OLG Nürnberg zum Löschungsanspruch nach DSGVO

Hinweisbeschluss des OLG Nürnberg vom 11.06.2025 – 3 U 383/25

Aus dem Sachverhalt:

Die Klägerin verlangt von der Beklagten, einer Wirtschaftsauskunftei, die Löschung zweier negativer Einträge über zwei Forderungen aus den Jahren 2019 und 2021 in Höhe von rund 200 Euro und 100 Euro. Obwohl die Klägerin diese Forderungen in den Jahren 2023 und 2024 beglichen hat, lehnte die Beklagte die von der Klägerin geforderte sofortige Löschung der Einträge sowie die Berichtigung ihres Score-Wertes ab. Das Landgericht Regensburg wies die Klage in erster Instanz ab, da es das Speicherinteresse der Beklagten als höherwertig einstufte. In ihrer Berufung argumentiert die Klägerin, die dreijährige Speicherung nach Erledigung sei unverhältnismäßig, die Beweislast für das berechtigte Interesse liege bei der Beklagten und es bestehe ein Wertungswiderspruch zu kürzeren Löschfristen bei öffentlichen Schuldnerverzeichnissen. Sie macht zudem geltend, durch die Einträge konkrete Nachteile bei der Kreditaufnahme zu erleiden.

Aus den Entscheidungsgründen:

Das Gericht ist der Ansicht, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat und die Entscheidung des Landgerichts zutreffend ist. Entgegen der Auffassung der Klägerin liege die Darlegungs- und Beweislast für das Überwiegen ihrer Interessen bei ihr selbst, nicht bei der Beklagten. Die von der Klägerin angeführten Nachteile seien zudem nur pauschal und unsubstantiiert vorgetragen worden. Die Speicherung der Daten sei gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig. Die Beklagte und ihre Vertragspartner (Kreditgeber) hätten ein berechtigtes Interesse an den Informationen zur Bonitätsprüfung, um sich vor Kreditausfällen zu schützen. Die Speicherung sei auch nach Tilgung der Forderungen weiterhin notwendig, da das frühere, mehrjährige Zahlungsverzugsverhalten der Klägerin eine hohe Prognoserelevanz für ihre zukünftige Zahlungsmoral habe. Die dreijährige Speicherfrist sei angemessen und nicht zu beanstanden. Sie basiere auf den genehmigten Verhaltensregeln der Wirtschaftsauskunfteien und werde durch eine statistische Analyse gestützt, wonach das Risiko einer erneuten Zahlungsstörung für drei Jahre signifikant erhöht bleibe. Ein Widerspruch zu den kürzeren Löschfristen für Einträge aus öffentlichen Insolvenzregistern (§ 882e ZPO, EuGH-Rechtsprechung) bestehe nicht, da es sich um unterschiedliche Sachverhalte handele. Da die Verarbeitung rechtmäßig sei, bestünden weder ein Anspruch auf Löschung (Art. 17 DSGVO), noch auf Berichtigung des Score-Wertes oder auf Unterlassung.

Fazit:

Der Senat beabsichtigt, die Berufung der Klägerin ohne mündliche Verhandlung gemäß § 522 Abs. 2 ZPO zurückzuweisen. Er ist einstimmig der Überzeugung, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat. Zudem habe die Rechtssache keine grundsätzliche Bedeutung und eine Entscheidung sei weder für die Rechtsfortbildung noch für die Sicherung einer einheitlichen Rechtsprechung erforderlich. Aus Kostengründen wird der Klägerin nahegelegt, die Berufung zurückzunehmen, wodurch sich die Gerichtsgebühren halbieren würden.

Stand: 09.07.2025

Hat man einen Anspruch auf Auskunft bei öffentlicher Videoüberwachung?

Urteil des OVG Berlin-Brandenburg vom 13.05.2025 (12 B 14/23)

Aus dem Sachverhalt:

Die Klägerin, eine Tochtergesellschaft der Deutschen Bahn, setzt in ihren Zügen Videokameras ein, die Aufnahmen auf internen Festplatten für 48 Stunden speichern und danach automatisch überschreiben. Diese Daten werden ausschließlich auf Anforderung an Strafverfolgungsbehörden herausgegeben. Ein spezialisiertes Team extrahiert die angeforderten Sequenzen dabei ohne Sichtung des Bildmaterials; der S-Bahn-Betreiber selbst hat weder die technischen noch die rechtlichen Möglichkeiten, die Aufnahmen einzusehen oder Personen zu identifizieren.

Der Konflikt entstand, als ein Fahrgast (Beigeladener) unter Angabe von Zeit, Zugnummer und seines Aussehens eine Kopie der ihn zeigenden Videoaufnahmen verlangte. Die Klägerin lehnte dies ab und löschte die Daten nach Ablauf der 48-Stunden-Frist. Der Fahrgast beschwerte sich daraufhin bei der zuständigen Datenschutzbehörde (Beklagte), die der Klägerin eine Verletzung des Auskunftsrechts nach Art. 15 DSGVO vorwarf und eine Verwarnung aussprach. Sie argumentierte, der Fahrgast habe ausreichende Angaben zu seiner Identifizierung gemacht und die Rechte Dritter hätten durch Schwärzung geschützt werden können.

Die Klägerin klagte gegen diese Verwarnung vor dem Verwaltungsgericht Berlin und bekam in erster Instanz Recht. Das Gericht hob die Verwarnung auf, da der Fahrgast seine Identität nicht ausreichend nachgewiesen habe und der Aufwand für die S-Bahn unverhältnismäßig sei.

Die Datenschutzbehörde legte gegen dieses Urteil Berufung ein. Sie vertritt die Ansicht, dass es sich bei den Aufnahmen um personenbezogene Daten handelt, da eine Identifizierung prinzipiell möglich sei. Der Auskunftsanspruch des Fahrgastes bestehe, und ein unverhältnismäßiger Aufwand sei kein anerkannter Grund, diesen zu verweigern. Die Klägerin hingegen argumentiert, dass die Daten für sie faktisch anonym seien, da sie technisch und rechtlich keinen Zugriff darauf habe. Sie beruft sich auf einen unverhältnismäßigen Aufwand und einen fehlerhaften Ermessensgebrauch der Behörde.

Aus den Entscheidungsgründen:

Das Gericht hat die Berufung der Datenschutzbehörde zurückgewiesen und damit das Urteil der Vorinstanz bestätigt, wonach bestätigt wurde, dass die Verwarnung gegen die S-Bahn-Betreiberin (Klägerin) rechtswidrig war.

Zunächst stellte das Gericht fest, dass die Klage zulässig ist. Insbesondere sei die S-Bahn-Betreiberin klagebefugt, auch wenn sie als staatlich beherrschtes Unternehmen keine deutschen Grundrechte für sich beanspruchen kann. Die Klagebefugnis ergebe sich direkt aus Art. 78 DSGVO, die jeder juristischen Person einen wirksamen Rechtsbehelf gegen Beschlüsse einer Aufsichtsbehörde gewährt.

In der Sache war die Verwarnung rechtswidrig, weil die S-Bahn-Betreiberin das Auskunftsrecht des Fahrgastes (auf eine Kopie der Videoaufnahme) nicht verletzt hat. Zwar sind die Videoaufnahmen laut Gericht als personenbezogene Daten im Sinne der DSGVO einzustufen, da eine Identifizierung der Fahrgäste zumindest durch Dritte, nämlich die Strafverfolgungsbehörden, möglich ist.

Der Anspruch des Fahrgastes scheiterte jedoch an den Regelungen der Artikel 11 und 12 DSGVO. Das Gericht argumentierte, dass die S-Bahn-Betreiberin nach ihrem eigenen, auf Datensparsamkeit und hohe Sicherheit ausgelegten Datenschutzkonzept nicht in der Lage sei, den Fahrgast mit zumutbarem Aufwand zu identifizieren. Sie sei nicht verpflichtet, dieses Schutzkonzept aufzugeben und ihre Prozesse grundlegend zu ändern, nur um einem einzelnen Auskunftsersuchen nachzukommen. Eine solche Änderung würde das hohe Datenschutzniveau für alle anderen Fahrgäste senken und stünde im Widerspruch zu den Prinzipien der Datenminimierung. Zudem sei das Informationsinteresse des Beigeladenen in diesem Fall als sehr gering einzustufen.

Zusätzlich führte das Gericht an, dass die Herausgabe der Kopie auch nach Art. 15 Abs. 4 DSGVO verweigert werden durfte. Dieses Recht dürfe die Rechte und Freiheiten anderer Personen nicht beeinträchtigen, was sowohl die anderen gefilmten Fahrgäste als auch die Klägerin selbst und ihr schutzwürdiges Datenschutzkonzept mit einschließe. In der Abwägung überwogen diese Schutzinteressen gegenüber dem geringen Informationsinteresse des Fahrgastes. Andere Ausschlussgründe, wie ein rechtsmissbräuchlicher Antrag, sah das Gericht nicht als gegeben an.

Stand: 02.07.2025

NIS-2-Richtlinie und NIS2UmsuCG - wer ist betroffen und was ist zu tun?

Vortrag von Rechtsanwältin Sabine Sobola zum Thema "NIS-2-Richtlinie und NIS2UmsuCG -wer ist betroffen und was ist zu tun? Die neuen gesetzlichen Vorgaben im IT-Sicherheitsrecht" im Rahmen einer Veranstaltung des Landratsamts Mühldorf am Inn zum Digitaltag am 26.06.2025.

Darf das HR-Management die Kontaktdaten der Partner von Mitarbeitern im ERP-System für Notfälle abspeichern?

Die Erfassung und Speicherung von Notfallkontaktdaten von Mitarbeitern unterliegt der Datenschutz-Grundverordnung (DSGVO), da es sich um die Verarbeitung personenbezogener Daten handelt.
Für die Speicherung dieser Daten gibt es zwei praktikable Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die direkte, informierte und freiwillige Zustimmung der Notfallkontaktperson. Diese Methode ist zwar rechtlich sicher, aber in der Praxis sehr aufwendig, da man die Kontaktperson erst anschreiben, informieren und eine nachweisbare Einwilligung einholen muss.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Dies ist die praxistauglichere Option. Hier werden die Interessen abgewogen:
- Interesse des Betriebs: Diese kann als sehr hoch eingestuft werden, da es um die Fürsorgepflicht des Arbeitgebers und das Interesse des Mitarbeiters geht, dass im Notfall jemand benachrichtigt wird.
- Interesse der Kontaktperson: Diese ist eher als gering anzusehen, da nur grundlegende Daten wie Name und Telefonnummer verarbeitet werden, die keine besondere Intimität aufweisen.

Die Interessen des Betriebs und der Mitarbeiter überwiegen in der Regel, was diese Rechtsgrundlage rechtfertigen könnte.

Werden die Daten nach lit. f erhoben und gespeichert, müssen alle weiteren Grundsätze der Datenverarbeitung nach DSGVO beachtet werden:

Informationspflichten
Unabhängig von der Rechtsgrundlage muss die Notfallkontaktperson darüber informiert werden, dass ihre Daten gespeichert werden (gemäß Art. 13 oder 14 DSGVO). Folgende Schritte sind zu empfehlen:

Der Arbeitgeber händigt dem Mitarbeiter ein Informationsschreiben für die Notfallkontaktperson aus.
Der Mitarbeiter übergibt dieses Schreiben an seinen Notfallkontakt.
Der Mitarbeiter bestätigt dem Arbeitgeber die Übergabe.

Aufbewahrung und Löschung

Zugriff: Der Zugriff auf die Daten muss streng auf die Personen beschränkt sein, die ihn im Notfall benötigen (z. B. direkte Vorgesetzte, Personalabteilung).
Löschung: Die Daten müssen datenschutzkonform vernichtet werden, sobald der Mitarbeiter das Unternehmen verlässt oder einen neuen Notfallkontakt benennt.

Mehr Infos

Stand: 25.06.2025

IT- und Internetrecht

Seminar von Rechtsanwältin Sabine Sobola zum Thema "IT- und Internetrecht" im Rahmen des berufsbegleitenden Weiterbildungsangebotes „Zertifizierter Betriebswirt“ der Hans Lindner Regionalförderung auf Schloss Mariakirchen am 30.05.2025.

Datenschutz in der Praxis – die wichtigsten Punkte zur Umsetzung der DSGVO

Vortrag von Rechtsanwältin Sabine Sobola zum Thema "Datenschutz in der Praxis – die wichtigsten Punkte zur Umsetzung der DSGVO" im Rahmen einer Veranstaltung der Unternehmer Schule im Landkreis Regensburg am 08.05.2025.

Ausbildung zu zertifizierten fachkundigen IT-Sicherheitsbeauftragten (IT-Security Manager)

Vortrag von Rechtsanwältin Sabine Sobola im Rahmen der "Ausbildung zu zertifizierten fachkundigen IT-Sicherheitsbeauftragten (IT-Security Manager)" bei der Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) am 05. - 06.05.2025 in Ulm.

Vertragliche Regelungen bei Penetrationtests

Um Auftragnehmer sowie Auftraggeber rechtlich abzusichern, empfehlen wir folgende Maßnahmen bzw. vertraglichen Regelungen hinsichtlich der Durchführung von Penetrationtests.

Auswirkungen des DORA auf den Datenschutz und die IT-Sicherheit

DORA ist eine Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) und zahlreiche Auswirkungen auf den Datenschutz und die IT-Sicherheit.

Wann muss eine KI-Richtlinie erstellt werden?

Um die Risiken im Zusammenhang mit KI im Blick zu halten, empfiehlt es sich, den internen Einsatz in einer KI-Richtlinie zu regeln.