Das LG Berlin II hat entschieden, dass die datenschutzrechtliche Einwilligung bei Anmeldung eines Google-Kontos nicht DSGVO-konform ist.
Aus den Entscheidungsgründen: l. Der Kläger kann von der Beklagten gem. 88 8 Abs. 1, 3 Nr. 3, 3 Abs. 1, 3a UWG 1.V.m. Art. 5 Abs. 1 lit. a, 6 Abs. 1 S. 1 lit. a DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. Art. 6 Abs. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung für ein Google-Konto keine freiwillige und in informierter Weise abgegebene Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung einzuholen, wenn dies geschieht wıe in Anlage K 3 abgebildet.
1. Die Klagebefugnis ergibt sich aus 8 8 Abs. 3 Nr. 3 UWG sowie 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. verwiesen. Der Kläger ist als qualifizierte Einrichtung im Sinne von $ 4 UKlaG in der Liste des Bundesamtes für Justiz eingetragen.
2. Bei Art. 5 Abs. 1 Ilit. a und Art. 6 Abs. 1 S. 1lit. a DS-GVO handelt es sich um Marktverhaltensregelungen 1.S.d. $ 3a UWG.
Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urt. v. 27.4.2017 - | ZR 215/15, GRUR 2017, 819 Rn. 20, beck-online).
Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (OLG Stuttgart, Urteil vom 27.02.2020 - 2 U 257/19 - Reifensofortverkauf, Rn. 79 m.w.N.).
Nach diesen Maßstäben handelt es sich bei Art 5 Abs. 1 Iıt. a und Art. 6 Abs. 1 S. 1]lıt. a DS-GVO um Marktverhaltensregelungen. Denn diese Regelungen betreffen die Zulässigkeit der Erhebung von Daten u.a. auch bei der unmittelbaren Teilnahme am Markt, im vorliegenden Fall durch Eröffnung eines Google-Kontos, also bei Eingehung eines Vertrages mit der Beklagten oder der Nutzung des Kontos. Diese wiederum nutzt die Daten u.a. für die Schaltung von Werbung, was die DS-GVO zu regeln sucht (so auch LG Leipzig, Urteil vom 31.5.2023 — 05 O 666/22, MMR 2024, 277 Rn. 87, beck-online; KG, Urteil vom 20.12.2019 - 5 U 9/18 —, Rn. 174, Juris zu Art. 6 Abs. 1 5. 1 lit. a DS-GVO; MüKoUWG/Schaffert, 3. Aufl. 2020, UWG 8 3a Rn. 81, beck-online).
3. Gemäß 8 2 Abs. 1 Satz 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Eine Norm dient dem Schutz der Verbraucher, wenn der Verbraucherschutz Ihr eigentlicher Zweck ist. Sie kann auch anderen Zwecken dienen; es genügt aber nicht, wenn der Verbraucherschutz in der Norm nur untergeordnete Bedeutung hat oder eine nur zufällige Nebenwirkung iIst. Die Norm muss Verhaltenspflichten des Unternehmers gegenüber dem Verbraucher begründen (vgl. zum Ganzen BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 15] - SEPA-Lastschrift, mwN).
Die für den Streitfall maßgeblichen Vorschriften der DSGVO fallen unter den Beispielskatalog des 8 2 Abs. 2 Nr. 13 UKlaG.
4. Die Beklagte hat auch gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 S. 1]lit. a DS-GVO verstoßen.
Gemäß Art 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten u.a. auf rechtmäßige Weise und nachvollziehbar (transparent) verarbeitet werden. Art. 6 Abs. 1 DS-GVO nimmt diesen Grundsatz durch die Anforderung auf, dass eine der dort geregelten Bedingungen erfüllt sein muss. Nach Art 6 Abs. 1 S. 1lıt. a DS-GVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person Ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine „Einwilligung“ der betroffenen Person ist nach Art. 4 Nr. 11 DS-GVO Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
a) Es fehlt an einer freiwilligen Einwilligung.
Das Tatbestandsmerkmal „frei“” bzw. „freiwillig“ setzt ganz generell voraus, dass die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 34, beck-online). Die Einwilligung muss daher aufgeklärt erfolgen. Der Betroffene ist darauf hinzuweisen, dass er seine Einwilligung verweigern kann (BeckOK DatenschutzR/Schild, 50. Ed. 1.11.2024, DS-GVO Art. 4 Rn. 128, beck-online).
Inwiefern diejenigen Einwendungen der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, welche über die Einwendungen des Klägers hinausgehen, überhaupt zu prüfen sind, kann dahinstehen. An der Freiwilligkeit fehlt es jedenfalls aufgrund der vom Kläger bemängelten fehlenden Möglichkeit der vollständigen Ablehnung der Einwilligung in die Datenverarbeitung.
aa) Eine unwirksame Einwilligung liegt deshalb vor, da die „Express-Personalisierung“ lediglich die Möglichkeiten „Bestätigen“ und „Zurück“ vorsieht und nicht unmittelbar eine Ablehnung der Einwilligung möglich ist.
Grundsätzlich ist für eine freiwillige Entscheidung eines Nutzer seine Kenntnis von den Alternativen erforderlich. Hierfür muss die Beklagte die entsprechenden Möglichkeiten eröffnen und/oder eindeutig aufklären. Der Kläger und die Datenschutzbeauftragte lassen bei ihren Bewertungen wie die Beklagte zu Recht bemängelt - den ersten Schritt, die Auswahlmöglichkeit über den Personalisierungsweg, unberücksichtigt. Denn wenn dort eindeutig aufgeführt wird, dass der Weg über die „Express Personalisierung“” die unbedingte Einwilligung bedeutet, während diese bei der „Manuellen Personalisierung“ abgelehnt werden kann, so würde dies für eine aufgeklärte Einwilligung ausreichen. Dies ist allerdings nicht der Fall. Denn unter „Express-Personalisierung“ heißt es: „Nutzen Sie diese Personalisierungseinstellungen, um Inhalte und Werbung zu erhalten, die auf Ihre Interessen abgestimmt sind.“ Dieser Beschreibung lässt sich schon nicht eindeutig entnehmen, dass es überhaupt um eine Einwilligung in eine Datenverarbeitung geht. Aber selbst wenn man dies zugunsten der Beklagten annähme, ist aus dem Text nicht ersichtlich, dass der Nutzer bei Wahl der „Express-Personalisierung“ keine Möglichkeit hat, seine Einwilligung nicht zu erteilen. Aus diesem Grund müssen die beiden Personalisierungsschritte doch jeweils einzeln betrachtet werden. Dann reicht aber allein die tatsächliche Möglichkeit, die Einwilligung, nachdem der Vorgang über die „Express-Personalisierung“ abgebrochen wurde und über „Manuelle Personalisierung“ neu begonnen wurde, ım Rahmen der „Manuellen Personalisierung“ verweigern zu können, nicht aus, um den Nutzer ausreichend über die Möglichkeit der Ablehnung seiner Einwilligung zu Informieren. Vielmehr hätte der Nutzer auch im Rahmen der „Express-Personalisierung“ eindeutig darüber aufgeklärt werden müssen, dass er seine Einwilligung insgesamt verweigern kann, beispielsweise über einen weiteren Button „Ablehnen“. Dies wollte die Beklagte aber offenbar nicht, da der Expressweg dergestalt attraktiver für sie ist.
bb) Aber auch der erteilten Einwilligung über die „Manuelle Personalisierung“ fehlt es an einer Freiwilligkeit. Denn die Beklagte nutzt unstreitig trotz einer fehlenden Einwilligung in „personalisierte Werbung“ über die „allgemeine Werbung“ den Standort des Nutzers in Deutschland. Auch dabei handelt es sich um ein personenbezogenes Datum (vgl. Art. 4 Nr. 1 DS-GVO). Soweit die Beklagte sich hinsichtlich der Zulässigkeit auf die Empfehlungen der EDSA stützt, welche eine kontextbezogene oder allgemeine Werbung als „datenschutzfreundliche Alternative zur personalisierten Werbung“ anerkennt, so verkennt sie, dass die EDSA dabei auf den Bereich der Datenminimierung Bezug nimmt, nicht aber auf die Frage, ob eine wirksame freiwillige Einwilligung vorliegt. Um diese annehmen zu können, muss die Beklagte eine Alternative anbieten, mit der sämtliche Datennutzung verweigert werden kann. Soweit die Beklagte für die Nutzung des Standorts ein sonstiges berechtigtes Interesse behauptet, trägt sie noch nicht einmal vor, welches dieses sein soll.
Aufgrund der prinzipiellen Nutzung des von der Beklagten bezeichneten „allgemeinen Standorts“ besteht für den Nutzer tatsächlich keine Möglichkeit, die Nutzung sämtlicher personenbezogener Daten abzulehnen, weshalb es an der Freiwilligkeit der Einwilligung fehlt.
b) Es fehlt an auch an einer informierten Einwilligung zu einem bestimmten Zweck.
aa) Das Erfordernis der Einwilligung In „informierter Weise“ ist als Ausprägung des in Art. 5 Abs. 1 lit. a DS-GVO niedergelegten Transparenzgrundsatzes zu verstehen (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Die Informationspflicht bzgl. der Einwillilgung bezieht sich auf bestimmte Elemente, die für die Entscheidungsfindung wesentlich sind, mindestens umfasst sie aber: die Identität des Verantwortlichen, den Zweck Jjedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird, die (Art der) Daten, die erhoben und verwendet werden sowie das Bestehen eines Widerrufsrechts (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Hinsichtlich der formalen Gestaltung muss eine einfache, klare und allgemeinverständliche Sprache verwendet werden und zudem muss die Einwilligung leicht zugänglich und deutlich von anderen Sachverhalten klar zu unterscheiden sein (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online).
bb) Vorliegend fehlt es an der Transparenz schon deshalb, da die Beklagte weder über die einzelnen Google-Dienste noch Google-Apps, Google-Websites oder Google-Partner aufklärt, für welche die Daten verwendet werden sollen. Die Reichweite der Einwilligung Ist dem Nutzer schon aus diesem Grund völlig unbekannt. Ob darüber hinaus auch die konkrete Art und Weise der Darstellung, einschließlich der verwendeten Sprache, eine informierte Entscheidung entfallen lassen, kann daher dahinstehen.
Soweilt die Beklagte auf den Inhalt ihrer Datenschutzerklärung verweist, welche weitere Informationen über die „Partner“ und „Dienste“ enthielt und dabei u.a. von zwei Millionen Partnerwebsites die Rede ist, reicht auch diese Aufklärung nicht aus. Denn insoweit bleibt die Information viel zu vage, als dass der Nutzer den Umfang der Nutzung seiner Daten erfassen kann und insbesondere wofür sie bei den „Diensten“ und „Partnern“ genutzt werden. Soweit die Beklagte zu der fehlenden Angabe der Google-Dienste anführt, dass diese zu einem übermäßig langen Informationstext für die Nutzer geführt, was der Transparenz nicht genutzt hätte, kann dem nicht gefolgt werden. Zwar soll nach den „Leitlinien des Europäischen Datenschutzausschusses ("EDSA") zur Einwilligung“ keine „lange“ Datenschutzbestimmung verwendet werden, allerdings gehört die Information über sämtliche Google-Dienste (Anlage K1), für welche der Nutzer seine Einwilligung erteilt, schon nach dem Erwägungsgrund 42 der DS-GVO zu den Minimalangaben, die für eine informierte Einwilligung erforderlich sind. Demnach soll die betroffene Person nämlich wissen, in welchem Umfang sie ihre Einwilligung erteilt hat, dazu gehört insbesondere die Kenntnis für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Die Tatsache, dass die Beklagte über die von ihr zur Verfügung gestellte Einwilligung die Erlaubnis zur Nutzung von Daten für über 70 Google-Dienste einholen will, kann nicht dazu führen, dass es ihr erlaubt sein soll, die Dienste nicht wenigstens über die von Ihr genutzte Form des „layered approach” aufzuführen. Dass die Fülle an Diensten zu einer Unübersichtlichkeit deren Angabe führen würde, deutet vielmehr eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat. Sofern die Beklagte weiter ausführt, Nutzer könnten durch die Anzeige ihres „Google-Konto-Avatars“ erkennen, wenn es sich bei dem Jeweils genutzten Dienst um einen Google-Dienst handelt, und im Übrigen das Google-Konto bei den Nutzern unterschiedlich genutzt würde, so dass es zu unterschiedlich umfangreicher Nutzung der Daten kommt, so verhilft auch dieser Vortrag zu keiner abweichenden Beurteilung. Die Tatsache, dass die Nutzer nach der Einwilligung durch einen Avatar erkennen können, wann eine Google-Dienst vorliegt, ist zu spät und für die Frage der wirksamen Einwilligung unbeachtlich. Der Umfang muss den Nutzern bei Erteilung der Einwilligung bekannt sein. Auch die Tatsache, dass Nutzer Dienste in unterschiedlichen Umfang nutzen und damit unterschiedlich viele Daten preisgeben, Ist keine Besonderheit bei den Diensten der Beklagten, sondern die Regel. Dass hieraus hergeleitet werden kann, dass eine Information über den Umfang der Einwilligung nur eingeschränkt erfolgen muss, ist nicht nachvollziehbar.
c) Aus den Erwägungen unter b) fehlt es auch an der Einwilligung in einen bestimmten Zweck.
5. Angesichts der ausdrücklichen Bestimmung des 8 12a UKlaG, dass die zuständige inländische Datenschutzbehörde anzuhö6ren ist, führt die Tatasche, dass es sich bei dieser nicht um die federführende Aufsichtsbehörde 1.S.d. DS-GVO handelt, nicht zu einem Ausschluss des Anspruchs. Die DS-GVO selbst macht in Bezug zu den Rechtsbehelfen nach Art. 77 ff. DS-GVO für natürliche Personen, aber auch für den Kläger keine Vorgaben, dass eine Datenschutzbehörde überhaupt einzubinden wäre. 6. Die Wiederholungsgefahr ist gegeben. Neben der bereits durch den Verstoß indizierten Wiederholungsgefahr setzt ein Unterlassungsanspruch auf Grundlage des $ 2 Abs. 1 Satz 1 UKlaG voraus, dass er Im Interesse des Verbraucherschutzes geltend gemacht wird. Hierfür Ist erforderlich, dass der dem Anspruch zugrundeliegende Verstoß die Kollektivinteressen der Verbraucher berührt. Das ist der Fall, wenn der Verstoß in seinem Gewicht und In seiner Bedeutung über den Einzelfall hinausreicht und eine generelle Klärung geboten erscheinen lässt (vgl. BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 36] - SEPA-Lastschrift, mwN).
Il. Der Kläger kann von der Beklagten gem. $8 8 Abs. 1, 3 Nr. 2, 3 Abs. 1, 3a UWG. 1I.V.m. Art. 25 Abs. 2 S. 1 DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. 25 Abs. 2 S. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung die verfügbare Option der Speicherfrist für personenbezogene Daten von 3 Monaten nicht in den vorgegebenen Auswahlmöglichkeiten anzubieten, wenn dies geschieht wie in Anlage K 4 abgebildet.
1. Die Klagebefugnis ergibt sich aus $ 8 Abs. 3 Nr. 3 UWG sowl'!e 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. Verwiesen.
2. Auch bei Art. 25 Abs. 2 S. 1 DS-GVO handelt es sich um eine Marktverhaltensregelung (Köhler/Feddersen/Köhler/Odörfer, 43. Aufl. 2025, UWG 8 3a Rn. 1./4a, beck-online mit Verweis auf LG Hamburg, Urteil vom 22. Februar 2024 — 327 O 250/22, dort Rn. 62) sowie ein Verbraucherschutzgesetz 1.5.d. $ 2 UklaG.
3. Die Beklagte hat auch gegen Art. 25 Abs. 2 S. 1 DS-GVO verstoßen.
a) Nach Art. 25 Abs. 1 S. 1 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
„Erforderlich“ sind Daten dann, wenn der Verarbeitungszweck sich ohne sie nicht erreichen lässt (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online). Nach Erwägungsgrund 39 der DS-GVO soll die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Für solche Daten, die der Verantwortliche nicht notwendig verarbeiten muss, um die legitimen Zwecke der Verarbeitungserlaubnis erfüllen zu können, ist ihm der Weg der Voreinstellung demgegenüber verschlossen (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online).
b) Nach diesen Maßstäben liegt in Bezug auf die „Express-Personalisierung“ eine Verletzung des Art. 25 Abs. 2 S. 1 DSGVO vor, da dort eine Speicherung von mehr als drei Monaten standardmäßig eingestellt ist. Dadurch, dass durch den Nutzer nachträglich unstreitig auch ein Löschen der Daten nach drei Monaten eingestellt werden kann, gibt die Beklagte zu verstehen, dass eine solche Speicherdauer für die von der Beklagten vorgenommene Verarbeitung grundsätzlich ausreicht. Alles, was über eine Speicherung von mehr als drei Monaten hinausgeht, war mithin nicht erforderlich. Gegenteiliges behauptet auch die Beklagte nicht. So führt sie selber aus, dass eine Speicherung von 18 bzw. 36 Monaten eine „optimale Nutzererfahrung“ ermögliche und damit den Zweck der Personalisierung „bestmöglich“ erreichen würde. Bei der Frage der Erforderlichkeit der Datennutzung geht es aber nicht um die bestmögliche Nutzung, sondern um das mindestens Notwendige.
Dass die Speicherdauer im Nachgang der Einwilligung verkürzt werden können, ist hingegen irrelevant. Dass der Anbieter den Nutzern die Möglichkeit eröffnet, Datenschutzeinstellungen des Dienstes jJederzeit selbst zu ändern, genügt nach der Idee des Gesetzgebers dem normativen Auftrag des Art. 25 Abs. 2 DS-GVO nicht (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46, beck-online).
c) Schwieriger zu beurteilen ist hingegen die Frage in Bezug auf die „Manuelle Personalisierung“, da dort zwischen drei Varianten der Speicherung gewählt werden konnte und damit eine formelle Voreinstellung nicht gegeben ist. „Voreinstellung“ könnte aber auch derart verstanden werden, dass sie Jede Entscheidungsgestaltung umfasst, die durch Vorgaben des Anbieters eine Verhaltenssteuerung (zulasten Betroffener) erzielt. Darunter könnten auch solche Designmuster fallen, die dem Nutzer zwar kein „angeklicktes Kästchen“ vorgeben, ihn aber dazu nötigen, sich zwischen zwel Alternativen zu entscheiden, die zur Auswahl stehen (s. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46a, beck-online). Martini Ist - ohne Verweis auf eine Fundstelle - der Auffassung, dass solche Formen der Verhaltenssteuerung der Gesetzgeber nicht vor Augen hatte, als er Abs. 2 S. 1 erließ. Die Vorschrift beruhe vielmehr auf dem verhaltensökonomischen Default-Gedanken, der an automatisch gesetzte, aber abänderbare Programmvorgaben des Verantwortlichen anknüpft. „Voreinstellung“ setze daher eine vorbereitete Konfiguration voraus (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46b, beck-online).
Hintergrund des Art. 25 Abs. 2 S. 1 DS-GVO ist allerdings die Erkenntnis, dass werksseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden (Baumgartner, ZD 2017, 308, beck-online). Diese Erkenntnis greift Art. 25 Abs. 2 S. 1 DS-GVO auf und verlangt, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden (Baumgartner, ZD 2017, 308, beck-online).
Im vorliegenden Fall kann der Nutzer die Länge der Speicherung aktiv auswählen. Dabei wird ihm der Zeitraum von drei Monaten allerdings nicht angeboten, vielmehr wird der Zeitraum von 18 bzw. 36 Monaten voreingestellt. Zwar kann der Nutzer die Speicherung seiner Daten auch gänzlich ablehnen. Allerdings war der Verantwortliche zu dieser Auswahlmöglichkeit schon aufgrund der Freiwilligkeit der Einwilligung (s.o.) verpflichtet, so dass man bei der Beurteilung der Frage der Rechtsmäßigkeit diese Variante unberücksichtigt lassen muss, um die Frage allein bei Betrachtung der beiden verbleibenden Auswahlmöglichkeiten zu beantworten. Soweit die Beklagte anmahnt, dass die Verantwortlichen einen Gestaltungsspielraum hinsichtlich der Ausgestaltung Ihrer Einwilligungserklärung und so auch hinsichtlich der Auswahl der Monate hätten, so trifft dies gerade aufgrund des Grundsatzes der Datenminimierung in dieser Allgemeinheit eben nicht zu. Unter Berücksichtigung des Sinns und Zwecks der Vorschrift ist die angebotene Auswahl der Beklagten nicht zulässig, da eine echte Wahl für eine Datenminimierung, wie sie auch Art. / Abs. 4 DS-GVO vorsieht, nicht besteht. Das Ziel der DS-GVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten, fordert nach Dafürhalten der Kammer eine strenge Betrachtungsweise.
Der BFH hat entschieden, dass sich ein Auskunftsanspruch aus Art. 15 DSGVO gegen Finanzbehörden auch auf interne Vermerke, Aktennotizen und interne Kommunikation bezieht, sofern diese personenbezogene Daten enthalten.
Aus den Entscheidungsgründen: 2. Das angefochtene Urteil ist auch insoweit rechtsfehlerhaft, als das FG entschieden hat, dem Kläger stehe dem Grunde nach kein Anspruch auf Auskunftserteilung der ihn betreffenden und vom Beklagten verarbeiteten personenbezogenen Daten zu.
a) Art. 15 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die näher in Art. 15 Abs. 1 Buchst. a bis h DSGVO bezeichneten Informationen.
aa) Der Begriff der personenbezogenen Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
In der Verwendung der Formulierung "alle Informationen" bei der Bestimmung des Begriffs "personenbezogene Daten" in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen "über" die in Rede stehende Person handelt (Urteile des Gerichtshofs der Europäischen Union --EuGH-- IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 36; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 23, m.w.N.).
Insoweit hat der EuGH entschieden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (EuGH-Urteile IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 37; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 24 und die dort angeführte Rechtsprechung). Weiter weist der EuGH darauf hin, dass die Verwendung des Begriffs "indirekt" durch den Unionsgesetzgeber darauf hindeutet, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (EuGH-Urteil OC/Kommission vom 07.03.2024 - C-479/22 P, EU:C:2024:215, Rz 47, m.w.N.).
Daraus ergibt sich, dass es für die Qualifikation als auskunftspflichtige personenbezogene Daten abweichend zur Rechtsansicht der Vorinstanz weder eines "Hebens" in Form eines Interpretationsaktes (s. oben) noch der Absicht des Verantwortlichen, eine personenbezogene Angabe in einem spezifischen, personenbezogenen Feld zu speichern, bedarf.
bb) Der Anspruch aus Art. 15 DSGVO bezieht sich auch auf interne Vermerke, Aktennotizen, Bearbeitungs- und Geschäftsgangvermerke und interne Kommunikation. Denn auch diese Unterlagen können personenbezogene Daten enthalten (vgl. dazu BGH-Urteil vom 15.06.2021 - VI ZR 576/19, Rz 24).
b) Das FG ist daher zu Unrecht davon ausgegangen, dass die in den Akten des Beklagten enthaltenen Volltextdokumente nicht dem Schutzbereich der Datenschutz-Grundverordnung unterliegen und die darin enthaltenen personenbezogenen Daten nicht vom Auskunftsanspruch erfasst sind. Entgegen der Auffassung des FG und des Beklagten sind auch interne Vorgänge und sämtlicher Schriftverkehr erfasst, die personenbezogene Daten enthalten. Personenbezogene Daten liegen unabhängig davon vor, ob der Verantwortliche, das heißt der Beklagte, sie "gehoben" oder in einem Dateisystem gespeichert hat. Die Auskunft des Beklagten mit den Schreiben vom 17.12.2019 und vom 16.12.2021 ist daher insoweit unvollständig, als diese ausdrücklich bereits gewechselten Schriftverkehr, interne Vermerke und interne Stellungnahmen sowie Stellungnahmen anderer Steuerpflichtiger ausnimmt.
3. Anknüpfend an den vorgenannten Rechtsfehler hat das FG es ebenso fehlerhaft unterlassen zu prüfen, ob der Kläger einen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gemäß Art. 15 Abs. 3 DSGVO hat.
a) Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegen den Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten. Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist geklärt, dass Art. 15 DSGVO nicht dahin auszulegen ist, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen bezieht sich der Begriff "Kopie" nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten setzt keine Begründung voraus, weshalb es auch nicht entgegensteht, wenn er mit anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 50 und Rz 52).
Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45).
Hierfür besteht jedoch keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO für die Wahrnehmung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, muss sie darlegen, welche ihr durch die Datenschutz-Grundverordnung verliehenen Rechte sie auszuüben gedenkt und aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45). Einer entsprechenden Vermutung der Unerlässlichkeit bedarf es im Übrigen auch nicht, um einen effektiven Datenschutz zu gewährleisten. Regelmäßig genügt es für die Wahrnehmung der durch die Datenschutz-Grundverordnung verliehenen Rechte, wenn die betroffene Person Kenntnis von den über sie verarbeiteten personenbezogenen Daten erlangt und ihr die Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO mitgeteilt werden. Insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, ist die betroffene Person bereits regelmäßig in der Lage, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen (vgl. zum Ganzen Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 27 f.).
b) Ausgehend von anderen Rechtsgrundsätzen hat es das FG unterlassen, die erforderlichen Feststellungen für eine abschließende Beurteilung zu treffen. Obwohl der Kläger in der Klageschrift vom 13.01.2020 seine Beweggründe für die Geltendmachung des Auskunftsanspruchs dargelegt hat, fehlt es an Feststellungen des FG dazu, ob und in welchem Umfang die begehrten Kopien für ihn unerlässlich seien, um ihm die wirksame Ausübung der ihm durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen. Ferner fehlt es an Feststellungen, welche Rechte aus der Datenschutz-Grundverordnung der Kläger überhaupt beabsichtigt geltend zu machen.
4. Der vom Kläger geltend gemachte Anspruch auf Akteneinsicht ergibt sich zwar nicht aus Art. 15 DSGVO (dazu unter a). Das FG hat jedoch rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt (dazu unter b).
a) Das Auskunftsrecht in Art. 15 DSGVO ist nicht mit dem Akteneinsichtsrecht identisch. Denn die Datenschutz-Grundverordnung sieht keinen Anspruch auf Akteneinsicht vor (so auch Gola/Heckmann/Franck, DS-GVO, 3. Aufl., Art. 15 Rz 33, m.w.N.). Soweit der Kläger einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO herleiten möchte, enthält diese Vorschrift lediglich einen Auskunftsanspruch gegenüber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen.
Ebenso beinhaltet Art. 15 DSGVO keinen Anspruch auf Akteneinsicht als "Weniger" zum Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten beziehungsweise ausnahmsweise unter bestimmten Umständen auf Zurverfügungstellung der Quellen, in denen die personenbezogenen Daten verarbeitet wurden. Vielmehr handelt es sich bei der Gewährung von Akteneinsicht um ein Aliud. Während das Recht auf Akteneinsicht die temporäre Möglichkeit zur Einsicht in die gesamte Verwaltungsakte beinhaltet, betrifft Art. 15 DSGVO nicht die gesamte Verwaltungsakte, sondern ist auf die dauerhafte Überlassung der darin enthaltenen personenbezogenen Daten und nur ausnahmsweise unter bestimmten Umständen auf die Überlassung von Auszügen von Verwaltungsakten gerichtet.
Daran gemessen hat das FG einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO zutreffend verneint. Art. 15 Abs. 1 DSGVO ermöglicht nicht die Einsicht in Verwaltungsakten und damit die in ihnen enthaltenen Verwaltungsdokumente in Abschrift oder im Original. Vielmehr hat der Beklagte als Verantwortlicher lediglich eine (elektronische) Kopie der personenbezogenen Daten und unter gewissen Umständen auch der Quellen, in denen solche Daten verarbeitet wurden, zur Verfügung zu stellen (Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 36 f.).
b) Das FG hat rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt.
aa) Die Abgabenordnung enthält zwar --anders als zum Beispiel § 29 des Verwaltungsverfahrensgesetzes-- keine Regelung, nach der ein Anspruch auf Akteneinsicht besteht. Ein solches Einsichtsrecht ist weder aus § 91 Abs. 1 AO noch aus § 364 AO abzuleiten. Allerdings steht dem während eines Verwaltungsverfahrens um Akteneinsicht nachsuchenden Steuerpflichtigen oder seinem Vertreter ein Anspruch auf eine pflichtgemäße Ermessensentscheidung der Finanzbehörde zu, weil diese nicht gehindert ist, in Einzelfällen Akteneinsicht zu gewähren (Urteil des Bundesfinanzhofs --BFH-- vom 23.02.2010 - VII R 19/09, BFHE 228, 139, BStBl II 2010, 729, Rz 11; BFH-Beschluss vom 05.12.2016 - VI B 37/16, Rz 3; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Grundlage dieses Anspruchs ist das Rechtsstaatsprinzip gemäß Art. 20 Abs. 3 des Grundgesetzes (GG) i.V.m. dem Prozessgrundrecht gemäß Art. 19 Abs. 4 GG (BFH-Urteil vom 19.03.2013 - II R 17/11, BFHE 240, 497, BStBl II 2013, 639, Rz 11; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Der fehlende Anspruch auf Akteneinsicht im außergerichtlichen Besteuerungsverfahren und eine insoweit der Finanzverwaltung eingeräumte Ermessensausübung verstoßen nicht gegen verfassungsrechtliche Grundsätze (vgl. BFH-Beschluss vom 04.06.2003 - VII B 138/01, BFHE 202, 231, BStBl II 2003, 790, unter II.2.d, m.w.N.).
Dabei ist im Fall eines Antrags auf Akteneinsicht der Adressat des Antrags grundsätzlich berechtigt und verpflichtet, einen geltend gemachten Anspruch unter allen zumindest denkbaren rechtlichen Aspekten zu prüfen (vgl. Senatsurteil vom 23.01.2024 - IX R 36/21, BFHE 283, 219, Rz 17; BFH-Urteil vom 08.06.2021 - II R 15/20, Rz 16).
bb) Der Kläger hat ausdrücklich Akteneinsicht beantragt. Ausgehend von anderen Rechtsgrundsätzen hat die Vorinstanz es unterlassen, die erforderlichen Feststellungen zu treffen, inwieweit der Beklagte das ihm hinsichtlich der Gewährung der Akteneinsicht zustehende Ermessen ordnungsgemäß nach dem Maßstab des § 102 FGO ausgeübt beziehungsweise eine Interessenabwägung vorgenommen hat.
5. Soweit sich der Kläger mit seinem Auskunftsanspruch auf Akten der Staatsanwaltschaft und der Steuerfahndung bezieht, ist der Beklagte nicht der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Insoweit ist der Beklagte weder berechtigt noch verpflichtet, Auskunft zu erteilen.
6. Soweit das FG den nationalen Ausschlussgrund des § 32c Abs. 1 Nr. 3 AO geprüft hat, tragen seine Feststellungen das Ergebnis, insbesondere zum Ausschlussgrund des § 32c Abs. 1 Nr. 3 Buchst. a AO, nicht.
a) Das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Art. 15 DSGVO besteht nach § 32c Abs. 1 Nr. 3 AO nicht, soweit die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (Buchst. a) oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (Buchst. b) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
b) Insoweit prüft das FG nicht, ob die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (s. II.6.a; vgl. dazu BFH-Urteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 33) oder die in § 32c Abs. 1 Nr. 3 Buchst. b AO genannten Zwecke vorliegen und ob "die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde". Auch zum Ausschluss einer Verarbeitung durch "geeignete technische und organisatorische Maßnahmen" äußert sich die Ausgangsentscheidung nicht.
Das BAG hat entschieden, dass dem Betroffenen im vorliegenden Fall 200 EURO Schadensersatz aus Art. 82 DSGVO zusteht, da der Arbeitgeber datenschutzwidrig personenbezogene Echtdaten an eine Konzerngesellschaft für die Personalverwaltung übertragen hatte. Insbesondere war die Datenweitergabe nach Art. 6 Abs. 1 Satz 1 lit.. f DSGVO nicht zur Wahrung berechtigter Interessen erforderlich.
Die Pressemitteilung des Gerichts: Schadenersatz nach Datenschutz-Grundverordnung (DSGVO) - Betriebsvereinbarung - Workday
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.
Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 –
Vorinstanz: Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 –
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Irische Datenschutzbehörde (IDPC) hat ein Bußgeld in Höhe von 530 Millionen EURO gegen TikTok / Bytedance wegen Übermittlung personenbezogener Daten der Nutzer nach China verhängt.
Die Pressemitteilung der IDPC: Irish Data Protection Commission fines TikTok €530 million and orders corrective measures following Inquiry into transfers of EEA User Data to China
The Irish Data Protection Commission has today announced its final decision following an Inquiry into TikTok Technology Limited (“TikTok”). This Inquiry was launched by the DPC, in its role as the Lead Supervisory Authority for TikTok, to examine the lawfulness of TikTok’s transfers of personal data [1] of users of the TikTok platform in the EEA to the People’s Republic of China (“China”). In addition, the Inquiry examined whether the provision of information to users in relation to such transfers met TikTok’s transparency requirements as required by the GDPR.
The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Mr Dale Sunderland, and has been notified to TikTok, finds that TikTok infringed the GDPR regarding its transfers of EEA User Data to China [2] and its transparency requirements [3]. The decision includes administrative fines totalling €530 million and an order requiring TikTok to bring its processing into compliance within 6 months. The decision also includes an order suspending TikTok’s transfers to China if processing is not brought into compliance within this timeframe.
DPC Deputy Commissioner Graham Doyle commented:
“The GDPR requires that the high level of protection provided within the European Union continues where personal data is transferred to other countries.
TikTok’s personal data transfers to China infringed the GDPR because TikTok failed to verify, guarantee and demonstrate that the personal data of EEA users, remotely accessed by staff in China, was afforded a level of protection essentially equivalent to that guaranteed within the EU.
As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.”
The DPC submitted a draft decision to the GDPR cooperation mechanism on 21 February 2025, as required under Article 60 of the GDPR. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
Erroneous information submitted to Inquiry
Throughout the Inquiry, TikTok informed the DPC that it did not store EEA User Data on servers located in China. However, in April 2025, TikTok informed the DPC of an issue that it had discovered in February 2025 where limited EEA User Data had in fact been stored on servers in China, contrary to TikTok’s evidence to the Inquiry. TikTok informed the DPC that this discovery meant that TikTok had provided inaccurate information to the Inquiry.
Deputy Commissioner Doyle added that
“The DPC is taking these recent developments regarding the storage of EEA User Data on servers in China very seriously. Whilst TikTok has informed the DPC that the data has now been deleted, we are considering what further regulatory action may be warranted, in consultation with our peer EU Data Protection Authorities.”
The DPC will publish the full decision and further related information in due course.
[1] The Law on Data Transfers outside the EU
The GDPR provides a high level of protection of personal data throughout the EEA and provides data protection rights to individuals. When personal data is transferred outside of the EEA this can impede the ability of individuals to exercise rights and can circumvent that high level of protection. Therefore, it is crucial that the level of protection ensured by the GDPR should not be undermined in the case of such transfers. Accordingly, transfers of personal data can take place only if the conditions laid down in Chapter V of the GDPR are complied with. This ensures that the high level of protection provided within the European Union continues where personal data is transferred to a third country.
Article 45(1) GDPR provides that a transfer of personal data to a third country may be authorised by a decision of the European Commission to the effect that the third country, a territory or one or more specified sectors within that third country, ensures an adequate level of protection (“Adequacy Decision”).
To-date, the European Commission has made Adequacy Decisions in respect of Andorra, Argentina, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea, Switzerland, the United Kingdom, USA and Uruguay.
Under the GDPR where an organisation (“Data Controller”) intends to transfer personal data outside the EU/ EEA to a third country and where no Adequacy Decision exists between the EU and that third country, such transfers can only occur if other applicable provisions of the GDPR (Chapter V) are met such as Standard Contractual Clauses. These provisions place the responsibility on the organisation to verify, guarantee and demonstrate that the law and practices of that country guarantees a level of protection essentially equivalent to that guaranteed within EU.
[2] The DPC’s Findings regarding the lawfulness of the Transfers
In this Inquiry TikTok Ireland was required to assess if Chinese law guaranteed an essentially equivalent level of protection to EU law. The Decision finds that TikTok’s transfers to China infringed Article 46(1) GDPR because it failed to verify, guarantee and demonstrate that the supplementary measures and the Standard Contractual Clauses (“SCCs”) were effective to ensure that the personal data of EEA users transferred via remote access were afforded a level of protection essentially equivalent to that guaranteed within the EU. While TikTok maintains that transfers via remote access are not subject to the laws and practices in question, TikTok’s own assessment of Chinese law provided to the DPC during the Inquiry set out how aspects of the Chinese legal framework preclude a finding of essential equivalence to EU law. The DPC had regard to this assessment and to the Chinese laws identified by TikTok which materially diverge from EU standards such as the Anti-Terrorism Law, the Counter-Espionage Law, the Cybersecurity Law and the National Intelligence Law. In particular, the DPC found that TikTok’s failure to adequately assess the level of protection provided by Chinese law and practices to the personal data of EEA users the subject of transfers, which said personal data is processed in China, not only directly impacted TikTok’s ability to select appropriate safeguards and supplementary measures, but also prevented TikTok from verifying and guaranteeing an essentially equivalent level of protection.
In exercising corrective powers, the DPC also considered ongoing changes brought about by TikTok under “Project Clover”. Notwithstanding these changes, the DPC found that it is appropriate, necessary and proportionate to order the suspension of the Data Transfers and to order TikTok to bring its processing operations into compliance with Chapter V of the GDPR following a period of 6 months from the period allowed for an appeal against the DPC’s final Decision. The DPC considers 6 months to being a reasonable period to provide TikTok to put an end to the transfers in the circumstances.
[3] The DPC’s Findings regarding Transparency
Article 13(1)(f) GDPR requires data controllers to provide data subjects with information on that controller’s transfers of personal data to a third country. The DPC considered TikTok’s October 2021 EEA Privacy Policy and found that this policy was inadequate in two key respects for the purposes of Article 13(1)(f) GDPR.
First, TikTok’s 2021 Privacy Policy did not name the third countries, including China, to which personal data was transferred. Second, the 2021 Privacy Policy did not explain the nature of the processing operations that constitute the transfer. Specifically, the 2021 Privacy Policy failed to specify that the processing included remote access to personal data stored in Singapore and the United States by personnel based in China.
TikTok updated its Privacy Policy during the course of the Inquiry and provided its December 2022 EEA Privacy Policy to the DPC. That Privacy Policy did identify the third countries to which EEA user data was transferred. That Privacy Policy also informed EEA Users that personal data was stored on servers in the United States and Singapore, and was the subject of remote access by entities in TikTok’s corporate group located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
The DPC assessed TikTok’s December 2022 EEA Privacy Policy as compliant with the requirements of Article 13(1)(f) GDPR in terms of the Data Transfers subject to the material scope of the Decision. Therefore, the duration of the infringement of Article 13(1)(f) GDPR in the Decision relates to the period from 29 July 2020 to 1 December 2022.
The DPC imposes administrative fines totalling €530 million in this Decision, consisting of a fine of €45 million for its infringement of Article 13(1)(f) GDPR, and a fine of €485 million for its infringement of Article 46(1) GDPR.
Das OLG Köln hat entschieden, dass WIrtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen unverzüglich löschen muss. Andernfalls hat der Betroffene einen Schadensersatzanspruch aus Art. 82 DSGVO.
Das Gericht hat die Revision zum BGH zugelassen.
Aus den Entscheidungsgründen: Die Berufung hat teilweise Erfolg. Die mit dem allein noch rechtshängigen Zahlungsantrag geltend gemachten Schadensersatzansprüche sind entgegen der Auffassung des Landgerichts gemäß Art. 82 Abs. 1 DSGVO in dem aus dem Tenor ersichtlichen Umfang gerechtfertigt.
1. Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die in den ursprünglichen Klageanträgen genannten Einträge über Zahlungsstörungen des Klägers auch nach dem Ausgleich der Forderungen am 2. Dezember 2020, am 4. November 2021 beziehungsweise im Dezember 2022 für drei beziehungsweise gut zwei Jahre weiterhin gespeichert und für ihre Kunden zum Abruf bereitgehalten hat. Nach der Erfüllung der Forderungen war die fortdauernde Speicherung der - nunmehr zusätzlich mit einem Erledigungsvermerk versehenen - Einträge betreffend die zuvor aufgetretenen Zahlungsstörungen rechtswidrig, weil die in Art. 6 Abs. 1 DSGVO genannten Bedingungen nicht länger erfüllt waren.
a) Dies gilt insbesondere für die in Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO genannte Bedingung. Die von dieser Vorschrift geforderte Beurteilung der Frage, ob die berechtigten Interessen der Beklagten vernünftigerweise nicht durch eine kürzere Dauer der Datenspeicherung erreicht werden können, erfordert eine Abwägung der einander gegenüberstehenden Rechte und Interessen (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 92). Bei dieser Abwägung ist vorliegend in Ermangelung einer gesetzlichen Regelung der für Wirtschaftsauskunfteien maßgeblichen Speicherfristen (vgl. BT-Drucks. 20/10859 S. 34 ff. [Buchstabe f nebst Begründung]) die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO maßgeblich zu berücksichtigen. Danach wird eine Eintragung im Schuldnerverzeichnis auf Anordnung des zentralen Vollstreckungsgerichts gelöscht, wenn diesem die vollständige Befriedigung des Gläubigers nachgewiesen worden ist. Unter Berücksichtigung dieser Wertung hätte die Beklagte die fraglichen Einträge über Zahlungsstörungen des Klägers löschen müssen, nachdem ihr die vollständige Befriedigung der Gläubiger durch entsprechende Meldungen der Gläubiger nachgewiesen worden war.
aa) Der Europäische Gerichtshof hat entschieden, dass Art. 5 Abs. 1 Buchstabe a und Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegenstehen, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166). Die anderslautende Entscheidung des Senats vom 27. Januar 2022 - 15 U 153/21 - (ZD 2022, 233), die nach Rücknahme der dagegen eingelegten Revision rechtskräftig geworden ist, ist damit ebenso überholt wie die vom Landgericht angeführten Entscheidungen der Oberlandesgerichte Stuttgart (Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691) und Oldenburg (Urteil vom 23. November 2021 - 13 U 63/21, ZD 2022, 103, ausdrücklich aufgegeben im Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik) sowie des Kammergerichts (Urteil vom 15. Februar 2022 - 27 U 51/21, ZD 2022, 335).
bb) Zwar bezieht sich die Entscheidung des Europäischen Gerichtshofs nur auf in einem Insolvenzregister veröffentlichte Informationen über die Erteilung einer Restschuldbefreiung. Für Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO kann aber nichts Anderes gelten (vgl. BeckOK-Datenschutzrecht/Krämer, § 31 BDSG Rn. 77 [Stand: 1. November 2024]), denn zwischen dem Insolvenzregister und dem Schuldnerverzeichnis bestehen keine Unterschiede, die für die vorzunehmende Interessenabwägung von wesentlicher Bedeutung wären. Es ist der Beklagten deshalb verwehrt, aus dem öffentlichen Schuldnerverzeichnis stammende Informationen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit der eingetragenen Schuldner für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik; LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).
Der Europäische Gerichtshof hat bei seiner Entscheidung berücksichtigt, dass die Analyse einer Wirtschaftsauskunftei insoweit, als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potenziellen Kunden der Vertragspartner der Wirtschaftsauskunftei ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern kann. Andererseits stelle die Verarbeitung von Daten über die Erteilung der Restschuldbefreiung einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar, weil solche Daten als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person dienten; die Weitergabe solcher Daten sei geeignet, die Ausübung ihrer Freiheit erheblich zu erschweren, insbesondere wenn es darum gehe, Grundbedürfnisse zu decken. Zudem seien die Folgen für die betroffene Person umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die fraglichen Daten gespeichert würden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 93 bis 95). Diese Erwägungen lassen sich ohne Weiteres auf Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO übertragen.
Der Europäische Gerichtshof hat bei seiner Entscheidung ferner das Ziel eines öffentlichen Insolvenzregisters berücksichtigt, eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 96). Das Schuldnerverzeichnis gemäß § 882b ZPO dient ersichtlich demselben Zweck. Soweit der Europäische Gerichtshof ferner darauf abgestellt hat, dass das Ziel der Erteilung einer Restschuldbefreiung, dem Begünstigten eine erneute Beteiligung am Wirtschaftsleben zu ermöglichen, gefährdet wäre, wenn Wirtschaftsauskunfteien Daten über eine Restschuldbefreiung auch nach einer Löschung aus dem öffentlichen Insolvenzregister speichern und verwenden könnten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 98), steht auch diese Erwägung einer Übertragung der Rechtsprechung auf Eintragungen im Schuldnerverzeichnis nicht entgegen. Es ist kein Grund ersichtlich, warum das Interesse eines im Schuldnerverzeichnis eingetragenen Schuldners, sich nach Befriedigung seiner Gläubiger und nach einer Löschung des Eintrags im Schuldnerverzeichnis am Wirtschaftsleben zu beteiligen, geringeres Gewicht haben sollte, als das Interesse eines Insolvenzschuldners nach Erteilung der Restschuldbefreiung und nach Löschung des entsprechenden Eintrags im Insolvenzregister. Ebenso wie im Falle des Insolvenzregisters müssen deshalb auch beim Schuldnerverzeichnis die vom deutschen Gesetzgeber (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 97) geregelten zeitlichen Beschränkungen für die Datenspeicherung im öffentlichen Register auch für die Speicherung entsprechender Einträge durch die Beklagte maßgeblich sein.
cc) Zwar wird in der obergerichtlichen Rechtsprechung angenommen, bei einer Speicherung und Verarbeitung von Daten durch die Beklagte sei eine dem Schuldnerverzeichnis vergleichbare Situation nicht gegeben (vgl. OLG Frankfurt, Urteil vom 18. Januar 2023 - 7 U 100/22, ZD 2023, 217 Rn. 37 f.; OLG Bremen, Urteil vom 3. Juli 2023 - 1 U 8/22, ZD 2023, 748 Rn. 15; OLG München, Beschlüsse vom 30. Januar 2025 - 37 U 3936/24, Anlage BB 6; vom 20. Februar 2025 - 37 U 4148/24, Anlage BB 7; OLG Koblenz, Beschlüsse vom 5. März 2025 - 5 U 1018/24, Anlage BB 9; vom 10. März 2025 - 5 U 1026/24, Anlage BB 10; OLG Stuttgart, Beschluss vom 4. April 2025 - 9 U 141/24, Anlage zum Schriftsatz vom 7. April 2025). Diese Erwägungen, denen sich das Landgericht angeschlossen hat, überzeugen aber nicht.
Warum der Kreis an potenziell gegenüber der Beklagten Auskunftsberechtigten deutlich geringer sein soll als der Personenkreis, der zu einer Einsicht in das Schuldnerverzeichnis befugt ist, und warum eine Auskunftserteilung durch die Beklagte von höheren Voraussetzungen abhängig sein soll als eine - ebenfalls kostenpflichtige (Nummer 2.3 der Anlage zu § 124 JustG NRW) - Einsicht in das Schuldnerverzeichnis, erschließt sich mit Blick auf § 882f Abs. 1 ZPO nicht (vgl. OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49; OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik).
Vor allem aber kann es darauf nach der Entscheidung des Europäischen Gerichtshofs nicht mehr ankommen. Denn das Insolvenzregister, auf das sich die Entscheidung des Gerichtshofs bezieht, kann - anders als das Schuldnerverzeichnis - sogar von beliebigen Dritten ohne große Schwierigkeiten und ohne Darlegung eines berechtigten Interesses eingesehen werden. Unter anderem deshalb hatte der Senat die Regelung des § 3 InsoBekV in Bezug auf die Speicherung von Daten durch die Beklagte für nicht maßgeblich erachtet (vgl. Senatsurteil vom 27. Januar 2022 - 15 U 153/21, ZD 2022, 233 Rn. 38), woran nach der Entscheidung des Gerichtshofs nicht festgehalten werden kann.
dd) Zur Vermeidung von Wertungswidersprüchen darf die Beklagte Informationen über Zahlungsstörungen, die in das Schuldnerverzeichnis nach § 882b ZPO eingetragen sind oder dort eingetragen werden könnten, auch dann nicht länger speichern als für das Schuldnerverzeichnis vorgesehen, wenn die Beklagte die Informationen nicht durch Einsicht in das Schuldnerverzeichnis, sondern aus anderen Quellen erhalten hat (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Solche aus anderen Quellen stammenden Informationen über Zahlungsstörungen, die auch in das Schuldnerverzeichnis eingetragen werden könnten, muss die Beklagte deshalb nach der gesetzlichen Wertung des § 883e Abs. 3 Nr. 1 ZPO löschen, wenn ihr die vollständige Befriedigung des Gläubigers nachgewiesen wird.
Aus den Gesetzesmaterialien zu dieser Vorschrift ergibt sich, dass ihr die Erwägung zugrunde liegt, dass durch eine vollständige Befriedigung des Gläubigers das Informationsinteresse des Geschäftsverkehrs beseitigt wird (BT-Drucks. 16/10069 S. 40). Diese Wertung des deutschen Gesetzgebers muss ausgehend von der Entscheidung des Europäischen Gerichtshofs auch dann maßgeblich sein, wenn Wirtschaftsauskunfteien wie die Beklagte Informationen über Zahlungsstörungen speichern, die auch in das Schuldnerverzeichnis eingetragen werden könnten (vgl. LG Duisburg, Urteil im Verfahren 4 O 423/23, Anlage zur Berufungsbegründung; LG Berlin II, Urteil vom 24. März 2025 - 61 O 385/24, Anlage zum Schriftsatz des Klägers vom 27. März 2025; für § 882e Abs. 1 ZPO ebenso OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49). Denn Wirtschaftsauskunfteien verfolgen mit ihren Datenbanken keine anderen Zwecke als das Schuldnerverzeichnis (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Auch dieses soll nach dem Willen des Gesetzgebers und entgegen den Ausführungen der Beklagten nicht nur die Vollstreckung von Forderungen ermöglichen, sondern es hat weitergehend die Funktion eines Auskunftsregisters über die Kreditwürdigkeit einer Person (vgl. BT-Drucks. 16/10069 S. 37). Keinem anderen Zweck dient die Datenbank der Beklagten. Auf die von ihr vorgenommenen statistischen Untersuchungen kann es deshalb nicht ankommen; die Ergebnisse dieser Untersuchungen ändern nichts an der Maßgeblichkeit der gesetzlichen Wertung.
Dass die Eintragung in das Schuldnerverzeichnis nach § 882c ZPO eine Anordnung des Gerichtsvollziehers voraussetzt, während die Datenverarbeitung der Beklagten in der Regel auf einer Meldung des Gläubigers beruht, ist ebenfalls unerheblich. Es ist kein Grund ersichtlich, warum an der Speicherung einer von einem privaten Gläubiger gemeldeten Zahlungsstörung ein größeres Interesse bestehen sollte als an der Speicherung einer vom Gerichtsvollzieher im Rahmen eines Zwangsvollstreckungsverfahrens angeordneten Eintragung. Ferner kann es auch nicht darauf ankommen, dass eine Löschung nach § 882e Abs. 3 Nr. 1 ZPO verfahrensmäßig von einer Anordnung des zentralen Vollstreckungsgerichts abhängt.
ee) Allerdings ist bezüglich der drei Forderungen, die gegen den Kläger gerichtet waren, eine Eintragung in das Schuldnerverzeichnis nicht erfolgt und hätte offenbar auch nicht erfolgen dürfen, weil die Voraussetzungen des § 882c Abs. 1 Satz 1 ZPO nicht vorlagen. Auch dies ändert aber nichts daran, dass die Beklagte die Forderungen löschen musste, nachdem ihr durch entsprechende Meldungen der Gläubiger deren vollständige Befriedigung nachgewiesen worden war. Denn wenn in den in § 882c Abs. 1 Satz 1 ZPO genannten Fällen, in denen (sogar) Vollstreckungsmaßnahmen (Antrag auf Erteilung einer Vermögensauskunft) zunächst nicht zu einer Befriedigung geführt haben, entsprechende Einträge nach der späteren Befriedigung des Gläubigers gelöscht werden müssen, muss dies auch und erst recht gelten, wenn der Schuldner - wie im Streitfall offenbar der Kläger - den Gläubiger einer titulierten beziehungsweise mehrfach angemahnten unstreitigen Forderung ohne den Druck von Vollstreckungsmaßnahmen befriedigt (zutreffend LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).
b) Dass nach Ziffer IV. 1 Buchstabe b der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit genehmigten Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2024 auch personenbezogene Daten über ausgeglichene Forderungen für bestimmte Zeiträume gespeichert werden dürfen, ist unerheblich. Denn Verhaltensregeln im Sinne des Art. 40 DSGVO, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO ergibt, können bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 105). Davon geht die Beklagte auch selbst aus.
2. Entgegen der Auffassung des Landgerichts ist dem Kläger wegen des Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden entstanden. Dabei kann es dahinstehen, ob ein Kontrollverlust vorliegt (vgl. OLG Schleswig, Urteil vom 22. November 2024 - 17 U 2/24, juris Rn. 133). Denn jedenfalls hat der Kläger eine Rufschädigung erlitten (vgl. Erwägungsgrund 85 DSGVO). Ob eine Rufschädigung allein daraus folgt, dass die Beklagte die Daten über die Zahlungsstörungen auch nach der Erfüllung der einzelnen Forderungen weiterhin gespeichert hat, kann offenbleiben. Denn jedenfalls hat die Beklagte ausweislich der Einblendung auf Seite 2 der erstinstanzlichen Treplik im Jahr 2023 - also nach der Erfüllung der letzten Forderung - mehreren Banken, einem Energieversorgungsunternehmen und einem Telekommunikationsunternehmen Scorewerte und Erfüllungswahrscheinlichkeiten mitgeteilt, die sie unter Berücksichtigung der Zahlungsstörungen ermittelt hatte. Die fortdauernde Speicherung der Zahlungsstörungen ist somit dafür ursächlich geworden, dass die Beklagte ihren genannten Vertragspartnern gegenüber die Kreditwürdigkeit des Klägers in Zweifel gezogen hat, was sich abträglich auf dessen sozialen Geltungsanspruch ausgewirkt hat (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12; Senatsurteile vom 25. April 2024 - 15 U 204/22; vom 13. Februar 2025 - 15 U 35/24). Dass die genannten Übermittlungen keine weiteren nachteiligen Folgen für den Kläger hatten, steht der Annahme eines immateriellen Schadens in Gestalt einer Rufschädigung nicht entgegen (vgl. OLG Hamburg, Urteil vom 30. August 2023 - 13 U 71/21, juris Rn. 7).
3. Die Haftung der Beklagten ist nicht nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Die Beklagte hat nicht nachgewiesen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Umstand, dass sie sich genehmigten Verhaltensregeln unterworfen hat, schließt ihre Haftung nicht aus (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 82 DSGVO Rn. 50; Bergt/Pesch, ebd., Art. 40 DSGVO Rn. 43; vgl. auch Art. 42 Abs. 4 DSGVO bei einer Zertifizierung). Denn da die Genehmigung der Verhaltensregeln keine Erlaubniswirkung hat, durfte die Beklagte nicht auf die Richtigkeit der der Genehmigung zugrunde liegenden Rechtsauffassung vertrauen, sondern musste damit rechnen, dass die in den Verhaltensregeln vorgesehenen Speicherfristen im Fall einer gerichtlichen Überprüfung als zu lang angesehen werden. Insbesondere musste sie damit rechnen, dass die für öffentliche Register geltenden Speicherfristen als auch für sie maßgeblich angesehen werden, was in der obergerichtlichen Rechtsprechung bereits lange vor Klageerhebung im November 2023 vertreten worden war (vgl. OLG Schleswig, Urteil vom 2. Juli 2021 - 17 U 15/21, ZD 2021, 584). Die Beklagte kann sich daher nicht mit Erfolg auf einen unvermeidbaren Rechtsirrtum berufen, unabhängig von der Frage, ob ein Rechtsirrtum den Schädiger im Rahmen von Art. 82 Abs. 3 DSGVO überhaupt entlasten kann.
4. Der Höhe nach bemisst der Senat den immateriellen Schaden mit einem Betrag von 500 € (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 13).
Nach der neueren Rechtsprechung des Europäischen Gerichtshofs erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung nicht auf die Höhe des Schadensersatzes auswirken kann (vgl. EuGH, Urteile vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 59 f.; vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 41; BGH, Urteile vom 18. November 2024 - VI ZR 10/24, NJW 2025, 298 Rn. 25; vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 10 f.).
Ausgehend von diesen Grundsätzen erscheint im Streitfall ein Betrag von 500 € erforderlich, aber auch ausreichend, um den vom Kläger erlittenen immateriellen Schaden auszugleichen. Dabei ist zu berücksichtigen, dass die rechtswidrige Datenspeicherung über einen Zeitraum von mehreren Jahren angedauert und - wie unter Ziffer 2 ausgeführt - zu mehreren Übermittlungen von negativen Scorewerten an Vertragspartner der Beklagten geführt hat. Dass diese Übermittlungen weitere negativen Folgen für den Kläger hatten, lässt sich allerdings nicht feststellen. Soweit der Kläger behauptet hat, ihm seien wegen seiner Eintragung bei der Beklagten der Abschluss eines Mobilfunk- und eines Energielieferungsvertrags verwehrt worden, hat das Landgericht diesen Vortrag als nicht erweisen angesehen. Dies greift die Berufung nicht an. Soweit der Kläger sich auf Probleme im Zusammenhang mit einem Umzug und mit einer diesbezüglichen Kreditaufnahme berufen hat, lässt sich nicht feststellen, dass diese Probleme kausal auf einen Verstoß der Beklagten gegen die Datenschutz-Grundverordnung zurückzuführen sind. Denn die Probleme sollen nach dem Vortrag des Klägers bereits im Jahr 2021 und/oder im Oktober 2022 aufgetreten sein. Zu diesem Zeitpunkt war die dritte Forderung noch nicht erledigt und die Beklagte war noch berechtigt, diese Zahlungsstörung zu speichern und bei der Berechnung des Scorewertes zu berücksichtigen. Entsprechendes gilt, soweit der Kläger behauptet hat, er habe eine Stelle nicht erhalten. Der Kläger hat bei seiner persönlichen Anhörung erklärt, dies sei im Frühjahr 2021 oder 2022 gewesen (Seite 1 der Sitzungsniederschrift des Landgerichts vom 31. Mai 2024). Des Weiteren wird die Schwere der Rufschädigung dadurch relativiert, dass die von der Beklagten gespeicherten Zahlungsstörungen tatsächlich aufgetreten waren und die Beklagte der Ermittlung des Scorewertes keinen falschen Sachverhalt zugrunde gelegt hat.
5. Der Zinsanspruch folgt aus den §§ 291, 288 Abs. 1 Satz 2 BGB.
6. Als weiterer materieller Schaden sind die dem Kläger durch das Anwaltsschreiben vom 3. August 2023 entstandenen Kosten ersatzfähig. Ausgehend davon, dass der immaterielle Schaden nur mit 500 € zu bemessen ist, sind die ersatzfähigen Kosten allerdings nicht nach einem Gegenstandswert von 5.500 €, sondern nur nach einem Wert von bis zu 5.000 € zu bemessen. Es errechnet sich ein Betrag von 540,50 € (1,3 Geschäftsgebühren zuzüglich Auslagenpauschale und Umsatzsteuer).
7
7. Die prozessualen Nebenentscheidungen beruhen auf den § 91a Abs. 1 Satz 1, § 92 Abs. 1 Satz 1, § 97 Abs. 1, § 708 Nr. 10, § 711 ZPO. Soweit die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt haben, sind die Kosten der Beklagten aufzuerlegen, weil sie nach den Ausführungen unter Ziffer 1 zum Zeitpunkt der Klageerhebung im November 2023 zur Löschung der fraglichen Einträge verpflichtet war (Art. 17 Abs. 1 Buchstaben a, d DSGVO).
8. Die Entscheidung über die Zulassung der Revision beruht auf § 543 Abs. 2 Satz 1 ZPO. Die Frage, ob die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO für private Wirtschaftsauskunfteien maßgeblich ist, hat grundsätzliche Bedeutung. Im Übrigen erfordert die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts, weil der Senat mit seiner vorliegenden Entscheidung von der Rechtsprechung mehrerer anderer Oberlandesgerichte abweicht. Nicht geklärt ist im Übrigen auch, ob und unter welchen Voraussetzungen ein Rechtsirrtum einen Haftungsausschluss nach Art. 82 Abs. 3 DSGVO begründen kann. Soweit die Berufung zurückgewiesen wird, liegen die Voraussetzungen für die Zulassung der Revision hingegen nicht vor.
Aus den Entscheidungsgründen: 2. Jedoch geht aus dem nunmehr in der Berufung noch verfolgten Klagebegehren der Verbotsgegenstand nicht hinreichend bestimmt hervor, § 253 Abs. 2 Nummer 2 ZPO
a) Grundsätzlich darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (statt vieler BGH GRUR 2003, 958 – Paperboy; BGH GRUR 2005, 604, 605 – Fördermittelberatung; GRUR 2007, 607 Rdnr. 16 – Telefonwerbung für „Individualverträge”).
b) Diesen Anforderungen genügt das vom Kläger in der Berufung verfolgte Verbot nicht.
aa) Zwar ist der im Verbotsantrag verwendete Begriff der Positivdaten hinreichend definiert mit „also personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen“.
bb) Der Antrag ist aber im übrigen unbestimmt.
Verbotsziel des Klägers ist vorliegend keine konkrete Verletzungshandlung. Das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 stellt keine konkrete Verletzungshandlung dar. Mit ihm erfüllt die Beklagte lediglich ihre Pflicht gemäß Art. 13, Art. 14 DS-GVO.
Der begehrte Antrag benennt auch nicht das Charakteristische der Verletzungshandlung, insbesondere nicht die tatsächliche Handhabung der Datenweitergabe durch die Beklagte. Zudem ist dem Klägervortrag nicht zu entnehmen, dass er – eventuell hilfsweise – diese tatsächliche Handhabung der Datenweitergabe und insbesondere die tatsächlich von der Beklagten hierfür angewandten Kriterien angreift. Vielmehr hebt der Kläger ausdrücklich hervor, dass er die Unterlassung der Übermittlung von Positivdaten an Auskunfteien begehrt, wenn dies nicht ausnahmsweise datenschutzrechtlich legitimiert ist. Damit verlagert er aber die Entscheidung darüber, was der Beklagten verboten ist, ins Vollstreckungsverfahren.
Letztlich begehrt er damit ein gesetzeswiederholendes Verbot, wie lit. a) seines Unterlassungsantrags mit der Formulierung „auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung)“ zeigt. Denn dies gibt lediglich den Wortlaut des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO wieder. Derartige gesetzeswiederholende Verbote sind grundsätzlich kritisch zu bewerten. Ein Fall, in dem dies ausnahmsweise zulässig wäre (vgl. Köhler/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.40 ff. zu § 12), liegt nicht vor.
Daran ändern auch die in der Berufungsinstanz in den Verbotsantrag eingefügten weiteren Kriterien nichts. So ist unklar, was unter der Datenweitergabe „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. b) des Antrags oder unter „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. c des Antrags zu verstehen ist. Der Beklagten wird nicht vor Augen geführt, was ihr verboten werden soll.
II. Die Klage ist hinsichtlich Tenor I. des Ersturteils in der Gestalt, in der der Kläger den Ausspruch verteidigt, zudem unbegründet, so dass es – ungeachtet des bereits in der mündlichen Verhandlung erteilten Hinweises zur Unschlüssigkeit des zunächst gestellten Antrags und der seitens der Beklagten geäußerten Bestimmtheitsbedenken in Bezug auf den zuletzt gestellten Antrag – keines weiteren Hinweises des Senats bedurfte.
1. Es fehlt an der Begehungsgefahr als materielle Voraussetzung für den Unterlassungsanspruch (BGH GRUR 1973, 208, 209 – Neues aus der Medizin; GRUR 1980, 241, 242 – Rechtsschutzbedürfnis; GRUR 1983, 127, 128 – Vertragsstrafeversprechen; GRUR 1992, 318, 319 – Jubiläumsverkauf).
a) Begehungsgefahr liegt vor, wenn entweder die Gefahr eines erstmaligen Wettbewerbsverstoßes drohend bevorsteht (Erstbegehungsgefahr) oder der Anspruchsgegner sich bereits wettbewerbswidrig verhalten hat und Wiederholungsgefahr besteht. Wiederholungsgefahr wird aufgrund einer bereits erfolgten Verletzungshandlung vermutet wird (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.11 f. zu § 8).
Dabei erstreckt sich die durch eine Verletzungshandlung begründete Wiederholungsgefahr grundsätzlich auch auf alle im Kern gleichartigen Verletzungshandlungen (BGH GRUR 1989, 445, 446 – Professorenbezeichnung in der Ärztewerbung II; GRUR 1991, 672, 674 – Anzeigenrubrik I; GRUR 1993, 579, 581 – R3. GmbH; GRUR 1996, 199 – Wegfall der Wiederholungsgefahr I; GRUR 1996, 800, 802 – EDV-Geräte; GRUR 1997, 379, 380 – Wegfall der Wiederholungsgefahr II; GRUR 1999, 509, 511 – Vorratslücken; GRUR 2000, 337, 338 – Preisknaller; GRUR 2000, 907, 909 – Filialleiterfehler; GRUR 2008, 702 Rn. 55 – Internet-Versteigerung III; Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.46 zu § 8). Im Kern gleichartig ist ein Verhalten aber nur, wenn es – ohne identisch zu sein – von der Verletzungshandlung nur unbedeutend abweicht (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.47 zu § 8). Entscheidend ist, dass sich das Charakteristische der Verletzungshandlung wiederfindet.
b) Mit Blick auf diese Grundsätze fehlt es an der Begehungsgefahr für die angegriffene Verhaltensweise. Denn das vom Kläger begehrte Verbot richtet sich gemäß seiner in der Berufungsinstanz aufgenommenen lit. b) und c) gegen die Datenweitergabe soweit dies alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen) und ohne Risikoabwägung im Einzelfall erfolgt.
Davon, dass die Beklagte in diesem Sinne keine Risikoabwägung vornimmt, ist nicht auszugehen. Denn tatsächlich gibt die Beklagte Positivdaten nach ihrem Vortrag nur in Bezug auf Dauerschuldverhältnisse mit einer Laufzeit von mindestens 12 Monaten und einer kumulierten Grundgebühr von mehr als 100,- Euro weiter, und nur dann, wenn die betroffene Person selbst Vertragspartner war und ein kreditorisches Risiko bei der der Beklagten besteht. Ein solches Risiko nimmt die Beklagte an bei einer Hardwarefinanzierung oder bei der Nutzung von volumen- oder verbrauchsabhängigen entgeltpflichtigen Mehrwertdiensten, also bei Vorleistung durch die Beklagte. Die Beklagte bietet neben solchen Postpaid-Verträgen, mit denen kreditorische Risiken einhergehen, aber auch Prepaid-Verträge an, bei denen sie keine Vertragsdaten weitergibt. Zudem biete sie Verträge ohne vorfinanzierte Hardware oder ohne sonstige Vorleistung an und gibt diesbezüglich ebenfalls keine Vertragsdaten weiter.
Der diesbezügliche Beklagtenvortrag wurde im Ersturteil als streitig behandelt (LGU, Seite 18/ 19), was hier gemäß § 314 ZPO zugrunde zu legen ist. Er wird vom Kläger aber jedenfalls in der hiesigen Berufungsinstanz nicht mehr in Frage gestellt, so dass § 138 Abs. 3 ZPO greift. Der Kläger hebt nämlich nur hervor, dass diese Kriterien derart niedrigschwellig seien, dass sie von nahezu allen Mobilfunkverträgen erfüllt würden (Berufungserwiderung, Seite 4, Bl. 56 d. Akte des OLG). Einen konkreten Fall, in dem die Beklagte zudem tatsächlich verbotswidrig gehandelt hat, benennt der Kläger ebenfalls nicht.
2. Der in der Berufungsinstanz verfolgte Unterlassungsanspruch ist zudem zu weit gefasst.
Er umfasst auch rechtlich zulässiges Verhalten der Beklagten, insbesondere Verhalten, das unter den Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO fällt. Denn das begehrte Verbot greift auch dann, wenn die Beklagte insbesondere die unter lit. b) des Antrags genannten allgemeinen Kriterien der Datenweitergabe derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind, weil ein berechtigtes Interesse der Beklagten zur Betrugsprävention, die in Erwägungsgrund 46 der DSVGO ausdrücklich erwähnt ist, nicht verneint werden kann und sich die Verarbeitung im unbedingt erforderlichen Umfang hält.
Spräche man ein solch allgemeines Verbot der Einmeldung von Positivdaten an Auskunfteien aus, führte dies dazu, dass eine Übermittlung selbst bei datenschutzkonformer Ausgestaltung dieses Prozesses (also unter Darlegung, in welchen Szenarien und unter Vorschaltung interner Prüfprozesse etc. eine Übermittlung erfolgt) untersagt wäre, was mit dem zitierten Erwägungsgrund der DS-GVO nicht übereinstimmen würde. Nicht entscheidend ist, ob das Gericht ein solches zulässiges Szenario benennen kann. Es geht vielmehr darum, der Beklagten einen ihr nach der DS-GVO eingeräumten Spielraum beim Umgang mit Positivdaten zu belassen, den sie in den bestehenden Grenzen gestalten kann (so auch OLG Köln GRUR-RS 2023, 34611).
Diesem zu weit gefassten Antrag kann auch nicht im Wege der Auslegung als minus entnommen werden, dass jedenfalls ein konkretes Verhalten verboten werden soll (BGH GRUR 2004, 605, 607 – Dauertiefpreise; GRUR 2008, 702 Rn. 32 – Internetversteigerung III; GRUR 2011, 444 Rn. 13 – Flughafen FrankfurtHahn; GRUR 2011, 82 Rn. 37 – Preiswerbung ohne Umsatzsteuer).
Voraussetzung hierfür wäre nämlich, dass ohne weiteres feststellbar ist, welche konkrete Verletzungsform auf jeden Fall erfasst sein soll. Das ist hier nicht der Fall. Insbesondere stellt weder das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 eine konkrete Verletzungsform dar noch grenzen die übrigen in der Berufung aufgenommenen Einschränkungen gemäß seiner weiteren lit. a) und lit. b) den Antrag derart ein, dass nur unzulässiges Verhalten unter den Antrag fällt. Denn danach soll die Datenübermittlung untersagt werden, soweit sie auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung) und ohne Risikoabwägung im Einzelfall erfolgt. Damit sind weiterhin auch Fälle erfasst, in denen die Beklagte die genannten allgemeinen Kriterien gemäß lit. c) des Antrags derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind.
Zudem gilt, dass eine Abspaltung als „minus“ ausscheidet, wenn der Kläger ausdrücklich an seinem Antrag festhält und eine Einschränkung ablehnt. Denn es ist nicht Sache des Gerichts, einen zu weit gefassten Antrag so umzuformulieren, dass er Erfolg hat oder haben könnte (BGH GRUR 1998, 489, 492 – Unbestimmter Unterlassungsantrag III; GRUR 2002, 187, 188 – Lieferstörung). Hier macht der Kläger durch die erfolgte Umstellung nach Hinweis auf die Unschlüssigkeit seines zunächst gestellten Antrags deutlich, dass er sich pauschal dagegen wendet, Daten über den Vertragsabschluss und die Vertragsbeendigung bei Mobilfunkverträgen an die Schufa zu übermitteln. Er begehrt also ein generelles Verbot und hat sich in Bezug auf die Reichweite des Verbots nie auf die tatsächliche Handhabung der Datenübermittlung durch die Beklagte bezogen.
BGH
Urteil vom 11.02.2025 VI ZR 365/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.
Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.
BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover
Aus den Entscheidungsgründen: 2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.
a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.
b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.
aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).
bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).
Der EuGH hat entschieden, dass eine mündliche Auskunft eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO ist, wenn die Informationen in einem Dateisystem gespeichert ist oder gespeichert werden soll.
Tenor der Entscheidung:
1. Art. 2 Abs. 1 und Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 der Verordnung darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
2. Die Bestimmungen der Verordnung 2016/679, insbesondere ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10,
sind dahin auszulegen, dass dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist.
LG Berlin II
Urteile vom 04.04.2025 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24
Das LG Berlin II hat in mehreren Fällen Facebook / Meta zur Auskunftserteilung, Löschung und Zahlung von Schadensersatz an die jeweiligen Betroffenen wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über die Meta Buisness Tools verurteilt.
Die Pressemitteilung des Gerichts: Landgericht Berlin II verpflichtet Meta in sechs Fällen unter anderem zur Auskunft, Löschung von Daten und Schadensersatz
Das Landgericht Berlin II hat in sechs Urteilen vom 4. April 2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 € zugesprochen.
Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile.
Der Einsatz der Meta Business Tools auf Webseiten und Apps ist dabei nur eingeschränkt erkennbar. Schätzungen gehen davon aus, dass diese bei mindestens 30 bis 40 Prozent der Webseiten weltweit und auf der überwiegenden Mehrzahl der meistbesuchten 100 Webseiten in Deutschland zum Einsatz kommen. Dies erfolge nicht nur ohne, sondern auch gegen den ausdrücklichen Willen der Nutzer*innen.
Die Beklagte wendet dagegen ein, die Drittunternehmen seien für die Installation und Nutzung der Business Tools und somit für die Offenlegung der Daten verantwortlich. Sie selbst nehme eine Datenverarbeitung jedenfalls zur Bereitstellung personalisierter Werbung nur vor, wenn die Nutzer*innen ausdrücklich hierin einwilligen. Anderenfalls würden übermittelte Daten nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, genutzt.
In der mündlichen Verhandlung wies das Gericht darauf hin, dass den Kläger*innen der Auskunftsanspruch aus Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) zustehe, da die Beklagte die über die Meta Business Tools erhaltenen personenbezogenen Daten der Kläger*innen zur Erstellung von Persönlichkeitsprofilen verarbeitet und gespeichert habe. Der Löschungs- bzw. Anonymisierungsanspruch bestehe nach Art. 17 Abs. 1 DSGVO, da für die Datenverarbeitung keine Rechtsgrundlage bestehe. Hierfür lägen keine Einwilligungen der Kläger*innen vor. Wegen der Verstöße gegen die DSGVO stünden den Kläger*innen zudem Ansprüche auf Schadensersatz nach Art. 82 DSGVO zu. Für die weiteren Einzelheiten müssen die schriftlichen Urteilsgründe abgewartet werden.
Die Urteile sind noch nicht rechtskräftig. Es kann dagegen Berufung beim Kammergericht innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.
Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24
Der EuGH hat entschieden, dass die Offenlegung von Namen und Kontaktdaten der Vertreter juristischer Personen in amtlichen Dokumenten eine Verarbeitung personenbezogener Daten im Sinne der DSGVO ist.
Tenor der Entscheidung:
1. Art. 4 Nrn. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.
2. Art. 6 Abs. 1 Buchst. c und e in Verbindung mit Art. 86 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Rechtsprechung nicht entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.
Leitsätze des BGH:
a) Qualifizierten Einrichtungen steht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, wegen Verstößen gegen Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb, ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Nr. 13 UKlaG, und der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.
b) In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten gemäß Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG.
c) Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den Unterrichtungspflichten gemäß Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO zentrale Bedeutung zu, um sicherzustellen, dass der Verbraucher bei seiner mit einer Nachfrageentscheidung verknüpften Einwilligung in die Verarbeitung personenbezogener Daten über Umfang und Tragweite dieser Einwilligungserklärung möglichst umfassend ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.
BGH, Urteil vom 27. März 2025 - I ZR 186/17 - KG Berlin - LG Berlin
Der BGH hat entschieden, dass Mitbewerber und Verbraucherschutzverbände Datenschutzverstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen können.
Die Pressemitteilung des BGH: Verbraucherschutzverbände und Mitbewerber sind befugt, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen
Der unter anderem für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden im Wege einer Klage vor den Zivilgerichten verfolgt werden kann.
Sachverhalt:
Die in Irland ansässige Beklagte betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen (?), Deine E-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."
Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, dass die Beklagte die Nutzer ihres Netzwerks mit den unter dem Button "Sofort spielen" gegebenen Hinweisen nicht hinreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten unterrichtet und damit gegen die gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung verstößt. Er sieht darin zugleich ein wettbewerbswidriges Verhalten und hat die Beklagte auf Unterlassung in Anspruch genommen. In dem abschließenden Hinweis bei einem Spiel sieht der Kläger eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.
Bisheriger Prozessverlauf:
Das Berufungsgericht hat der Klage stattgegeben. Mit der Revision hat die Beklagte ihren Antrag auf Klageabweisung weiterverfolgt.
Der Bundesgerichtshof hat das Verfahren mit Beschlüssen vom 28. Mai 2020 und vom 10. November 2022 ausgesetzt und dem Gerichtshof der Europäischen Union jeweils Fragen zur Auslegung der Verordnung (EU) Nr. 2016/679 (Datenschutz-Grundverordnung - DSGVO) zur Vorabentscheidung vorgelegt (Beschluss vom 28. Mai 2020 - I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I; Beschluss vom 10. November 2022 - I ZR 186/17, GRUR 2023, 193 = WRP 2023, 189 - App-Zentrum II). Dieser hat die Fragen mit Urteilen vom 28. April 2022 und vom 11. Juli 2024 beantwortet (Urteil vom 28. April 2022, C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland I; Urteil vom 11. Juli 2024, C-757/22, GRUR 2024, 1357 = WRP 2024, 1049 - Meta Platforms Ireland II).
Entscheidung des Bundesgerichtshofs:
Die Revision der Beklagten hatte keinen Erfolg.
Art. 80 Abs. 2 DSGVO bildet eine geeignete Grundlage für die Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung durch Verbände nach dem Gesetz gegen den unlauteren Wettbewerb und dem Unterlassungsklagengesetz. Den genannten Verbraucherverbänden steht daher nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, gegen Verletzungen von Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst.?c und e DSGVO wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb und gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 1 und 2 Satz 1 Nr. 13 UKlaG sowie der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen. Unschädlich ist insoweit, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat. Da von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist, ist die Benennung einer Kategorie oder Gruppe von identifizierbaren natürlichen Personen für die Erhebung einer solchen Verbandsklage ausreichend. Es genügt außerdem, wenn sich die Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt, weil im Streitfall nicht davon ausgegangen werden kann, dass der Kläger mit seiner Klage rein hypothetische Verstöße geltend macht.
Die Präsentation von Spielen im App-Zentrum der Beklagten verstößt gegen Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO, weil der Nutzer zu Beginn des Nutzungsvorgangs nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form sowie über die Rechtsgrundlage für die Verarbeitung und die Empfänger der persönlichen Daten unterrichtet wird.
In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG. Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den datenschutzrechtlichen Unterrichtungspflichten zentrale Bedeutung zu. Sie sollen sicherstellen, dass der Verbraucher bei seiner Nachfrageentscheidung, die mit einer Einwilligung in die Verarbeitung personenbezogener Daten verknüpft ist, möglichst umfassend über Umfang und Tragweite dieser Einwilligungserklärung ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.
Der abschließende Hinweis "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten" stellt eine den Nutzer wegen des Verstoßes gegen die datenschutzrechtlichen Informationspflichten unangemessen benachteiligende und daher unwirksame Allgemeine Geschäftsbedingung dar, deren Verwendung der Kläger nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG untersagen lassen kann.
Urteile vom 27. März 2025 - I ZR 222/19 und ZR 223/19
Der I. Zivilsenat des Bundesgerichtshofs hat in diesen beiden Revisionsverfahren entschieden, dass ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, wobei ohne ausdrückliche Einwilligung von Kunden deren Bestelldaten (Name des Kunden, Lieferadresse und Informationen zur Individualisierung des Medikaments) erhoben werden, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt, und dass ein solcher Verstoß von einem anderen Apotheker mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.
Sachverhalt:
Die Parteien in beiden Verfahren sind Apotheker. Die beklagten Apotheker vertreiben Arzneimittel über die Plattform des Anbieters Amazon.
In beiden Verfahren beanstanden die klagenden Apotheker, dass die Beklagten gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstoßen, weil die von Kunden bei der Bestellung eingegebenen Daten wie der Name des Kunden, die Lieferadresse und Informationen zur Individualisierung des Medikaments ohne ausdrückliche Einwilligung erhoben, verarbeitet und genutzt werden.
Im Verfahren I ZR 222/19 rügt der Kläger darüber hinaus, der Vertrieb apothekenpflichtiger Arzneimittel über die Plattform verstoße gegen den Vertrieb von Arzneimitteln reglementierende Vorschriften des Arzneimittelgesetzes, des Heilmittelwerbegesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung sowie die Berufsordnung für Apotheker.
Die Kläger haben die Beklagten in beiden Verfahren auf Unterlassung und im Verfahren I ZR 222/19 auch auf Schadensersatz in Anspruch genommen.
Bisheriger Prozessverlauf:
In beiden Verfahren haben die Berufungsgerichte der Klage insoweit stattgegeben, als sie den jeweiligen Beklagten wegen Verstoßes gegen datenschutzrechtliche Bestimmungen zur Unterlassung verurteilt haben. Soweit der Kläger im Verfahren I ZR 222/19 auch Verstöße gegen weitere Vorschriften geltend gemacht und Schadensersatz beansprucht hat, hat das Berufungsgericht die Klage abgewiesen.
Der Bundesgerichtshof hat das Verfahren I ZR 223/19 mit Beschluss vom 12. Januar 2023 (GRUR 2023, 264 - Arzneimittelbestelldaten I) ausgesetzt und dem Gerichtshof der Europäischen Union Fragen zur Auslegung der Datenschutz-Grundverordnung zur Vorabentscheidung vorgelegt. Das Verfahren I ZR 222/19 hat der Bundesgerichtshof bis zur Entscheidung über das Vorabentscheidungsersuchen in der Sache I ZR 223/19 ausgesetzt. Der Gerichtshof der Europäischen Union hat die ihm vorgelegten Fragen mit Urteil vom 4. Oktober 2024 - C-21/23 (GRUR 2024, 1721 = GRUR 2024, 1318 - Lindenapotheke) beantwortet.
Entscheidung des Bundesgerichtshofs:
Die von den Beklagten in beiden Verfahren eingelegten Revisionen gegen ihre Verurteilung zur Unterlassung wegen Verstoßes gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen hatten keinen Erfolg. Die vom Kläger im Verfahren I ZR 222/19 eingelegte Revision hatte Erfolg, soweit der Kläger die Verurteilung des Beklagten zum Schadensersatz erstrebte, sie hatte keinen Erfolg, soweit er die Verurteilung des Beklagten wegen Verstößen gegen weitere Vorschriften begehrte.
Die Datenschutz-Grundverordnung steht einer nationalen Regelung nicht entgegen, die Mitbewerbern die Befugnis einräumt, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den mutmaßlichen Verletzer im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten vorzugehen.
Die Verarbeitung und Nutzung der von Kunden der Beklagten bei der Onlinebestellung eines Arzneimittels über den Account eines Apothekers beim Amazon-Marketplace eingegebenen Daten wie der Name des Kunden, die Lieferadresse und die für die Individualisierung des bestellten Medikaments notwendigen Informationen verstößt, wenn sie - wie im Streitfall - ohne ausdrückliche Einwilligung der Kunden erfolgt, gegen Art. 9 Abs. 1 DSGVO. Bei den Bestelldaten handelt es sich um Gesundheitsdaten im Sinne dieser Vorschrift und zwar auch dann, wenn das Arzneimittel keiner ärztlichen Verschreibung bedarf.
Art. 9 Abs. 1 DSGVO ist eine Marktverhaltensregelung im Sinne von § 3a UWG, so dass der Verstoß gegen diese Vorschrift von einem Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann. Die Bestimmungen zum Erfordernis der Einwilligung in die Verarbeitung personenbezogener Daten dienen dem Schutz der Persönlichkeitsrechtsinteressen der Verbraucher gerade auch im Zusammenhang mit ihrer Marktteilnahme. Die Verbraucher sollen frei darüber entscheiden können, ob und inwieweit sie ihre Daten preisgeben, um am Markt teilnehmen und Verträge abschließen zu können.
(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. [...]
(3) Die Ansprüche aus Absatz 1 stehen zu:
1. jedem Mitbewerber, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, [...]
3. den qualifizierten Verbraucherverbänden, die in der Liste nach § 4 des Unterlassungsklagengesetzes eingetragen sind, [...]
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, [...]
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; [...]
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: [...]
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; [...]
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte [...]
(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.
Das LG Stuttgart hat entschieden, dass die Speicherung von Meta Business Tools Off-Site-Daten durch Facebook datenschutzwidrig ist, wenn dies ohne Einwilligung des Nutzers erfolgt.
Aus den Entscheidungsgründen: Soweit die Klage zulässig ist, ist sie teilweise begründet.
1. Der Klageantrag Ziffer 3 ist unbegründet. Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
a) Soweit der Kläger sich zur Begründung dieses Anspruchs darauf stützt, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürfen, wobei unter Verarbeitung gemäß Art. 4 Nr. 2 DSGVO auch die Löschung falle, greift das nicht durch.
Tatbestandlich setzt ein Anspruch nach Art. 18 Abs. 2 DSGVO voraus, dass die Verarbeitung gemäß Art. 18 Abs. 1 DSGVO eingeschränkt wurde. Dabei kann vorliegend dahinstehen, ob die Voraussetzungen des Art. 18 Abs. 1 Buchst b DSGVO vorliegen und der Kläger deshalb von der Beklagten eine Einschränkung der Verarbeitung verlangen kann. Denn unabhängig davon ist die Verarbeitung jedenfalls derzeit nicht eingeschränkt im Sinne von Art. 4 Nr. 3 DSGVO. Denn gemäß Art. 4 Nr. 3 DSGVO ist eine Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wie sich aus Erwägungsgrund 67 der DSGVO ergibt, muss für eine Einschränkung der Verarbeitung durch Einrichtung geeigneter Verfahren bzw. technische Maßnahmen ferner sichergestellt sein, dass die markierten Daten nur noch für eingeschränkte Zwecke nach Art. 18 Abs. 2 DSGVO verarbeitet werden (vgl. Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 29). Die bei der Beklagten gespeicherten personenbezogenen Daten des Klägers erfüllen diese Anforderungen nicht und sind somit nicht in der Verarbeitung eingeschränkt.
Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Dies ergibt sich sowohl aus dem Wortlaut der Norm („Wurde die Verarbeitung eingeschränkt…“) als auch der systematischen Unterscheidung in Art. 18 Abs. 1 und Abs. 2 DSGVO zwischen den zeitlich und inhaltlich aufeinander aufbauenden Ansprüchen des Betroffenen. Die Rechte aus Art. 18 Abs. 2 DSGVO stehen dem Betroffenen daher erst dann zu, nachdem die Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt wurde (Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 34), woran es im Streitfall gerade fehlt.
b) Dem Kläger steht auch nicht aus § 1004 BGB iVm § 823 Abs. 1 BGB ein Anspruch darauf zu, dass die Beklagte seine personenbezogenen Daten ab sofort unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
Dabei kann vorliegend dahinstehen, ob ein Unterlassungsanspruch des nationalen Rechts neben der DSGVO anwendbar ist oder ob diese insoweit Sperrwirkung entfaltet. Wird die Anwendbarkeit eines Unterlassungsanspruchs im rechtlichen Ausgangspunkt zu Gunsten des Klägers unterstellt, so besteht ein Unterlassungsanspruch jedenfalls in der Sache nicht. Denn die Beklagte ist gerade nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst e DSGVO verpflichtet, die Speicherung personenbezogener Daten zeitlich auf das notwendige Mindestmaß zu begrenzen. Außerhalb des Anwendungsbereichs des Art. 18 Abs. 2 DSGVO stünde es in Widerspruch zu diesem gesetzlichen Grundsatz, wenn man dem Verantwortlichen die Löschung der Daten verbieten würde.
2. Der Klageantrag Ziffer 4 ist begründet.
a) In tatsächlicher Hinsicht steht auf der Grundlage der Parteianhörung des Klägers zur vollen Überzeugung des Gerichts (§ 286 ZPO) fest, dass die Beklagte auf Drittwebseiten oder Apps angefallene Daten des Klägers speichert.
Wie der Kläger im Rahmen der Parteianhörung glaubhaft angegeben hat, besucht er regelmäßig die Internetseite bild.de. Überdies hat er den Vorhalt seines Prozessbevollmächtigten auf der Grundlage der diesem gegenüber schriftlich gemachten Angaben des Klägers bestätigt, dass er gelegentlich die Websites PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com nutze. Es handelt sich hierbei sämtlich um Internetseiten, welche Facebook Business Tools installiert haben. Damit steht fest, dass es in der Vergangenheit zur Übermittlung von auf diesen Seiten angefallenen Daten des Klägers an die Beklagte gekommen ist.
b) Es kann dahinstehen, ob die bloße Entgegennahme von Daten, welche Drittunternehmen der Beklagten im Rahmen der Facebook Business Tools übermittelt haben, als „Erheben“ von Daten durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO anzusehen ist und ob im Hinblick auf die Übermittlung personenbezogener Daten des Klägers die Betreiber der Drittwebseiten oder Apps hierzu die Einwilligung des Klägers eingeholt haben. Denn jedenfalls speichert die Beklagte die Daten, wofür sie sich nicht auf eine vom Anbieter der Drittwebseite oder App eingeholte Einwilligung berufen kann.
aa) Social-Media-Anbieter wie die Beklagte sind bei der Erhebung von Off-Site-Daten gemeinsam mit Drittunternehmen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für den Datenerhebungsvorgang (EuGH, Urteil vom 29.07.2019 – C-40/17, GRUR 2019, 977 Rn. 81 ff.). Es obliegt jedoch nicht dem Social-Media-Anbieter, sondern (nur) dem Drittunternehmen als Initiator des Datenverarbeitungsprozesses, die Einwilligung der betroffenen Person einzuholen (EuGH, aaO Rn. 102). Dieser Differenzierung liegt die Vorstellung zugrunde, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, und dass der Grad der Verantwortlichkeit jedes Mitverantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, aaO Rn. 70). Sollten die vom Kläger besuchten Drittwebseiten sowie Apps die Einwilligung des Klägers zur Weiterleitung von Daten an die Beklagte eingeholt haben, so rechtfertigte dies die Entgegennahme der Daten durch die Beklagte folglich auch dann, wenn dieser Vorgang auch in der Person der Beklagten als „Erheben“ von Daten zu qualifizieren sein sollte.
bb) Ob der Kläger beim Besuch von Drittwebsites oder der Benutzung von Apps, die Meta Business Tools eingebunden haben - namentlich der regelmäßigen Nutzung von bild.de sowie der gelegentlichen Nutzung von PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com - seine Einwilligung erteilt hat, dass Daten über seine „Events“ an die Beklagte weitergeleitet werden, ist offen.
Soweit die Beklagte vorbringt, dass nach der mit ihrem jeweiligen Vertragspartner der Meta Business Tools getroffenen Vereinbarung es diesem obliege, die für die Weiterleitung von Daten erforderliche Einwilligung beim jeweiligen Nutzer der Website oder App einzuholen, bestehen erhebliche Zweifel, ob die Beklagte mit der Bereitstellung der Meta Business Tools tatsächlich das Ziel verfolgt, nur im Falle positiv erteilter Einwilligung Daten übermittelt zu erhalten. Die technische Ausgestaltung der Meta Business Tools legt eher die Annahme nahe, dass die Datenübermittlung in jedem Fall stattfinden solle. Denn ihren Vertragspartnern der Meta Business Tools stellt die Beklagte Cookies („fbc“ und „fbc“) zur Verfügung, welche auf den Websites der Vertragspartner als eigene Cookies („First Party Cookies“) installiert werden können. Blockiert ein Nutzer in seinem Browser Drittanbietercookies („Third Party Cookies“), so können diese von der Beklagten bereitgestellten Cookies gleichwohl gesetzt werden, weil es sich nicht in diesem Sinne um Drittanbietercokies handelt. Damit erfüllen die Meta Business Tools ihre Funktion der Weiterleitung von Daten auch dann, wenn beim Surfen im Internet sensibilisierte Einstellungen zum Schutz der Privatsphäre vorgenommen werden, was typischerweise keine Einwilligung zur Weiterleitung von Daten vermuten lässt. Auch bewirbt die Beklagte ihre sog. Conversions API gerade damit, dass dieses Tool Events von Nutzern aggregieren kann, die sich gegen die Nutzung ihrer Daten entscheiden haben (sog. Meta Playbook der Beklagten, Anlage K 11, S. 23).
cc) Entscheidend kommt es nicht darauf an, ob der Beklagten Daten des Klägers ohne seine Einwilligung weitergeleitet worden sind. Denn jedenfalls fehlt die erforderliche Einwilligung des Klägers in die Speicherung der Daten durch die Beklagte.
(1) Wird unterstellt, dass die Vertragspartner der Beklagten im Rahmen der Meta Business Tools auf allen vom Kläger besuchten Websites oder verwendeten Apps die Einwilligung des Klägers in die Weiterleitung von Daten an die Beklagte eingeholt haben, so bedarf die Speicherung dieser Daten gleichwohl einer gesonderten Rechtfertigung. Denn die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung stellt nach Art. 4 Nr. 2 DSGVO einen eigenständigen Fall der Datenverarbeitung dar, wobei im Hinblick auf die Speicherung die Beklagte nicht mehr gemeinsam mit dem Drittunternehmen handelt, sondern die Speicherung allein durch die Beklagte erfolgt. Auch die Beklagte selbst bringt zutreffend vor, dass es nach der Übermittlung von Daten durch Drittunternehmen an die Beklagte der Beklagten obliege, für die anschließende Verarbeitung dieser Daten eine eigene Rechtsgrundlage nach Art. 6 DSGVO herzustellen (Duplik vom 03.12.2024 Rn. 40 = eAkte Bl. 365).
Soweit die Beklagte in der Klageerwiderung und in der Duplik die Auffassung vertreten hat, die vom Kläger beanstandete Datenverarbeitung finde gar nicht statt, weil die Beklagte aufgrund der vom Kläger verweigerten Einwilligung beim Kläger Off-Site-Daten nicht für personalisierte Werbung nutze, geht dies jedoch am Klägervortrag vorbei. Denn der Kläger hat der Beklagten bereits in der Klageschrift (S. 27 = eAkte Bl. 27) vorgeworfen, dass die Beklagte lediglich die Möglichkeit biete, der Nutzung der Daten für personalisierte Werbung zu widersprechen, jedoch der Sammlung und Speicherung der Daten nicht widersprochen werden könne. Dass die Beklagte die ihr übermittelten Off-Site-Daten speichert, auch wenn ein Facebook-Nutzer - wie der Kläger - in deren Nutzung für die Anzeige personalisierter Werbung nicht eingewilligt hat, ist in tatsächlicher Hinsicht jedenfalls zuletzt unstreitig (Schriftsatz der Beklagten vom 17.01.2025 = eAkte Bl. 544).
(2) Es liegt weder eine Einwilligung des Klägers in die Datenspeicherung vor (Art. 6 Abs. 1 Buchst a DSGVO), noch ist die Speicherung durch eine der in Art. 6 Abs. 1 Buchst b bis f DSGVO genannten Tatbestände gerechtfertigt.
Die Notwendigkeit für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 Buchst b DSGVO kommt schon deshalb nicht in Betracht, weil die Beklagte es ihren Nutzern gerade freistellt, ob die Off-Site-Daten für nutzerspezifische Werbung verwendet werden dürfen. Damit ist die Nutzung von Off-Site-Daten kein notwendiger Bestandteil des Vertragsverhältnisses, was die Beklagte auch nicht behauptet hat. Dass eine Ansammlung der Daten, welche bei - wie im Streitfall - verweigerter Einwilligung für personalisierte Werbung gar nicht zur Verfügung stehen, zur Erfüllung des Vertragsverhältnisses über ein Facebook-Konto aus anderen Gründen notwendig wäre, hat die Beklagte nicht dargelegt.
Die Speicherung ist auch nicht zur Wahrung der berechtigten Interessen der Beklagten erforderlich (Art. 6 Abs. 1 Buchst f DSGVO). Soweit die Beklagte vorgebracht hat, sie speichere die Off-Site-Daten, um die Sicherheit ihrer Server zu schützen und um sicherzustellen, dass Kriminelle die streitgegenständlichen Business Tools nicht ausnutzen, um über diese Produkte Spam, Scraping oder andere Cyberangriffe durchzuführen, wird der Rechtfertigungstatbestand berechtigter Interessen nicht schlüssig dargelegt. Es erscheint geradezu widersinnig, dass die Beklagte deshalb über bei ihr gespeicherte Daten verfügen müsste, um die missbräuchliche Verwendung eben dieser Daten zu bekämpfen, welche die Beklagte im Übrigen überhaupt nicht benötigt und mit welchen sie - da es sich um auf Drittwebseiten und Apps angefallene Daten handelt - auch überhaupt nichts zu schaffen hat, sofern sie die Daten nicht für personalisierte Werbung nutzen darf.
Verweigert ein Facebook-Nutzer die Einwilligung, Off-Site-Daten für personalisierte Werbung zu nutzen, so liegt der einzig rechtmäßige Umgang mit aufgrund der Meta Business Tools der Beklagten übermittelten Daten dieses Nutzers darin, die Daten zu löschen. Weshalb die Beklagte die Daten gleichwohl nicht löscht, bleibt im Dunkeln. Entscheidend kommt es auf die von der Beklagten mit der Datenakkumulation verfolgten Zwecke nicht an. Da die Beklagte als Verantwortliche für die Datenspeicherung nach Art. 5 Abs. 2 DSGVO die Beweislast für einen Rechtfertigungstatbestand trägt (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20, EuZW 2022, 527 Rn. 77, 81) und ein Rechtfertigungstatbestand schon nicht schlüssig vorgetragen ist, ist die Speicherung rechtswidrig.
c) Nachdem die Beklagte die von Drittwebseiten oder Apps im Rahmen der Facebook Business Tools ihr übermittelten Daten rechtswidrig speichert, kann der Kläger nach Art. 17 Abs. 1 DSGVO die Löschung verlangen.
3. Der Klageantrag Ziffer 5 ist dem Grunde nach, aber nicht in der geltend gemachten Höhe begründet.
a) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kläger hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DSGVO).
Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist (EuGH, Urteil vom 25.01.2024 – C-687/21, EuZW 2024, 278 Rn. 60; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36). Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte (EuGH, Urteil vom 04.10.2024 – C-200/23, NJW 2025, 40 Rn. 156). Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe (EuGH, Urteil vom 20.06.2024 - C-590/22, ZIP 2024, 2035 Rn. 33; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 31 f.).
Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat. Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.
b) Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen.
Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.). Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN). Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten.
BGH
Urteil vom 28.01.2025 VI ZR 183/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass eim Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungsfunktion noch eine Straffunktion sondern ausschließlich eine Ausgleichsfunktion hat. Aus diesem Grund dürfen - so der BGH - auch die Schwere des Verstoßes und Verschuldensfragen bei der Bestimmung der Höhe des Anspruchs nicht berücksichtigt werden.
Aus den Entscheidungsgründen: Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500 € bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.
1. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28).
Nach der Rechtsprechung des Gerichtshofes der Europäischen Union kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt - entgegen der Ansicht des Berufungsgerichts und der Revision - keine Abschreckungs- oder gar Straffunktion (EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 23 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 18; jeweils mwN).
In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 24 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN). Da der Anspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN).
Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.
BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22 - OLG Koblenz LG Koblenz
Das VG Berlin hat entschieden, dass ein allgemeines Zurückbehaltungsrecht nach § 273 Abs. 1 BGB einem Aukunftsanspruch aus Art 15 DSGVO nicht entgegengehalten werden kann. Nach Ansicht des Gerichts handelt es sich bei § 273 Abs. 1 BGB nicht um eine zulässige Beschränkung im Sinne von Art. 23 Abs. 1 DSGVO.
Aus den Entscheidungsgründen: II. Diese Voraussetzungen liegen hier vor, weil die Klägerin mit der der Beschwerdeführerin erst am 4. März 2022 erteilten Auskunft gegen Art. 15 Abs. 1 Hs. 2 Var. 1 i.V.m. Art. 12 Abs. 3 Satz 1 DS-GVO verstoßen hat. Die Klägerin war gegenüber der Beschwerdeführerin zur Auskunftserteilung bis zum 22. Januar 2022 verpflichtet (vgl. hierzu unter 1.), hat die begehrte Auskunft jedoch verspätet erteilt (vgl. hierzu unter 2.).
1. Nach Art. 15 Abs. 1 Hs. 2 Var. 1 DS-GVO hat die betroffene Person gegenüber dem Verantwortlichen einer Verarbeitung personenbezogener Daten das Recht auf Auskunft über diese personenbezogenen Daten.
Zur Wahrung des Auskunftsrechts ist es erforderlich, dass der Betroffene eine vollständige Übersicht der Daten erhält, die Gegenstand der Verarbeitung sind, in verständlicher Form (vgl. EuGH, Urteil vom 17. Juli 2014 – C-141/12 und C-372/12, ZD 2014, 515, 518). Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO ist es, wie sich unter anderem aus Erwägungsgrund 63 zur DS-GVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und ggf. die ihm nach den Art. 16 ff. DS-GVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (vgl. EuGH, Urteil vom 4. Mai 2023 – C-487 –, juris Rn. 33f.; vgl. auch: Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 15 Rn. 32; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 15 Rn. 22; vgl. zum Vorstehenden: VG Berlin, Urteil vom 6. Februar 2024 – VG 1 K 187/21 –, juris Rn. 34).
Die Klägerin war gegenüber der Beschwerdeführerin aufgrund deren Auskunftsersuchens von 22. Dezember 2021 zu einer Auskunft im oben genannten Sinne verpflichtet. Die Beschwerdeführerin hat die Klägerin mit E-Mail vom 22. Dezember 2021, 15:34 Uhr, um Datenauskunft ersucht, als sie schrieb: „Please send me all my data before deleting the account“.
Anders als die Klägerin meint, stand der Verpflichtung zur Auskunftserteilung kein Zurückbehaltungsrecht nach § 273 Abs. 1 Bürgerliches Gesetzbuch (BGB) entgegen. Denn auf ein solches kann sich die Klägerin im Zusammenhang mit dem Auskunftsanspruch nach Art. 15 DS-GVO nicht berufen. § 273 Abs. 1 BGB ist hier nach Überzeugung der Einzelrichterin nicht anwendbar (offen gelassen: OLG Düsseldorf, NZG 2023, 1138 Rn. 30, das im Rahmen eines insolvenzrechtlichen Verfahrens bereits die Konnexität verneint; für den umgekehrten Fall im Ergebnis a.A. AG Wiesbaden, ZD 2022, 395 Rn. 20 ff., das die Anwendbarkeit des § 273 Abs. 1 BGB im Zusammenhang mit Art. 15 DS-GVO jedoch nicht thematisiert).
Hierfür sprechen zunächst, die divergierenden Schutzrichtungen des § 273 Abs. 1 BGB und des Art. 15 DS-GVO. Während § 273 Abs. 1 BGB der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs dient (vgl. Krüger, in: Münchener Kommentar zum BGB, 9. Auflage, 2022, § 273 Rn. 3), ist Art. 15 DS-GVO Ausprägung des Schutzes personenbezogener Daten nach Art. 8 Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union (GRCh) (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3) und in seiner Anwendung in Deutschland auch des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG.
Der Auskunftsanspruch aus der Datenschutzgrundverordnung hat per se keinerlei Bezug zu einer vertraglichen Beziehung und setzt eine solche auch nicht voraus – mag der Anspruch in einer Vielzahl von Fällen auch parallel zu einem vertraglichen Verhältnis der Beteiligten geltend gemacht werden.
Darüber hinaus spricht gegen eine Anwendbarkeit des im BGB geregelten Zurückbehaltungsrechts im Rahmen eines Auskunftsanspruchs nach Art. 15 DS-GVO, der Anwendungsvorrang des Gemeinschaftsrechts. Als unmittelbar in allen Mitgliedstaaten geltendes EU-Recht hat Art. 15 DS-GVO in seinem Anwendungsbereich Vorrang vor nationalem Recht (vgl. Artikel 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union [AEUV]).
Das Auskunftsrecht nach Art. 15 DS-GVO kann nur unter den besonderen Voraussetzungen des Art. 23 DS-GVO beschränkt werden. Nach Art. 23 Abs. 1 DS-GVO können durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, unter anderem die Pflichten und Rechte gemäß den Artikeln 12 bis 22 im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die neben anderen Zielen (vgl. lit. a) bis h)) unter anderem Folgendes sicherstellt: i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; j) die Durchsetzung zivilrechtlicher Ansprüche.
Zwar erfüllt § 273 Abs. 1 BGB das Tatbestandsmerkmal der Beschränkung, denn eine solche liegt auch dann vor, wenn die Ausübung eines Rechts zeitlich verzögert wird (vgl. European Data Protection Board, Leitlinien 10/2020 zu Beschränkungen nach Artikel 23 DSGVO, Fassung 2.1, 13. Oktober 2021 Rn. 8, abrufbar: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/EDSA/ 2020-10_EDSA_Leitlinien_Beschraenkungen-Artikel-23-DS-GVO.pdf, zuletzt abgerufen: 11. Oktober 2024 – im Folgenden: Leitlinien – Rn. 12).
Jedoch liegt im Hinblick auf § 273 Abs. 1 BGB kein Fall einer nach Art. 23 Abs. 1 DS-GVO zulässigen Beschränkung vor. Denn das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB dient nicht der Sicherstellung eines der in Art. 23 Abs. 1 lit. a) bis j) DS-GVO genannten Ziele. In Betracht kommen hier nur Art. 23 Abs. 1 lit. i) Var. 2 (vgl. unter a.) und Art. 23 Abs. 1 lit. j) DS-GVO (vgl. unter b.).
a. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt nicht den Schutz der Rechte und Freiheiten anderer Personen i.S.d. Art. 23 Abs. 1 lit. i) Var. 2 DS-GVO sicher. Die Norm ist nach Überzeugung der Einzelrichterin im Interesse des effektiven Schutzes der Betroffenenrechte restriktiv auszulegen.
Hierfür spricht zunächst der Wortlaut, wonach eine Beschränkung der Betroffenenrechte zur „Sicherstellung“ des Schutzes der Rechte und Freiheiten anderer möglich ist. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB geht jedoch über eine reine „Sicherstellung“ der Rechte anderer hinaus. Dessen Sinn und Zweck besteht vielmehr – wie bereits erwähnt – in der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs (s.o.).
Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht zudem der systematische Vergleich mit den anderen Buchstaben des Art. 23 Abs. 1 (vgl. z.B. lit. a) die nationale Sicherheit; lit. b) die Landesverteidigung; lit. c) die öffentliche Sicherheit; lit. f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren). Die in den anderen Buchstaben des Art. 23 Abs. 1 DS-GVO benannten Schutzgüter zeigen, dass eine Beschränkung des Auskunftsrechts nach Art. 15 DS-GVO nur in besonders gewichtigen Fällen und zum Schutz hochrangiger (Rechts-)Güter zulässig sein soll (vgl. Leitlinien Rn. 8, die auf „wichtige Ziele“ Bezug nehmen), wozu ein vertragliches Zurückbehaltungsrecht nach Überzeugung der Einzelrichterin nicht zählt. Dementsprechend benennen die Leitlinien des European Data Protection Boards im Zusammenhang mit Art. 23 Abs. 1 lit. i) DS-GVO beispielhaft den Schutz eines Zeugen, Opfers oder Hinweisgebers im Rahmen eines Disziplinarverfahrens, der durch Beschränkung des Auskunftsrechts nach der DS-GVO vor Vergeltungsmaßnahmen des Auskunftsberechtigten geschützt werden soll (vgl. Leitlinien Rn. 34). In ähnlicher Weise wird in der Literatur darauf Bezug genommen, dass höherrangige, menschenrechtsrelevante Interessen, die Grundlage einer beschränkenden Rechtsvorschrift i.S.d. Art. 23 Abs. 1 lit. i) DS-GVO sein können (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 42).
Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht darüber hinaus der effektive Schutz der Betroffenenrechte. Würde eine Beschränkung des datenschutzrechtlichen Auskunftsanspruch zugunsten eines Druckmittels zur Durchsetzung zivilrechtlicher Ansprüche zugelassen, könnte dieses datenschutzrechtliche Betroffenenrecht weitgehend ausgehebelt werden (vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b, der sich aus diesem Grund gegen eine extensive Auslegung des Art. 23 Abs. 1 lit. j) ausspricht). In der Praxis führte dies etwa dazu, dass eine auskunftsberechtigte Privatperson, in die Lage versetzt würde, gegenüber einem Unternehmen, welches ggf. dauerhaft auf professionelle rechtliche Beratung zurückgreifen kann, nachweisen – und ggf. gerichtlich – durchsetzen zu müssen, dass die Voraussetzungen eines Zurückbehaltungsrechts im konkreten Fall nicht vorliegen. Gerade derartigen Hürden soll der Auskunftsanspruch nach Art. 15 DS-GVO jedoch nicht unterliegen, denn dieser soll den Betroffenen die Möglichkeit eröffnen, sich problemlos über die Verarbeitung der eigenen personenbezogenen Daten zu informieren (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3).
b. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt auch nicht die Durchsetzung zivilrechtlicher Ansprüche i.S.d. lit. j) sicher. Die Regelung des lit. j) ist weitestgehend schon von der in lit. i) getroffenen Regelung abgedeckt und stellt hierzu einen Sonderfall dar. Sie entfaltet eigenständige Bedeutung etwa im Bereich der Zwangsvollstreckung oder der Gewinnung von Beweismitteln für einen Zivilprozess (vgl. zum Vorstehenden: Bertermann, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 23 Rn. 13; Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33c; Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 43).
Aus den o.g. Gründen ist auch Art. 23 Abs. 1 lit. j) DS-GVO restriktiv auszulegen (Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b). Die Norm dient weder dem Zweck, ein informationelles Gleichgewicht zwischen Prozessbeteiligten (vgl. Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33d), noch sonst ein (zivilrechtliches) Gleichgewicht zwischen den Parteien herzustellen oder einer Partei ein Druckmittel zur Durchsetzung zivilrechtlicher Rechte zu verschaffen (s.o.).
2. Die Auskunftserteilung durch die Klägerin gegenüber der Beschwerdeführerin am 4. März 2022 war verspätet. Nach Art. 12 Abs. 3 Sätze 1 bis 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.
Die der Beschwerdeführerin erteilte Auskunft war nicht fristgerecht im Sinne des Art. 12 Abs. 3 Satz 1 DS-GVO. Die Monatsfrist nach Satz 1 der Norm ist offenkundig nicht gewahrt. Der Auskunftsanspruch der Beschwerdeführerin ist bei der Klägerin erstmals mit E-Mail vom 22. Dezember 2021,15:34 Uhr, eingegangen, als sie schrieb: „Please send me all my data before deleting the account“. Nach Überzeugung der Einzelrichterin geht bereits aus dieser Formulierung – unabhängig von dem durch die Beschwerdeführerin ebenfalls verwendeten Begriff des „subject access requests“, von dem die Klägerin vorträgt, dass ihr Mitarbeiter diesen nicht verstanden habe, eine Auskunftsbegehren i.S.d. Art. 15 Abs. 1 DS-GVO klar und eindeutig hervor. In der Folge hat die Beschwerdeführerin ihr Auskunftsbegehren gegenüber der Klägerin mehrfach wiederholt – so etwa in einer E-Mail vom 23. Dezember 2021, 17:15 Uhr, in der es heißt: „(…) Please send me all of the data that you have collected on me (…)“ oder in einer E-Mail vom 28. Dezember 2021, 00:51 Uhr, in der es heißt: „I am entitled to my data under GDPR. If you refuse to provide this data I will ask the BfDI to fine you for breaking European law“. Unter Berücksichtigung dieser eindeutigen Formulierungen und des Umstandes, dass die Klägerin die Kommunikation mit der Beschwerdeführerin offenkundig unproblematisch in der englischen Sprache geführt hat, ist nach Überzeugung der Einzelrichterin nicht glaubhaft, dass sie das Auskunftsbegehren der Beschwerdeführerin nicht verstanden oder übersehen hätte.
Es liegt auch kein Fall der Verlängerung der Auskunftsfrist i.S.d. Art. 12 Abs. 3 Satz 2, 3 DS-GVO vor. Den offenkundig hat die Klägerin die Auskunftsfrist gegenüber der Beschwerdeführerin nicht verlängert und es ist auch nicht ersichtlich, dass dies erforderlich gewesen wäre; im Übrigen beruft sich die Klägerin hierauf auch nicht.
III. Die Beklagte hat das ihr im Rahmen des Art. 58 Abs. 2 DS-GVO eröffnete Ermessen rechtmäßig ausgeübt und sich für eine Verwarnung i.S.d. des lit. b) entschieden.
Ist die Behörde ermächtigt, nach ihrem Ermessen zu handeln, hat sie ihr Ermessen entsprechend dem Zweck der Ermächtigung auszuüben und die gesetzlichen Grenzen des Ermessens einzuhalten (vgl. § 40 VwVfG). Im Sinne des eingeschränkten gerichtlichen Prüfungsumfanges des durch die Verwaltung ausgeübten Ermessens nach § 114 VwGO sind nach der Rechtsprechung der Ermessensausfall, die Ermessensunterschreitung, die Ermessensüberschreitung sowie der Ermessensfehlgebrauch als Ermessensfehler zu prüfen (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 84). Auch im Rahmen der Ermessensentscheidung hat die Verwaltung den Grundsatz der Verhältnismäßigkeit zu wahren (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 159). Ein Ermessensfehler liegt unter anderem vor, wenn die Behörde bei ihrer Ermessensentscheidung nicht alle diejenigen Gesichtspunkte in den Blick genommen und zutreffend gewürdigt hat, die bei einer Ermessensentscheidung zu beachten sind (vgl. BVerwG, NVwZ 2000, 688).
Gemessen an diesem Maßstab liegen nach Überzeugung der Einzelrichterin keine Ermessensfehler vor. Die Beklagte hat alle relevanten Gesichtspunkte beachtet, insbesondere hat sie den Verstoß der Klägerin als nicht schwerwiegend eingestuft und in ihrer Abwägungsentscheidung ihre Erwartung berücksichtigt, dass die Klägerin sich künftig an datenschutzrechtliche Vorschriften halten werde.
Der Ausspruch einer Verwarnung gegenüber der Klägerin ist zudem verhältnismäßig. Entgegen der Auffassung der Klägerin war die Beklagte nicht verpflichtet, anstelle der Verwarnung als milderes gleich geeignetes Mittel eine Anweisung nach Art. 58 Abs. 2 lit. c) DS-GVO auszusprechen. Denn die Anweisung stellt die gegenüber der Verwarnung schärfere und nicht mildere Maßnahme dar. Dies geht bereits systematisch aus dem Aufbau des Art. 58 Abs. 2 DS-GVO hervor, der mit den Buchstaben a) ff. eine Steigerung in der Intensität der Maßnahmen erkennen lässt. So sieht etwa lit. a) eine Warnung in Bezug auf voraussichtliche Verstöße als eingriffsschwächste Maßnahme vor, während lit. f) die Verhängung einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung, einschließlich eines Verbots, ermöglicht (vgl. zum Vorstehenden: Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 6; vgl. auch: Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 18 ff.; Nguyen, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 58 Rn. 14). Dass die Verwarnung das gegenüber der Anweisung mildere Mittel ist, ergibt sich auch daraus, dass die Verwarnung zwar einen Verwaltungsakt darstellt, aber – anders als die Anweisung – keine unmittelbare Rechtspflicht auslöst, die Verarbeitung abzustellen oder zu ändern. Wegen der beschränkten Feststellungswirkung ist sie auch nicht vollstreckbar und als solche nicht bußgeldbewehrt, sondern kann lediglich bei späterer Verhängung einer Anweisung wegen einer anderen Maßnahme als bußgelderhöhender Faktor berücksichtigt werden (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 20; Körffer, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 58 Rn. 18; Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 29). Demgegenüber ist die Anweisung vollstreckbar und nach Art. 83 Abs. 5 lit. e) DS-GVO im Falle ihrer Nichtbefolgung bußgeldbewehrt.
