Privacy Litigation E-Book

ISBN: 978-3-8005-1940-8

© 2024 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: Beltz Grafische Betriebe GmbH, 99947 Bad Langensalza

Vorwort zur 2. Auflage

Seit der ersten Auflage sind drei Jahre vergangen und es hat sich einiges getan. Der Europäische Gerichtshof hatte bereits mehrfach die Gelegenheit, zu entscheidenden Fragen der Auslegung der DSGVO Stellung zu beziehen. Das betraf nicht nur die Reichweite des Auskunftsrechts aus Art. 15 DSGVO, sondern auch und vor allem die Auslegung einzelner Tatbestandsmerkmale des in der Praxis nicht minder relevanten Schadensersatzanspruches aus Art. 82 DSGVO. Klargestellt hat der EuGH zunächst, dass der Anspruch auf den Ersatz eines immateriellen Schadens nicht von der Erreichung einer Bagatellschwelle abhängig ist. Dies hatten deutsche Gerichte in Anlehnung an die Rechtsprechung zu Persönlichkeitsrechtsverletzungen anfänglich noch vielfach gefordert. Es hatte dabei den Anschein, als wollten die Gerichte hierdurch eine Entscheidung in der Sache vermeiden. Mit seiner Entscheidung hat der EuGH einem solchen Ansinnen einen Strich durch die Rechnung gemacht und insbesondere auch einem Geschäftsmodell Auftrieb gegeben: der massenhaften Durchsetzung von Schadensersatzansprüchen nach einem sog. Datenschutzvorfall. Die Zahl der gerichtlichen Entscheidungen zu Art. 82 DSGVO ist seit dem Erscheinen der ersten Auflage sprunghaft angestiegen. Nicht zuletzt im Rahmen der sog. Scraping-Fälle rund um die Social-Media-Plattform facebook.

Auch zum Auskunftsrecht und dem Recht auf Kopie aus Art. 15 DSGVO hat der EuGH in mehreren Entscheidungen praxisrelevante Fragestellungen beantwortet. Unter anderem hat er klargestellt, dass das Recht auf Kopie die Herausgabe von vollständigen Dokumenten umfassen kann, wenn dies für die Kontextualisierung der personenbezogenen Daten unerlässlich ist. Aus diesem Grund ist auch in Deutschland nun die kostenfreie Herausgabe einer Patientenakte entgegen der bisherigen Gesetzeslage durchsetzbar. Zudem hat der EuGH die Möglichkeiten von Verantwortlichen, Auskunftsansprüche mit dem Argument des Rechtsmissbrauchs abzuwehren, deutlich eingeschränkt, indem er klargestellt hat, dass es generell unschädlich ist, wenn der Anspruch nicht in erster Linie aus datenschutzrechtlichen Motiven geltend gemacht wird. Durch die zahlreichen neuen Entscheidungen der nationalen Instanzgerichte sowie durch die verbindliche Auslegung des EuGH war es an der Zeit, das vorliegende Werk zu aktualisieren.

Die Überarbeitung dieses Werkes nimmt naturgemäß Zeit in Anspruch, die an anderer Stelle fehlt. Für die damit verbundene Geduld möchten wir unseren Familien herzlich danken.

Düsseldorf, Juli 2024

Sebastian Laoutoumai

Gereon Grob

Vorwort zur 1. Auflage

Der Datenschutzgrundverordung (DSGVO)1 eilte vor ihrer unmittelbaren Geltung in den Mitgliedsstaaten der zweifelhafte Ruf voraus, dass sie durch ihre exorbitant anmutenden Bußgeldandrohungen Unternehmen in die Knie zwingen würde. Und tatsächlich kam es in der Folge auch vereinzelt zu teils sehr hohen Bußgeldern.2 Dass aber ein Unternehmen wegen eines solchen Bußgeldes seinen Geschäftsbetrieb aufgeben musste, dürfte in keinem Fall vorgekommen sein. Ein solcher Fall ist mir jedenfalls seit Geltung der DSGVO nicht bekannt geworden. Der Start war für die DSGVO denkbar ungünstig. Auch hat die Akzeptanz in der Folge stark gelitten. Zum einen bedeutete dieses vermeintlich neue Datenschutzrecht für viele Unternehmen einen enormen Umsetzungsaufwand. Zum anderen ist die DSGVO in zahlreichen Fragen noch auslegungsbedürftig, was zu einer enormen Rechtsunsicherheit bei den Verantwortlichen führt. Diese Rechtsunsicherheit kann gerade bei der Einführung neuer, insbesondere digitaler Geschäftsmodelle als Innovationsbremse empfunden werden. Dabei ist die DSGVO eigentlich mit dem Ziel angetreten, die Rechte der von einer Datenverarbeitung betroffenen Personen zu stärken und dadurch ein positives Signal zu senden. Nach und nach machen auch immer mehr betroffene Personen von ihren Rechten Gebrauch, die ihnen von der DSGVO zur Verfügung gestellt werden. Die private Rechtsdurchsetzung durch die betroffenen Personen stellt Unternehmen vor neue Herausforderungen, insbesondere dann, wenn die einzelnen Sachverhalte gerichtlich durchgesetzt werden. Während sich das Unternehmen im Rahmen eines Bußgeldverfahrens lediglich mit einer Datenschutzaufsichtsbehörde auseinanderzusetzen hat, besteht bei einem Datenschutzvorfall, bei dem zahlreiche Kunden betroffen sein können, die Gefahr einer Inanspruchnahme durch mehrere tausend Einzelpersonen. Der Umgang mit solchen Sachverhalten ist für Unternehmen und deren Berater nicht nur logistisch mit einem hohen Einsatz verbunden, für das Unternehmen ist auch das finanzielle Risiko, insbesondere durch den neu geschaffenen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, kaum vorhersehbar.

Die Anzahl der datenschutzrechtlichen Sachverhalte, die vor den Zivilgerichten zwischen dem verantwortlichen Unternehmen und der betroffenen Person ausgetragen werden, wird zunehmen. Das betrifft zum einen die Durchsetzung der Betroffenenrechte nach den Art. 15ff. DSGVO, aber vor allem die Durchsetzung von Ansprüchen auf Schadensersatz nach Art. 82 DSGVO. Diesem Umstand will das vorliegende Werk Rechnung tragen und einen Überblick über die materiellen und prozessualen Fragen bei der privaten Durchsetzung von datenschutzrechtlichen Ansprüchen geben. Das Werk soll dabei insbesondere eine Lücke zu der bestehenden datenschutzrechtlichen Literatur schließen, indem es sich ausschließlich auf die privatrechtliche Beziehung der Beteiligten konzentriert.

Die Arbeit an einem Werk wie dem Vorliegenden nimmt naturgemäß Zeit in Anspruch, die an anderer Stelle fehlt. Für die damit verbundene Geduld möchte ich meiner Frau und meiner Tochter herzlich danken. Euch ist dieses Buch gewidmet. Ein weiterer Dank gilt Herrn Gereon Walter für dessen tatkräftige Unterstützung.

Sebastian Laoutoumai

1

Verordnung (EU) 2016/679

2

Auswahl: LfD Niedersachsen verhängt Bußgeld in Höhe von 10.400.000,00 EUR; Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 35.258.708,00 EUR; Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg verhängt Bußgeld in Höhe von 1.240.000,00 EUR; Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 14.500.000,00 EUR.

Inhaltsverzeichnis

Vorwort zur 2. Auflage

Vorwort zur 1. Auflage

Inhaltsverzeichnis

Abkürzungsverzeichnis

Einführung

1. Kapitel Die materiell-rechtlichen Ansprüche

A. Einleitung

B. Die Ansprüche der betroffenen Person im Einzelnen

I. Das Recht auf Information, Art. 13, 14 DSGVO

1. Gegenstand

2. Umfang

3. Voraussetzungen

a) Der Begriff der Erhebung

b) Personenbezogene Daten

c) Bei der betroffenen Person bzw. nicht bei der betroffenen Person

d) Verpflichtung des Verantwortlichen

e) Kein Ausschluss von der Informationspflicht

aa) Norminterne Ausnahmetatbestände

aaa) Betroffene Person verfügt bereits über Information

bbb) Unmöglichkeit oder unverhältnismäßiger Aufwand

ccc) Ausdrückliche Regelung

ddd) Berufsgeheimnisse und satzungsmäßige Geheimhaltungspflichten

bb) Ausnahmetatbestände außerhalb der DSGVO

4. Erfüllung

a) Inhalt

aa) Name und Kontaktdaten des Verantwortlichen/Vertreters

bb) Kontaktdaten des Datenschutzbeauftragten

cc) Zwecke und Rechtsgrundlagen der Verarbeitung

dd) Berechtigte Interessen

ee) Empfänger/Kategorien von Empfängern

ff) Übermittlung an Drittland oder internationale Organisationen

gg) Dauer der Datenspeicherung

hh) Rechte der betroffenen Personen

ii) Widerruflichkeit der Einwilligung

jj) Beschwerderecht bei Aufsichtsbehörde

kk) Freiwilligkeit der Bereitstellung

ll) Bestehen einer automatisierten Entscheidungsfindung

mm) Kategorien personenbezogener Daten

nn) Quelle der personenbezogenen Daten

b) Art der Informationsübermittlung

c) Zeitpunkt der Informationsübermittlung

5. Folgen der Nicht-Erfüllung

II. Recht auf Auskunft, Art. 15 DSGVO

1. Gegenstand des Auskunftsrechts

2. Umfang des Auskunftsrechts

3. Voraussetzungen

4. Erfüllung des Auskunftsbegehrens

a) Inhalt der Auskunft

aa) Verarbeitungszwecke

bb) Kategorien personenbezogener Daten

cc) Empfänger oder Kategorien von Empfängern

dd) Speicherdauer

ee) Rechtsbelehrung

ff) Informationen über die Herkunft der Daten

gg) Bestehen einer automatisierten Entscheidungsfindung

hh) Abgabe von geeigneten Garantien

b) Zurverfügungstellung einer Kopie

c) Ausschluss des Auskunftsrechts

aa) Art. 12 V S. 2 lit. b) DSGVO

bb) Art. 15 IV DSGVO

cc) Sonstige Ausnahmen §§ 27ff. BDSG

aaa) § 27 II BDSG

bbb) § 28 II BDSG

ccc) § 29 I 2 BDSG

ddd) § 34 BDSG

d) Form und Frist der Auskunftserteilung

e) Auskunft gegenüber der richtigen Person (Identitätsprüfung)

5. Folgen der Nicht-Erfüllung

III. Recht auf Berichtigung, Art. 16 DSGVO

1. Gegenstand des Rechtes auf Berichtigung

2. Umfang

3. Voraussetzungen

a) Unrichtige personenbezogene Daten

b) Unvollständige personenbezogene Daten

4. Erfüllung

5. Folgen der Nicht-Erfüllung

IV. Recht auf Löschung, Art. 17 DSGVO

1. Gegenstand

2. Umfang

3. Voraussetzungen

a) Die einzelnen Gründe zur Löschung

aa) Zweckerfüllung

bb) Widerruf der Einwilligung

cc) Widerspruchsrecht

aaa) Widerspruch wegen besonderer Situation

bbb) Widerspruch gegen Verarbeitung zu Werbezwecken

dd) Unrechtmäßigkeit der Verarbeitung

ee) Verpflichtung zur Löschung

ff) Datenerhebung bei Minderjährigen

b) Gründe für den Ausschluss der Löschung

aa) Freie Meinungsäußerung und Information

bb) Rechtliche Verpflichtung/öffentliche Aufgaben

cc) Öffentliche Gesundheit

dd) Archivzwecke, statistische und Forschungszwecke

ee) Rechtsansprüche

ff) Weitere Ausnahmen

4. Erfüllung

a) Die Person betreffende Daten

b) Unverzüglich

c) Löschung

d) Informationspflicht gem. Art. 17 II DSGVO

aa) Löschungs-/Informationsverlangen

bb) Informationspflicht

cc) Öffentlich gemachte Daten

dd) Angemessene Maßnahmen

5. Folgen der Nicht-Erfüllung

V. Anspruch auf Schadensersatz

1. Gegenstand

2. Verhältnis zu anderen Vorschriften

3. Voraussetzungen

a) Aktivlegitimation

b) Passivlegitimation

c) Kausalität

d) Verstoß gegen die DSGVO

e) Schaden

f) Haftungsausschluss

VI. Anspruch auf Unterlassung

1. Gegenstand

2. Umfang

3. Voraussetzungen

a) Abschließender Charakter der DSGVO

b) Regelungen der DSGVO als absolute Rechte/Schutzgesetze

aa) Absolute Rechte

bb) Schutzgesetz

c) Grundsätzliche Voraussetzungen des Anspruchs aus §§ 1004 I analog, 823 BGB

aa) Störer

bb) Bevorstehende oder fortdauernde Störung

cc) Keine Duldungspflicht

4. Erfüllung

5. Folgen der Nicht-Erfüllung

2. Kapitel Die Durchsetzung von Ansprüchen

A. Einleitung

B. Die außergerichtliche Geltendmachung von Ansprüchen

I. Die einfache Geltendmachung von Betroffenenrechten

II. Die förmliche Aufforderung

1. Ziele und Funktionen der außergerichtlichen Aufforderung

2. Inhalt und Form der außergerichtlichen Aufforderung

3. Die Unterlassungserklärung

4. Reaktion des Verantwortlichen

5. Kostenerstattung

6. Die Zuwiderhandlung gegen eine Unterlassungs- und Verpflichtungserklärung

C. Das gerichtliche Hauptsacheverfahren

I. Die erste Instanz

1. Vorüberlegungen

a) Individuelle Durchsetzung durch die betroffene Person

b) Individuelle Durchsetzung durch Mitbewerber

aa) Keine Klagebefugnis für Mitbewerber

bb) Rechtsdurchsetzung in der DSGVO nicht abschließend geregelt

cc) Bisherige Rechtsprechung

c) Kollektive Durchsetzung durch Verbraucherschutzverbände

d) Durchsetzung durch spezialisierte Anbieter

2. Die Zulässigkeit der Klage

a) Die internationale Zuständigkeit

b) Örtliche Zuständigkeit

c) Sachliche Zuständigkeit

aa) Ordentliche Gerichtsbarkeit

bb) Arbeitsgerichtsbarkeit

d) Die richtige Klageart

aa) Leistungsklage

bb) Feststellungsklage

cc) Gestaltungsklage

e) Bestimmtheit der Anträge

f) Einbeziehung Dritter in den Prozess

aa) Zulässigkeit der Streitverkündung

bb) Wirkung der Streitverkündung

3. Begründetheit der Klage

a) Anforderungen an den Klägervortrag

aa) Schlüssigkeit des Vortrages

bb) Wahrheitsgemäßer Vortrag

cc) Umfang des eigenen Vortrages

dd) Allgemeine Grundsätze zur Beweislast

ee) Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Ansprüche

b) Anforderungen an den Beklagtenvortrag

aa) Allgemeine Darlegungs- und Beweislast

bb) Gegenbeweis und Beweis des Gegenteils

cc) Sonstige Exkulpationsmöglichkeiten

c) Die Führung des notwendigen Beweises

aa) Der Beweisantritt

bb) Die Beweismittel

cc) Die Beweiserhebung

II. Die Berufungsinstanz

1. Zulässigkeit der Berufung

a) Statthaftigkeit der Berufung

b) Fristen im Berufungsverfahren

c) Form und Inhalt der Berufung und der Berufungsbegründung

2. Begründetheit der Berufung

a) Rechtsverletzung durch das Gericht erster Instanz

b) Kontrolle der Tatsachenentscheidung des Gerichts erster Instanz

3. Die Entscheidung des Berufungsgerichts

III. Die Revisionsinstanz

1. Zulässigkeit der Revision

a) Statthaftigkeit der Revision

b) Fristen im Revisionsverfahren

c) Form und Inhalt

2. Exkurs: Nichtzulassungsbeschwerde

3. Begründetheit der Revision

4. Entscheidung des Revisionsgerichts

IV. Die Vorlage zum EuGH

D. Der zivilprozessuale Eilrechtsschutz

I. Einleitung

II. Zulässigkeit

1. Vorliegen eines Verfügungsgrundes

2. Keine Vorwegnahme der Hauptsache

III. Begründetheit

IV. Das Verfahren vor Erlass einer einstweiligen Verfügung

1. Die Entscheidung mit oder ohne vorherige mündliche Verhandlung

2. Die Hinterlegung einer Schutzschrift

V. Das Verfahren nach Erlass einer einstweiligen Verfügung

1. Vollziehung im Parteibetrieb

2. Widerspruch und Berufung

3. Das Abschlussverfahren

3. Kapitel Interviews aus der Praxis

A. Sechs Fragen an Tim Wybitul, Rechtsanwalt und Partner bei der Latham & Watkins LLP.

B. Sechs Fragen an Peter Hense, Rechtsanwalt und Partner der Spirit Legal Fuhrmann Hense Partnerschaft von Rechtsanwälten

Literaturverzeichnis

Abkürzungsverzeichnis

a.A.

anderer Ansicht

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

AGB

Allgemeine Geschäftsbedingungen

AGG

Allgemeines Gleichbehandlungsgesetz

Alt.

Alternative

Anm.

Anmerkung

AO

Abgabenordnung

ArbG

Arbeitsgericht

ArbGG

Arbeitsgerichtsgesetz

ArbRAktuell

Arbeitsrecht Aktuell (Zeitschrift)

Art.

Artikel

Az.

Aktenzeichen

BAG

Bundesarbeitsgericht

BAGE

Entscheidungen des Bundesarbeitsgerichts

BAT

Bundesangestelltentarifvertrag

BB

Betriebs-Berater (Zeitschrift)

BCR

Binding Corporate Rules

BDSG

Bundesdatenschutzgesetz

BeckOK

Beck’scher Onlinekommentar

BeckOK DatenschutzR

Beck’scher Onlinekommentar Datenschutzrecht

Begr.

Begründung

BGB

Bürgerliches Gesetzbuch

BGH

Bundesgerichtshof

BT

Bundestag

BT-Drs.

Drucksache des Deutschen Bundestages

BVerfG

Bundesverfassungsgericht

CR

Computer und Recht (Zeitschrift)

DB

Der Betrieb (Zeitschrift)

Drs.

Drucksache

DSB

Datenschutzberater (Zeitschrift)

DSGVO

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)

DSRL

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie)

DSK

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz)

DuD

Datenschutz und Datensicherheit (Zeitschrift)

e.V.

Eingetragener Verein

EDSA

Europäischer Datenschutzausschuss

EDPB

European Data Protection Board

EGBGB

Einführungsgesetz zum Bürgerlichen Gesetzbuch

EuGH

Europäischer Gerichtshof

f.

folgende

ff.

fortfolgende

Fn.

Fußnote

FS

Festschrift

GeschGehG

Gesetz zum Schutz von Geschäftsgeheimnissen vom 18.4.2019 (Geschäftsgeheimnisgesetz)

GG

Grundgesetz

GmbH

Gesellschaft mit beschränkter Haftung

GmbHG

Gesetz betreffend die Gesellschaften mit beschränkter Haftung

GVG

Gerichtsverfassungsgesetz

h.M.

herrschende Meinung

Hs.

Halbsatz

HGB

Handelsgesetzbuch

i.S.d.

im Sinne des

i.S.v.

im Sinne von

IT

Informationstechnologie

ITRB

Der IT-Rechts-Berater (Zeitschrift)

i.V.m.

in Verbindung mit

JZ

Juristenzeitung (Zeitschrift)

K&R

Kommunikation und Recht (Zeitschrift)

KWG

Gesetz über das Kreditwesen (Kreditwesengesetz)

LAG

Landesarbeitsgericht

LG

Landgericht

MarkenG

Gesetz über den Schutz von Marken und sonstigen Kennzeichen (Markengesetz)

MDR

Monatsschrift für Deutsches Recht (Zeitschrift)

MedR

Medizinrecht (Zeitschrift)

MMR

Multimedia und Recht (Zeitschrift)

MüKo-BGB

Münchener Kommentar zum BGB

MüKo-ZPO

Münchener Kommentar zur ZPO

m.w.N.

mit weiteren Nachweisen

NJOZ

Neue Juristische Online Zeitschrift

NJW

Neue Juristische Wochenschrift (Zeitschrift)

Nr.

Nummer

NVwZ

Neue Zeitschrift für Verwaltungsrecht

NZA

Neue Zeitschrift für Arbeitsrecht

OHG

Offene Handelsgesellschaft

OLG

Oberlandesgericht

OVG

Oberverwaltungsgericht

Rn.

Randnummer

Rs.

Rechtssache (EuGH)

S.

Seite, Satz

SCHUFA

Schutzgemeinschaft für allgemeine Kreditsicherung

SGB X

Sozialgesetzbuch Zehntes Buch

StGB

Strafgesetzbuch

TTDSG

Telekommunikation-Telemedien-Datenschutz-Gesetz

UrhG

Gesetz über Urheberrecht und verwandte Schutzrechte (Urheberrechtsgesetz)

USA

United States of America

UWG

Gesetz gegen den unlauteren Wettbewerb

VAG

Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz)

VG

Verwaltungsgericht

VGH

Verwaltungsgerichtshof

vgl.

vergleiche

VuR

Verbraucher und Recht (Zeitschrift)

VwGO

Verwaltungsgerichtsordnung

WpHG

Gesetz über den Wertpapierhandel (Wertpapierhandelsgesetz)

WRP

Wettbewerb in Recht und Praxis (Zeitschrift)

ZD

Zeitschrift für Datenschutz

Ziff.

Ziffer

ZPO

Zivilprozessordnung

ZRP

Zeitschrift für Rechtspolitik

ZUM

Zeitschrift für Urheber- und Medienrecht

ZVI

Zeitschrift für Verbraucher- und Privat-Insolvenzrecht

Einführung

1

Die Nachrichten über Datenschutzvorfälle, bei denen auch zahlreiche personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, mehren sich,3 und haben seit der ersten Auflage dieses Werkes noch einmal deutlich zugenommen. Dabei können die Ursachen, die zu einem solchen Vorfall geführt haben, unterschiedlich sein. So kann der Datenschutzvorfall darauf zurückzuführen sein, dass Kriminelle von außen in Schädigungsabsicht auf die IT-Systeme des betroffenen Unternehmens zugreifen und sensible Kundendaten stehlen. Der derzeit wohl bekannteste Fall dieser Art dürfte der sog. Scraping-Fall sein, bei dem unzählige personenbezogene Daten von der Social-Media-Plattform facebook ausgelesen und durch Unbefugte verwendet wurden. Nach einer Auswertung der Kanzlei CMS Hache Sigle wurden seit September 2022 bis zum 5.2.2024 allein in den sogenannten Scraping-Fällen ca. 1.344 Entscheidungen veröffentlicht.4 Mit Veröffentlichung dieser Ausgabe dürften zahlreiche weitere Entscheidungen ergangen sein. Bei dieser Zahl dürfte es sich zudem auch nur um die Spitze des Eisberges handeln, denn sie beinhaltet nur diejenigen Verfahren, die auch durch eine Entscheidung beendet und zudem veröffentlicht wurden. Neben den Verfahren gegen Meta wegen eines Datenlecks gibt es zahlreiche vergleichbare Verfahren gegen Unternehmen, wie Deezer, SIXT, Verivox und vermutlich viele mehr. Die Mutter aller Schadenersatzklagen nach einem Datenleck war das Verfahren gegen Master Card, welches Anfang 2023 für einen Großteil der Betroffenen mit einem Vergleich enden sollte.5 Die zahlreichen Verfahren bestätigen nun das, was Datenschutzrechtler wie Tim Wybitul bereits kurz nach Geltung der DSGVO und in unserem Interview in der ersten Auflage dieses Buches vorausgesagt hatten: Massenhafte Klagen auf Ersatz eines immateriellen Schadens nach einem Datenschutzvorfall bei einem Unternehmen, welches zahlreiche personenbezogene Daten verarbeitet, werden die Gerichte künftig stark in Anspruch nehmen.

2

Ein solcher Datenschutzvorfall kann aber auch auf einer Nachlässigkeit im eigenen Unternehmen beruhen, weil beispielsweise ein Mitarbeiter eine Datei mit sensiblen Kundendaten aus Versehen unverschlüsselt an einen falschen Empfänger versendet. Auch die massenhafte, datenschutzwidrige Überwachung der eigenen Mitarbeiter kann einen solchen Datenschutzvorfall begründen. In all diesen Fällen können Unternehmen nach Art. 33 I DSGVO dazu verpflichtet sein, den Datenschutzvorfall innerhalb einer Frist von 72 Stunden nach Bekanntwerden der Verletzung gegenüber der zuständigen Datenschutzaufsichtsbehörde zu melden. Verhängt die zuständige Aufsichtsbehörde sodann ein Bußgeld, kommt es gerade bei sehr hohen Bußgeldern zu einer entsprechenden Pressemitteilung durch die Aufsichtsbehörde. Nach einer solchen Pressemitteilung kommt es dann regelmäßig zu einem neuen Phänomen: Auf massenhafte Verbraucherklagen spezialisierte Kanzleien beginnen mit der Anwerbung potenziell Geschädigter. Insbesondere im Internet und dort auf Social-Media-Plattformen werden teilweise bis zu 5.000,00 EUR Schadensersatz nach einem solchen Vorfall versprochen.

3

Gemeinsam haben diese Sachverhalte auch, dass nicht nur eine einzelne Person von der Verletzung ihrer Rechte betroffen ist, sondern eine Vielzahl von Personen. Für diese ist der Umstand, wie es zu diesem Datenschutzvorfall gekommen ist, in der Regel auch zweitrangig. Maßgeblich sind für die betroffenen Personen die mit diesem Datenschutzvorfall verbundenen Folgen. Auf diese Folgen müssen die Unternehmen – je nach Risiko für die betroffenen Personen – diese auch nach Art. 34 DSGVO hinweisen und damit selbst die Büchse der Pandora öffnen.

4

Für Unternehmen begründen solche Datenschutzvorfälle, selbst wenn sie diese nicht verschuldet haben, ein erhebliches zusätzliches Prozessrisiko. Denn durch das umfangreiche Anspruchssystem in der DSGVO tritt zunehmend neben das sog. Public Enforcement der Aufsichtsbehörden das sog. Private Enforcement durch die betroffenen Personen selbst. Der bei einem Datenschutzvorfall wichtigste Anspruch der betroffenen Personen ist der auf Ersatz immaterieller Schäden nach Art. 82 DSGVO, mit seinen vordergründig wenigen Anspruchsvoraussetzungen. Und gerade wegen dieser vergleichsweise überschaubaren Anspruchsvoraussetzungen und dem Umstand, dass bei einem Datenschutzvorfall viele Personen bei einem im wesentlichen gleichen Sachverhalt betroffen sind, formieren sich zunehmend Anbieter, die sich auf die klageweise Durchsetzung von Schadensersatzansprüchen spezialisiert haben. Selbst wenn dabei der Schadensersatzanspruch der einzelnen betroffenen Person vergleichsweise moderat ausfällt, so liegt es auf der Hand, dass das finanzielle Risiko des Unternehmens bei einer Vielzahl betroffener Personen ungleich größer ist. So haben seit der ersten Auflage dieses Buches bereits zahlreiche Gerichte den betroffenen Personen einen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO zugesprochen. Dabei waren und sind die unterschiedlichsten Konstellationen Gegenstand der gerichtlichen Entscheidungen gewesen. Sei es die unbefugte Weitergabe personenbezogener Daten an Dritte oder die unzulässige Einmeldung von Informationen an die Schufa. Seit der ersten Auflage bildet der Scraping-Fall rund um die Social-Media-Plattform facebook den Sachverhalt mit den meisten Einzelklagen. Es liegt zudem auf der Hand, dass, wenn der EuGH die letzten relevanten Fragen zur Auslegung von Art. 82 DSGVO beantwortet hat, auch die Anzahl der Schadensersatzprozesse nach einem Datenschutzvorfall noch einmal sprunghaft steigen wird, insbesondere wenn dadurch die letzten Hürden für eine skalierbare Durchsetzung von einer Vielzahl von Einzelansprüchen ermöglicht wird. Die nachstehende Tabelle soll einen Überblick bereits ergangener Entscheidungen geben, bei denen dem Kläger ein Schadensersatz zugesprochen wurde.6 Diese Übersicht ist nicht annähernd abschließend und dient lediglich der ersten Orientierung. Soweit ersichtlich, ist die bislang höchste Summe mit 10.000,00 EUR beziffert und geht auf eine über einen längeren Zeitraum nicht erteilte Auskunft nach Art. 15 DSGVO zurück.

Gericht

Aktenzeichen

Höhe des Schadensersatzes

AG Pforzheim

13 C 160/19

4.000,00 EUR

ArbG Dresden

13 Ca 1046/20

1.5000,00 EUR

ArbG Neumünster

1 Ca 247 c/20

500,00 EUR

ArbG Köln bestätigt durch LAG Köln

5 Ca 4806/19

2 Sa 358/20

300,00 EUR

ArbG Düsseldorf

9 Ca 6557/18

5.000,00 EUR

ArbG Lübeck

1 Ca 538/19

1.000,00 EUR

LG Darmstadt

13 O 244/19

1.000,00 EUR

LG Mannheim (Scraping)

1 O 99/23

50,00 EUR

AG Goslar

28 C 7/19

25,00 EUR

OLG Hamburg (Schufa)

13 U 70/23

4.000,00 EUR

LG Lübeck (Scraping)

15 O 73/23

500,00 EUR

LG Chemnitz (Scraping)

1 O 284/23

500,00 EUR

OLG Dresden (Schufa)

4 U 1078/23

1.500,00 EUR

OLG Karlsruhe

19 U 28/23

1.054,00 EUR

LAG Baden-Württemberg

9 Sa 73/21

2.500,00 EUR

LG Münster

16 O 238/22

579,00 EUR

LAG Baden-Württemberg

3 Sa 33/22

10.000,00 EUR

5

Demgegenüber stehen freilich auch Entscheidungen, die dem Kläger in der ersten Instanz keinen Schaden zugesprochen haben. Auch diese Übersicht ist nicht annähernd abschließend.

Gericht

Aktenzeichen

LG Landshut

51 O 513/20

LG Köln

28 O 71/20

LG Frankfurt am Main

2-27 O 100/20

LG Hamburg

324 S 9/19

LG Frankfurt am Main

2-03 O 48/19

AG Frankfurt am Main

385 C 155/19 (70)

AG Hannover

531 C 10952/19

OLG Dresden

4 U 1680/19

OLG Dresden

4 U 760/19

LG Karlsruhe

8 O 26/19

AG Diez

8 C 130/18

OLG München (Scraping)

34 U 2306/23

OLG Oldenburg (Scraping)

13 U 59/23

OLG Celle (Scraping)

5 U 77/23

OLG Brandenburg

12 U 132/23

OLG Dresden

4 U 1550/23

LAG Mecklenburg-Vorpommern

2 Sa 61/23

OLG Köln

15 U 149/22

LG Bielefeld

4 O 275/22

OLG Düsseldorf

16 U 130/21

OLG München

20 U 7051/20

6

Die Rechtsprechung ist ersichtlich uneinheitlich. Es war daher abzusehen, dass der EuGH zu wesentlichen Fragen hinsichtlich der richtigen Auslegung von Art. 82 DSGVO und dessen Voraussetzungen Stellung beziehen wird. Dabei war eine für beide Seiten wesentliche Frage die, ob es für die Geltendmachung eines Schadensersatzes eine Bagatellgrenze gibt. Die Beantwortung dieser Frage war vor allem für Unternehmen, die eine Vielzahl von personenbezogenen Daten verarbeiten, von enormer praktischer und insbesondere wirtschaftlicher Bedeutung. Denn würde sich der EuGH auf Vorlage eines nationalen Gerichts gegen eine Bagatellgrenze aussprechen, befeuert das das Geschäftsmodell jener Anbieter, die nach einem bekanntgewordenen Datenschutzvorfall massenhaft Ansprüche auf Schadensersatz bündeln, um diese für die betroffenen Personen gegenüber den Unternehmen durchzusetzen. Und tatsächlich hat der EuGH diese Frage beantwortet und klargestellt, dass der Anspruch aus Art. 82 DSGVO keine Bagatellgrenze kennt.7

7

Der EuGH hat seit der ersten Auflage mehrfach die Gelegenheit gehabt, Fragen rund um die Auslegung von Art. 82 DSGVO zu beantworten (eine nähere Auseinandersetzung mit den Entscheidungen des EuGH findet bei der Besprechung von Art. 82 DSGVO statt):

Gericht

Datum

Aktenzeichen

EuGH

14.12.2023

C-456/22

EuGH

14.12.2023

C-340/21

EuGH

21.12.2023

C-667/21

EuGH

25.01.2024

C-687/21

EuGH

11.04.2024

C-741/21

8

Die Anzahl der datenschutzrechtlich geprägten Verfahren vor den deutschen Gerichten wird jedoch unabhängig von der weiteren Auslegung durch den EuGH zunehmen, denn die DSGVO gibt den betroffenen Personen, neben einem eigenen Schadensersatzanspruch in den Art. 15ff. DSGVO, auch weitere, umfassende Ansprüche gegen den Verantwortlichen. Diese Betroffenenrechte sollen es der betroffenen Person ermöglichen, die Verarbeitung der sie betreffenden personenbezogenen Daten kontrollieren zu können und notfalls auf die Löschung oder Berichtigung der gespeicherten personenbezogenen Daten hinwirken zu können. Wie das Beispiel des Auskunftsrechts nach Art. 15 DSGVO zeigt, sind auch diese Rechte zwischen den Beteiligten streitanfällig.8

Gericht

Aktenzeichen

EuGH

C-579/21 (J M)

EuGH

C-487-21

EuGH

C-307-22

BGH

VI ZR 576/19

BGH

VI ZR 177/22

BGH

VI ZR 223/21

BVerwG

6 C 10.21

OLG Brandenburg

11 U 332/22

OLG Köln

20 U 57/19

OLG Köln

20 U 75/18

OLG Köln

15 U 184/22

OLG Köln

15 U 149/22

OLG Düsseldorf

I-13 U 102/22, I-13 U 44/23

OLG Nürnberg

4 U 347/21

OVG Greifswald

1 LZ 413/21 OVG

LAG Baden-Württemberg

3 Sa 33/22

LAG Düsseldorf

4 Ta 413/19

LAG Nürnberg

2 Ta 76/20

LAG Nürnberg

2 Ta 123/20

9

Die dargestellte Übersicht ist nur ein kleiner Ausschnitt der zum Auskunftsrecht nach Art. 15 DSGVO ergangenen Entscheidungen. Sie zeigt jedoch deutlich, dass auch Verfahren zur Durchsetzung der Betroffenenrechte deutlich zunehmen werden und bis in die höchsten Instanzen ausgefochten werden. Dabei ist ein Phänomen jedoch zu beobachten: während es bereits unzählige veröffentlichte Entscheidungen zu Ansprüchen auf Auskunft und Schadensersatz gibt, halten sich (isolierte) Verfahren auf Berichtigung (Art. 16 DSGVO) und Löschung (Art. 17 DSGVO) noch deutlich in Grenzen. Hinsichtlich der Berichtigung dürfte das daran liegen, dass hier das Streitpotenzial geringer ist. Bittet eine betroffene Person um die Berichtigung der über sie gespeicherten personenbezogenen Daten (z.B. weil die Adresse falsch ist), gibt es in der Regel wenig Grund für das Unternehmen, dieser Bitte nicht nachzukommen und sich auf Berichtigung verklagen zu lassen.

10

Insgesamt wird die Bedeutung der privaten Durchsetzung von Rechten aus der DSGVO steigen und gleichbedeutend damit auch die Fallzahlen bei den Gerichten. Daher lohnt sich ein Blick auf die materiellrechtlichen Ansprüche (Kapitel 1) der betroffenen Personen sowie auf die prozessualen Aspekte (Kapitel 2), die ein solches Verfahren mit sich bringt.

3

Im Oktober 2020 wurde ein Hacker-Angriff auf Scalable Capital bekannt, bei dem auf die Kontodaten zahlreicher Kunden zugegriffen wurde (Scalable Capital: Insider-Angriff auf Robo-Advisor, https://www.sueddeutsche.de/wirtschaft/scalable-capital-robo-daten-1.5084258); ebenfalls im Oktober 2020 wurde ein Datenschutzvorfall bei H&M bekannt, nachdem die zuständige Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 35 Mio. EUR gegen das Unternehmen verhängt hat (H&M-News: Datenschutzbeauftragter verhängt Rekord-Bußgeld, https://www.handelsblatt.com/unternehmen/handel-konsumgueter/modehaendler-mitarbeiter-ausgespaeht-datenschutzbeauftragter-verhaengt-rekord-bussgeldgegen-hundm/26234570.html); bereits im Dezember 2019 wurde ein Datenschutzvorfall bei dem Arzneimittelgroßhändler Phoenix bekannt (Datenpanne: Phoenix verschickt sensible Daten von 211 Apotheken, https://www.apothekeadhoc.de/nachrichten/detail/markt/datenpanne-phoenix-verschickt-211-apothekendaten-per-fax/). Sämtliche in diesem Werk zitierten Verweise auf Internetauftritte wurden am 19.7.2024 letztmalig abgerufen und geprüft.

4

Auswertung auf dem CMS-Blog, DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) #019, letzte Aktualisierung vom 5.2.2024, abrufbar unter https://www.cmshs-bloggt.de/tmc/datenschutzrecht/dsgvo-schadensersatz-uebersicht-ueber-aktuelle-urteile-und-entwicklungen-laufend-aktualisiert/.

5

Meldung auf juve.de vom 11.1.2023, abrufbar unter https://www.juve.de/verfahren/datenschutz-massenverfahren-latham-begleitet-mastercard-vergleich/.

6

Ausführliche Tabellen mit Kurzbegründungen der Entscheidungen finden sich bei

Wybitul

, DSB 2021, 42ff., und

Leibold

, ZD-Aktuell 2021, 05043.

7

EuGH, Urt. v. 14.12.2023 – C-456/22.

8

Leibold

, ZD-Aktuell 2021, 04420, liefert eine Übersicht zu den aktuell festgesetzten Streitwerten für ein Auskunftsverlangen.

1. Kapitel Die materiell-rechtlichen Ansprüche

A. Einleitung

11

Die Datenschutzgrundverordnung enthält zahlreiche Rechte der betroffenen Person, die dazu dienen, die Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten auch durch die betroffene Person selbst kontrollieren zu können. Dabei stehen die hierdurch vermittelten Kontrollbefugnisse der betroffenen Person ausdrücklich neben denen der Aufsichtsbehörden. Hierdurch wird der Druck auf die Verantwortlichen erhöht, was allerdings insgesamt zu einem höheren Datenschutzniveau führen soll. Die Rechte der betroffenen Personen sind in Kapitel III in den Art. 12 bis 23 DSGVO geregelt. Daneben regelt Art. 82 DSGVO einen eigenen Anspruch auf Ersatz des materiellen und des immateriellen Schadens einer betroffenen Person nach einer datenschutzwidrigen Verarbeitung. Ob daneben auch ein Anspruch auf Unterlassung besteht, ist derzeit noch nicht abschließend geklärt, die neuere Rechtsprechung tendiert allerdings dazu, der betroffenen Person auch einen Anspruch auf Unterlassung aus §§ 823, 1004 BGB in Verbindung mit der verletzten datenschutzrechtlichen Vorschrift zuzusprechen. Im nachfolgenden Kapitel soll ein Einblick in die materiell-rechtlichen Rechte und Ansprüche der betroffenen Person gegeben werden. Dabei beschränkt sich die Darstellung auf die Rechte der betroffenen Person, die derzeit am häufigsten Gegenstand von gerichtlichen Auseinandersetzungen sind.

B. Die Ansprüche der betroffenen Person im Einzelnen

I. Das Recht auf Information, Art. 13, 14 DSGVO

1.Gegenstand

12

Bei den Informationspflichten nach Art. 13, 14 DSGVO handelt es sich, strenggenommen, nicht um Ansprüche im Sinne des § 194 BGB, deren Geltendmachung vom Willen der betroffenen Person abhängt, sondern um proaktive Informationspflichten9 des Verantwortlichen. Ähnlich wie in den §§ 33ff. BDSG (a.F.) wird hier kein Recht auf Auskunft festgehalten, sondern als notwendige Vorstufe der Rechtskontrolle bzw. -Durchsetzung die betroffene Person informiert. Auch wenn kein direkt einklagbarer Anspruch auf Information nach Art. 13, 14 DSGVO besteht, sollen die Informationspflichten gleichwohl dargestellt werden, da deren Verletzung durchaus Gegenstand zivilrechtlicher Auseinandersetzungen sein kann. So hat beispielsweise das OLG Stuttgart festgestellt, dass es sich bei Art. 13 DSGVO um eine sog. Marktverhaltensregelung im Sinne von § 3a UWG handelt, mit der Folge, dass das Fehlen von Datenschutzhinweisen bzw. unvollständige Datenschutzhinweise über das Lauterkeitsrecht geahndet werden können.10

13

Relevant können fehlende Datenschutzhinweise dann auch unmittelbar mit Blick auf die betroffene Person werden, wenn das Unternehmen seine Verarbeitungstätigkeit auf eine Einwilligung stützt und für die Informationen hinsichtlich des Umfangs der Einwilligung auf seine Datenschutzhinweise verweist. Fehlen diese und ist die Einwilligung nicht in informierter Weise erfolgt, kann die betroffene Person unmittelbar eigene Ansprüche aus Art. 82 DSGVO wegen einer unrechtmäßigen Verarbeitung gegen das Unternehmen geltend machen.

2.Umfang

14

Der betroffenen Person sind grundsätzlich alle Informationen nach den Absätzen 1 und 2 für eine faire und transparente Verarbeitung zur Verfügung zu stellen,11 sofern nicht eine der gesetzlich vorgesehenen Ausnahmen12 greift.

3.Voraussetzungen

15

Voraussetzung für das Eingreifen der Pflicht zur Information ist im Fall des Art. 13 DSGVO die Erhebung (Rn. 16f.) personenbezogener Daten (Rn. 18) bei der betroffenen Person bzw. im Falle des Art. 14 DSGVO bei der nicht betroffenen Person (Rn. 19ff.). Die Pflicht richtet sich in beiden Fällen an den Verantwortlichen (Rn. 22) und setzt voraus, dass die Anwendung der Informationspflichten nicht ausgeschlossen ist (Rn. 23ff.).

a)Der Begriff der Erhebung

16

Die Datenerhebung ist durch die DSGVO nicht definiert, findet sich jedoch als Begriff zum Beispiel in Art. 4 Nr. 2 DSGVO als Unterfall der Verarbeitung und in Art. 5 Nr. 1 b) DSGVO als Vorstufe der Weiterverarbeitung. Daraus folgt, dass die Datenerhebung am Anfang der Datenverarbeitung steht.13 Sie geht notwendig einer Datenspeicherung voraus, was allerdings nicht bedeutet, dass ihr auch zwingend eine Datenspeicherung folgen muss.14

17

Maßgebliches Kriterium der Datenerhebung ist in Anlehnung an § 3 III BDSG a.F. die „gezielte Beschaffung“ von Daten in Abgrenzung zur bloßen Entgegennahme.15 Im Sinne eines effektiven Datenschutzes ist der Begriff der Erhebung jedenfalls weit zu verstehen und kann auch dann angenommen werden, wenn Daten auf Veranlassung der jeweiligen Anbieter (z.B. soziale Netzwerke oder sonstige Online-Plattformen) durch die Nutzer übermittelt werden16 bzw. nach der Übermittlung nicht durch den Empfänger gelöscht, sondern übernommen werden.17 An einem Erheben im Sinne eines Beschaffens fehlt es hingegen, wenn die Daten von der betroffenen Person selbst oder von einem Dritten ohne Aufforderung an den Verantwortlichen geliefert werden und es sich sozusagen um eine aufgedrängte Information handelt.18 Eine solche aufgedrängte Übermittlung von personenbezogenen Daten wird für den Verantwortlichen erst dann datenschutzrechtlich relevant, wenn er sie im Anschluss verarbeiten oder nutzen will.19 Erst dann ist er zur Erfüllung der gesetzlichen Voraussetzungen verpflichtet.

b)Personenbezogene Daten

18

Der Begriff der personenbezogenen Daten ist weit zu verstehen und in Art. 4 Nr. 1 DSGVO legaldefiniert. Die erfassten Informationen werden nur dadurch beschränkt, dass sie sich auf eine identifizierbare oder identifizierte Person beziehen. Für weitere Details wird insoweit auf die einschlägige Literatur verwiesen.20

c)Bei der betroffenen Person bzw. nicht bei der betroffenen Person

19

Während der Begriff der betroffenen Person in Art. 4 Nr. 1 DSGVO zusammen mit den personenbezogenen Daten definiert wird, stellt sich die Frage, wann die Daten bei dieser Person erhoben werden. Einigkeit besteht insoweit, als dass es nicht auf den physischen Ort der Datenerhebung ankommt.

20

Allerdings ist – insbesondere im Hinblick auf verdeckte Maßnahmen wie Videoüberwachung, Vorratsdatenspeicherung etc. – fraglich, ob die Kenntnis bzw. aktive21 oder passive22 Mitwirkung der betroffenen Person erforderlich ist.23

21

Dieser Grenzbereich ist heftig umstritten. Für die Praxis dürfte jedoch ohnehin interessanter sein, welche Konsequenzen bzw. Unterschiede sich durch eine Zuordnung zu Art. 13 bzw. 14 DSGVO ergeben. Diese sind inhaltlich eher marginaler Natur24 und allenfalls relevant, soweit es um den Zeitpunkt25 der Informationspflicht oder die Ausnahmen von der Informationspflicht geht, die bei der Datenerhebung nicht bei der betroffenen Person weitgehender ausgestaltet sind.26

d)Verpflichtung des Verantwortlichen

22

Die Informationspflicht richtet sich an den oder die Verantwortlichen27 i.S.d. Art. 4 Nr. 7 DSGVO. Erheben mehrere Verantwortliche28 die Daten gemeinsam, so haben sie nach Art. 26 DSGVO festzulegen, wer von ihnen welche Verpflichtung erfüllt.

e)Kein Ausschluss von der Informationspflicht

23

Ein Ausschluss der Informationspflicht kann sich aus den norminternen Ausnahmetatbeständen Art. 13 IV bzw. 14 V DSGVO (aa) oder normexternen Ausnahmetatbeständen (bb) ergeben.

aa) Norminterne Ausnahmetatbestände

aaa) Betroffene Person verfügt bereits über Information

24

Sowohl in Bezug auf Art. 13 als auch auf Art. 14 DSGVO sind die Informationspflichten ausgeschlossen bzw. eine Information der betroffenen Person entbehrlich, wenn und soweit die betroffene Person bereits über die Informationen verfügt, Art. 13 IV, 14 V a) DSGVO. Aus der Formulierung „soweit“, die sich im Falle des Art. 14 V auf alle Unterabsätze bezieht, ergibt sich eindeutig, dass die Ausnahme für jeden Informationsbestandteil gesondert vorliegen muss und ggf. zu prüfen ist.29

25

Zudem muss die betroffene Person (genau) über die mitzuteilenden Informationen verfügen, darf also weder zu wenige noch zu viele Informationen erhalten. Genauso ausgeschlossen, wie dass die betroffene Person aus zu wenigen oder unpräzicsen Informationen auf die mitzuteilenden Informationen schließen müsste,30 ist es, der betroffenen Person schon vor der Erhebung oder generell überobligatorische Informationen zur Verfügung zu stellen,31 aus denen sie sich dann die exakten Informationen für den Einzelfall heraussuchen müsste. Ersteres folgt dabei schon aus dem Wortlaut der jeweiligen Normen und Letzteres aus dem Transparenzgebot des Art. 12 DSGVO.

26

Des Weiteren ist Voraussetzung, dass die betroffene Person auch über die Informationen verfügt. Hierfür reicht es nicht aus, dass die betroffene Person zum Beispiel auf gesetzliche Grundlagen im Netz zugreifen kann,32 sondern die Informationen müssen in ihrem Herrschaftsbereich vorhanden, wenn auch nicht zwingend zur Kenntnis genommen33 oder vom Verantwortlichen selbst übermittelt34 worden sein. Ein in der Praxis häufig zu beobachtendes Phänomen ist, dass Verantwortliche verlangen, dass die Datenschutzhinweise nicht nur zur Kenntnis genommen werden, sondern diese auch „akzeptiert“ werden sollen. Bei den Pflichten aus Art. 13, 14 DSGVO handelt es sich jedoch allein um Informationspflichten des Verantwortlichen. Die betroffene Person ist jedenfalls nicht gesetzlich dazu verpflichtet, diese akzeptieren zu müssen. Das Einholen einer Zustimmung zu den Datenschutzhinweisen ist somit entbehrlich und streng genommen mit dem Grundsatz der Datensparsamkeit nicht vereinbar, denn es wird eine zusätzliche Information (hier: „betroffene Person hat den Datenschutzhinweisen zugestimmt“) gespeichert, die gesetzlich nicht erforderlich ist.

27

Die Ausnahme greift also zum Beispiel dann ein, wenn eine weitere Datenerhebung durch denselben Verantwortlichen erfolgt, der bei der ersten Erhebung vollumfänglich gem. Art. 13 DSGVO informiert hat und sich an der Verarbeitungstätigkeit nichts geändert hat.35 Diese Konstellation setzt freilich voraus, dass auch die weitere Datenerhebung zum gleichen Zweck erfolgt wie bereits die vorangegangene. Ändert sich der Zweck auch nur minimal, muss auch über diese sowie die entsprechende Rechtsgrundlage informiert werden. Etwas Ähnliches kann gelten, wenn neue Empfänger hinzutreten. Es empfiehlt sich daher, stets ganz genau zu prüfen, ob eine erneute Information tatsächlich entbehrlich ist oder ob sich durch eine auch nur minimale Zweckänderung nicht doch die Pflicht ergibt, die betroffene Person vollständig oder teilweise zu informieren. Jedenfalls trägt der Verantwortliche das Risiko, dass er aufgrund einer Fehlentscheidung eine erforderliche Information unterlässt.

bbb) Unmöglichkeit oder unverhältnismäßiger Aufwand

28

Die Ausnahme der Unmöglichkeit bzw. des unverhältnismäßigen Aufwandes wird explizit nur in Art. 14 V b) DSGVO genannt. Allerdings wird hierauf auch in Erwägungsgrund 62 verwiesen, ohne dass dabei zwischen Art. 13 DSGVO und Art. 14 DSGVO differenziert wird. Hieraus wird teilweise eine (analoge) Anwendbarkeit des Art. 14 V b) DSGVO auf den Art. 13 DSGVO gefolgert.36

29

Dem ist jedoch entgegenzuhalten, dass nicht die Erwägungsgründe, sondern der Gesetzestext verbindliche Wirkung entfaltet37 und sich etwaige Extremfälle auch durch eine teleologische Reduktion38 des Tatbestandes lösen lassen, es somit an der für eine Analogie erforderlichen Regelungslücke fehlt.39 Darüber hinaus handelt es sich bei Art. 14 V b) DSGVO um eine Ausnahmevorschrift, sodass zweifelhaft ist, ob diese überhaupt analogiefähig ist.

30

Die genaue Konturierung des Art. 14 V b) DSGVO ist umstritten. Einigkeit besteht jedenfalls insoweit, dass die Anforderungen an die Unmöglichkeit hoch sind. Wobei für diese wiederum ungeklärt ist, ob es sich um objektive40 oder subjektive41 Unmöglichkeit handeln muss. Es steht zu erwarten, dass sich eine genauere Festlegung des Tatbestandes erst in Folge der Judikatur ergeben wird.42

31

Bezüglich der Unverhältnismäßigkeit ist die bisherige Spannbreite der vertretenen Meinungen jedenfalls sehr weit. Während zum Teil für die Annahme der Unverhältnismäßigkeit auf ein von der Artikel-29-Datenschutzgruppe ersonnenes Beispiel abgestellt wird, bei dem Geschichtsforscher eine Datenbank mit 20.000 Betroffenen, die vor 50 Jahren erstellt wurde, auswerten wollen,43 lassen andere hierfür schon ausreichen, wenn die betroffene Person in einer E-Mail in CC gesetzt wurde.44

32

Überzeugend scheint hier eine Abwägung zwischen dem Aufwand, die betroffene Person zu ermitteln bzw. zu informieren einerseits und dem Informationsinteresse der betroffenen Person andererseits, das sich danach richtet, wie wichtig die Benachrichtigung für die Rechtsdurchsetzung ist und wie sensibel die erhobenen Daten sind.45

33

Dies gilt auch für „Big-Data“-Anwendungen, sodass allein aufgrund der Vielzahl der erhobenen Datensätze nicht pauschal von einer Unverhältnismäßigkeit ausgegangen werden kann.46 Gerade in diesem Zusammenhang spielt die Verpflichtung aus Art. 14 V b) DSGVO eine wichtige Rolle, die eine Veröffentlichung der Informationen erfordern kann.47

34

Eine gewisse Orientierung bei der Abwägung können freilich die in Art. 14 V b) DSGVO aufgeführten Kriterien sowie Erwägungsgrund 6248 bieten.49

35

Für die Praxis kann vorerst nur geraten werden, von einer restriktiven Auslegung auszugehen und auch Altbestände von Kundendaten zu aktualisieren, um diese informieren zu können, falls die Daten in Zukunft für Forschung oder Statistik verwendet werden.50

36

Unabhängig davon, ob die Alternative, dass die Verwirklichung der Ziele unmöglich gemacht oder ernsthaft beeinträchtigt wird, indem man der Informationspflicht nach Absatz 1 nachkommt, einen eigenständigen Tatbestand darstellt oder nicht, ist diese weitestgehend selbsterklärend. Ohne Weiteres leuchtet es ein, dass die betroffene Person beispielsweise bei Ermittlungen durch einen Privatdetektiv51 oder Anzeigen nach dem Geldwäschegesetz52 nicht informiert zu werden braucht.

37

Interessant ist vor allem, ob die Informationen nachgeholt werden müssen, sobald der Tatbestand des Art. 14 V b) DSGVO nicht mehr gegeben ist, dies wird zumindest von einer strengeren Ansicht bejaht.53 Und auch hier empfiehlt es sich aus Gründen der eigenen Vorsicht, den Anforderungen der insoweit strengsten Ansicht zu entsprechen, bis es hinsichtlich dieser Frage eine anderslautende, höchstrichterliche Entscheidung gibt.

ccc) Ausdrückliche Regelung

38

Art. 14 V c) DSGVO enthält eine Ausnahme für den Fall, dass die Erlangung oder Offenlegung der Informationen durch die Mitgliedstaaten oder die Union bereits ausdrücklich geregelt ist, sofern die betreffenden Rechtsvorschriften geeignete Maßnahmen vorsehen, um die Interessen der betroffenen Personen zu schützen. Auch wenn durch diese Ausnahme nicht weiter konkretisiert wird, wie die geeigneten Schutzmaßnahmen aussehen müssen,54 besteht weitgehende Einigkeit, dass die betreffenden Regelungen hinsichtlich Tatbestandsvoraussetzungen und Reichweite ausreichend detailliert sein müssen und die Ausnahme nicht bei Generalklauseln gilt.55 Wenn sich der Verantwortliche auf diese Ausnahme berufen will, ist ihm jedenfalls anzuraten, genau zu dokumentieren, auf welcher Grundlage und nach welchen Prüfungsschritten er die Information der betroffenen Person unterlassen hat.56 Eine solche (schriftliche) Dokumentation wird spätestens dann erforderlich, wenn die unterlassene Information, gegenüber der betroffenen Person, vor der Aufsichtsbehörde oder einem Gericht gerechtfertigt werden muss. Nur mit einer ausreichenden Dokumentation besteht überhaupt die Chance, sich gegen eine Inanspruchnahme wegen unterlassener Informationen zu verteidigen.

ddd) Berufsgeheimnisse und satzungsmäßige Geheimhaltungspflichten

39

Art. 14 V d) DSGVO enthält eine weitere Bereichsausnahme für den Schutz der Berufsgeheimnisse.57 In der Norm wird zwar auf mitgliedstaatliches Recht verwiesen, man wird jedoch nichtsdestotrotz einen (weiten) unionsrechtlichen Begriff des Berufsgeheimnisses anlegen müssen, um zu verhindern, dass die Mitgliedstaaten beliebige behördliche Tätigkeiten durch weitgefasste Geheimhaltungspflichten pauschal den Informationspflichten des Art. 14 entziehen.58

40

Entsprechendes gilt für vertraglich vereinbarte Geheimhaltungsregeln zum Beispiel in Gesellschaftsverträgen59 oder das Bankgeheimnis, die kein Berufs- oder satzungsmäßiges Geheimnis i.S.d. Art. 14 V d DSGVO darstellen.60

41

Die Reichweite der Ausnahme richtet sich dabei grundsätzlich nach der Reichweite des Geheimnisschutzes, allerdings wird dieser oftmals verlangen, dass nicht einmal Teilinformationen preisgegeben werden, weil diese schon einen Rückschluss auf geschützte Informationen, wie zum Beispiel das Mandantenverhältnis, ermöglichen würden.61

bb) Ausnahmetatbestände außerhalb der DSGVO

42

Nach Art. 23 DSGVO können sowohl Union als auch der nationale Gesetzgeber weitere Ausnahmen vorsehen. Hiervon wurde zum Teil Gebrauch gemacht. Wichtige Ausnahmen finden sich beispielsweise im BDSG in: §§ 4 II, IV (Videoüberwachung), 29 (Geheimhaltungspflicht)62, 32 (nur für Art. 13 DSGVO), 33 (öffentliche Belange); in § 32b AO (Steuergeheimnis)63 oder 82a SGB X (Sozialgeheimnis), auf die hier nur hingewiesen wird.64 Auch die Art. 85 und 89 DSGVO eröffnen die Möglichkeit für weitere Ausnahmen.

4.Erfüllung

43

Hinsichtlich der Erfüllung der Pflichten ist zu unterscheiden zwischen dem Inhalt der zur Verfügung zu stellenden Information (Rn. 44), der Art der Informationsübermittlung (Rn. 66) und dem Zeitpunkt (Rn. 68). Nachfolgend soll nur ein Überblick über die Anforderungen an die Erfüllung der Informationspflichten erfolgen. Für tiefergehende Ausführungen muss auf die entsprechende Kommentarliteratur verwiesen werden.

a)Inhalt

aa) Name und Kontaktdaten des Verantwortlichen/Vertreters

44

Zur Erfüllung der Informationspflichten ist der betroffenen Person der vollständige65 Name (bzw. die Firma) und zumindest eine zustellungsfähige Anschrift des Verantwortlichen mitzuteilen, damit eine Kontaktaufnahme problemlos möglich ist.66 In der Praxis wird häufig der Name des Verantwortlichen genannt, verbunden mit einem Link zu weiteren Informationen im Impressum.

bb) Kontaktdaten des Datenschutzbeauftragten

45

Die Nennung eines Namens bei den Angaben über den Datenschutzbeauftragten ist nicht erforderlich, da es allein auf die Funktion des Datenschutzbeauftragten ankommt.67 Zur Erfüllung genügt somit auch die Einrichtung und Angabe eines Funktionspostfachs.68

cc) Zwecke und Rechtsgrundlagen der Verarbeitung

46

Die Angabe des Zwecks und der Rechtsgrundlagen der Verarbeitung ermöglicht der betroffenen Person einerseits die Überprüfung der Rechtmäßigkeit, andererseits ist der angegebene Zweck Ausgangspunkt für die Kompatibilitätsprüfung bei der zweckändernden Weiterverarbeitung i.S.d. Art. 6 IV DSGVO.69

47

Aus Sicht des Verantwortlichen sollten daher alle auch nur geplanten Zwecke erfasst und mitgeteilt werden, schon weil hierdurch eine spätere (erneute) Mitteilung gem. Art. 13 III DSGVO bzw. Art. 14 IV DSGVO entbehrlich wird.70 Nicht zulässig ist jedoch eine Mitteilung aller erdenklichen Zwecke „auf Vorrat“,71 schon wegen des Transparenzgebotes aus Art. 12 I DSGVO, ebenso wenig die Mitteilung, dass die Zwecke noch nicht bekannt seien72.

48

Sowohl die Zwecke als auch die Rechtsgrundlagen73 sollten dabei möglichst präzise angegeben werden. Auch wenn der Wortlaut der Norm eine Angabe der zugrunde liegenden Vorschrift ausreichen lässt,74 sollte schon, aufgrund der eingangs beschriebenen Normzwecke, die Rechtslage einzelfallbezogen und vollständig dargelegt werden und nicht nur auf die teilweise sehr offenen Rechtsgrundlagen verwiesen werden.75 Allerdings muss man hier auch immer die Umstände des Einzelfalles beachten. Dort, wo ausschweifende Informationen aus Platzgründen nicht erteilt werden können oder nur unter erhöhtem Aufwand, ist eine Beschränkung auf die gesetzlich notwendigen Informationen nicht zu beanstanden. Verantwortliche sollten dennoch stets erwägen, derartigen Herausforderungen durch abgestufte Informationen zu begegnen.

dd) Berechtigte Interessen

49

Als Erweiterung der Informationspflichten aus Art. 13 I c) bzw. Art. 14 I c) DSGVO sind – wenn die Verarbeitung auf Art. 6 I f DSGVO beruht – die berechtigten Interessen des Verantwortlichen oder Dritten anzugeben. Die bislang im Rahmen der internen Vorprüfung erfolgte Abwägung und Begründung der berechtigten Interessen, ist der betroffenen Person so transparent zu machen, dass dieser die Wahrnehmung ihrer Rechte ermöglicht wird.

ee) Empfänger/Kategorien von Empfängern

50

Der Begriff des Empfängers ist in Art. 4 Nr. 9 DSGVO definiert und weit zu verstehen.76 Im Gegensatz zur früheren Rechtslage besteht nun Einigkeit, dass auch Auftragsverarbeiter erfasst sind.77 Die Frage, ob es im Belieben des Verantwortlichen steht, den Empfänger oder die Kategorien von Empfängern anzugeben, ist umstritten.78 Der EuGH hat zwar zwischenzeitlich in Bezug auf den Auskunftsanspruch aus Art. 15 DSGVO geurteilt,79 dass die konkreten Empfänger anzugeben sind, allerdings ist unklar, ob sich diese Maßgabe von den nachträglich zu erfüllenden Auskunftspflichten auf die ex-ante zu erfüllenden Informationsverpflichtungen übertragen lässt.80 Dennoch kann für die Praxis aus Gründen der Rechtssicherheit nur empfohlen werden, die Empfänger namentlich anzugeben, soweit dies möglich ist,81 und die Gründe, warum eine konkrete Nennung nicht möglich ist, zu dokumentieren, um sie nachweisen zu können.

ff) Übermittlung an Drittland oder internationale Organisationen

51

Sollen die erhobenen Daten in ein Drittland oder eine internationale Organisation übermittelt werden, hat der Verantwortliche eine entsprechende Absicht der betroffenen Person mitzuteilen.82 Außerdem ist das Fehlen oder Vorliegen eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO mitzuteilen bzw. im Falle der Übermittlung gem. Art. 46, 47 oder 49 DSGVO ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie zu erhalten oder wo sie verfügbar sind. Dies kann in der Praxis auch dazu führen, dass Binding Corporate Rules (BCR) offenzulegen sind.83

gg) Dauer der Datenspeicherung

52

Grundsätzlich ist die genaue Dauer der Datenspeicherung anzugeben. Da dies oftmals vorab nicht möglich ist, sind dann wenigstens die Kriterien anzugeben, aus denen sich die Speicherdauer ergibt. Dies impliziert nach überwiegender Auffassung die Notwendigkeit eines Löschkonzeptes.84

53

Nach Ablauf der (abstrakt) angegebenen Speicherdauer, besteht gem. Art. 17 I a) DSGVO die Pflicht zur Löschung, es sei denn, dass zu diesem Zeitpunkt die Voraussetzungen für eine Weiterverarbeitung zu einem anderen Zweck vorliegen.85

hh) Rechte der betroffenen Personen

54

Die betroffenen Personen sind über die ihnen zustehenden Rechte entsprechend einer Rechtsbehelfsbelehrung aufzuklären.86