sei, sei dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kundenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht werde.
(b) Auf der Grundlage dieses Beschlusses der DSK hat der HmbBfDI der Beklagten mit Schreiben vom 14.11.2022 (Anlage B 14) mitgeteilt, dass für die Beklagte unter den aktuellen Gegebenheiten die Möglichkeit bestehe, aufgrund besonderer Umstände von dem Grundsatz des Angebots eines Gastzugangs im Online-Handel abweichen zu können. Die Ermöglichung von Gastbestellungen sei, da dem Grundsatz der Datenminimierung anderweitig Rechnung getragen werde, unter den derzeitigen Gegebenheiten nicht zwingend notwendig. Dieser Sichtweise hat sich das Landgericht im angefochtenen Urteil unter Bezugnahme auf die eingeholte amtliche Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.11.2013 angeschlossen.
Auch der Senat teilt im Ergebnis diese Auffassung. Der Grundsatz der Datenminimierung wird durch die Beklagte, anders als es der Kläger mit dem Antrag zu 1.a) geltend macht, nicht verletzt. Entscheidend ist insoweit nicht die Begrifflichkeit, sondern die Einhaltung der Vorgaben insbesondere des Art. 5 Abs. 1 lit. c) DSGVO. Zusammengefasst stellt die Beklagte auf www.......de einen Online-Handelsmarktplatz mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an. Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kundenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Zwischen einer Bestellung mit und einer Bestellung ohne Kundenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten praktisch keine Unterschiede. In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von 3 bis 10 Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist.
(c) Das Berufungsvorbringen des Klägers begründet keine abweichende Bewertung. Insbesondere ergibt sich aus dem Recht der Verbraucher auf den Schutz personenbezogener Daten und ihrem Recht auf informationelle Selbstbestimmung kein abweichendes Ergebnis. Zwingende Rechtsprechung des Europäischen Gerichtshofs hat das Landgericht nicht außer Acht gelassen. Insbesondere hat das Landgericht in der angefochtenen Entscheidung nicht verkannt, dass die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen ist, der in Art. 5 Abs. 1 lit. c) DSGVO verankert ist und verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen (vgl. EuGH GRUR 2023, 1131, 11 Rn. 109 – Meta Platforms Inc. ua/Bundeskartellamt). Genau dies hat das Landgericht letztlich umfänglich geprüft. Der Kläger setzt im Wesentlichen eigene Wertungen an die Stelle derjenigen des Landgerichts. Daraus ergibt sich kein Fehler des Landgerichts. Der Umfang der zur Anlage eines Kundenkontos bei der Beklagten derzeit unbestritten erhobenen Daten – Form der Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl und Wohnort, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Passwort – ist auch im Ergebnis der vom Senat angestellten Verhältnismäßigkeitsprüfung nicht zu beanstanden.
OVG Berlin-Brandenburg
Urteil vom 13.05.2025
OVG 12 B 14/23
Das OVG Berlin-Brandenburg hat entschieden, dass kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen erstellten Aufzeichnungen besteht.
Die Pressemitteilung des Gerichts: Kein Rechtsanspruch auf Herausgabe von Videoaufnahmen in der S-Bahn
Die Betreiberin des öffentlichen S-Bahn-Netzes in Berlin ist nach der Datenschutz-Grundverordnung nicht dazu verpflichtet, Fahrgästen eine Kopie der Videoaufnahmen über ihre Fahrt in der S-Bahn herauszugeben. Das Oberverwaltungsgericht Berlin-Brandenburg hat heute eine entsprechende Entscheidung des Verwaltungsgerichts Berlin (Urteil vom 12. Oktober 2023 – VG 1 K 561/21) im Ergebnis bestätigt.
Der Beigeladene beantragte bei der Klägerin, der S-Bahn Berlin GmbH, die Herausgabe einer Kopie der Videoaufnahmen seiner Fahrt mit der S-Bahn unter Berufung auf das in der Datenschutz-Grundverordnung vorgesehene Auskunftsrecht (Art. 15 Absatz 3 DS-GVO). Die Klägerin verweigerte dies mit Hinweis auf ihr Datenschutzkonzept, das sie mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgestimmt hatte. Dieses sieht vor, dass die Videoaufnahmen seitens der Klägerin nicht selbst eingesehen werden können und nur bei Auskunftsanfragen der Strafverfolgungsbehörden an diese herausgegeben werden. Im Übrigen erfolgt eine Löschung durch fortlaufende Überschreibung nach 48 Stunden.
Nach Auffassung des 12. Senats handelt es sich bei den Videoaufnahmen um die Verarbeitung personenbezogener Daten. Dennoch durfte die Klägerin die Herausgabe angesichts ihres Datenschutzkonzeptes verweigern. Dieses verfolgt gerade das Ziel, den Wertungen der Datenschutz-Grundverordnung und den Persönlichkeitsrechten der Fahrgäste in größtmöglichem Umfang Rechnung zu tragen. Demgegenüber musste das Interesse des Beigeladenen am Erhalt gerade der Videoaufzeichnung zurücktreten, nachdem er bereits auf sein Gesuch hin von der Klägerin entsprechend Art. 15 Absatz 1 DS-GVO über die Art und Weise sowie Dauer der Datenspeicherung informiert worden war.
Die Revision zum Bundesverwaltungsgericht wurde zugelassen.
Der BFH hat entschieden, dass sich ein Auskunftsanspruch aus Art. 15 DSGVO gegen Finanzbehörden auch auf interne Vermerke, Aktennotizen und interne Kommunikation bezieht, sofern diese personenbezogene Daten enthalten.
Aus den Entscheidungsgründen: 2. Das angefochtene Urteil ist auch insoweit rechtsfehlerhaft, als das FG entschieden hat, dem Kläger stehe dem Grunde nach kein Anspruch auf Auskunftserteilung der ihn betreffenden und vom Beklagten verarbeiteten personenbezogenen Daten zu.
a) Art. 15 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die näher in Art. 15 Abs. 1 Buchst. a bis h DSGVO bezeichneten Informationen.
aa) Der Begriff der personenbezogenen Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
In der Verwendung der Formulierung "alle Informationen" bei der Bestimmung des Begriffs "personenbezogene Daten" in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen "über" die in Rede stehende Person handelt (Urteile des Gerichtshofs der Europäischen Union --EuGH-- IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 36; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 23, m.w.N.).
Insoweit hat der EuGH entschieden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (EuGH-Urteile IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 37; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 24 und die dort angeführte Rechtsprechung). Weiter weist der EuGH darauf hin, dass die Verwendung des Begriffs "indirekt" durch den Unionsgesetzgeber darauf hindeutet, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (EuGH-Urteil OC/Kommission vom 07.03.2024 - C-479/22 P, EU:C:2024:215, Rz 47, m.w.N.).
Daraus ergibt sich, dass es für die Qualifikation als auskunftspflichtige personenbezogene Daten abweichend zur Rechtsansicht der Vorinstanz weder eines "Hebens" in Form eines Interpretationsaktes (s. oben) noch der Absicht des Verantwortlichen, eine personenbezogene Angabe in einem spezifischen, personenbezogenen Feld zu speichern, bedarf.
bb) Der Anspruch aus Art. 15 DSGVO bezieht sich auch auf interne Vermerke, Aktennotizen, Bearbeitungs- und Geschäftsgangvermerke und interne Kommunikation. Denn auch diese Unterlagen können personenbezogene Daten enthalten (vgl. dazu BGH-Urteil vom 15.06.2021 - VI ZR 576/19, Rz 24).
b) Das FG ist daher zu Unrecht davon ausgegangen, dass die in den Akten des Beklagten enthaltenen Volltextdokumente nicht dem Schutzbereich der Datenschutz-Grundverordnung unterliegen und die darin enthaltenen personenbezogenen Daten nicht vom Auskunftsanspruch erfasst sind. Entgegen der Auffassung des FG und des Beklagten sind auch interne Vorgänge und sämtlicher Schriftverkehr erfasst, die personenbezogene Daten enthalten. Personenbezogene Daten liegen unabhängig davon vor, ob der Verantwortliche, das heißt der Beklagte, sie "gehoben" oder in einem Dateisystem gespeichert hat. Die Auskunft des Beklagten mit den Schreiben vom 17.12.2019 und vom 16.12.2021 ist daher insoweit unvollständig, als diese ausdrücklich bereits gewechselten Schriftverkehr, interne Vermerke und interne Stellungnahmen sowie Stellungnahmen anderer Steuerpflichtiger ausnimmt.
3. Anknüpfend an den vorgenannten Rechtsfehler hat das FG es ebenso fehlerhaft unterlassen zu prüfen, ob der Kläger einen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gemäß Art. 15 Abs. 3 DSGVO hat.
a) Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegen den Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten. Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist geklärt, dass Art. 15 DSGVO nicht dahin auszulegen ist, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen bezieht sich der Begriff "Kopie" nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten setzt keine Begründung voraus, weshalb es auch nicht entgegensteht, wenn er mit anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 50 und Rz 52).
Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45).
Hierfür besteht jedoch keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO für die Wahrnehmung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, muss sie darlegen, welche ihr durch die Datenschutz-Grundverordnung verliehenen Rechte sie auszuüben gedenkt und aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45). Einer entsprechenden Vermutung der Unerlässlichkeit bedarf es im Übrigen auch nicht, um einen effektiven Datenschutz zu gewährleisten. Regelmäßig genügt es für die Wahrnehmung der durch die Datenschutz-Grundverordnung verliehenen Rechte, wenn die betroffene Person Kenntnis von den über sie verarbeiteten personenbezogenen Daten erlangt und ihr die Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO mitgeteilt werden. Insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, ist die betroffene Person bereits regelmäßig in der Lage, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen (vgl. zum Ganzen Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 27 f.).
b) Ausgehend von anderen Rechtsgrundsätzen hat es das FG unterlassen, die erforderlichen Feststellungen für eine abschließende Beurteilung zu treffen. Obwohl der Kläger in der Klageschrift vom 13.01.2020 seine Beweggründe für die Geltendmachung des Auskunftsanspruchs dargelegt hat, fehlt es an Feststellungen des FG dazu, ob und in welchem Umfang die begehrten Kopien für ihn unerlässlich seien, um ihm die wirksame Ausübung der ihm durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen. Ferner fehlt es an Feststellungen, welche Rechte aus der Datenschutz-Grundverordnung der Kläger überhaupt beabsichtigt geltend zu machen.
4. Der vom Kläger geltend gemachte Anspruch auf Akteneinsicht ergibt sich zwar nicht aus Art. 15 DSGVO (dazu unter a). Das FG hat jedoch rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt (dazu unter b).
a) Das Auskunftsrecht in Art. 15 DSGVO ist nicht mit dem Akteneinsichtsrecht identisch. Denn die Datenschutz-Grundverordnung sieht keinen Anspruch auf Akteneinsicht vor (so auch Gola/Heckmann/Franck, DS-GVO, 3. Aufl., Art. 15 Rz 33, m.w.N.). Soweit der Kläger einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO herleiten möchte, enthält diese Vorschrift lediglich einen Auskunftsanspruch gegenüber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen.
Ebenso beinhaltet Art. 15 DSGVO keinen Anspruch auf Akteneinsicht als "Weniger" zum Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten beziehungsweise ausnahmsweise unter bestimmten Umständen auf Zurverfügungstellung der Quellen, in denen die personenbezogenen Daten verarbeitet wurden. Vielmehr handelt es sich bei der Gewährung von Akteneinsicht um ein Aliud. Während das Recht auf Akteneinsicht die temporäre Möglichkeit zur Einsicht in die gesamte Verwaltungsakte beinhaltet, betrifft Art. 15 DSGVO nicht die gesamte Verwaltungsakte, sondern ist auf die dauerhafte Überlassung der darin enthaltenen personenbezogenen Daten und nur ausnahmsweise unter bestimmten Umständen auf die Überlassung von Auszügen von Verwaltungsakten gerichtet.
Daran gemessen hat das FG einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO zutreffend verneint. Art. 15 Abs. 1 DSGVO ermöglicht nicht die Einsicht in Verwaltungsakten und damit die in ihnen enthaltenen Verwaltungsdokumente in Abschrift oder im Original. Vielmehr hat der Beklagte als Verantwortlicher lediglich eine (elektronische) Kopie der personenbezogenen Daten und unter gewissen Umständen auch der Quellen, in denen solche Daten verarbeitet wurden, zur Verfügung zu stellen (Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 36 f.).
b) Das FG hat rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt.
aa) Die Abgabenordnung enthält zwar --anders als zum Beispiel § 29 des Verwaltungsverfahrensgesetzes-- keine Regelung, nach der ein Anspruch auf Akteneinsicht besteht. Ein solches Einsichtsrecht ist weder aus § 91 Abs. 1 AO noch aus § 364 AO abzuleiten. Allerdings steht dem während eines Verwaltungsverfahrens um Akteneinsicht nachsuchenden Steuerpflichtigen oder seinem Vertreter ein Anspruch auf eine pflichtgemäße Ermessensentscheidung der Finanzbehörde zu, weil diese nicht gehindert ist, in Einzelfällen Akteneinsicht zu gewähren (Urteil des Bundesfinanzhofs --BFH-- vom 23.02.2010 - VII R 19/09, BFHE 228, 139, BStBl II 2010, 729, Rz 11; BFH-Beschluss vom 05.12.2016 - VI B 37/16, Rz 3; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Grundlage dieses Anspruchs ist das Rechtsstaatsprinzip gemäß Art. 20 Abs. 3 des Grundgesetzes (GG) i.V.m. dem Prozessgrundrecht gemäß Art. 19 Abs. 4 GG (BFH-Urteil vom 19.03.2013 - II R 17/11, BFHE 240, 497, BStBl II 2013, 639, Rz 11; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Der fehlende Anspruch auf Akteneinsicht im außergerichtlichen Besteuerungsverfahren und eine insoweit der Finanzverwaltung eingeräumte Ermessensausübung verstoßen nicht gegen verfassungsrechtliche Grundsätze (vgl. BFH-Beschluss vom 04.06.2003 - VII B 138/01, BFHE 202, 231, BStBl II 2003, 790, unter II.2.d, m.w.N.).
Dabei ist im Fall eines Antrags auf Akteneinsicht der Adressat des Antrags grundsätzlich berechtigt und verpflichtet, einen geltend gemachten Anspruch unter allen zumindest denkbaren rechtlichen Aspekten zu prüfen (vgl. Senatsurteil vom 23.01.2024 - IX R 36/21, BFHE 283, 219, Rz 17; BFH-Urteil vom 08.06.2021 - II R 15/20, Rz 16).
bb) Der Kläger hat ausdrücklich Akteneinsicht beantragt. Ausgehend von anderen Rechtsgrundsätzen hat die Vorinstanz es unterlassen, die erforderlichen Feststellungen zu treffen, inwieweit der Beklagte das ihm hinsichtlich der Gewährung der Akteneinsicht zustehende Ermessen ordnungsgemäß nach dem Maßstab des § 102 FGO ausgeübt beziehungsweise eine Interessenabwägung vorgenommen hat.
5. Soweit sich der Kläger mit seinem Auskunftsanspruch auf Akten der Staatsanwaltschaft und der Steuerfahndung bezieht, ist der Beklagte nicht der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Insoweit ist der Beklagte weder berechtigt noch verpflichtet, Auskunft zu erteilen.
6. Soweit das FG den nationalen Ausschlussgrund des § 32c Abs. 1 Nr. 3 AO geprüft hat, tragen seine Feststellungen das Ergebnis, insbesondere zum Ausschlussgrund des § 32c Abs. 1 Nr. 3 Buchst. a AO, nicht.
a) Das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Art. 15 DSGVO besteht nach § 32c Abs. 1 Nr. 3 AO nicht, soweit die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (Buchst. a) oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (Buchst. b) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
b) Insoweit prüft das FG nicht, ob die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (s. II.6.a; vgl. dazu BFH-Urteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 33) oder die in § 32c Abs. 1 Nr. 3 Buchst. b AO genannten Zwecke vorliegen und ob "die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde". Auch zum Ausschluss einer Verarbeitung durch "geeignete technische und organisatorische Maßnahmen" äußert sich die Ausgangsentscheidung nicht.
Das LAG Hessen hat entschieden, dass die Weiterleitung personenbezogener Beschäftigtendaten durch ein Betriebsratsmitglied über dessen privaten E-Mail-Account den Ausschluss aus dem Betriebsrat rechtfertigt.
Aus den Entscheidungsgründen: 2. Die Beschwerden des Betriebsratsvorsitzenden und des Betriebsrats sind nicht begründet. Das Arbeitsgericht hat dem Antrag des Arbeitgebers nach § 23 Abs. 1 BetrVG zu Recht stattgegeben. Die Beschwerdekammer schließt sich der zutreffenden Begründung an und nimmt auf diese Bezug. Das Vorbringen der Beteiligten im Beschwerdeverfahren führt zu keiner abweichenden Beurteilung.
Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO vorzunehmen hat (ErfK/Kania, 25. Aufl. § 79a Rn. 3; Fitting, BetrVG, 32. Auf., § 79a Rn 50). Der Betriebsrat hat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (BAG 09.05.2023 -1 ABR 14/22- Rn. 57). Je nach Schwere kann ein Verstoß gegen datenschutzrechtliche Pflichten einen Ausschlussgrund gemäß § 23 Abs. 1 BetrVG begründen (GK-BetrVG/Franzen, 12. Aufl., § 79a Rn. 12; Fitting, BetrVG, § 79a Rn. 53).
Die vom Betriebsratsvorsitzenden per E-Mail an seine private Adresse weitergeleitete Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern (Anl. K6, Bl. 116 ff. erstinstanzliche Akte) enthielt „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO. Sie enthält Informationen, die sich auf identifizierbare natürliche Personen beziehen, insbesondere über deren Vergütung. Art. 4 Nr. 1 umfasst ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und ist daher grundsätzlich weit zu verstehen. Unter die Vorschrift fallen sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (zB Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (zB Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 4 Nr. 1 Rn. 8).
Die betreffenden Informationen beziehen sich auch auf bestimmte natürliche Personen, die namentlich genannt werden.
Diese Daten hat der Betriebsratsvorsitzende verarbeitet, Art. 4 Nr. 2 DSGVO. Hierbei handelt es sich um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Bei der Verarbeitung muss es sich um einen Vorgang oder eine Vorgangsreihe handeln, die „ausgeführt“ werden. Die Verbindung mit dem Verb „ausführen“ macht deutlich, dass es sich bei einem Vorgang in diesem Sinne um ein Geschehen handeln muss, das auf eine menschliche Handlung zurückgeht. (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14). Das Erheben (collection) und das Erfassen (recording) von personenbezogenen Daten bezeichnet einen Vorgang, durch den solche Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen. Erheben und Erfassen sind nicht scharf zu unterscheiden; das Erheben bezieht sich eher auf die gezielte Beschaffung einzelner Daten, während das Erfassen eher auf die kontinuierliche Aufzeichnung eines Datenstroms abstellt (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21, 22). Durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail Account hat der Betriebsratsvorsitzende diese sich gezielt beschafft und damit „erhoben“ im Sinne von Art. 4 Nr. 2 DSGVO. Dieses „erheben“ kann hier auch mit einer Speicherung verbunden gewesen sein, notwendig ist ein solcher Zusammenhang jedoch nicht.
Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.
Hierbei kann dahinstehen, ob § 26 Abs. 1 BDSG unionsrechtlich noch anwendbar ist. In seiner Entscheidung zu § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) hat der Europäische Gerichtshof entschieden, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass nationale Rechtsvorschriften zur Gewährung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die dort vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS GVO dar, die den Anforderungen dieser Verordnung genügt (EuGH 30.03.2023 C-34/21 Rn. 89). Bestimmungen wie § 23 Abs. 1 HDSIG, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken in Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in Art. 6 Abs. 1 Unterabsatz 1 Buchst. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifische Vorschrift im Sinne von Art. 88 Abs. 1 DS GVO hinzuzufügen, scheiden aus (EuGH, a.a.O., Rn. 81). Entsprechend hat der Europäische Gerichtshof zu § 26 Abs. 4 BDSG hinsichtlich der konzernweiten Weiterleitung personenbezogener Daten der Beschäftigten mittels der cloudbasierten Software „Workday“ entschieden (EuGH 19.12.2024 C-65/23). Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.
Im Falle der Anwendung von § 26 Abs. 1 S. 1 BDSG ergibt sich folgendes: Danach dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Für die Weiterleitung der personenbezogenen Daten sämtlicher Beschäftigter an den privaten E-Mail Account des Betriebsratsvorsitzenden bestand keine Erforderlichkeit, denn es wäre ihm möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten. Erforderlichenfalls hätte er sich mit der IT-Abteilung des Arbeitgebers ins Benehmen setzen können, um einen größeren Bildschirm oder einen Adapter für den Anschluss des Betriebsrats-Laptops an seinen privaten, größeren Bildschirm zu erhalten. Für die Verarbeitung der Daten im Sinne einer Weiterleitung derselben auf sein privates Endgerät per Email bestand daher keine Veranlassung.
Auch eine Einwilligung der Beschäftigten im Sinne von § 26 Abs. 2 BDSG zur Erhebung von deren persönlichen Daten auf dem privaten Endgerät des Betriebsratsvorsitzenden lag nicht vor.
Unter Zugrundelegung der unionsrechtlichen Unanwendbarkeit von § 26 Abs. 1 BDSG ergibt sich folgendes:
Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). „Auf rechtmäßige Weise“ iSv Art. 5 Abs. 1 lit. a bedeutet demnach, dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruht (Kühling/Buchner, DSGVO, Art. 5 Rn. 11). Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür. Schon gar nicht erfolgte die Verarbeitung der Daten in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. Transparenz ist eine Vorbedingung für informationelle Selbstbestimmung und verlangt die Information der betroffenen Person über (geplante) Verarbeitungen, sodass diese als autonomes Individuum darauf reagieren und insbesondere ihre Betroffenenrechte wahrnehmen kann (Kühling/Buchner, DSGVO, Art. 5 Rn. 18). Auch eine derartige Information der Beschäftigten ist nicht erfolgt. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.
Durch die Weiterleitung der personenbezogenen (Entgelt-) Daten sämtlicher Beschäftigter an seine private E-Mail-Adresse hat der Betriebsratsvorsitzende auch gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1c DSGVO verstoßen. Daraus ergibt sich insbesondere, dass die Daten auf das notwendige Maß zu beschränken sind. Dies wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und -wie ausgeführt- keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.
Die Verarbeitung der Daten verstieß auch gegen Art. 6 Abs. 1 DSGVO. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Eine derartige Einwilligung zur Weiterleitung der personenbezogenen Daten der Beschäftigten auf den privaten E-Mail Account des Betriebsratsvorsitzenden lag nicht vor.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Partei ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Dies war hier nicht der Fall.
c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Dies war hier nicht der Fall. Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.
d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Dies war hier nicht der Fall.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Dies war hier nicht der Fall (vergleiche die Anwendungsbeispiele bei Kühling/Buchner, DSGVO, Art. 6 Rn. 159ff). Insbesondere ist darauf hinzuweisen, dass die Betriebsratstätigkeit zwar ein Ehrenamt ist, aber nicht im „öffentlichen“ Interesse liegt. Im Übrigen erforderte hier die Betriebsratstätigkeit gerade nicht die Weiterleitung der Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden.
f) Die Verarbeitung ist zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Dies war hier nicht der Fall.
Damit steht fest, dass der Betriebsratsvorsitzende mit der Weiterleitung der personenbezogenen (insbesondere Entgelt-) Daten an seinen privaten E-Mail Account gegen die ihm aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten verstoßen hat.
Die Pflichtverletzung war auch „grob“ im Sinne von § 23 Abs. 1 BetrVG. Der Betriebsratsvorsitzende hat eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung im Hinblick auf die Einhaltung des Datenschutzes bei Ausübung seines Betriebsratsamts begangen. Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte. Dass mit dem Umgang solcher Daten allergrößte Sensibilität verbunden sein muss, konnte der Betriebsratsvorsitzende ohne weiteres selbst erkennen. Hinzu kommt, dass ihm bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. Gleichwohl hat er erneut -diesmal in Bezug auf ihm in seiner Eigenschaft als Betriebsrat zugeleiteter, in höchstem Maße vertraulicher personenbezogener Unterlagen- zunächst erfolglos versucht, diese an seinen bisherigen (gmx-) Account weiterzuleiten und, als dies nicht funktionierte, an weitere private E-Mail-Adressen. Dies zeigt, dass er sich noch nicht einmal von den seitens des Arbeitgebers eingerichteten technischen Möglichkeiten zur Verhinderung eines Wiederholungsfalles abhalten ließ. Der Betriebsratsvorsitzende zeigte sich als unbelehrbar. Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen. Insbesondere entschuldigt ihn nicht, dass er dies getan habe, um die Daten zu Hause an seinem größeren Bildschirm besser bearbeiten zu können. Hierfür hätte es der Übertragung der Daten auf seinen privaten Rechner nicht bedurft. Er hätte vielmehr den Arbeitgeber um einen entsprechenden Adapter seines ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Laptops an seinen privaten Bildschirm bitten können. Im Übrigen hat der Betriebsratsvorsitzende für die Betriebsratstätigkeit nicht seine privaten Arbeitsmittel einzubringen, sondern die ihm vom Arbeitgeber nach § 40 Abs. 2 BetrVG zur Verfügung zu stellende Informations- und Kommunikationstechnik zu nutzen, wozu auch ein größerer Bildschirm gehören kann, soweit dieser zur Wahrnehmung der Betriebsratsaufgaben erforderlich ist. Ob dies hier der Fall war, bedarf keiner abschließenden Beurteilung durch die Kammer, da die Weiterleitung der personenbezogenen Daten an seinen persönlichen E-Mail Account aus den dargestellten Gründen keinesfalls zu rechtfertigen war. Es entlastet ihn auch nicht, dass sein privater PC passwortgeschützt und auch sonst durch ein System „Bitfender Total Security“ gesichert war. Wie die immer wieder vorkommenden Fälle sog. Hackings zeigen, lässt sich eine absolute Datensicherheit nicht erreichen. Gerade deshalb sind die Vorschriften der DSGVO unbedingt zu beachten und vermeidbare Risiken auszuschließen. Auch die behauptete Eilbedürftigkeit der Angelegenheit (Vorbereitung einer Betriebsvereinbarung) entschuldigt den begangenen Datenschutzverstoß nicht.
Die Irische Datenschutzbehörde (IDPC) hat ein Bußgeld in Höhe von 530 Millionen EURO gegen TikTok / Bytedance wegen Übermittlung personenbezogener Daten der Nutzer nach China verhängt.
Die Pressemitteilung der IDPC: Irish Data Protection Commission fines TikTok €530 million and orders corrective measures following Inquiry into transfers of EEA User Data to China
The Irish Data Protection Commission has today announced its final decision following an Inquiry into TikTok Technology Limited (“TikTok”). This Inquiry was launched by the DPC, in its role as the Lead Supervisory Authority for TikTok, to examine the lawfulness of TikTok’s transfers of personal data [1] of users of the TikTok platform in the EEA to the People’s Republic of China (“China”). In addition, the Inquiry examined whether the provision of information to users in relation to such transfers met TikTok’s transparency requirements as required by the GDPR.
The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Mr Dale Sunderland, and has been notified to TikTok, finds that TikTok infringed the GDPR regarding its transfers of EEA User Data to China [2] and its transparency requirements [3]. The decision includes administrative fines totalling €530 million and an order requiring TikTok to bring its processing into compliance within 6 months. The decision also includes an order suspending TikTok’s transfers to China if processing is not brought into compliance within this timeframe.
DPC Deputy Commissioner Graham Doyle commented:
“The GDPR requires that the high level of protection provided within the European Union continues where personal data is transferred to other countries.
TikTok’s personal data transfers to China infringed the GDPR because TikTok failed to verify, guarantee and demonstrate that the personal data of EEA users, remotely accessed by staff in China, was afforded a level of protection essentially equivalent to that guaranteed within the EU.
As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.”
The DPC submitted a draft decision to the GDPR cooperation mechanism on 21 February 2025, as required under Article 60 of the GDPR. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
Erroneous information submitted to Inquiry
Throughout the Inquiry, TikTok informed the DPC that it did not store EEA User Data on servers located in China. However, in April 2025, TikTok informed the DPC of an issue that it had discovered in February 2025 where limited EEA User Data had in fact been stored on servers in China, contrary to TikTok’s evidence to the Inquiry. TikTok informed the DPC that this discovery meant that TikTok had provided inaccurate information to the Inquiry.
Deputy Commissioner Doyle added that
“The DPC is taking these recent developments regarding the storage of EEA User Data on servers in China very seriously. Whilst TikTok has informed the DPC that the data has now been deleted, we are considering what further regulatory action may be warranted, in consultation with our peer EU Data Protection Authorities.”
The DPC will publish the full decision and further related information in due course.
[1] The Law on Data Transfers outside the EU
The GDPR provides a high level of protection of personal data throughout the EEA and provides data protection rights to individuals. When personal data is transferred outside of the EEA this can impede the ability of individuals to exercise rights and can circumvent that high level of protection. Therefore, it is crucial that the level of protection ensured by the GDPR should not be undermined in the case of such transfers. Accordingly, transfers of personal data can take place only if the conditions laid down in Chapter V of the GDPR are complied with. This ensures that the high level of protection provided within the European Union continues where personal data is transferred to a third country.
Article 45(1) GDPR provides that a transfer of personal data to a third country may be authorised by a decision of the European Commission to the effect that the third country, a territory or one or more specified sectors within that third country, ensures an adequate level of protection (“Adequacy Decision”).
To-date, the European Commission has made Adequacy Decisions in respect of Andorra, Argentina, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea, Switzerland, the United Kingdom, USA and Uruguay.
Under the GDPR where an organisation (“Data Controller”) intends to transfer personal data outside the EU/ EEA to a third country and where no Adequacy Decision exists between the EU and that third country, such transfers can only occur if other applicable provisions of the GDPR (Chapter V) are met such as Standard Contractual Clauses. These provisions place the responsibility on the organisation to verify, guarantee and demonstrate that the law and practices of that country guarantees a level of protection essentially equivalent to that guaranteed within EU.
[2] The DPC’s Findings regarding the lawfulness of the Transfers
In this Inquiry TikTok Ireland was required to assess if Chinese law guaranteed an essentially equivalent level of protection to EU law. The Decision finds that TikTok’s transfers to China infringed Article 46(1) GDPR because it failed to verify, guarantee and demonstrate that the supplementary measures and the Standard Contractual Clauses (“SCCs”) were effective to ensure that the personal data of EEA users transferred via remote access were afforded a level of protection essentially equivalent to that guaranteed within the EU. While TikTok maintains that transfers via remote access are not subject to the laws and practices in question, TikTok’s own assessment of Chinese law provided to the DPC during the Inquiry set out how aspects of the Chinese legal framework preclude a finding of essential equivalence to EU law. The DPC had regard to this assessment and to the Chinese laws identified by TikTok which materially diverge from EU standards such as the Anti-Terrorism Law, the Counter-Espionage Law, the Cybersecurity Law and the National Intelligence Law. In particular, the DPC found that TikTok’s failure to adequately assess the level of protection provided by Chinese law and practices to the personal data of EEA users the subject of transfers, which said personal data is processed in China, not only directly impacted TikTok’s ability to select appropriate safeguards and supplementary measures, but also prevented TikTok from verifying and guaranteeing an essentially equivalent level of protection.
In exercising corrective powers, the DPC also considered ongoing changes brought about by TikTok under “Project Clover”. Notwithstanding these changes, the DPC found that it is appropriate, necessary and proportionate to order the suspension of the Data Transfers and to order TikTok to bring its processing operations into compliance with Chapter V of the GDPR following a period of 6 months from the period allowed for an appeal against the DPC’s final Decision. The DPC considers 6 months to being a reasonable period to provide TikTok to put an end to the transfers in the circumstances.
[3] The DPC’s Findings regarding Transparency
Article 13(1)(f) GDPR requires data controllers to provide data subjects with information on that controller’s transfers of personal data to a third country. The DPC considered TikTok’s October 2021 EEA Privacy Policy and found that this policy was inadequate in two key respects for the purposes of Article 13(1)(f) GDPR.
First, TikTok’s 2021 Privacy Policy did not name the third countries, including China, to which personal data was transferred. Second, the 2021 Privacy Policy did not explain the nature of the processing operations that constitute the transfer. Specifically, the 2021 Privacy Policy failed to specify that the processing included remote access to personal data stored in Singapore and the United States by personnel based in China.
TikTok updated its Privacy Policy during the course of the Inquiry and provided its December 2022 EEA Privacy Policy to the DPC. That Privacy Policy did identify the third countries to which EEA user data was transferred. That Privacy Policy also informed EEA Users that personal data was stored on servers in the United States and Singapore, and was the subject of remote access by entities in TikTok’s corporate group located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
The DPC assessed TikTok’s December 2022 EEA Privacy Policy as compliant with the requirements of Article 13(1)(f) GDPR in terms of the Data Transfers subject to the material scope of the Decision. Therefore, the duration of the infringement of Article 13(1)(f) GDPR in the Decision relates to the period from 29 July 2020 to 1 December 2022.
The DPC imposes administrative fines totalling €530 million in this Decision, consisting of a fine of €45 million for its infringement of Article 13(1)(f) GDPR, and a fine of €485 million for its infringement of Article 46(1) GDPR.
Das OLG Köln hat entschieden, dass WIrtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen unverzüglich löschen muss. Andernfalls hat der Betroffene einen Schadensersatzanspruch aus Art. 82 DSGVO.
Das Gericht hat die Revision zum BGH zugelassen.
Aus den Entscheidungsgründen: Die Berufung hat teilweise Erfolg. Die mit dem allein noch rechtshängigen Zahlungsantrag geltend gemachten Schadensersatzansprüche sind entgegen der Auffassung des Landgerichts gemäß Art. 82 Abs. 1 DSGVO in dem aus dem Tenor ersichtlichen Umfang gerechtfertigt.
1. Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die in den ursprünglichen Klageanträgen genannten Einträge über Zahlungsstörungen des Klägers auch nach dem Ausgleich der Forderungen am 2. Dezember 2020, am 4. November 2021 beziehungsweise im Dezember 2022 für drei beziehungsweise gut zwei Jahre weiterhin gespeichert und für ihre Kunden zum Abruf bereitgehalten hat. Nach der Erfüllung der Forderungen war die fortdauernde Speicherung der - nunmehr zusätzlich mit einem Erledigungsvermerk versehenen - Einträge betreffend die zuvor aufgetretenen Zahlungsstörungen rechtswidrig, weil die in Art. 6 Abs. 1 DSGVO genannten Bedingungen nicht länger erfüllt waren.
a) Dies gilt insbesondere für die in Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO genannte Bedingung. Die von dieser Vorschrift geforderte Beurteilung der Frage, ob die berechtigten Interessen der Beklagten vernünftigerweise nicht durch eine kürzere Dauer der Datenspeicherung erreicht werden können, erfordert eine Abwägung der einander gegenüberstehenden Rechte und Interessen (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 92). Bei dieser Abwägung ist vorliegend in Ermangelung einer gesetzlichen Regelung der für Wirtschaftsauskunfteien maßgeblichen Speicherfristen (vgl. BT-Drucks. 20/10859 S. 34 ff. [Buchstabe f nebst Begründung]) die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO maßgeblich zu berücksichtigen. Danach wird eine Eintragung im Schuldnerverzeichnis auf Anordnung des zentralen Vollstreckungsgerichts gelöscht, wenn diesem die vollständige Befriedigung des Gläubigers nachgewiesen worden ist. Unter Berücksichtigung dieser Wertung hätte die Beklagte die fraglichen Einträge über Zahlungsstörungen des Klägers löschen müssen, nachdem ihr die vollständige Befriedigung der Gläubiger durch entsprechende Meldungen der Gläubiger nachgewiesen worden war.
aa) Der Europäische Gerichtshof hat entschieden, dass Art. 5 Abs. 1 Buchstabe a und Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegenstehen, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166). Die anderslautende Entscheidung des Senats vom 27. Januar 2022 - 15 U 153/21 - (ZD 2022, 233), die nach Rücknahme der dagegen eingelegten Revision rechtskräftig geworden ist, ist damit ebenso überholt wie die vom Landgericht angeführten Entscheidungen der Oberlandesgerichte Stuttgart (Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691) und Oldenburg (Urteil vom 23. November 2021 - 13 U 63/21, ZD 2022, 103, ausdrücklich aufgegeben im Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik) sowie des Kammergerichts (Urteil vom 15. Februar 2022 - 27 U 51/21, ZD 2022, 335).
bb) Zwar bezieht sich die Entscheidung des Europäischen Gerichtshofs nur auf in einem Insolvenzregister veröffentlichte Informationen über die Erteilung einer Restschuldbefreiung. Für Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO kann aber nichts Anderes gelten (vgl. BeckOK-Datenschutzrecht/Krämer, § 31 BDSG Rn. 77 [Stand: 1. November 2024]), denn zwischen dem Insolvenzregister und dem Schuldnerverzeichnis bestehen keine Unterschiede, die für die vorzunehmende Interessenabwägung von wesentlicher Bedeutung wären. Es ist der Beklagten deshalb verwehrt, aus dem öffentlichen Schuldnerverzeichnis stammende Informationen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit der eingetragenen Schuldner für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik; LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).
Der Europäische Gerichtshof hat bei seiner Entscheidung berücksichtigt, dass die Analyse einer Wirtschaftsauskunftei insoweit, als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potenziellen Kunden der Vertragspartner der Wirtschaftsauskunftei ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern kann. Andererseits stelle die Verarbeitung von Daten über die Erteilung der Restschuldbefreiung einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar, weil solche Daten als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person dienten; die Weitergabe solcher Daten sei geeignet, die Ausübung ihrer Freiheit erheblich zu erschweren, insbesondere wenn es darum gehe, Grundbedürfnisse zu decken. Zudem seien die Folgen für die betroffene Person umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die fraglichen Daten gespeichert würden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 93 bis 95). Diese Erwägungen lassen sich ohne Weiteres auf Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO übertragen.
Der Europäische Gerichtshof hat bei seiner Entscheidung ferner das Ziel eines öffentlichen Insolvenzregisters berücksichtigt, eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 96). Das Schuldnerverzeichnis gemäß § 882b ZPO dient ersichtlich demselben Zweck. Soweit der Europäische Gerichtshof ferner darauf abgestellt hat, dass das Ziel der Erteilung einer Restschuldbefreiung, dem Begünstigten eine erneute Beteiligung am Wirtschaftsleben zu ermöglichen, gefährdet wäre, wenn Wirtschaftsauskunfteien Daten über eine Restschuldbefreiung auch nach einer Löschung aus dem öffentlichen Insolvenzregister speichern und verwenden könnten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 98), steht auch diese Erwägung einer Übertragung der Rechtsprechung auf Eintragungen im Schuldnerverzeichnis nicht entgegen. Es ist kein Grund ersichtlich, warum das Interesse eines im Schuldnerverzeichnis eingetragenen Schuldners, sich nach Befriedigung seiner Gläubiger und nach einer Löschung des Eintrags im Schuldnerverzeichnis am Wirtschaftsleben zu beteiligen, geringeres Gewicht haben sollte, als das Interesse eines Insolvenzschuldners nach Erteilung der Restschuldbefreiung und nach Löschung des entsprechenden Eintrags im Insolvenzregister. Ebenso wie im Falle des Insolvenzregisters müssen deshalb auch beim Schuldnerverzeichnis die vom deutschen Gesetzgeber (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 97) geregelten zeitlichen Beschränkungen für die Datenspeicherung im öffentlichen Register auch für die Speicherung entsprechender Einträge durch die Beklagte maßgeblich sein.
cc) Zwar wird in der obergerichtlichen Rechtsprechung angenommen, bei einer Speicherung und Verarbeitung von Daten durch die Beklagte sei eine dem Schuldnerverzeichnis vergleichbare Situation nicht gegeben (vgl. OLG Frankfurt, Urteil vom 18. Januar 2023 - 7 U 100/22, ZD 2023, 217 Rn. 37 f.; OLG Bremen, Urteil vom 3. Juli 2023 - 1 U 8/22, ZD 2023, 748 Rn. 15; OLG München, Beschlüsse vom 30. Januar 2025 - 37 U 3936/24, Anlage BB 6; vom 20. Februar 2025 - 37 U 4148/24, Anlage BB 7; OLG Koblenz, Beschlüsse vom 5. März 2025 - 5 U 1018/24, Anlage BB 9; vom 10. März 2025 - 5 U 1026/24, Anlage BB 10; OLG Stuttgart, Beschluss vom 4. April 2025 - 9 U 141/24, Anlage zum Schriftsatz vom 7. April 2025). Diese Erwägungen, denen sich das Landgericht angeschlossen hat, überzeugen aber nicht.
Warum der Kreis an potenziell gegenüber der Beklagten Auskunftsberechtigten deutlich geringer sein soll als der Personenkreis, der zu einer Einsicht in das Schuldnerverzeichnis befugt ist, und warum eine Auskunftserteilung durch die Beklagte von höheren Voraussetzungen abhängig sein soll als eine - ebenfalls kostenpflichtige (Nummer 2.3 der Anlage zu § 124 JustG NRW) - Einsicht in das Schuldnerverzeichnis, erschließt sich mit Blick auf § 882f Abs. 1 ZPO nicht (vgl. OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49; OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik).
Vor allem aber kann es darauf nach der Entscheidung des Europäischen Gerichtshofs nicht mehr ankommen. Denn das Insolvenzregister, auf das sich die Entscheidung des Gerichtshofs bezieht, kann - anders als das Schuldnerverzeichnis - sogar von beliebigen Dritten ohne große Schwierigkeiten und ohne Darlegung eines berechtigten Interesses eingesehen werden. Unter anderem deshalb hatte der Senat die Regelung des § 3 InsoBekV in Bezug auf die Speicherung von Daten durch die Beklagte für nicht maßgeblich erachtet (vgl. Senatsurteil vom 27. Januar 2022 - 15 U 153/21, ZD 2022, 233 Rn. 38), woran nach der Entscheidung des Gerichtshofs nicht festgehalten werden kann.
dd) Zur Vermeidung von Wertungswidersprüchen darf die Beklagte Informationen über Zahlungsstörungen, die in das Schuldnerverzeichnis nach § 882b ZPO eingetragen sind oder dort eingetragen werden könnten, auch dann nicht länger speichern als für das Schuldnerverzeichnis vorgesehen, wenn die Beklagte die Informationen nicht durch Einsicht in das Schuldnerverzeichnis, sondern aus anderen Quellen erhalten hat (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Solche aus anderen Quellen stammenden Informationen über Zahlungsstörungen, die auch in das Schuldnerverzeichnis eingetragen werden könnten, muss die Beklagte deshalb nach der gesetzlichen Wertung des § 883e Abs. 3 Nr. 1 ZPO löschen, wenn ihr die vollständige Befriedigung des Gläubigers nachgewiesen wird.
Aus den Gesetzesmaterialien zu dieser Vorschrift ergibt sich, dass ihr die Erwägung zugrunde liegt, dass durch eine vollständige Befriedigung des Gläubigers das Informationsinteresse des Geschäftsverkehrs beseitigt wird (BT-Drucks. 16/10069 S. 40). Diese Wertung des deutschen Gesetzgebers muss ausgehend von der Entscheidung des Europäischen Gerichtshofs auch dann maßgeblich sein, wenn Wirtschaftsauskunfteien wie die Beklagte Informationen über Zahlungsstörungen speichern, die auch in das Schuldnerverzeichnis eingetragen werden könnten (vgl. LG Duisburg, Urteil im Verfahren 4 O 423/23, Anlage zur Berufungsbegründung; LG Berlin II, Urteil vom 24. März 2025 - 61 O 385/24, Anlage zum Schriftsatz des Klägers vom 27. März 2025; für § 882e Abs. 1 ZPO ebenso OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49). Denn Wirtschaftsauskunfteien verfolgen mit ihren Datenbanken keine anderen Zwecke als das Schuldnerverzeichnis (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Auch dieses soll nach dem Willen des Gesetzgebers und entgegen den Ausführungen der Beklagten nicht nur die Vollstreckung von Forderungen ermöglichen, sondern es hat weitergehend die Funktion eines Auskunftsregisters über die Kreditwürdigkeit einer Person (vgl. BT-Drucks. 16/10069 S. 37). Keinem anderen Zweck dient die Datenbank der Beklagten. Auf die von ihr vorgenommenen statistischen Untersuchungen kann es deshalb nicht ankommen; die Ergebnisse dieser Untersuchungen ändern nichts an der Maßgeblichkeit der gesetzlichen Wertung.
Dass die Eintragung in das Schuldnerverzeichnis nach § 882c ZPO eine Anordnung des Gerichtsvollziehers voraussetzt, während die Datenverarbeitung der Beklagten in der Regel auf einer Meldung des Gläubigers beruht, ist ebenfalls unerheblich. Es ist kein Grund ersichtlich, warum an der Speicherung einer von einem privaten Gläubiger gemeldeten Zahlungsstörung ein größeres Interesse bestehen sollte als an der Speicherung einer vom Gerichtsvollzieher im Rahmen eines Zwangsvollstreckungsverfahrens angeordneten Eintragung. Ferner kann es auch nicht darauf ankommen, dass eine Löschung nach § 882e Abs. 3 Nr. 1 ZPO verfahrensmäßig von einer Anordnung des zentralen Vollstreckungsgerichts abhängt.
ee) Allerdings ist bezüglich der drei Forderungen, die gegen den Kläger gerichtet waren, eine Eintragung in das Schuldnerverzeichnis nicht erfolgt und hätte offenbar auch nicht erfolgen dürfen, weil die Voraussetzungen des § 882c Abs. 1 Satz 1 ZPO nicht vorlagen. Auch dies ändert aber nichts daran, dass die Beklagte die Forderungen löschen musste, nachdem ihr durch entsprechende Meldungen der Gläubiger deren vollständige Befriedigung nachgewiesen worden war. Denn wenn in den in § 882c Abs. 1 Satz 1 ZPO genannten Fällen, in denen (sogar) Vollstreckungsmaßnahmen (Antrag auf Erteilung einer Vermögensauskunft) zunächst nicht zu einer Befriedigung geführt haben, entsprechende Einträge nach der späteren Befriedigung des Gläubigers gelöscht werden müssen, muss dies auch und erst recht gelten, wenn der Schuldner - wie im Streitfall offenbar der Kläger - den Gläubiger einer titulierten beziehungsweise mehrfach angemahnten unstreitigen Forderung ohne den Druck von Vollstreckungsmaßnahmen befriedigt (zutreffend LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).
b) Dass nach Ziffer IV. 1 Buchstabe b der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit genehmigten Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2024 auch personenbezogene Daten über ausgeglichene Forderungen für bestimmte Zeiträume gespeichert werden dürfen, ist unerheblich. Denn Verhaltensregeln im Sinne des Art. 40 DSGVO, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO ergibt, können bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 105). Davon geht die Beklagte auch selbst aus.
2. Entgegen der Auffassung des Landgerichts ist dem Kläger wegen des Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden entstanden. Dabei kann es dahinstehen, ob ein Kontrollverlust vorliegt (vgl. OLG Schleswig, Urteil vom 22. November 2024 - 17 U 2/24, juris Rn. 133). Denn jedenfalls hat der Kläger eine Rufschädigung erlitten (vgl. Erwägungsgrund 85 DSGVO). Ob eine Rufschädigung allein daraus folgt, dass die Beklagte die Daten über die Zahlungsstörungen auch nach der Erfüllung der einzelnen Forderungen weiterhin gespeichert hat, kann offenbleiben. Denn jedenfalls hat die Beklagte ausweislich der Einblendung auf Seite 2 der erstinstanzlichen Treplik im Jahr 2023 - also nach der Erfüllung der letzten Forderung - mehreren Banken, einem Energieversorgungsunternehmen und einem Telekommunikationsunternehmen Scorewerte und Erfüllungswahrscheinlichkeiten mitgeteilt, die sie unter Berücksichtigung der Zahlungsstörungen ermittelt hatte. Die fortdauernde Speicherung der Zahlungsstörungen ist somit dafür ursächlich geworden, dass die Beklagte ihren genannten Vertragspartnern gegenüber die Kreditwürdigkeit des Klägers in Zweifel gezogen hat, was sich abträglich auf dessen sozialen Geltungsanspruch ausgewirkt hat (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12; Senatsurteile vom 25. April 2024 - 15 U 204/22; vom 13. Februar 2025 - 15 U 35/24). Dass die genannten Übermittlungen keine weiteren nachteiligen Folgen für den Kläger hatten, steht der Annahme eines immateriellen Schadens in Gestalt einer Rufschädigung nicht entgegen (vgl. OLG Hamburg, Urteil vom 30. August 2023 - 13 U 71/21, juris Rn. 7).
3. Die Haftung der Beklagten ist nicht nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Die Beklagte hat nicht nachgewiesen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Umstand, dass sie sich genehmigten Verhaltensregeln unterworfen hat, schließt ihre Haftung nicht aus (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 82 DSGVO Rn. 50; Bergt/Pesch, ebd., Art. 40 DSGVO Rn. 43; vgl. auch Art. 42 Abs. 4 DSGVO bei einer Zertifizierung). Denn da die Genehmigung der Verhaltensregeln keine Erlaubniswirkung hat, durfte die Beklagte nicht auf die Richtigkeit der der Genehmigung zugrunde liegenden Rechtsauffassung vertrauen, sondern musste damit rechnen, dass die in den Verhaltensregeln vorgesehenen Speicherfristen im Fall einer gerichtlichen Überprüfung als zu lang angesehen werden. Insbesondere musste sie damit rechnen, dass die für öffentliche Register geltenden Speicherfristen als auch für sie maßgeblich angesehen werden, was in der obergerichtlichen Rechtsprechung bereits lange vor Klageerhebung im November 2023 vertreten worden war (vgl. OLG Schleswig, Urteil vom 2. Juli 2021 - 17 U 15/21, ZD 2021, 584). Die Beklagte kann sich daher nicht mit Erfolg auf einen unvermeidbaren Rechtsirrtum berufen, unabhängig von der Frage, ob ein Rechtsirrtum den Schädiger im Rahmen von Art. 82 Abs. 3 DSGVO überhaupt entlasten kann.
4. Der Höhe nach bemisst der Senat den immateriellen Schaden mit einem Betrag von 500 € (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 13).
Nach der neueren Rechtsprechung des Europäischen Gerichtshofs erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung nicht auf die Höhe des Schadensersatzes auswirken kann (vgl. EuGH, Urteile vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 59 f.; vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 41; BGH, Urteile vom 18. November 2024 - VI ZR 10/24, NJW 2025, 298 Rn. 25; vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 10 f.).
Ausgehend von diesen Grundsätzen erscheint im Streitfall ein Betrag von 500 € erforderlich, aber auch ausreichend, um den vom Kläger erlittenen immateriellen Schaden auszugleichen. Dabei ist zu berücksichtigen, dass die rechtswidrige Datenspeicherung über einen Zeitraum von mehreren Jahren angedauert und - wie unter Ziffer 2 ausgeführt - zu mehreren Übermittlungen von negativen Scorewerten an Vertragspartner der Beklagten geführt hat. Dass diese Übermittlungen weitere negativen Folgen für den Kläger hatten, lässt sich allerdings nicht feststellen. Soweit der Kläger behauptet hat, ihm seien wegen seiner Eintragung bei der Beklagten der Abschluss eines Mobilfunk- und eines Energielieferungsvertrags verwehrt worden, hat das Landgericht diesen Vortrag als nicht erweisen angesehen. Dies greift die Berufung nicht an. Soweit der Kläger sich auf Probleme im Zusammenhang mit einem Umzug und mit einer diesbezüglichen Kreditaufnahme berufen hat, lässt sich nicht feststellen, dass diese Probleme kausal auf einen Verstoß der Beklagten gegen die Datenschutz-Grundverordnung zurückzuführen sind. Denn die Probleme sollen nach dem Vortrag des Klägers bereits im Jahr 2021 und/oder im Oktober 2022 aufgetreten sein. Zu diesem Zeitpunkt war die dritte Forderung noch nicht erledigt und die Beklagte war noch berechtigt, diese Zahlungsstörung zu speichern und bei der Berechnung des Scorewertes zu berücksichtigen. Entsprechendes gilt, soweit der Kläger behauptet hat, er habe eine Stelle nicht erhalten. Der Kläger hat bei seiner persönlichen Anhörung erklärt, dies sei im Frühjahr 2021 oder 2022 gewesen (Seite 1 der Sitzungsniederschrift des Landgerichts vom 31. Mai 2024). Des Weiteren wird die Schwere der Rufschädigung dadurch relativiert, dass die von der Beklagten gespeicherten Zahlungsstörungen tatsächlich aufgetreten waren und die Beklagte der Ermittlung des Scorewertes keinen falschen Sachverhalt zugrunde gelegt hat.
5. Der Zinsanspruch folgt aus den §§ 291, 288 Abs. 1 Satz 2 BGB.
6. Als weiterer materieller Schaden sind die dem Kläger durch das Anwaltsschreiben vom 3. August 2023 entstandenen Kosten ersatzfähig. Ausgehend davon, dass der immaterielle Schaden nur mit 500 € zu bemessen ist, sind die ersatzfähigen Kosten allerdings nicht nach einem Gegenstandswert von 5.500 €, sondern nur nach einem Wert von bis zu 5.000 € zu bemessen. Es errechnet sich ein Betrag von 540,50 € (1,3 Geschäftsgebühren zuzüglich Auslagenpauschale und Umsatzsteuer).
7
7. Die prozessualen Nebenentscheidungen beruhen auf den § 91a Abs. 1 Satz 1, § 92 Abs. 1 Satz 1, § 97 Abs. 1, § 708 Nr. 10, § 711 ZPO. Soweit die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt haben, sind die Kosten der Beklagten aufzuerlegen, weil sie nach den Ausführungen unter Ziffer 1 zum Zeitpunkt der Klageerhebung im November 2023 zur Löschung der fraglichen Einträge verpflichtet war (Art. 17 Abs. 1 Buchstaben a, d DSGVO).
8. Die Entscheidung über die Zulassung der Revision beruht auf § 543 Abs. 2 Satz 1 ZPO. Die Frage, ob die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO für private Wirtschaftsauskunfteien maßgeblich ist, hat grundsätzliche Bedeutung. Im Übrigen erfordert die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts, weil der Senat mit seiner vorliegenden Entscheidung von der Rechtsprechung mehrerer anderer Oberlandesgerichte abweicht. Nicht geklärt ist im Übrigen auch, ob und unter welchen Voraussetzungen ein Rechtsirrtum einen Haftungsausschluss nach Art. 82 Abs. 3 DSGVO begründen kann. Soweit die Berufung zurückgewiesen wird, liegen die Voraussetzungen für die Zulassung der Revision hingegen nicht vor.
Aus den Entscheidungsgründen: 2. Jedoch geht aus dem nunmehr in der Berufung noch verfolgten Klagebegehren der Verbotsgegenstand nicht hinreichend bestimmt hervor, § 253 Abs. 2 Nummer 2 ZPO
a) Grundsätzlich darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (statt vieler BGH GRUR 2003, 958 – Paperboy; BGH GRUR 2005, 604, 605 – Fördermittelberatung; GRUR 2007, 607 Rdnr. 16 – Telefonwerbung für „Individualverträge”).
b) Diesen Anforderungen genügt das vom Kläger in der Berufung verfolgte Verbot nicht.
aa) Zwar ist der im Verbotsantrag verwendete Begriff der Positivdaten hinreichend definiert mit „also personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen“.
bb) Der Antrag ist aber im übrigen unbestimmt.
Verbotsziel des Klägers ist vorliegend keine konkrete Verletzungshandlung. Das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 stellt keine konkrete Verletzungshandlung dar. Mit ihm erfüllt die Beklagte lediglich ihre Pflicht gemäß Art. 13, Art. 14 DS-GVO.
Der begehrte Antrag benennt auch nicht das Charakteristische der Verletzungshandlung, insbesondere nicht die tatsächliche Handhabung der Datenweitergabe durch die Beklagte. Zudem ist dem Klägervortrag nicht zu entnehmen, dass er – eventuell hilfsweise – diese tatsächliche Handhabung der Datenweitergabe und insbesondere die tatsächlich von der Beklagten hierfür angewandten Kriterien angreift. Vielmehr hebt der Kläger ausdrücklich hervor, dass er die Unterlassung der Übermittlung von Positivdaten an Auskunfteien begehrt, wenn dies nicht ausnahmsweise datenschutzrechtlich legitimiert ist. Damit verlagert er aber die Entscheidung darüber, was der Beklagten verboten ist, ins Vollstreckungsverfahren.
Letztlich begehrt er damit ein gesetzeswiederholendes Verbot, wie lit. a) seines Unterlassungsantrags mit der Formulierung „auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung)“ zeigt. Denn dies gibt lediglich den Wortlaut des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO wieder. Derartige gesetzeswiederholende Verbote sind grundsätzlich kritisch zu bewerten. Ein Fall, in dem dies ausnahmsweise zulässig wäre (vgl. Köhler/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.40 ff. zu § 12), liegt nicht vor.
Daran ändern auch die in der Berufungsinstanz in den Verbotsantrag eingefügten weiteren Kriterien nichts. So ist unklar, was unter der Datenweitergabe „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. b) des Antrags oder unter „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. c des Antrags zu verstehen ist. Der Beklagten wird nicht vor Augen geführt, was ihr verboten werden soll.
II. Die Klage ist hinsichtlich Tenor I. des Ersturteils in der Gestalt, in der der Kläger den Ausspruch verteidigt, zudem unbegründet, so dass es – ungeachtet des bereits in der mündlichen Verhandlung erteilten Hinweises zur Unschlüssigkeit des zunächst gestellten Antrags und der seitens der Beklagten geäußerten Bestimmtheitsbedenken in Bezug auf den zuletzt gestellten Antrag – keines weiteren Hinweises des Senats bedurfte.
1. Es fehlt an der Begehungsgefahr als materielle Voraussetzung für den Unterlassungsanspruch (BGH GRUR 1973, 208, 209 – Neues aus der Medizin; GRUR 1980, 241, 242 – Rechtsschutzbedürfnis; GRUR 1983, 127, 128 – Vertragsstrafeversprechen; GRUR 1992, 318, 319 – Jubiläumsverkauf).
a) Begehungsgefahr liegt vor, wenn entweder die Gefahr eines erstmaligen Wettbewerbsverstoßes drohend bevorsteht (Erstbegehungsgefahr) oder der Anspruchsgegner sich bereits wettbewerbswidrig verhalten hat und Wiederholungsgefahr besteht. Wiederholungsgefahr wird aufgrund einer bereits erfolgten Verletzungshandlung vermutet wird (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.11 f. zu § 8).
Dabei erstreckt sich die durch eine Verletzungshandlung begründete Wiederholungsgefahr grundsätzlich auch auf alle im Kern gleichartigen Verletzungshandlungen (BGH GRUR 1989, 445, 446 – Professorenbezeichnung in der Ärztewerbung II; GRUR 1991, 672, 674 – Anzeigenrubrik I; GRUR 1993, 579, 581 – R3. GmbH; GRUR 1996, 199 – Wegfall der Wiederholungsgefahr I; GRUR 1996, 800, 802 – EDV-Geräte; GRUR 1997, 379, 380 – Wegfall der Wiederholungsgefahr II; GRUR 1999, 509, 511 – Vorratslücken; GRUR 2000, 337, 338 – Preisknaller; GRUR 2000, 907, 909 – Filialleiterfehler; GRUR 2008, 702 Rn. 55 – Internet-Versteigerung III; Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.46 zu § 8). Im Kern gleichartig ist ein Verhalten aber nur, wenn es – ohne identisch zu sein – von der Verletzungshandlung nur unbedeutend abweicht (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.47 zu § 8). Entscheidend ist, dass sich das Charakteristische der Verletzungshandlung wiederfindet.
b) Mit Blick auf diese Grundsätze fehlt es an der Begehungsgefahr für die angegriffene Verhaltensweise. Denn das vom Kläger begehrte Verbot richtet sich gemäß seiner in der Berufungsinstanz aufgenommenen lit. b) und c) gegen die Datenweitergabe soweit dies alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen) und ohne Risikoabwägung im Einzelfall erfolgt.
Davon, dass die Beklagte in diesem Sinne keine Risikoabwägung vornimmt, ist nicht auszugehen. Denn tatsächlich gibt die Beklagte Positivdaten nach ihrem Vortrag nur in Bezug auf Dauerschuldverhältnisse mit einer Laufzeit von mindestens 12 Monaten und einer kumulierten Grundgebühr von mehr als 100,- Euro weiter, und nur dann, wenn die betroffene Person selbst Vertragspartner war und ein kreditorisches Risiko bei der der Beklagten besteht. Ein solches Risiko nimmt die Beklagte an bei einer Hardwarefinanzierung oder bei der Nutzung von volumen- oder verbrauchsabhängigen entgeltpflichtigen Mehrwertdiensten, also bei Vorleistung durch die Beklagte. Die Beklagte bietet neben solchen Postpaid-Verträgen, mit denen kreditorische Risiken einhergehen, aber auch Prepaid-Verträge an, bei denen sie keine Vertragsdaten weitergibt. Zudem biete sie Verträge ohne vorfinanzierte Hardware oder ohne sonstige Vorleistung an und gibt diesbezüglich ebenfalls keine Vertragsdaten weiter.
Der diesbezügliche Beklagtenvortrag wurde im Ersturteil als streitig behandelt (LGU, Seite 18/ 19), was hier gemäß § 314 ZPO zugrunde zu legen ist. Er wird vom Kläger aber jedenfalls in der hiesigen Berufungsinstanz nicht mehr in Frage gestellt, so dass § 138 Abs. 3 ZPO greift. Der Kläger hebt nämlich nur hervor, dass diese Kriterien derart niedrigschwellig seien, dass sie von nahezu allen Mobilfunkverträgen erfüllt würden (Berufungserwiderung, Seite 4, Bl. 56 d. Akte des OLG). Einen konkreten Fall, in dem die Beklagte zudem tatsächlich verbotswidrig gehandelt hat, benennt der Kläger ebenfalls nicht.
2. Der in der Berufungsinstanz verfolgte Unterlassungsanspruch ist zudem zu weit gefasst.
Er umfasst auch rechtlich zulässiges Verhalten der Beklagten, insbesondere Verhalten, das unter den Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO fällt. Denn das begehrte Verbot greift auch dann, wenn die Beklagte insbesondere die unter lit. b) des Antrags genannten allgemeinen Kriterien der Datenweitergabe derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind, weil ein berechtigtes Interesse der Beklagten zur Betrugsprävention, die in Erwägungsgrund 46 der DSVGO ausdrücklich erwähnt ist, nicht verneint werden kann und sich die Verarbeitung im unbedingt erforderlichen Umfang hält.
Spräche man ein solch allgemeines Verbot der Einmeldung von Positivdaten an Auskunfteien aus, führte dies dazu, dass eine Übermittlung selbst bei datenschutzkonformer Ausgestaltung dieses Prozesses (also unter Darlegung, in welchen Szenarien und unter Vorschaltung interner Prüfprozesse etc. eine Übermittlung erfolgt) untersagt wäre, was mit dem zitierten Erwägungsgrund der DS-GVO nicht übereinstimmen würde. Nicht entscheidend ist, ob das Gericht ein solches zulässiges Szenario benennen kann. Es geht vielmehr darum, der Beklagten einen ihr nach der DS-GVO eingeräumten Spielraum beim Umgang mit Positivdaten zu belassen, den sie in den bestehenden Grenzen gestalten kann (so auch OLG Köln GRUR-RS 2023, 34611).
Diesem zu weit gefassten Antrag kann auch nicht im Wege der Auslegung als minus entnommen werden, dass jedenfalls ein konkretes Verhalten verboten werden soll (BGH GRUR 2004, 605, 607 – Dauertiefpreise; GRUR 2008, 702 Rn. 32 – Internetversteigerung III; GRUR 2011, 444 Rn. 13 – Flughafen FrankfurtHahn; GRUR 2011, 82 Rn. 37 – Preiswerbung ohne Umsatzsteuer).
Voraussetzung hierfür wäre nämlich, dass ohne weiteres feststellbar ist, welche konkrete Verletzungsform auf jeden Fall erfasst sein soll. Das ist hier nicht der Fall. Insbesondere stellt weder das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 eine konkrete Verletzungsform dar noch grenzen die übrigen in der Berufung aufgenommenen Einschränkungen gemäß seiner weiteren lit. a) und lit. b) den Antrag derart ein, dass nur unzulässiges Verhalten unter den Antrag fällt. Denn danach soll die Datenübermittlung untersagt werden, soweit sie auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung) und ohne Risikoabwägung im Einzelfall erfolgt. Damit sind weiterhin auch Fälle erfasst, in denen die Beklagte die genannten allgemeinen Kriterien gemäß lit. c) des Antrags derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind.
Zudem gilt, dass eine Abspaltung als „minus“ ausscheidet, wenn der Kläger ausdrücklich an seinem Antrag festhält und eine Einschränkung ablehnt. Denn es ist nicht Sache des Gerichts, einen zu weit gefassten Antrag so umzuformulieren, dass er Erfolg hat oder haben könnte (BGH GRUR 1998, 489, 492 – Unbestimmter Unterlassungsantrag III; GRUR 2002, 187, 188 – Lieferstörung). Hier macht der Kläger durch die erfolgte Umstellung nach Hinweis auf die Unschlüssigkeit seines zunächst gestellten Antrags deutlich, dass er sich pauschal dagegen wendet, Daten über den Vertragsabschluss und die Vertragsbeendigung bei Mobilfunkverträgen an die Schufa zu übermitteln. Er begehrt also ein generelles Verbot und hat sich in Bezug auf die Reichweite des Verbots nie auf die tatsächliche Handhabung der Datenübermittlung durch die Beklagte bezogen.
Das VG Ansbach hat dem EuGH zur Vorabentscheidung vorgeleget, ob ein Auskunftsanspruch aus Art. 15 DSGVO gegen eine Datenschutzbehörde besteht.
Tenor der Entscheidung:
Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist ?
2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen ?
Der EuGH hat entschieden, dass eine mündliche Auskunft eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO ist, wenn die Informationen in einem Dateisystem gespeichert ist oder gespeichert werden soll.
Tenor der Entscheidung:
1. Art. 2 Abs. 1 und Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 der Verordnung darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
2. Die Bestimmungen der Verordnung 2016/679, insbesondere ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10,
sind dahin auszulegen, dass dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist.
Leitsätze des BGH:
a) Qualifizierten Einrichtungen steht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, wegen Verstößen gegen Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb, ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Nr. 13 UKlaG, und der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.
b) In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten gemäß Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG.
c) Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den Unterrichtungspflichten gemäß Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO zentrale Bedeutung zu, um sicherzustellen, dass der Verbraucher bei seiner mit einer Nachfrageentscheidung verknüpften Einwilligung in die Verarbeitung personenbezogener Daten über Umfang und Tragweite dieser Einwilligungserklärung möglichst umfassend ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.
BGH, Urteil vom 27. März 2025 - I ZR 186/17 - KG Berlin - LG Berlin
