Skip to content

BFH: Statthafte Klageart für Auskunftsanspruch gemäß Art. 15 DSGVO gegen das Finanzamt ist eine Verpflichtungsklage - es gilt die Monatsfrist nach §§ 47, 55 FGO

BFH
Urteil vom 06.05.2025
IX R 2/23


Der BFH hat entschieden, dass statthafte Klageart für die Geltendmachung eines Auskunftsanspruch gemäß Art. 15 DSGVO gegen das Finanzamt eine Verpflichtungsklage ist. Es gilt nach Ansicht des BFH hierfür die einmonatige Frist nach §§ 47 Abs.1 , 55 Abs. 2 Satz 1 FGO.

Leitsätze des BFH:
1. Statthafte Klageart für die gerichtliche Geltendmachung des gegen eine Finanzbehörde gerichteten Anspruchs aus Art. 15 Abs. 1 und Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 Satz 1 der Datenschutz-Grundverordnung (DSGVO) ist die Verpflichtungsklage gemäß § 40 Abs. 1 Alternative 2 der Finanzgerichtsordnung ‑‑FGO‑‑ (Anschluss an Urteil des Bundesverwaltungsgerichts vom 30.11.2022 - 6 C 10.21, BVerwGE 177, 211, Rz 14).

2. Die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität gebieten es nicht, eine Verpflichtungsklage, die einen Auskunftsanspruch gemäß Art. 15 DSGVO zum Gegenstand hat, losgelöst von der in § 47 Abs. 1 FGO beziehungsweise in § 55 Abs. 2 Satz 1 FGO geregelten Frist (das heißt "jederzeit") erheben zu können.

Den Volltext der Entscheidung finden Sie hier:

BFH: Auskunftsanspruch aus Art. 15 DSGVO gegen Finanzbehörde bezieht sich auch auf interne Vermerke, Aktennotizen und interne Kommunikation

BFH
Urteil vom 11.03.2025
IX R 24/22


Der BFH hat entschieden, dass sich ein Auskunftsanspruch aus Art. 15 DSGVO gegen Finanzbehörden auch auf interne Vermerke, Aktennotizen und interne Kommunikation bezieht, sofern diese personenbezogene Daten enthalten.

Aus den Entscheidungsgründen:
2. Das angefochtene Urteil ist auch insoweit rechtsfehlerhaft, als das FG entschieden hat, dem Kläger stehe dem Grunde nach kein Anspruch auf Auskunftserteilung der ihn betreffenden und vom Beklagten verarbeiteten personenbezogenen Daten zu.

a) Art. 15 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die näher in Art. 15 Abs. 1 Buchst. a bis h DSGVO bezeichneten Informationen.

aa) Der Begriff der personenbezogenen Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

In der Verwendung der Formulierung "alle Informationen" bei der Bestimmung des Begriffs "personenbezogene Daten" in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen "über" die in Rede stehende Person handelt (Urteile des Gerichtshofs der Europäischen Union --EuGH-- IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 36; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 23, m.w.N.).

Insoweit hat der EuGH entschieden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (EuGH-Urteile IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 37; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 24 und die dort angeführte Rechtsprechung). Weiter weist der EuGH darauf hin, dass die Verwendung des Begriffs "indirekt" durch den Unionsgesetzgeber darauf hindeutet, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (EuGH-Urteil OC/Kommission vom 07.03.2024 - C-479/22 P, EU:C:2024:215, Rz 47, m.w.N.).

Daraus ergibt sich, dass es für die Qualifikation als auskunftspflichtige personenbezogene Daten abweichend zur Rechtsansicht der Vorinstanz weder eines "Hebens" in Form eines Interpretationsaktes (s. oben) noch der Absicht des Verantwortlichen, eine personenbezogene Angabe in einem spezifischen, personenbezogenen Feld zu speichern, bedarf.

bb) Der Anspruch aus Art. 15 DSGVO bezieht sich auch auf interne Vermerke, Aktennotizen, Bearbeitungs- und Geschäftsgangvermerke und interne Kommunikation. Denn auch diese Unterlagen können personenbezogene Daten enthalten (vgl. dazu BGH-Urteil vom 15.06.2021 - VI ZR 576/19, Rz 24).

b) Das FG ist daher zu Unrecht davon ausgegangen, dass die in den Akten des Beklagten enthaltenen Volltextdokumente nicht dem Schutzbereich der Datenschutz-Grundverordnung unterliegen und die darin enthaltenen personenbezogenen Daten nicht vom Auskunftsanspruch erfasst sind. Entgegen der Auffassung des FG und des Beklagten sind auch interne Vorgänge und sämtlicher Schriftverkehr erfasst, die personenbezogene Daten enthalten. Personenbezogene Daten liegen unabhängig davon vor, ob der Verantwortliche, das heißt der Beklagte, sie "gehoben" oder in einem Dateisystem gespeichert hat. Die Auskunft des Beklagten mit den Schreiben vom 17.12.2019 und vom 16.12.2021 ist daher insoweit unvollständig, als diese ausdrücklich bereits gewechselten Schriftverkehr, interne Vermerke und interne Stellungnahmen sowie Stellungnahmen anderer Steuerpflichtiger ausnimmt.

3. Anknüpfend an den vorgenannten Rechtsfehler hat das FG es ebenso fehlerhaft unterlassen zu prüfen, ob der Kläger einen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gemäß Art. 15 Abs. 3 DSGVO hat.

a) Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegen den Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten. Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist geklärt, dass Art. 15 DSGVO nicht dahin auszulegen ist, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen bezieht sich der Begriff "Kopie" nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten setzt keine Begründung voraus, weshalb es auch nicht entgegensteht, wenn er mit anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 50 und Rz 52).

Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45).

Hierfür besteht jedoch keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO für die Wahrnehmung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, muss sie darlegen, welche ihr durch die Datenschutz-Grundverordnung verliehenen Rechte sie auszuüben gedenkt und aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45). Einer entsprechenden Vermutung der Unerlässlichkeit bedarf es im Übrigen auch nicht, um einen effektiven Datenschutz zu gewährleisten. Regelmäßig genügt es für die Wahrnehmung der durch die Datenschutz-Grundverordnung verliehenen Rechte, wenn die betroffene Person Kenntnis von den über sie verarbeiteten personenbezogenen Daten erlangt und ihr die Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO mitgeteilt werden. Insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, ist die betroffene Person bereits regelmäßig in der Lage, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen (vgl. zum Ganzen Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 27 f.).

b) Ausgehend von anderen Rechtsgrundsätzen hat es das FG unterlassen, die erforderlichen Feststellungen für eine abschließende Beurteilung zu treffen. Obwohl der Kläger in der Klageschrift vom 13.01.2020 seine Beweggründe für die Geltendmachung des Auskunftsanspruchs dargelegt hat, fehlt es an Feststellungen des FG dazu, ob und in welchem Umfang die begehrten Kopien für ihn unerlässlich seien, um ihm die wirksame Ausübung der ihm durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen. Ferner fehlt es an Feststellungen, welche Rechte aus der Datenschutz-Grundverordnung der Kläger überhaupt beabsichtigt geltend zu machen.

4. Der vom Kläger geltend gemachte Anspruch auf Akteneinsicht ergibt sich zwar nicht aus Art. 15 DSGVO (dazu unter a). Das FG hat jedoch rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt (dazu unter b).

a) Das Auskunftsrecht in Art. 15 DSGVO ist nicht mit dem Akteneinsichtsrecht identisch. Denn die Datenschutz-Grundverordnung sieht keinen Anspruch auf Akteneinsicht vor (so auch Gola/Heckmann/Franck, DS-GVO, 3. Aufl., Art. 15 Rz 33, m.w.N.). Soweit der Kläger einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO herleiten möchte, enthält diese Vorschrift lediglich einen Auskunftsanspruch gegenüber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen.

Ebenso beinhaltet Art. 15 DSGVO keinen Anspruch auf Akteneinsicht als "Weniger" zum Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten beziehungsweise ausnahmsweise unter bestimmten Umständen auf Zurverfügungstellung der Quellen, in denen die personenbezogenen Daten verarbeitet wurden. Vielmehr handelt es sich bei der Gewährung von Akteneinsicht um ein Aliud. Während das Recht auf Akteneinsicht die temporäre Möglichkeit zur Einsicht in die gesamte Verwaltungsakte beinhaltet, betrifft Art. 15 DSGVO nicht die gesamte Verwaltungsakte, sondern ist auf die dauerhafte Überlassung der darin enthaltenen personenbezogenen Daten und nur ausnahmsweise unter bestimmten Umständen auf die Überlassung von Auszügen von Verwaltungsakten gerichtet.

Daran gemessen hat das FG einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO zutreffend verneint. Art. 15 Abs. 1 DSGVO ermöglicht nicht die Einsicht in Verwaltungsakten und damit die in ihnen enthaltenen Verwaltungsdokumente in Abschrift oder im Original. Vielmehr hat der Beklagte als Verantwortlicher lediglich eine (elektronische) Kopie der personenbezogenen Daten und unter gewissen Umständen auch der Quellen, in denen solche Daten verarbeitet wurden, zur Verfügung zu stellen (Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 36 f.).

b) Das FG hat rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt.

aa) Die Abgabenordnung enthält zwar --anders als zum Beispiel § 29 des Verwaltungsverfahrensgesetzes-- keine Regelung, nach der ein Anspruch auf Akteneinsicht besteht. Ein solches Einsichtsrecht ist weder aus § 91 Abs. 1 AO noch aus § 364 AO abzuleiten. Allerdings steht dem während eines Verwaltungsverfahrens um Akteneinsicht nachsuchenden Steuerpflichtigen oder seinem Vertreter ein Anspruch auf eine pflichtgemäße Ermessensentscheidung der Finanzbehörde zu, weil diese nicht gehindert ist, in Einzelfällen Akteneinsicht zu gewähren (Urteil des Bundesfinanzhofs --BFH-- vom 23.02.2010 - VII R 19/09, BFHE 228, 139, BStBl II 2010, 729, Rz 11; BFH-Beschluss vom 05.12.2016 - VI B 37/16, Rz 3; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Grundlage dieses Anspruchs ist das Rechtsstaatsprinzip gemäß Art. 20 Abs. 3 des Grundgesetzes (GG) i.V.m. dem Prozessgrundrecht gemäß Art. 19 Abs. 4 GG (BFH-Urteil vom 19.03.2013 - II R 17/11, BFHE 240, 497, BStBl II 2013, 639, Rz 11; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Der fehlende Anspruch auf Akteneinsicht im außergerichtlichen Besteuerungsverfahren und eine insoweit der Finanzverwaltung eingeräumte Ermessensausübung verstoßen nicht gegen verfassungsrechtliche Grundsätze (vgl. BFH-Beschluss vom 04.06.2003 - VII B 138/01, BFHE 202, 231, BStBl II 2003, 790, unter II.2.d, m.w.N.).

Dabei ist im Fall eines Antrags auf Akteneinsicht der Adressat des Antrags grundsätzlich berechtigt und verpflichtet, einen geltend gemachten Anspruch unter allen zumindest denkbaren rechtlichen Aspekten zu prüfen (vgl. Senatsurteil vom 23.01.2024 - IX R 36/21, BFHE 283, 219, Rz 17; BFH-Urteil vom 08.06.2021 - II R 15/20, Rz 16).

bb) Der Kläger hat ausdrücklich Akteneinsicht beantragt. Ausgehend von anderen Rechtsgrundsätzen hat die Vorinstanz es unterlassen, die erforderlichen Feststellungen zu treffen, inwieweit der Beklagte das ihm hinsichtlich der Gewährung der Akteneinsicht zustehende Ermessen ordnungsgemäß nach dem Maßstab des § 102 FGO ausgeübt beziehungsweise eine Interessenabwägung vorgenommen hat.

5. Soweit sich der Kläger mit seinem Auskunftsanspruch auf Akten der Staatsanwaltschaft und der Steuerfahndung bezieht, ist der Beklagte nicht der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Insoweit ist der Beklagte weder berechtigt noch verpflichtet, Auskunft zu erteilen.

6. Soweit das FG den nationalen Ausschlussgrund des § 32c Abs. 1 Nr. 3 AO geprüft hat, tragen seine Feststellungen das Ergebnis, insbesondere zum Ausschlussgrund des § 32c Abs. 1 Nr. 3 Buchst. a AO, nicht.

a) Das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Art. 15 DSGVO besteht nach § 32c Abs. 1 Nr. 3 AO nicht, soweit die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (Buchst. a) oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (Buchst. b) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

b) Insoweit prüft das FG nicht, ob die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (s. II.6.a; vgl. dazu BFH-Urteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 33) oder die in § 32c Abs. 1 Nr. 3 Buchst. b AO genannten Zwecke vorliegen und ob "die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde". Auch zum Ausschluss einer Verarbeitung durch "geeignete technische und organisatorische Maßnahmen" äußert sich die Ausgangsentscheidung nicht.


Den Volltext der Entscheidung finden Sie hier:

BAG: 200 EURO Schadensersatz aus Art. 82 DSGVO wenn Arbeitgeber datenschutzwidrig personenbezogene Echtdaten an eine Konzerngesellschaft für die Personalverwaltung überträgt

BAG
Urteil vom 08.05.2025
8 AZR 209/21

Das BAG hat entschieden, dass dem Betroffenen im vorliegenden Fall 200 EURO Schadensersatz aus Art. 82 DSGVO zusteht, da der Arbeitgeber datenschutzwidrig personenbezogene Echtdaten an eine Konzerngesellschaft für die Personalverwaltung übertragen hatte. Insbesondere war die Datenweitergabe nach Art. 6 Abs. 1 Satz 1 lit.. f DSGVO nicht zur Wahrung berechtigter Interessen erforderlich.

Die Pressemitteilung des Gerichts:
Schadenersatz nach Datenschutz-Grundverordnung (DSGVO) - Betriebsvereinbarung - Workday

Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.

Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.

Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.

Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21
Vorinstanz: Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20

Hinweise:

Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO lautet:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:



f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Art. 82 Abs. 1 DSGVO lautet:

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.


OLG Köln: Schufa muss erledigte Zahlungsstörungen unverzüglich löschen - andernfalls Schadensersatzanspruch aus Art. 82 DSGVO

OLG Köln
10.04.2025
15 U 249/24


Das OLG Köln hat entschieden, dass WIrtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen unverzüglich löschen muss. Andernfalls hat der Betroffene einen Schadensersatzanspruch aus Art. 82 DSGVO.

Das Gericht hat die Revision zum BGH zugelassen.

Aus den Entscheidungsgründen:
Die Berufung hat teilweise Erfolg. Die mit dem allein noch rechtshängigen Zahlungsantrag geltend gemachten Schadensersatzansprüche sind entgegen der Auffassung des Landgerichts gemäß Art. 82 Abs. 1 DSGVO in dem aus dem Tenor ersichtlichen Umfang gerechtfertigt.

1. Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die in den ursprünglichen Klageanträgen genannten Einträge über Zahlungsstörungen des Klägers auch nach dem Ausgleich der Forderungen am 2. Dezember 2020, am 4. November 2021 beziehungsweise im Dezember 2022 für drei beziehungsweise gut zwei Jahre weiterhin gespeichert und für ihre Kunden zum Abruf bereitgehalten hat. Nach der Erfüllung der Forderungen war die fortdauernde Speicherung der - nunmehr zusätzlich mit einem Erledigungsvermerk versehenen - Einträge betreffend die zuvor aufgetretenen Zahlungsstörungen rechtswidrig, weil die in Art. 6 Abs. 1 DSGVO genannten Bedingungen nicht länger erfüllt waren.

a) Dies gilt insbesondere für die in Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO genannte Bedingung. Die von dieser Vorschrift geforderte Beurteilung der Frage, ob die berechtigten Interessen der Beklagten vernünftigerweise nicht durch eine kürzere Dauer der Datenspeicherung erreicht werden können, erfordert eine Abwägung der einander gegenüberstehenden Rechte und Interessen (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 92). Bei dieser Abwägung ist vorliegend in Ermangelung einer gesetzlichen Regelung der für Wirtschaftsauskunfteien maßgeblichen Speicherfristen (vgl. BT-Drucks. 20/10859 S. 34 ff. [Buchstabe f nebst Begründung]) die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO maßgeblich zu berücksichtigen. Danach wird eine Eintragung im Schuldnerverzeichnis auf Anordnung des zentralen Vollstreckungsgerichts gelöscht, wenn diesem die vollständige Befriedigung des Gläubigers nachgewiesen worden ist. Unter Berücksichtigung dieser Wertung hätte die Beklagte die fraglichen Einträge über Zahlungsstörungen des Klägers löschen müssen, nachdem ihr die vollständige Befriedigung der Gläubiger durch entsprechende Meldungen der Gläubiger nachgewiesen worden war.

aa) Der Europäische Gerichtshof hat entschieden, dass Art. 5 Abs. 1 Buchstabe a und Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegenstehen, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166). Die anderslautende Entscheidung des Senats vom 27. Januar 2022 - 15 U 153/21 - (ZD 2022, 233), die nach Rücknahme der dagegen eingelegten Revision rechtskräftig geworden ist, ist damit ebenso überholt wie die vom Landgericht angeführten Entscheidungen der Oberlandesgerichte Stuttgart (Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691) und Oldenburg (Urteil vom 23. November 2021 - 13 U 63/21, ZD 2022, 103, ausdrücklich aufgegeben im Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik) sowie des Kammergerichts (Urteil vom 15. Februar 2022 - 27 U 51/21, ZD 2022, 335).

bb) Zwar bezieht sich die Entscheidung des Europäischen Gerichtshofs nur auf in einem Insolvenzregister veröffentlichte Informationen über die Erteilung einer Restschuldbefreiung. Für Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO kann aber nichts Anderes gelten (vgl. BeckOK-Datenschutzrecht/Krämer, § 31 BDSG Rn. 77 [Stand: 1. November 2024]), denn zwischen dem Insolvenzregister und dem Schuldnerverzeichnis bestehen keine Unterschiede, die für die vorzunehmende Interessenabwägung von wesentlicher Bedeutung wären. Es ist der Beklagten deshalb verwehrt, aus dem öffentlichen Schuldnerverzeichnis stammende Informationen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit der eingetragenen Schuldner für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik; LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).

Der Europäische Gerichtshof hat bei seiner Entscheidung berücksichtigt, dass die Analyse einer Wirtschaftsauskunftei insoweit, als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potenziellen Kunden der Vertragspartner der Wirtschaftsauskunftei ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern kann. Andererseits stelle die Verarbeitung von Daten über die Erteilung der Restschuldbefreiung einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar, weil solche Daten als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person dienten; die Weitergabe solcher Daten sei geeignet, die Ausübung ihrer Freiheit erheblich zu erschweren, insbesondere wenn es darum gehe, Grundbedürfnisse zu decken. Zudem seien die Folgen für die betroffene Person umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die fraglichen Daten gespeichert würden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 93 bis 95). Diese Erwägungen lassen sich ohne Weiteres auf Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO übertragen.

Der Europäische Gerichtshof hat bei seiner Entscheidung ferner das Ziel eines öffentlichen Insolvenzregisters berücksichtigt, eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 96). Das Schuldnerverzeichnis gemäß § 882b ZPO dient ersichtlich demselben Zweck. Soweit der Europäische Gerichtshof ferner darauf abgestellt hat, dass das Ziel der Erteilung einer Restschuldbefreiung, dem Begünstigten eine erneute Beteiligung am Wirtschaftsleben zu ermöglichen, gefährdet wäre, wenn Wirtschaftsauskunfteien Daten über eine Restschuldbefreiung auch nach einer Löschung aus dem öffentlichen Insolvenzregister speichern und verwenden könnten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 98), steht auch diese Erwägung einer Übertragung der Rechtsprechung auf Eintragungen im Schuldnerverzeichnis nicht entgegen. Es ist kein Grund ersichtlich, warum das Interesse eines im Schuldnerverzeichnis eingetragenen Schuldners, sich nach Befriedigung seiner Gläubiger und nach einer Löschung des Eintrags im Schuldnerverzeichnis am Wirtschaftsleben zu beteiligen, geringeres Gewicht haben sollte, als das Interesse eines Insolvenzschuldners nach Erteilung der Restschuldbefreiung und nach Löschung des entsprechenden Eintrags im Insolvenzregister. Ebenso wie im Falle des Insolvenzregisters müssen deshalb auch beim Schuldnerverzeichnis die vom deutschen Gesetzgeber (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 97) geregelten zeitlichen Beschränkungen für die Datenspeicherung im öffentlichen Register auch für die Speicherung entsprechender Einträge durch die Beklagte maßgeblich sein.

cc) Zwar wird in der obergerichtlichen Rechtsprechung angenommen, bei einer Speicherung und Verarbeitung von Daten durch die Beklagte sei eine dem Schuldnerverzeichnis vergleichbare Situation nicht gegeben (vgl. OLG Frankfurt, Urteil vom 18. Januar 2023 - 7 U 100/22, ZD 2023, 217 Rn. 37 f.; OLG Bremen, Urteil vom 3. Juli 2023 - 1 U 8/22, ZD 2023, 748 Rn. 15; OLG München, Beschlüsse vom 30. Januar 2025 - 37 U 3936/24, Anlage BB 6; vom 20. Februar 2025 - 37 U 4148/24, Anlage BB 7; OLG Koblenz, Beschlüsse vom 5. März 2025 - 5 U 1018/24, Anlage BB 9; vom 10. März 2025 - 5 U 1026/24, Anlage BB 10; OLG Stuttgart, Beschluss vom 4. April 2025 - 9 U 141/24, Anlage zum Schriftsatz vom 7. April 2025). Diese Erwägungen, denen sich das Landgericht angeschlossen hat, überzeugen aber nicht.

Warum der Kreis an potenziell gegenüber der Beklagten Auskunftsberechtigten deutlich geringer sein soll als der Personenkreis, der zu einer Einsicht in das Schuldnerverzeichnis befugt ist, und warum eine Auskunftserteilung durch die Beklagte von höheren Voraussetzungen abhängig sein soll als eine - ebenfalls kostenpflichtige (Nummer 2.3 der Anlage zu § 124 JustG NRW) - Einsicht in das Schuldnerverzeichnis, erschließt sich mit Blick auf § 882f Abs. 1 ZPO nicht (vgl. OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49; OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik).

Vor allem aber kann es darauf nach der Entscheidung des Europäischen Gerichtshofs nicht mehr ankommen. Denn das Insolvenzregister, auf das sich die Entscheidung des Gerichtshofs bezieht, kann - anders als das Schuldnerverzeichnis - sogar von beliebigen Dritten ohne große Schwierigkeiten und ohne Darlegung eines berechtigten Interesses eingesehen werden. Unter anderem deshalb hatte der Senat die Regelung des § 3 InsoBekV in Bezug auf die Speicherung von Daten durch die Beklagte für nicht maßgeblich erachtet (vgl. Senatsurteil vom 27. Januar 2022 - 15 U 153/21, ZD 2022, 233 Rn. 38), woran nach der Entscheidung des Gerichtshofs nicht festgehalten werden kann.

dd) Zur Vermeidung von Wertungswidersprüchen darf die Beklagte Informationen über Zahlungsstörungen, die in das Schuldnerverzeichnis nach § 882b ZPO eingetragen sind oder dort eingetragen werden könnten, auch dann nicht länger speichern als für das Schuldnerverzeichnis vorgesehen, wenn die Beklagte die Informationen nicht durch Einsicht in das Schuldnerverzeichnis, sondern aus anderen Quellen erhalten hat (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Solche aus anderen Quellen stammenden Informationen über Zahlungsstörungen, die auch in das Schuldnerverzeichnis eingetragen werden könnten, muss die Beklagte deshalb nach der gesetzlichen Wertung des § 883e Abs. 3 Nr. 1 ZPO löschen, wenn ihr die vollständige Befriedigung des Gläubigers nachgewiesen wird.

Aus den Gesetzesmaterialien zu dieser Vorschrift ergibt sich, dass ihr die Erwägung zugrunde liegt, dass durch eine vollständige Befriedigung des Gläubigers das Informationsinteresse des Geschäftsverkehrs beseitigt wird (BT-Drucks. 16/10069 S. 40). Diese Wertung des deutschen Gesetzgebers muss ausgehend von der Entscheidung des Europäischen Gerichtshofs auch dann maßgeblich sein, wenn Wirtschaftsauskunfteien wie die Beklagte Informationen über Zahlungsstörungen speichern, die auch in das Schuldnerverzeichnis eingetragen werden könnten (vgl. LG Duisburg, Urteil im Verfahren 4 O 423/23, Anlage zur Berufungsbegründung; LG Berlin II, Urteil vom 24. März 2025 - 61 O 385/24, Anlage zum Schriftsatz des Klägers vom 27. März 2025; für § 882e Abs. 1 ZPO ebenso OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49). Denn Wirtschaftsauskunfteien verfolgen mit ihren Datenbanken keine anderen Zwecke als das Schuldnerverzeichnis (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Auch dieses soll nach dem Willen des Gesetzgebers und entgegen den Ausführungen der Beklagten nicht nur die Vollstreckung von Forderungen ermöglichen, sondern es hat weitergehend die Funktion eines Auskunftsregisters über die Kreditwürdigkeit einer Person (vgl. BT-Drucks. 16/10069 S. 37). Keinem anderen Zweck dient die Datenbank der Beklagten. Auf die von ihr vorgenommenen statistischen Untersuchungen kann es deshalb nicht ankommen; die Ergebnisse dieser Untersuchungen ändern nichts an der Maßgeblichkeit der gesetzlichen Wertung.

Dass die Eintragung in das Schuldnerverzeichnis nach § 882c ZPO eine Anordnung des Gerichtsvollziehers voraussetzt, während die Datenverarbeitung der Beklagten in der Regel auf einer Meldung des Gläubigers beruht, ist ebenfalls unerheblich. Es ist kein Grund ersichtlich, warum an der Speicherung einer von einem privaten Gläubiger gemeldeten Zahlungsstörung ein größeres Interesse bestehen sollte als an der Speicherung einer vom Gerichtsvollzieher im Rahmen eines Zwangsvollstreckungsverfahrens angeordneten Eintragung. Ferner kann es auch nicht darauf ankommen, dass eine Löschung nach § 882e Abs. 3 Nr. 1 ZPO verfahrensmäßig von einer Anordnung des zentralen Vollstreckungsgerichts abhängt.

ee) Allerdings ist bezüglich der drei Forderungen, die gegen den Kläger gerichtet waren, eine Eintragung in das Schuldnerverzeichnis nicht erfolgt und hätte offenbar auch nicht erfolgen dürfen, weil die Voraussetzungen des § 882c Abs. 1 Satz 1 ZPO nicht vorlagen. Auch dies ändert aber nichts daran, dass die Beklagte die Forderungen löschen musste, nachdem ihr durch entsprechende Meldungen der Gläubiger deren vollständige Befriedigung nachgewiesen worden war. Denn wenn in den in § 882c Abs. 1 Satz 1 ZPO genannten Fällen, in denen (sogar) Vollstreckungsmaßnahmen (Antrag auf Erteilung einer Vermögensauskunft) zunächst nicht zu einer Befriedigung geführt haben, entsprechende Einträge nach der späteren Befriedigung des Gläubigers gelöscht werden müssen, muss dies auch und erst recht gelten, wenn der Schuldner - wie im Streitfall offenbar der Kläger - den Gläubiger einer titulierten beziehungsweise mehrfach angemahnten unstreitigen Forderung ohne den Druck von Vollstreckungsmaßnahmen befriedigt (zutreffend LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).

b) Dass nach Ziffer IV. 1 Buchstabe b der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit genehmigten Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2024 auch personenbezogene Daten über ausgeglichene Forderungen für bestimmte Zeiträume gespeichert werden dürfen, ist unerheblich. Denn Verhaltensregeln im Sinne des Art. 40 DSGVO, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO ergibt, können bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 105). Davon geht die Beklagte auch selbst aus.

2. Entgegen der Auffassung des Landgerichts ist dem Kläger wegen des Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden entstanden. Dabei kann es dahinstehen, ob ein Kontrollverlust vorliegt (vgl. OLG Schleswig, Urteil vom 22. November 2024 - 17 U 2/24, juris Rn. 133). Denn jedenfalls hat der Kläger eine Rufschädigung erlitten (vgl. Erwägungsgrund 85 DSGVO). Ob eine Rufschädigung allein daraus folgt, dass die Beklagte die Daten über die Zahlungsstörungen auch nach der Erfüllung der einzelnen Forderungen weiterhin gespeichert hat, kann offenbleiben. Denn jedenfalls hat die Beklagte ausweislich der Einblendung auf Seite 2 der erstinstanzlichen Treplik im Jahr 2023 - also nach der Erfüllung der letzten Forderung - mehreren Banken, einem Energieversorgungsunternehmen und einem Telekommunikationsunternehmen Scorewerte und Erfüllungswahrscheinlichkeiten mitgeteilt, die sie unter Berücksichtigung der Zahlungsstörungen ermittelt hatte. Die fortdauernde Speicherung der Zahlungsstörungen ist somit dafür ursächlich geworden, dass die Beklagte ihren genannten Vertragspartnern gegenüber die Kreditwürdigkeit des Klägers in Zweifel gezogen hat, was sich abträglich auf dessen sozialen Geltungsanspruch ausgewirkt hat (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12; Senatsurteile vom 25. April 2024 - 15 U 204/22; vom 13. Februar 2025 - 15 U 35/24). Dass die genannten Übermittlungen keine weiteren nachteiligen Folgen für den Kläger hatten, steht der Annahme eines immateriellen Schadens in Gestalt einer Rufschädigung nicht entgegen (vgl. OLG Hamburg, Urteil vom 30. August 2023 - 13 U 71/21, juris Rn. 7).

3. Die Haftung der Beklagten ist nicht nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Die Beklagte hat nicht nachgewiesen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Umstand, dass sie sich genehmigten Verhaltensregeln unterworfen hat, schließt ihre Haftung nicht aus (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 82 DSGVO Rn. 50; Bergt/Pesch, ebd., Art. 40 DSGVO Rn. 43; vgl. auch Art. 42 Abs. 4 DSGVO bei einer Zertifizierung). Denn da die Genehmigung der Verhaltensregeln keine Erlaubniswirkung hat, durfte die Beklagte nicht auf die Richtigkeit der der Genehmigung zugrunde liegenden Rechtsauffassung vertrauen, sondern musste damit rechnen, dass die in den Verhaltensregeln vorgesehenen Speicherfristen im Fall einer gerichtlichen Überprüfung als zu lang angesehen werden. Insbesondere musste sie damit rechnen, dass die für öffentliche Register geltenden Speicherfristen als auch für sie maßgeblich angesehen werden, was in der obergerichtlichen Rechtsprechung bereits lange vor Klageerhebung im November 2023 vertreten worden war (vgl. OLG Schleswig, Urteil vom 2. Juli 2021 - 17 U 15/21, ZD 2021, 584). Die Beklagte kann sich daher nicht mit Erfolg auf einen unvermeidbaren Rechtsirrtum berufen, unabhängig von der Frage, ob ein Rechtsirrtum den Schädiger im Rahmen von Art. 82 Abs. 3 DSGVO überhaupt entlasten kann.

4. Der Höhe nach bemisst der Senat den immateriellen Schaden mit einem Betrag von 500 € (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 13).

Nach der neueren Rechtsprechung des Europäischen Gerichtshofs erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung nicht auf die Höhe des Schadensersatzes auswirken kann (vgl. EuGH, Urteile vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 59 f.; vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 41; BGH, Urteile vom 18. November 2024 - VI ZR 10/24, NJW 2025, 298 Rn. 25; vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 10 f.).

Ausgehend von diesen Grundsätzen erscheint im Streitfall ein Betrag von 500 € erforderlich, aber auch ausreichend, um den vom Kläger erlittenen immateriellen Schaden auszugleichen. Dabei ist zu berücksichtigen, dass die rechtswidrige Datenspeicherung über einen Zeitraum von mehreren Jahren angedauert und - wie unter Ziffer 2 ausgeführt - zu mehreren Übermittlungen von negativen Scorewerten an Vertragspartner der Beklagten geführt hat. Dass diese Übermittlungen weitere negativen Folgen für den Kläger hatten, lässt sich allerdings nicht feststellen. Soweit der Kläger behauptet hat, ihm seien wegen seiner Eintragung bei der Beklagten der Abschluss eines Mobilfunk- und eines Energielieferungsvertrags verwehrt worden, hat das Landgericht diesen Vortrag als nicht erweisen angesehen. Dies greift die Berufung nicht an. Soweit der Kläger sich auf Probleme im Zusammenhang mit einem Umzug und mit einer diesbezüglichen Kreditaufnahme berufen hat, lässt sich nicht feststellen, dass diese Probleme kausal auf einen Verstoß der Beklagten gegen die Datenschutz-Grundverordnung zurückzuführen sind. Denn die Probleme sollen nach dem Vortrag des Klägers bereits im Jahr 2021 und/oder im Oktober 2022 aufgetreten sein. Zu diesem Zeitpunkt war die dritte Forderung noch nicht erledigt und die Beklagte war noch berechtigt, diese Zahlungsstörung zu speichern und bei der Berechnung des Scorewertes zu berücksichtigen. Entsprechendes gilt, soweit der Kläger behauptet hat, er habe eine Stelle nicht erhalten. Der Kläger hat bei seiner persönlichen Anhörung erklärt, dies sei im Frühjahr 2021 oder 2022 gewesen (Seite 1 der Sitzungsniederschrift des Landgerichts vom 31. Mai 2024). Des Weiteren wird die Schwere der Rufschädigung dadurch relativiert, dass die von der Beklagten gespeicherten Zahlungsstörungen tatsächlich aufgetreten waren und die Beklagte der Ermittlung des Scorewertes keinen falschen Sachverhalt zugrunde gelegt hat.

5. Der Zinsanspruch folgt aus den §§ 291, 288 Abs. 1 Satz 2 BGB.

6. Als weiterer materieller Schaden sind die dem Kläger durch das Anwaltsschreiben vom 3. August 2023 entstandenen Kosten ersatzfähig. Ausgehend davon, dass der immaterielle Schaden nur mit 500 € zu bemessen ist, sind die ersatzfähigen Kosten allerdings nicht nach einem Gegenstandswert von 5.500 €, sondern nur nach einem Wert von bis zu 5.000 € zu bemessen. Es errechnet sich ein Betrag von 540,50 € (1,3 Geschäftsgebühren zuzüglich Auslagenpauschale und Umsatzsteuer).
7
7. Die prozessualen Nebenentscheidungen beruhen auf den § 91a Abs. 1 Satz 1, § 92 Abs. 1 Satz 1, § 97 Abs. 1, § 708 Nr. 10, § 711 ZPO. Soweit die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt haben, sind die Kosten der Beklagten aufzuerlegen, weil sie nach den Ausführungen unter Ziffer 1 zum Zeitpunkt der Klageerhebung im November 2023 zur Löschung der fraglichen Einträge verpflichtet war (Art. 17 Abs. 1 Buchstaben a, d DSGVO).

8. Die Entscheidung über die Zulassung der Revision beruht auf § 543 Abs. 2 Satz 1 ZPO. Die Frage, ob die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO für private Wirtschaftsauskunfteien maßgeblich ist, hat grundsätzliche Bedeutung. Im Übrigen erfordert die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts, weil der Senat mit seiner vorliegenden Entscheidung von der Rechtsprechung mehrerer anderer Oberlandesgerichte abweicht. Nicht geklärt ist im Übrigen auch, ob und unter welchen Voraussetzungen ein Rechtsirrtum einen Haftungsausschluss nach Art. 82 Abs. 3 DSGVO begründen kann. Soweit die Berufung zurückgewiesen wird, liegen die Voraussetzungen für die Zulassung der Revision hingegen nicht vor.


Den Volltext der Entscheidung finden Sie hier:


OLG München hebt Urteil gegen Telefonica / O2 wegen der Weitergabe von Positivdaten an SCHUFA im Berufungsverfahren auf

OLG München
Urteil vom 03.04.2025
6 U 2414/23


Das OLG München hat das Urteil des LG Münchengegen Telefonica / O2 wegen der Weitergabe von Positivdaten an die SCHUFA im Berufungsverfahren aufgehoben.

Aus den Entscheidungsgründen:
2. Jedoch geht aus dem nunmehr in der Berufung noch verfolgten Klagebegehren der Verbotsgegenstand nicht hinreichend bestimmt hervor, § 253 Abs. 2 Nummer 2 ZPO

a) Grundsätzlich darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (statt vieler BGH GRUR 2003, 958 – Paperboy; BGH GRUR 2005, 604, 605 – Fördermittelberatung; GRUR 2007, 607 Rdnr. 16 – Telefonwerbung für „Individualverträge”).

b) Diesen Anforderungen genügt das vom Kläger in der Berufung verfolgte Verbot nicht.

aa) Zwar ist der im Verbotsantrag verwendete Begriff der Positivdaten hinreichend definiert mit „also personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen“.

bb) Der Antrag ist aber im übrigen unbestimmt.

Verbotsziel des Klägers ist vorliegend keine konkrete Verletzungshandlung. Das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 stellt keine konkrete Verletzungshandlung dar. Mit ihm erfüllt die Beklagte lediglich ihre Pflicht gemäß Art. 13, Art. 14 DS-GVO.

Der begehrte Antrag benennt auch nicht das Charakteristische der Verletzungshandlung, insbesondere nicht die tatsächliche Handhabung der Datenweitergabe durch die Beklagte. Zudem ist dem Klägervortrag nicht zu entnehmen, dass er – eventuell hilfsweise – diese tatsächliche Handhabung der Datenweitergabe und insbesondere die tatsächlich von der Beklagten hierfür angewandten Kriterien angreift. Vielmehr hebt der Kläger ausdrücklich hervor, dass er die Unterlassung der Übermittlung von Positivdaten an Auskunfteien begehrt, wenn dies nicht ausnahmsweise datenschutzrechtlich legitimiert ist. Damit verlagert er aber die Entscheidung darüber, was der Beklagten verboten ist, ins Vollstreckungsverfahren.

Letztlich begehrt er damit ein gesetzeswiederholendes Verbot, wie lit. a) seines Unterlassungsantrags mit der Formulierung „auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung)“ zeigt. Denn dies gibt lediglich den Wortlaut des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO wieder. Derartige gesetzeswiederholende Verbote sind grundsätzlich kritisch zu bewerten. Ein Fall, in dem dies ausnahmsweise zulässig wäre (vgl. Köhler/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.40 ff. zu § 12), liegt nicht vor.

Daran ändern auch die in der Berufungsinstanz in den Verbotsantrag eingefügten weiteren Kriterien nichts. So ist unklar, was unter der Datenweitergabe „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. b) des Antrags oder unter „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. c des Antrags zu verstehen ist. Der Beklagten wird nicht vor Augen geführt, was ihr verboten werden soll.

II. Die Klage ist hinsichtlich Tenor I. des Ersturteils in der Gestalt, in der der Kläger den Ausspruch verteidigt, zudem unbegründet, so dass es – ungeachtet des bereits in der mündlichen Verhandlung erteilten Hinweises zur Unschlüssigkeit des zunächst gestellten Antrags und der seitens der Beklagten geäußerten Bestimmtheitsbedenken in Bezug auf den zuletzt gestellten Antrag – keines weiteren Hinweises des Senats bedurfte.

1. Es fehlt an der Begehungsgefahr als materielle Voraussetzung für den Unterlassungsanspruch (BGH GRUR 1973, 208, 209 – Neues aus der Medizin; GRUR 1980, 241, 242 – Rechtsschutzbedürfnis; GRUR 1983, 127, 128 – Vertragsstrafeversprechen; GRUR 1992, 318, 319 – Jubiläumsverkauf).

a) Begehungsgefahr liegt vor, wenn entweder die Gefahr eines erstmaligen Wettbewerbsverstoßes drohend bevorsteht (Erstbegehungsgefahr) oder der Anspruchsgegner sich bereits wettbewerbswidrig verhalten hat und Wiederholungsgefahr besteht. Wiederholungsgefahr wird aufgrund einer bereits erfolgten Verletzungshandlung vermutet wird (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.11 f. zu § 8).

Dabei erstreckt sich die durch eine Verletzungshandlung begründete Wiederholungsgefahr grundsätzlich auch auf alle im Kern gleichartigen Verletzungshandlungen (BGH GRUR 1989, 445, 446 – Professorenbezeichnung in der Ärztewerbung II; GRUR 1991, 672, 674 – Anzeigenrubrik I; GRUR 1993, 579, 581 – R3. GmbH; GRUR 1996, 199 – Wegfall der Wiederholungsgefahr I; GRUR 1996, 800, 802 – EDV-Geräte; GRUR 1997, 379, 380 – Wegfall der Wiederholungsgefahr II; GRUR 1999, 509, 511 – Vorratslücken; GRUR 2000, 337, 338 – Preisknaller; GRUR 2000, 907, 909 – Filialleiterfehler; GRUR 2008, 702 Rn. 55 – Internet-Versteigerung III; Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.46 zu § 8). Im Kern gleichartig ist ein Verhalten aber nur, wenn es – ohne identisch zu sein – von der Verletzungshandlung nur unbedeutend abweicht (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.47 zu § 8). Entscheidend ist, dass sich das Charakteristische der Verletzungshandlung wiederfindet.

b) Mit Blick auf diese Grundsätze fehlt es an der Begehungsgefahr für die angegriffene Verhaltensweise. Denn das vom Kläger begehrte Verbot richtet sich gemäß seiner in der Berufungsinstanz aufgenommenen lit. b) und c) gegen die Datenweitergabe soweit dies alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen) und ohne Risikoabwägung im Einzelfall erfolgt.

Davon, dass die Beklagte in diesem Sinne keine Risikoabwägung vornimmt, ist nicht auszugehen. Denn tatsächlich gibt die Beklagte Positivdaten nach ihrem Vortrag nur in Bezug auf Dauerschuldverhältnisse mit einer Laufzeit von mindestens 12 Monaten und einer kumulierten Grundgebühr von mehr als 100,- Euro weiter, und nur dann, wenn die betroffene Person selbst Vertragspartner war und ein kreditorisches Risiko bei der der Beklagten besteht. Ein solches Risiko nimmt die Beklagte an bei einer Hardwarefinanzierung oder bei der Nutzung von volumen- oder verbrauchsabhängigen entgeltpflichtigen Mehrwertdiensten, also bei Vorleistung durch die Beklagte. Die Beklagte bietet neben solchen Postpaid-Verträgen, mit denen kreditorische Risiken einhergehen, aber auch Prepaid-Verträge an, bei denen sie keine Vertragsdaten weitergibt. Zudem biete sie Verträge ohne vorfinanzierte Hardware oder ohne sonstige Vorleistung an und gibt diesbezüglich ebenfalls keine Vertragsdaten weiter.

Der diesbezügliche Beklagtenvortrag wurde im Ersturteil als streitig behandelt (LGU, Seite 18/ 19), was hier gemäß § 314 ZPO zugrunde zu legen ist. Er wird vom Kläger aber jedenfalls in der hiesigen Berufungsinstanz nicht mehr in Frage gestellt, so dass § 138 Abs. 3 ZPO greift. Der Kläger hebt nämlich nur hervor, dass diese Kriterien derart niedrigschwellig seien, dass sie von nahezu allen Mobilfunkverträgen erfüllt würden (Berufungserwiderung, Seite 4, Bl. 56 d. Akte des OLG). Einen konkreten Fall, in dem die Beklagte zudem tatsächlich verbotswidrig gehandelt hat, benennt der Kläger ebenfalls nicht.

2. Der in der Berufungsinstanz verfolgte Unterlassungsanspruch ist zudem zu weit gefasst.

Er umfasst auch rechtlich zulässiges Verhalten der Beklagten, insbesondere Verhalten, das unter den Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO fällt. Denn das begehrte Verbot greift auch dann, wenn die Beklagte insbesondere die unter lit. b) des Antrags genannten allgemeinen Kriterien der Datenweitergabe derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind, weil ein berechtigtes Interesse der Beklagten zur Betrugsprävention, die in Erwägungsgrund 46 der DSVGO ausdrücklich erwähnt ist, nicht verneint werden kann und sich die Verarbeitung im unbedingt erforderlichen Umfang hält.

Spräche man ein solch allgemeines Verbot der Einmeldung von Positivdaten an Auskunfteien aus, führte dies dazu, dass eine Übermittlung selbst bei datenschutzkonformer Ausgestaltung dieses Prozesses (also unter Darlegung, in welchen Szenarien und unter Vorschaltung interner Prüfprozesse etc. eine Übermittlung erfolgt) untersagt wäre, was mit dem zitierten Erwägungsgrund der DS-GVO nicht übereinstimmen würde. Nicht entscheidend ist, ob das Gericht ein solches zulässiges Szenario benennen kann. Es geht vielmehr darum, der Beklagten einen ihr nach der DS-GVO eingeräumten Spielraum beim Umgang mit Positivdaten zu belassen, den sie in den bestehenden Grenzen gestalten kann (so auch OLG Köln GRUR-RS 2023, 34611).

Diesem zu weit gefassten Antrag kann auch nicht im Wege der Auslegung als minus entnommen werden, dass jedenfalls ein konkretes Verhalten verboten werden soll (BGH GRUR 2004, 605, 607 – Dauertiefpreise; GRUR 2008, 702 Rn. 32 – Internetversteigerung III; GRUR 2011, 444 Rn. 13 – Flughafen FrankfurtHahn; GRUR 2011, 82 Rn. 37 – Preiswerbung ohne Umsatzsteuer).

Voraussetzung hierfür wäre nämlich, dass ohne weiteres feststellbar ist, welche konkrete Verletzungsform auf jeden Fall erfasst sein soll. Das ist hier nicht der Fall. Insbesondere stellt weder das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 eine konkrete Verletzungsform dar noch grenzen die übrigen in der Berufung aufgenommenen Einschränkungen gemäß seiner weiteren lit. a) und lit. b) den Antrag derart ein, dass nur unzulässiges Verhalten unter den Antrag fällt. Denn danach soll die Datenübermittlung untersagt werden, soweit sie auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung) und ohne Risikoabwägung im Einzelfall erfolgt. Damit sind weiterhin auch Fälle erfasst, in denen die Beklagte die genannten allgemeinen Kriterien gemäß lit. c) des Antrags derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind.

Zudem gilt, dass eine Abspaltung als „minus“ ausscheidet, wenn der Kläger ausdrücklich an seinem Antrag festhält und eine Einschränkung ablehnt. Denn es ist nicht Sache des Gerichts, einen zu weit gefassten Antrag so umzuformulieren, dass er Erfolg hat oder haben könnte (BGH GRUR 1998, 489, 492 – Unbestimmter Unterlassungsantrag III; GRUR 2002, 187, 188 – Lieferstörung). Hier macht der Kläger durch die erfolgte Umstellung nach Hinweis auf die Unschlüssigkeit seines zunächst gestellten Antrags deutlich, dass er sich pauschal dagegen wendet, Daten über den Vertragsabschluss und die Vertragsbeendigung bei Mobilfunkverträgen an die Schufa zu übermitteln. Er begehrt also ein generelles Verbot und hat sich in Bezug auf die Reichweite des Verbots nie auf die tatsächliche Handhabung der Datenübermittlung durch die Beklagte bezogen.


Den Volltext der Entscheidung finden Sie hier:

BGH: Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes wenn eine Behörde die Personalakten nicht selbst verwaltet

BGH
Urteil vom 11.02.2025
VI ZR 365/22
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.

Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.

BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover

Aus den Entscheidungsgründen:
2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.

a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.

b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.

aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).

bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).


Den Volltext der Entscheidung finden Sie hier:


Volltext BVerwG liegt vor: Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen für unzulässige Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt

BVerwG
Urteil vom 29.01.2025
6 C 3.23
Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne Einwilligung


Wir hatten bereits in dem Beitrag BVerwG: Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt über die Entscheidung berichtet.

Leitsätze des Bundesverwaltungsgerichts:
1. Im Rahmen der Entscheidung über die Begründetheit eines Antrags auf Wiederaufgreifen des Verfahrens nach § 51 Abs. 1 Nr. 1 Alt. 2 SVwVfG hat das Gericht grundsätzlich abschließend zu prüfen, ob an dem unanfechtbaren Verwaltungsakt auf der Grundlage der neuen Rechtslage festzuhalten ist.

2. Bei der Beurteilung, ob die Verarbeitung personenbezogener Daten zum Zweck der Telefonwerbung zur Wahrung eines "berechtigten Interesses" im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO erfolgt, sind die Wertungen des § 7 Abs. 2 Nr. 1 UWG, der die Vorgaben des Art. 13 der Richtlinie 2002/58/EG umsetzt, zu berücksichtigen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Mündliche Auskunft ist eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO wenn die Informationen in einem Dateisystem gespeichert ist oder gespeichert werden soll

EuGH
Urteil vom 07.03.2024
C-740/22

Der EuGH hat entschieden, dass eine mündliche Auskunft eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO ist, wenn die Informationen in einem Dateisystem gespeichert ist oder gespeichert werden soll.

Tenor der Entscheidung:
1. Art. 2 Abs. 1 und Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 der Verordnung darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

2. Die Bestimmungen der Verordnung 2016/679, insbesondere ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10,
sind dahin auszulegen, dass dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist.

Den Volltext der Entscheidung finden Sie hier:

BAG: Ungutes Gefühl allein begründet bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO

BAG
Urteil vom 20.02.2025
8 AZR 61/24


Das BAG hat entschieden, das ein ungutes Gefühl allein bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
bb) Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

(1) Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen (vgl. BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 18). Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20. Juni 2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32). Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 16 unter Bezugnahme auf BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

(2) Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 18; 20. Juni 2024 – 8 AZR 91/22 – Rn. 18).

(a) Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 34). Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18. November 2024 (- VI ZR 10/24 -) fehl.

(b) Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.

(c) Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung (vgl. hierzu EuGH 22. Juni 2023 – C-579/21 – [Pankki S] Rn. 59 mwN) steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts (aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c). Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.

(d) Soweit die Revision die angeführte Rechtsprechung des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht (vgl. EuGH 9. April 2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 13 ff.). Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.

(3) Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Klägers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Beklagte doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen (vgl. Fuhlrott/Fischer NZA 2023, 606, 610). Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

2. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – [Brillen Rottler] vor dem Gerichtshof nicht abgewartet werden.


Den Volltext der Entscheidung finden Sie hier:

LG Berlin II: Facebook / Meta zur Zahlung von Schadensersatz, Auskunft und Löschung wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über Meta Buisness Tools verurteilt

LG Berlin II
Urteile vom 04.04.2025
39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24


Das LG Berlin II hat in mehreren Fällen Facebook / Meta zur Auskunftserteilung, Löschung und Zahlung von Schadensersatz an die jeweiligen Betroffenen wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über die Meta Buisness Tools verurteilt.

Die Pressemitteilung des Gerichts:
Landgericht Berlin II verpflichtet Meta in sechs Fällen unter anderem zur Auskunft, Löschung von Daten und Schadensersatz

Das Landgericht Berlin II hat in sechs Urteilen vom 4. April 2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 € zugesprochen.

Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile.

Der Einsatz der Meta Business Tools auf Webseiten und Apps ist dabei nur eingeschränkt erkennbar. Schätzungen gehen davon aus, dass diese bei mindestens 30 bis 40 Prozent der Webseiten weltweit und auf der überwiegenden Mehrzahl der meistbesuchten 100 Webseiten in Deutschland zum Einsatz kommen. Dies erfolge nicht nur ohne, sondern auch gegen den ausdrücklichen Willen der Nutzer*innen.

Die Beklagte wendet dagegen ein, die Drittunternehmen seien für die Installation und Nutzung der Business Tools und somit für die Offenlegung der Daten verantwortlich. Sie selbst nehme eine Datenverarbeitung jedenfalls zur Bereitstellung personalisierter Werbung nur vor, wenn die Nutzer*innen ausdrücklich hierin einwilligen. Anderenfalls würden übermittelte Daten nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, genutzt.

In der mündlichen Verhandlung wies das Gericht darauf hin, dass den Kläger*innen der Auskunftsanspruch aus Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) zustehe, da die Beklagte die über die Meta Business Tools erhaltenen personenbezogenen Daten der Kläger*innen zur Erstellung von Persönlichkeitsprofilen verarbeitet und gespeichert habe. Der Löschungs- bzw. Anonymisierungsanspruch bestehe nach Art. 17 Abs. 1 DSGVO, da für die Datenverarbeitung keine Rechtsgrundlage bestehe. Hierfür lägen keine Einwilligungen der Kläger*innen vor. Wegen der Verstöße gegen die DSGVO stünden den Kläger*innen zudem Ansprüche auf Schadensersatz nach Art. 82 DSGVO zu. Für die weiteren Einzelheiten müssen die schriftlichen Urteilsgründe abgewartet werden.

Die Urteile sind noch nicht rechtskräftig. Es kann dagegen Berufung beim Kammergericht innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.

Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24



EuGH: Offenlegung von Namen und Kontaktdaten der Vertreter juristischer Personen in amtlichen Dokumenten ist Verarbeitung personenbezogener Daten im Sinne der DSGVO

EuGH
Urteil vom 03.04.2025
C‑710/23


Der EuGH hat entschieden, dass die Offenlegung von Namen und Kontaktdaten der Vertreter juristischer Personen in amtlichen Dokumenten eine Verarbeitung personenbezogener Daten im Sinne der DSGVO ist.

Tenor der Entscheidung:
1. Art. 4 Nrn. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.

2. Art. 6 Abs. 1 Buchst. c und e in Verbindung mit Art. 86 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Rechtsprechung nicht entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.

Den Volltext der Entscheidung finden Sie hier:

BGH: Wettbewerbswidriger Verstoß gegen Art. 9 Abs. 2 Buchst. a DSGVO durch Verarbeitung von Bestelldaten ohne ausdrückliche Einwilligung bei Bestellung apothekenpflichtiger Medikamente

BGH
Urteil vom 27. 03.2025
I ZR 223/19
Arzneimittelbestelldaten II
Verordnung (EU) 2016/679 Art. 9 Abs. 1, Abs. 2 Buchst. a und h, Abs. 3; Richtlinie 95/46/EG Art. 8 Abs. 1 Abs. 2 Buchst. a, Abs. 3; BDSG § 22 Abs. 1 Nr. 1 Buchst. b; UWG § 3 Abs. 1, §§ 3a, 8 Abs. 2, § 9 Abs. 1

Der BGH hat entschieden, dass ein wettbewerbswidriger Verstoß gegen die Marktverhaltensregel Art. 9 Abs. 2 Buchst. a DSGVO durch Verarbeitung von Bestelldaten ohne ausdrückliche Einwilligung bei Online-Bestellungen (hier über Amazon Marketplace) apothekenpflichtiger Medikamente vorliegt.

Wir hatten bereits in dem Beitrag BGH: Mitbewerber und Verbraucherschutzverbände können Datenschutzverstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen über die Entscheidung berichtet.

Leitsätze des BGH:
a) Bestellt ein Kunde über den Account eines Apothekers bei der Internet-Plattform "Amazon- Marketplace" (Amazon) apothekenpflichtige Medikamente, findet eine Erhebung und Verarbeitung von Gesundheitsdaten im Sinne von § 4 Abs. 1 BDSG aF statt.

b) Die Verarbeitung der Bestelldaten ohne ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 Buchst. a DSGVO stellt einen Verstoß gegen eine Marktverhaltensregelung gemäß § 3a UWG dar, für die der Apotheker gemäß § 8 Abs. 2 UWG wettbewerbsrechtlich verantwortlich ist und gegen den ein Mitbewerber im Wege der Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorgehen kann.

BGH, Urteil vom 27. März 2025 - I ZR 223/19 - OLG Naumburg - LG Dessau-Roßlau

Den Volltext der Entscheidung finden Sie hier:

LG Stuttgart: Datenschutzwidrige Speicherung von Meta Business Tools Off-Site-Daten durch Facebook wenn dies ohne Einwilligung des Nutzers erfolgt

LG Stuttgart
Urteil vom 05.02.2025
27 O 190/23


Das LG Stuttgart hat entschieden, dass die Speicherung von Meta Business Tools Off-Site-Daten durch Facebook datenschutzwidrig ist, wenn dies ohne Einwilligung des Nutzers erfolgt.

Aus den Entscheidungsgründen:
Soweit die Klage zulässig ist, ist sie teilweise begründet.

1. Der Klageantrag Ziffer 3 ist unbegründet. Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.

a) Soweit der Kläger sich zur Begründung dieses Anspruchs darauf stützt, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürfen, wobei unter Verarbeitung gemäß Art. 4 Nr. 2 DSGVO auch die Löschung falle, greift das nicht durch.

Tatbestandlich setzt ein Anspruch nach Art. 18 Abs. 2 DSGVO voraus, dass die Verarbeitung gemäß Art. 18 Abs. 1 DSGVO eingeschränkt wurde. Dabei kann vorliegend dahinstehen, ob die Voraussetzungen des Art. 18 Abs. 1 Buchst b DSGVO vorliegen und der Kläger deshalb von der Beklagten eine Einschränkung der Verarbeitung verlangen kann. Denn unabhängig davon ist die Verarbeitung jedenfalls derzeit nicht eingeschränkt im Sinne von Art. 4 Nr. 3 DSGVO. Denn gemäß Art. 4 Nr. 3 DSGVO ist eine Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wie sich aus Erwägungsgrund 67 der DSGVO ergibt, muss für eine Einschränkung der Verarbeitung durch Einrichtung geeigneter Verfahren bzw. technische Maßnahmen ferner sichergestellt sein, dass die markierten Daten nur noch für eingeschränkte Zwecke nach Art. 18 Abs. 2 DSGVO verarbeitet werden (vgl. Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 29). Die bei der Beklagten gespeicherten personenbezogenen Daten des Klägers erfüllen diese Anforderungen nicht und sind somit nicht in der Verarbeitung eingeschränkt.

Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Dies ergibt sich sowohl aus dem Wortlaut der Norm („Wurde die Verarbeitung eingeschränkt…“) als auch der systematischen Unterscheidung in Art. 18 Abs. 1 und Abs. 2 DSGVO zwischen den zeitlich und inhaltlich aufeinander aufbauenden Ansprüchen des Betroffenen. Die Rechte aus Art. 18 Abs. 2 DSGVO stehen dem Betroffenen daher erst dann zu, nachdem die Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt wurde (Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 34), woran es im Streitfall gerade fehlt.

b) Dem Kläger steht auch nicht aus § 1004 BGB iVm § 823 Abs. 1 BGB ein Anspruch darauf zu, dass die Beklagte seine personenbezogenen Daten ab sofort unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.

Dabei kann vorliegend dahinstehen, ob ein Unterlassungsanspruch des nationalen Rechts neben der DSGVO anwendbar ist oder ob diese insoweit Sperrwirkung entfaltet. Wird die Anwendbarkeit eines Unterlassungsanspruchs im rechtlichen Ausgangspunkt zu Gunsten des Klägers unterstellt, so besteht ein Unterlassungsanspruch jedenfalls in der Sache nicht. Denn die Beklagte ist gerade nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst e DSGVO verpflichtet, die Speicherung personenbezogener Daten zeitlich auf das notwendige Mindestmaß zu begrenzen. Außerhalb des Anwendungsbereichs des Art. 18 Abs. 2 DSGVO stünde es in Widerspruch zu diesem gesetzlichen Grundsatz, wenn man dem Verantwortlichen die Löschung der Daten verbieten würde.

2. Der Klageantrag Ziffer 4 ist begründet.

a) In tatsächlicher Hinsicht steht auf der Grundlage der Parteianhörung des Klägers zur vollen Überzeugung des Gerichts (§ 286 ZPO) fest, dass die Beklagte auf Drittwebseiten oder Apps angefallene Daten des Klägers speichert.

Wie der Kläger im Rahmen der Parteianhörung glaubhaft angegeben hat, besucht er regelmäßig die Internetseite bild.de. Überdies hat er den Vorhalt seines Prozessbevollmächtigten auf der Grundlage der diesem gegenüber schriftlich gemachten Angaben des Klägers bestätigt, dass er gelegentlich die Websites PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com nutze. Es handelt sich hierbei sämtlich um Internetseiten, welche Facebook Business Tools installiert haben. Damit steht fest, dass es in der Vergangenheit zur Übermittlung von auf diesen Seiten angefallenen Daten des Klägers an die Beklagte gekommen ist.

b) Es kann dahinstehen, ob die bloße Entgegennahme von Daten, welche Drittunternehmen der Beklagten im Rahmen der Facebook Business Tools übermittelt haben, als „Erheben“ von Daten durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO anzusehen ist und ob im Hinblick auf die Übermittlung personenbezogener Daten des Klägers die Betreiber der Drittwebseiten oder Apps hierzu die Einwilligung des Klägers eingeholt haben. Denn jedenfalls speichert die Beklagte die Daten, wofür sie sich nicht auf eine vom Anbieter der Drittwebseite oder App eingeholte Einwilligung berufen kann.

aa) Social-Media-Anbieter wie die Beklagte sind bei der Erhebung von Off-Site-Daten gemeinsam mit Drittunternehmen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für den Datenerhebungsvorgang (EuGH, Urteil vom 29.07.2019 – C-40/17, GRUR 2019, 977 Rn. 81 ff.). Es obliegt jedoch nicht dem Social-Media-Anbieter, sondern (nur) dem Drittunternehmen als Initiator des Datenverarbeitungsprozesses, die Einwilligung der betroffenen Person einzuholen (EuGH, aaO Rn. 102). Dieser Differenzierung liegt die Vorstellung zugrunde, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, und dass der Grad der Verantwortlichkeit jedes Mitverantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, aaO Rn. 70). Sollten die vom Kläger besuchten Drittwebseiten sowie Apps die Einwilligung des Klägers zur Weiterleitung von Daten an die Beklagte eingeholt haben, so rechtfertigte dies die Entgegennahme der Daten durch die Beklagte folglich auch dann, wenn dieser Vorgang auch in der Person der Beklagten als „Erheben“ von Daten zu qualifizieren sein sollte.

bb) Ob der Kläger beim Besuch von Drittwebsites oder der Benutzung von Apps, die Meta Business Tools eingebunden haben - namentlich der regelmäßigen Nutzung von bild.de sowie der gelegentlichen Nutzung von PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com - seine Einwilligung erteilt hat, dass Daten über seine „Events“ an die Beklagte weitergeleitet werden, ist offen.

Soweit die Beklagte vorbringt, dass nach der mit ihrem jeweiligen Vertragspartner der Meta Business Tools getroffenen Vereinbarung es diesem obliege, die für die Weiterleitung von Daten erforderliche Einwilligung beim jeweiligen Nutzer der Website oder App einzuholen, bestehen erhebliche Zweifel, ob die Beklagte mit der Bereitstellung der Meta Business Tools tatsächlich das Ziel verfolgt, nur im Falle positiv erteilter Einwilligung Daten übermittelt zu erhalten. Die technische Ausgestaltung der Meta Business Tools legt eher die Annahme nahe, dass die Datenübermittlung in jedem Fall stattfinden solle. Denn ihren Vertragspartnern der Meta Business Tools stellt die Beklagte Cookies („fbc“ und „fbc“) zur Verfügung, welche auf den Websites der Vertragspartner als eigene Cookies („First Party Cookies“) installiert werden können. Blockiert ein Nutzer in seinem Browser Drittanbietercookies („Third Party Cookies“), so können diese von der Beklagten bereitgestellten Cookies gleichwohl gesetzt werden, weil es sich nicht in diesem Sinne um Drittanbietercokies handelt. Damit erfüllen die Meta Business Tools ihre Funktion der Weiterleitung von Daten auch dann, wenn beim Surfen im Internet sensibilisierte Einstellungen zum Schutz der Privatsphäre vorgenommen werden, was typischerweise keine Einwilligung zur Weiterleitung von Daten vermuten lässt. Auch bewirbt die Beklagte ihre sog. Conversions API gerade damit, dass dieses Tool Events von Nutzern aggregieren kann, die sich gegen die Nutzung ihrer Daten entscheiden haben (sog. Meta Playbook der Beklagten, Anlage K 11, S. 23).

cc) Entscheidend kommt es nicht darauf an, ob der Beklagten Daten des Klägers ohne seine Einwilligung weitergeleitet worden sind. Denn jedenfalls fehlt die erforderliche Einwilligung des Klägers in die Speicherung der Daten durch die Beklagte.

(1) Wird unterstellt, dass die Vertragspartner der Beklagten im Rahmen der Meta Business Tools auf allen vom Kläger besuchten Websites oder verwendeten Apps die Einwilligung des Klägers in die Weiterleitung von Daten an die Beklagte eingeholt haben, so bedarf die Speicherung dieser Daten gleichwohl einer gesonderten Rechtfertigung. Denn die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung stellt nach Art. 4 Nr. 2 DSGVO einen eigenständigen Fall der Datenverarbeitung dar, wobei im Hinblick auf die Speicherung die Beklagte nicht mehr gemeinsam mit dem Drittunternehmen handelt, sondern die Speicherung allein durch die Beklagte erfolgt. Auch die Beklagte selbst bringt zutreffend vor, dass es nach der Übermittlung von Daten durch Drittunternehmen an die Beklagte der Beklagten obliege, für die anschließende Verarbeitung dieser Daten eine eigene Rechtsgrundlage nach Art. 6 DSGVO herzustellen (Duplik vom 03.12.2024 Rn. 40 = eAkte Bl. 365).

Soweit die Beklagte in der Klageerwiderung und in der Duplik die Auffassung vertreten hat, die vom Kläger beanstandete Datenverarbeitung finde gar nicht statt, weil die Beklagte aufgrund der vom Kläger verweigerten Einwilligung beim Kläger Off-Site-Daten nicht für personalisierte Werbung nutze, geht dies jedoch am Klägervortrag vorbei. Denn der Kläger hat der Beklagten bereits in der Klageschrift (S. 27 = eAkte Bl. 27) vorgeworfen, dass die Beklagte lediglich die Möglichkeit biete, der Nutzung der Daten für personalisierte Werbung zu widersprechen, jedoch der Sammlung und Speicherung der Daten nicht widersprochen werden könne. Dass die Beklagte die ihr übermittelten Off-Site-Daten speichert, auch wenn ein Facebook-Nutzer - wie der Kläger - in deren Nutzung für die Anzeige personalisierter Werbung nicht eingewilligt hat, ist in tatsächlicher Hinsicht jedenfalls zuletzt unstreitig (Schriftsatz der Beklagten vom 17.01.2025 = eAkte Bl. 544).

(2) Es liegt weder eine Einwilligung des Klägers in die Datenspeicherung vor (Art. 6 Abs. 1 Buchst a DSGVO), noch ist die Speicherung durch eine der in Art. 6 Abs. 1 Buchst b bis f DSGVO genannten Tatbestände gerechtfertigt.

Die Notwendigkeit für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 Buchst b DSGVO kommt schon deshalb nicht in Betracht, weil die Beklagte es ihren Nutzern gerade freistellt, ob die Off-Site-Daten für nutzerspezifische Werbung verwendet werden dürfen. Damit ist die Nutzung von Off-Site-Daten kein notwendiger Bestandteil des Vertragsverhältnisses, was die Beklagte auch nicht behauptet hat. Dass eine Ansammlung der Daten, welche bei - wie im Streitfall - verweigerter Einwilligung für personalisierte Werbung gar nicht zur Verfügung stehen, zur Erfüllung des Vertragsverhältnisses über ein Facebook-Konto aus anderen Gründen notwendig wäre, hat die Beklagte nicht dargelegt.

Die Speicherung ist auch nicht zur Wahrung der berechtigten Interessen der Beklagten erforderlich (Art. 6 Abs. 1 Buchst f DSGVO). Soweit die Beklagte vorgebracht hat, sie speichere die Off-Site-Daten, um die Sicherheit ihrer Server zu schützen und um sicherzustellen, dass Kriminelle die streitgegenständlichen Business Tools nicht ausnutzen, um über diese Produkte Spam, Scraping oder andere Cyberangriffe durchzuführen, wird der Rechtfertigungstatbestand berechtigter Interessen nicht schlüssig dargelegt. Es erscheint geradezu widersinnig, dass die Beklagte deshalb über bei ihr gespeicherte Daten verfügen müsste, um die missbräuchliche Verwendung eben dieser Daten zu bekämpfen, welche die Beklagte im Übrigen überhaupt nicht benötigt und mit welchen sie - da es sich um auf Drittwebseiten und Apps angefallene Daten handelt - auch überhaupt nichts zu schaffen hat, sofern sie die Daten nicht für personalisierte Werbung nutzen darf.

Verweigert ein Facebook-Nutzer die Einwilligung, Off-Site-Daten für personalisierte Werbung zu nutzen, so liegt der einzig rechtmäßige Umgang mit aufgrund der Meta Business Tools der Beklagten übermittelten Daten dieses Nutzers darin, die Daten zu löschen. Weshalb die Beklagte die Daten gleichwohl nicht löscht, bleibt im Dunkeln. Entscheidend kommt es auf die von der Beklagten mit der Datenakkumulation verfolgten Zwecke nicht an. Da die Beklagte als Verantwortliche für die Datenspeicherung nach Art. 5 Abs. 2 DSGVO die Beweislast für einen Rechtfertigungstatbestand trägt (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20, EuZW 2022, 527 Rn. 77, 81) und ein Rechtfertigungstatbestand schon nicht schlüssig vorgetragen ist, ist die Speicherung rechtswidrig.

c) Nachdem die Beklagte die von Drittwebseiten oder Apps im Rahmen der Facebook Business Tools ihr übermittelten Daten rechtswidrig speichert, kann der Kläger nach Art. 17 Abs. 1 DSGVO die Löschung verlangen.

3. Der Klageantrag Ziffer 5 ist dem Grunde nach, aber nicht in der geltend gemachten Höhe begründet.

a) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kläger hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DSGVO).

Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist (EuGH, Urteil vom 25.01.2024 – C-687/21, EuZW 2024, 278 Rn. 60; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36). Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte (EuGH, Urteil vom 04.10.2024 – C-200/23, NJW 2025, 40 Rn. 156). Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe (EuGH, Urteil vom 20.06.2024 - C-590/22, ZIP 2024, 2035 Rn. 33; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 31 f.).

Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat. Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.

b) Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen.

Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.). Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN). Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten.


Den Volltext der Entscheidung finden Sie hier:

BGH: Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO hat weder eine Abschreckungsfunktion noch eine Straffunktion sondern ausschließlich eine Ausgleichsfunktion

BGH
Urteil vom 28.01.2025
VI ZR 183/22
DSGVO Art. 82 Abs. 1


Der BGH hat entschieden, dass eim Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungsfunktion noch eine Straffunktion sondern ausschließlich eine Ausgleichsfunktion hat. Aus diesem Grund dürfen - so der BGH - auch die Schwere des Verstoßes und Verschuldensfragen bei der Bestimmung der Höhe des Anspruchs nicht berücksichtigt werden.

Aus den Entscheidungsgründen:
Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500 € bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.

1. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28).

Nach der Rechtsprechung des Gerichtshofes der Europäischen Union kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt - entgegen der Ansicht des Berufungsgerichts und der Revision - keine Abschreckungs- oder gar Straffunktion (EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 23 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 18; jeweils mwN).

In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 24 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN). Da der Anspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN).


Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.

BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22 - OLG Koblenz LG Koblenz

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt

BVerwG
Urteil vom 29.01.2025
6 C 3.23


Das BVerwG hat entschieden, dass die Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt und damit unzulässig ist.

Die Pressemitteilung des Gerichts:
Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne (mutmaßliche) Einwilligung unzulässig

Wer in allgemein zugänglichen Verzeichnissen veröffentlichte Telefonnummern von Zahnarztpraxen erhebt und speichert, um unter Nutzung dieser Daten Telefonwerbung zu betreiben, kann sich nicht auf den in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Erlaubnistatbestand der Wahrung berechtigter Interessen berufen, sofern nicht eine zumindest mutmaßliche Einwilligung der betroffenen Zahnärzte im Sinne des § 7 Abs. 2 Nr. 1 UWG vorliegt. Dies hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Klägerin kauft Edelmetallreste von Zahnarztpraxen an. Hierzu erhebt sie aus öffentlich zugänglichen Verzeichnissen - wie z.B. den Gelben Seiten - Namen und Vornamen des Praxisinhabers sowie die Praxisanschrift nebst Telefonnummer. Die von ihr gespeicherten Kontaktdaten nutzt sie, um durch Telefonanrufe bei den Zahnarztpraxen in Erfahrung zu bringen, ob die Angerufenen Edelmetalle an sie verkaufen möchten.

Im Januar 2017 ordnete die beklagte saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit auf der Grundlage des Bundesdatenschutzgesetzes in der damals geltenden Fassung gegenüber der Klägerin an, die für den Zweck einer telefonischen Werbeansprache erfolgende Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Inhabern von Zahnarztpraxen einzustellen, sofern nicht eine Einwilligung des Betroffenen vorliegt oder bereits ein Geschäftsverhältnis mit ihm besteht. Nach rechtskräftiger Abweisung ihrer Klage beantragte die Klägerin bei der Beklagten unter Hinweis auf die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung erfolglos die Aufhebung des Bescheids vom Januar 2017.

Die hierauf vor dem Verwaltungsgericht des Saarlandes erhobene Verpflichtungsklage hatte keinen Erfolg. Das Oberverwaltungsgericht des Saarlandes wies die Berufung der Klägerin mit der Begründung zurück, ein Wiederaufnahmegrund nach § 51 Abs. 1 Nr. 1 SVwVfG liege nicht vor. Durch die Datenschutzgrundverordnung habe sich die Rechtslage nicht zu Gunsten der Klägerin geändert. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, der nunmehr eine Interessenabwägung vorsehe, könne nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Denn die telefonische Werbeansprache entspreche mangels einer zumindest mutmaßlichen Einwilligung der angesprochenen Zahnärzte nicht den Anforderungen des § 7 Abs. 2 Nr. 1 UWG. Werde die Anwendbarkeit des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO unterstellt, bestünde unter Berücksichtigung der Wertungen des § 7 Abs. 2 Nr. 1 UWG kein berechtigtes Interesse der Klägerin.

Das Bundesverwaltungsgericht hat die Revision der Klägerin zurückgewiesen. Zwar ist der Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO entgegen der Auffassung der Vorinstanz hier grundsätzlich anwendbar. Bei der Beurteilung, ob die Datenverarbeitung zur Wahrung eines „berechtigten Interesses" im Sinne dieser Bestimmung erfolgt, sind jedoch die Wertungen des § 7 Abs. 2 Nr. 1 UWG zu berücksichtigen. Ob dies generell für Bestimmungen des nationalen Rechts gilt, die keinen datenschutzspezifischen Gehalt haben, musste das Bundesverwaltungsgericht nicht entscheiden. Denn mit § 7 UWG hat der deutsche Gesetzgeber die in Art. 13 der Richtlinie 2002/58/EG enthaltenen Vorgaben zum Schutz der Privatsphäre der Betroffenen vor unverlangt auf elektronischem Weg zugesandter Werbung umgesetzt. Es widerspräche daher dem Grundsatz der Einheit der Unionsrechtsordnung, wenn diese lauterkeitsrechtlichen Wertungen bei der Konkretisierung des berechtigten Interesses im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO außer Betracht bleiben müssten.

Hiervon ausgehend fehlt es der Klägerin an einem berechtigten Interesse im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, weil der von ihr verfolgte Zweck der Datenverarbeitung gegen § 7 Abs. 2 Nr. 1 UWG verstößt. Bei den Telefonanrufen, mit denen die Klägerin die Bereitschaft der angerufenen Zahnärzte zum Verkauf von Edelmetallen in Erfahrung zu bringen sucht, handelt es sich um Werbung im Sinne dieser Bestimmung. Da die von der Klägerin angesprochenen Inhaber von Zahnarztpraxen in dem hier vorliegenden Kontext als sonstige Marktteilnehmer zu qualifizieren sind, ist eine zur Unzulässigkeit der Werbeanrufe führende unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG anzunehmen, wenn nicht zumindest eine mutmaßliche Einwilligung vorliegt. Diese wird durch ein sachliches Interesse der Anzurufenden an der Telefonwerbung indiziert. Auf der Grundlage der für das Bundesverwaltungsgericht bindenden tatsächlichen Feststellungen des Oberverwaltungsgerichts ist diese Voraussetzung nicht erfüllt. Denn danach dient die Veröffentlichung der Telefonnummern der Zahnärzte in öffentlich zugänglichen Verzeichnissen ausschließlich dazu, die Erreichbarkeit für Patienten zu gewährleisten. Zudem hat das Oberverwaltungsgericht festgestellt, dass der Verkauf von Edelmetallresten zur Gewinnerzielung weder typisch noch wesentlich für die Tätigkeit eines Zahnarztes ist.

Schließlich hat die Klägerin nicht deshalb einen Anspruch auf eine erneute Sachentscheidung, weil es an einer auf die nunmehr geltende Rechtslage bezogenen Ermessensausübung der Beklagten fehlen würde. Denn das der Aufsichtsbehörde hinsichtlich der Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO grundsätzlich eingeräumte Ermessen ist im vorliegenden Fall dahingehend reduziert, dass nur ein Verbot gemäß Art. 58 Abs. 2 Buchst. f DSGVO geeignet, erforderlich und verhältnismäßig ist, um dem festgestellten Verstoß gegen die DSGVO abzuhelfen.

BVerwG 6 C 3.23 - Urteil vom 29. Januar 2025

Vorinstanzen:

OVG Saarlouis, OVG 2 A 111/22 - Urteil vom 20. April 2023 -

VG Saarlouis, VG 5 K 461/20 - Urteil vom 15. Dezember 2021 -