Von /

Zweckänderung, Informationspflichten, Verschlüsselung: Die wichtigsten Lehren aus dem VG-Hannover-Urteil

GDPR-Schutz, Datenschutz, Technologie, Sicherheit

In diesem Artikel erfahren Sie, welche konkreten DSGVO-Anforderungen das VG Hannover (05.06.2025, Az: 10 A 4017/23) bei Datenweitergaben an einen US-Monitor und einen EPA-Auditor aufstellt und welchen praktischen Nutzen Sie daraus ziehen können. Sie sehen, wann bei Zweckänderungen eine aktive Vorab-Information der Beschäftigten erforderlich ist (ein Intranet-Hinweis allein genügt nicht), wie Gerichte den Personenbezug trotz Pseudonymisierung bewerten und unter welchen Voraussetzungen Transportverschlüsselung per E-Mail nach Art. 32 DSGVO ausreichen kann. Außerdem wird erläutert, warum ein aktuelles Verarbeitungsverzeichnis von Beginn an vorliegen muss und welche typischen Fehler in der Praxis zu Verwarnungen führen.

Inhaltsverzeichnis
  1. Zentraler Sachverhalt
  2. Rechtliche Leitsätze
  3. Analyse der Verwarnungen
  4. Buchstabe D: Informationspflichten im Rahmen der EPA-Auditierung (bestätigt)
  5. Verfahrensausgang

Zentraler Sachverhalt

Der Kern des Urteils des Verwaltungsgerichts (VG) Hannover (05.06.2025, Az: 10 A 4017/23)  betrifft die Verarbeitung und Weitergabe personenbezogener Beschäftigtendaten im Zuge der Aufarbeitung des Abgasskandals. Im Mittelpunkt stehen die Ausgangssituation nach den US-Vergleichen, der daraus entstandene datenschutzrechtliche Streit, die Reaktion der Aufsichtsbehörde sowie die gerichtliche Einordnung der ergriffenen Maßnahmen. Zusammengefasst ergibt sich folgendes Bild:

1. Hintergrund: Dieselskandal und US-Settlement

Im Januar 2017 schloss ein international tätiger Automobilkonzern mit Sitz in Deutschland (die Klägerin) umfangreiche gerichtliche Vergleiche mit US-Stellen, darunter dem Justizministerium und der Umweltbehörde EPA. Dadurch sollten zivil- und strafrechtliche Verfahren wegen Manipulationen an Diesel-Fahrzeugen beendet werden. Zur Kontrolle der Umsetzung und zur Vorbeugung weiterer Compliance-Verstöße verpflichtete sich das Unternehmen, für den Zeitraum von Juni 2017 bis September 2020 einen unabhängigen „Monitor“ einzusetzen (einen früheren stellvertretenden US-Justizminister). Im August 2019 kam eine weitere Abrede mit der EPA hinzu, die eine zusätzliche, dreijährige Prüfung durch einen externen Wirtschaftsprüfer (EPA-Auditor) vorsah.

2. Datenschutzrechtlicher Konflikt: Datenzugriffe für US-Kontrolleure

Damit Monitor und EPA-Auditor ihre Kontroll- und Prüfaufträge erfüllen konnten, forderten sie umfassende Einblicke in Unterlagen und Abläufe. Dies führte zwangsläufig dazu, dass auch personenbezogene Daten von Beschäftigten verarbeitet und übermittelt wurden. Besonders relevant waren dabei diese Punkte:

  • Listen mit Klarnamen: Der Monitor erhielt eine Namensliste mit 22 aktuellen und ehemaligen Beschäftigten, denen unmittelbare Kenntnisse („direct knowledge“) zu den Vorgängen rund um die Diesel-Thematik zugeschrieben wurden.
  • Einblicke in Personalvorgänge: Der Monitor nahm an Bonusgesprächen teil und bekam – teils in pseudonymisierter Form – Zugang zu Unterlagen über Disziplinarmaßnahmen, Kündigungen, verzögerte Beförderungen sowie Meldungen aus dem internen Hinweisgebersystem.
  • „Fast Lane“-Übermittlung: Sensible Unterlagen zur Überprüfung von Compliance-Vorgaben (sogenannte Testing-Dokumente) wurden dem Monitor über einen beschleunigten E-Mail-Weg bereitgestellt. Dieser nutzte zwar Transportverschlüsselung (TLS 1.2), jedoch keine Ende-zu-Ende-Verschlüsselung.

3. Einschreiten der Datenschutzaufsicht (Beklagter)

Die zuständige Datenschutzbehörde bewertete diese Datenweitergaben als rechtswidrig und sprach im Juni 2023 fünf datenschutzrechtliche Verwarnungen (A bis E) gegenüber dem Unternehmen aus:

  • Verwarnung A: Die Weitergabe der Liste der Beschäftigten mit „direct knowledge“ stelle eine Zweckänderung dar und sei nicht ausreichend legitimiert, weil die Interessenabwägung fehlerhaft vorgenommen worden sei.
  • Verwarnungen B und D: Das Unternehmen habe erheblich gegen Transparenz- und Informationspflichten (Art. 13 Abs. 3 DSGVO) verstoßen, da die betroffenen Personen nicht rechtzeitig und klar darüber informiert wurden, dass ihre Daten für einen neuen Zweck an den Monitor (B) bzw. an den EPA-Auditor (D) weitergegeben werden.
  • Verwarnung C: Die Entscheidung, beim Versand sensibler Daten per E-Mail auf Ende-zu-Ende-Verschlüsselung zu verzichten, verletze die Vorgaben zur Sicherheit der Verarbeitung (Art. 32 DSGVO).
  • Verwarnung E: Für die EPA-Prüfung sei kein eigenständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) rechtzeitig erstellt worden.

4. Gerichtsentscheidung

Das VG Hannover gab der Klage nur teilweise statt: Zwei Verwarnungen wurden aufgehoben, drei bestätigte das Gericht.

  • Aufgehoben: Verwarnungen A und C
    Bei der Datensicherheit (C) kam das Gericht zu dem Ergebnis, dass die eingesetzte Transportverschlüsselung die Anforderungen aus Art. 32 DSGVO vollständig erfüllte, weil weder hochsensibles Material (etwa Gesundheitsdaten) betroffen war noch außergewöhnliche Angriffsszenarien erkennbar waren.
    Hinsichtlich Verwarnung A sah das Gericht Ermessensfehler der Behörde: Die Aufsicht hatte die Interessenabwägung des Unternehmens beanstandet, während das Gericht die Gewichtung zugunsten des Unternehmens vor dem Hintergrund drohender existenzbedrohender US-Sanktionen inhaltlich als nachvollziehbar bewertete. Gleichwohl blieb die Übermittlung unrechtmäßig, weil das Unternehmen es versäumt hatte, den Beschäftigten sein „berechtigtes Interesse“ vor der Weitergabe aktiv mitzuteilen.
  • Bestätigt: Verwarnungen B, D und E
    Den Hauptvorwurf der Aufsicht bestätigte das Gericht: Die Beschäftigten wurden nicht ausreichend über die Weitergabe ihrer Daten informiert. Allgemeine Hinweise in einer Mitarbeiterzeitung oder eine unauffällige Einstellung einer Datenschutzerklärung ins Intranet genügten nicht. Art. 13 Abs. 3 DSGVO erfordert eine aktive, gezielte Information (etwa durch einen konkreten Hinweis per E-Mail), zumal der betroffene Personenkreis dem Unternehmen bekannt war. Zusätzlich wurde das fehlende, eigenständige und rechtzeitige Verarbeitungsverzeichnis für die EPA-Auditierung als eindeutiger Verstoß gewertet.

Rechtliche Leitsätze

Mitteilung berechtigtes Interesse gem. Art. 13 Abs. 1 lit. d) DSGVO

Der erste Leitsatz des Urteils des Verwaltungsgerichts Hannover enthält eine zentrale und vergleichsweise strikte Vorgabe zu Informationspflichten, wenn personenbezogene Daten auf Grundlage eines berechtigten Interesses verarbeitet werden.

Kernaussage des Leitsatzes: Werden personenbezogene Daten für einen anderen (neuen) Zweck weiterverarbeitet als denjenigen, zu dem sie ursprünglich erhoben wurden, lässt sich diese Weiterverarbeitung nur dann auf Art. 6 Abs. 1 lit. f) DSGVO stützen, wenn der Verantwortliche den betroffenen Personen das zugrunde liegende berechtigte Interesse nach Art. 13 Abs. 1 lit. d) DSGVO zwingend vor Beginn der Verarbeitung mitteilt.

Aus den Entscheidungsgründen ergeben sich hierzu folgende vertiefende Aussagen:

  • Vorab-Mitteilung als Voraussetzung der Rechtmäßigkeit: Das Gericht macht deutlich, dass es sich nicht lediglich um eine „Transparenzanforderung“ handelt. Die vorherige Information über das berechtigte Interesse ist nach Auffassung des Gerichts vielmehr eine unmittelbare Bedingung dafür, dass die Verarbeitung überhaupt rechtmäßig sein kann. Erfolgt die Mitteilung nicht rechtzeitig im Vorfeld, fehlt die tragfähige Rechtsgrundlage. Die Verarbeitung kann dann nicht auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Zur Begründung verweist das Gericht ausdrücklich auf eine aktuelle Leitentscheidung des EuGH (Urteil vom 9. Januar 2025, C-394/23).
  • Strenge Anforderungen an Inhalt und Genauigkeit: Ein bloßer Standardsatz, die Verarbeitung erfolge „zur Wahrung berechtigter Interessen“, genügt nach dieser Linie nicht. Weil ein berechtigtes Interesse nur trägt, wenn es die Interessen der betroffenen Person im konkreten Fall überwiegt, muss das Unternehmen die wesentlichen Gesichtspunkte der eigenen Interessenabwägung nachvollziehbar offenlegen. Die Information muss so konkret und präzise sein, dass Betroffene die Abwägung verstehen und darauf reagieren können – etwa durch die Ausübung des Widerspruchsrechts nach Art. 21 DSGVO.
  • Relevanz für den entschiedenen Sachverhalt: Diese strenge Sichtweise führte im Fall des Automobilherstellers dazu, dass die Weitergabe der Klarnamenliste an den US-Monitor als rechtswidrig eingeordnet wurde. Zwar hielt das Gericht die materielle Interessenabwägung des Unternehmens (Abwehr existenzbedrohender US-Sanktionen überwiegt die Risiken für Beschäftigte) im Ergebnis für überzeugend. Dennoch konnte sich der Konzern darauf nicht berufen, weil er den betroffenen Mitarbeitern die Gründe und die Abwägung vor der Übermittlung nicht ausreichend mitgeteilt hatte. Auch der Hinweis in der im Intranet bereitgestellten Datenschutzerklärung, es bestehe „ein berechtigtes Interesse an der Zusammenarbeit mit dem Monitor“, wurde als zu allgemein angesehen und entsprach nach Ansicht des Gerichts nicht den Anforderungen aus Art. 13 Abs. 1 lit. d) DSGVO.

Zulässigkeit der Transportverschlüsselung

Der zweite rechtliche Leitsatz des Urteils betrifft die Anforderungen an die Sicherheit der E-Mail-Kommunikation nach Art. 32 DSGVO. Das Gericht formuliert dabei den Grundsatz, dass eine bloße Transportverschlüsselung datenschutzrechtlich im Regelfall genügt. Eine Ende-zu-Ende-Verschlüsselung ist nicht automatisch erforderlich, solange keine Hinweise auf besonders schutzbedürftige Inhalte bestehen oder weitere Umstände ein deutlich höheres Sicherheitsniveau nahelegen.

Aus den Entscheidungsgründen ergeben sich hierzu folgende Maßstäbe und Kernerkenntnisse:

  • Transportverschlüsselung als grundsätzlich ausreichender Standard: Eine Transportverschlüsselung – bei der Nachrichten jeweils nur auf dem Weg zwischen den beteiligten Mailservern verschlüsselt werden – wird als (Mindest-)Stand der Technik eingeordnet. Bei Verarbeitungsvorgängen mit „üblichen“ Risiken bietet sie einen Basisschutz, der die Gefahr des unbefugten Mitlesens auf dem Übertragungsweg hinreichend reduziert und damit die gesetzlichen Anforderungen erfüllen kann.
  • Wann Ende-zu-Ende-Verschlüsselung erforderlich wird: Eine zwingende Ende-zu-Ende-Verschlüsselung ist nach der Argumentation des Gerichts (im Einklang mit der Orientierungshilfe der Datenschutzkonferenz) vor allem dann geboten, wenn ein Verlust der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten betroffener Personen auslösen würde.
  • Übertragung im konkreten Fall („Fast Lane“): Die Datenschutzbehörde hatte dem Automobilhersteller wegen des Versands sensibler Compliance-Prüfdokumente an den US-Monitor ohne Ende-zu-Ende-Verschlüsselung eine Verwarnung (C) erteilt. Diese Verwarnung hob das Gericht auf. Die eingesetzte Transportverschlüsselung – TLS 1.2 kombiniert mit Perfect Forward Secrecy – genüge den Anforderungen aus Art. 32 DSGVO und entspreche zugleich den einschlägigen Maßstäben des BSI.
  • Keine Daten der höchsten Sensibilitätsstufe: Das Gericht bewertete die übermittelten Inhalte nicht als derart sensibel, dass zwingend Ende-zu-Ende-Verschlüsselung verlangt werden müsste. Es ging um arbeitsbezogene Vorgänge (etwa Kündigungen oder nicht erfolgte Beförderungen im Führungskreis), jedoch ausdrücklich nicht um besondere Kategorien personenbezogener Daten nach Art. 9 oder Art. 10 DSGVO wie Gesundheitsinformationen oder Daten zu strafrechtlichen Verurteilungen. Die Einschätzung der Aufsicht, eine Offenlegung sei für Betroffene „existenzbedrohend“ (Schutzstufe D), folgte das Gericht nicht.
  • Risikoreduzierung durch Pseudonymisierung: Für die rechtliche Bewertung war zudem bedeutsam, dass das Unternehmen die Unterlagen pseudonymisiert übermittelte – beispielsweise durch die Verwendung von Personalnummern statt Klarnamen. Dadurch wäre selbst bei einem unbefugten Zugriff auf die Kommunikation ein unmittelbarer Personenbezug ohne Zuordnungsschlüssel regelmäßig nicht herstellbar. Zusätzlich verneinte das Gericht, dass generell ein außergewöhnlich erhöhtes Risiko durch Sabotage oder Spionage gegeben gewesen sei.

Perspektive des Datenempfängers bei Personenbezug

Der dritte rechtliche Leitsatz des Urteils behandelt die Abgrenzung zwischen personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) und anonymen Informationen, wenn Datensätze an Dritte weitergegeben werden. Das Gericht betont dabei, dass die Frage der Identifizierbarkeit nicht allein aus Sicht des datenschutzrechtlich Verantwortlichen zu beurteilen ist. Entscheidend ist vielmehr auch, welche Erkenntnisse und Möglichkeiten der Empfänger der Daten realistischerweise hat.

Aus den Entscheidungsgründen lassen sich hierzu insbesondere folgende vertiefende Maßstäbe ableiten:

  • Welche Mittel dem Empfänger zur Verfügung stehen: Ob ein Personenbezug hergestellt werden kann, hängt danach davon ab, ob dem Datenempfänger bei vernünftiger Betrachtung – rechtlich oder tatsächlich – Instrumente offenstehen, um mit vertretbarem Aufwand die betroffene Person zu bestimmen.
  • Es genügt die potenzielle Identifizierbarkeit: Unter Bezugnahme auf die Rechtsprechung des EuGH macht das VG Hannover deutlich, dass es für die Einordnung als personenbezogen nicht darauf ankommt, ob der Empfänger jemanden tatsächlich identifiziert. Ausreichend ist bereits, dass eine Identifizierung möglich wäre.
  • Bewertung pseudonymisierter Informationen im konkreten Fall: Der Automobilhersteller hatte eingewandt, die an den US-Monitor und den EPA-Auditor übermittelten Unterlagen seien aus deren Sicht faktisch anonym, weil sie nur Pseudonyme enthielten (z. B. Personalnummern oder Bezeichnungen wie „Subject“ bzw. „Whistleblower“) und die Kontrolleure keinen Zugriff auf den Zuordnungsschlüssel hätten. Dieser Argumentation folgte das Gericht nicht und ordnete die Daten weiterhin als personenbezogen im Sinne von Art. 4 Nr. 1 und Nr. 5 DSGVO ein.
  • Vertragliche und mandatierte Auskunftsrechte als „Re-Identifizierungsweg“: Aus Sicht der Empfänger blieb der Personenbezug bestehen, weil Monitor und Auditor aufgrund ihrer Mandate und vertraglichen Regelungen weitreichende Rechte hatten, zur Erfüllung ihrer Prüfaufgaben zusätzliche Informationen und Dokumente vom Unternehmen anzufordern. Damit stand ihnen als rechtliches Mittel grundsätzlich auch offen, die Herausgabe der Zuordnungsschlüssel zu verlangen und die Pseudonyme aufzulösen.
  • Unerheblich, ob diese Möglichkeit tatsächlich genutzt wurde: Dass die US-Kontrolleure solche Zuordnungsschlüssel in vielen Fällen praktisch nicht angefordert haben und Mitarbeitende nicht konkret benannt wurden, ändert nach Auffassung des Gerichts nichts an der datenschutzrechtlichen Qualifikation. Schon die Befugnis und die theoretische Möglichkeit, das für eine De-Pseudonymisierung erforderliche Zusatzwissen zu erlangen, genügt, um den Personenbezug fortbestehen zu lassen.

Zusammengefasst schiebt dieser Leitsatz dem Ansatz einen Riegel vor, Daten als „für den Empfänger anonym“ zu deklarieren, wenn der Empfänger aufgrund seiner Stellung, vertraglichen Rechte oder sonstigen Befugnisse in der Lage wäre, die Aufhebung der Pseudonymisierung beim Absender einzufordern.

Informationspflichten bei Zweckänderung

Der vierte und fünfte rechtliche Leitsatz des Urteils schärfen die strengen formellen und inhaltlichen Vorgaben für Informationspflichten bei einer Zweckänderung nach Art. 13 Abs. 3 DSGVO. Sobald personenbezogene Daten für einen anderen Zweck genutzt werden als für den, zu dem sie ursprünglich erhoben wurden, gelten nach dem Gericht im Kern folgende Maßstäbe:

1. Inhaltlicher Umfang der Information (Leitsatz 4)

Inhaltlich reicht es bei einer Zweckänderung nicht aus, lediglich den neuen Verarbeitungszweck zu benennen. Der Verantwortliche muss den betroffenen Personen zusätzlich alle relevanten Angaben nach Art. 13 Abs. 1 DSGVO mitteilen, soweit diese Informationen den Betroffenen bislang noch nicht vorliegen.

Aus den Entscheidungsgründen ergibt sich als entscheidender Prüfmaßstab: Der Verantwortliche muss jene Informationen nachliefern, über die er schon bei der ursprünglichen Erhebung hätte aufklären müssen, wenn die Datenerhebung von Anfang an für den späteren (geänderten) Zweck erfolgt wäre.

  • Beispiele: Dazu gehört insbesondere der Hinweis auf eine neue Rechtsgrundlage (etwa ein Wechsel hin zu einem „berechtigten Interesse“) sowie Angaben zu neuen oder zusätzlichen Empfängern der Daten.
  • Sinn und Zweck der Vorgabe: Das Gericht leitet diese Anforderungen aus dem Transparenzgedanken ab. Verhindert werden soll, dass Daten faktisch „still“ für neue Zwecke genutzt werden. Betroffene sollen frühzeitig ein klares Verständnis davon bekommen, was mit ihren Daten geschieht, um die Rechtmäßigkeit einschätzen und ihre Rechte – etwa einen Widerspruch – effektiv ausüben zu können.

2. Formelle Anforderungen: Pflicht zur aktiven Unterrichtung (Leitsatz 5)

Formell verlangt Art. 13 Abs. 3 DSGVO bei einer Zweckänderung nach der Sichtweise des Gerichts eine aktive Benachrichtigung der betroffenen Personen.

Daraus zieht das VG Hannover mehrere praxisnahe Konsequenzen für die interne Unternehmenskommunikation:

  • Intranet allein genügt nicht: Eine Datenschutzerklärung lediglich im Intranet bereitzustellen, erfüllt die Informationspflicht nicht. Datenschutzrechtlich darf die Verantwortung nicht auf die Betroffenen verlagert werden, sich die relevanten Hinweise selbst zusammensuchen zu müssen.
  • Erforderlich ist ein zusätzlicher, gezielter Hinweis: Die Betroffenen müssen aktiv darauf aufmerksam gemacht werden, dass und wo die Informationen bereitstehen. Ein solcher Hinweis kann beispielsweise durch eine kurze E-Mail erfolgen, die auf den Intranet-Eintrag verweist. Das gilt jedenfalls dann, wenn dies zumutbar ist und keinen unverhältnismäßigen Aufwand auslöst.
  • Bei bekanntem und überschaubarem Personenkreis regelmäßig zumutbar: Die Zumutbarkeit bejaht das Gericht vor allem dann, wenn der betroffene Personenkreis klar eingrenzbar und namentlich bekannt ist. Im Beschäftigungskontext ist das typischerweise der Fall, weil Arbeitgeber die Namen und dienstlichen E-Mail-Adressen ihrer Mitarbeitenden ohnehin vorhalten. Ein aktiver Hinweis per E-Mail ist daher regelmäßig ohne Weiteres möglich.

Anforderungen an aktive Unterrichtung

Der fünfte rechtliche Leitsatz des VG Hannover präzisiert die formellen Vorgaben zur Erfüllung der Informationspflichten bei einer Zweckänderung nach Art. 13 Abs. 3 DSGVO. Im Zentrum steht der Grundsatz, dass diese Pflicht nicht „passiv“ erfüllt werden kann, sondern eine aktive Benachrichtigung der betroffenen Personen verlangt.

Aus Leitsatz und Entscheidungsgründen ergeben sich hierzu folgende konkrete Anforderungen an eine „aktive Unterrichtung“:

  • Keine Holschuld der Betroffenen: Der Verantwortliche muss selbst tätig werden. Er hat die Informationen entweder unmittelbar zu übermitteln oder die betroffenen Personen gezielt dorthin zu führen, wo sie abrufbar sind (etwa über einen Link). Unzulässig ist es, die Betroffenen darauf zu verweisen, sie müssten sich neue datenschutzrechtliche Hinweise eigenständig zusammensuchen.
  • Intranet-Posting allein genügt regelmäßig nicht: Eine Datenschutzerklärung lediglich im unternehmensinternen Intranet abzulegen, erfüllt die Pflicht zur aktiven Unterrichtung grundsätzlich nicht, sofern kein zusätzlicher Hinweis erfolgt, der die Betroffenen auf diese neue Information aufmerksam macht.
  • Erforderlicher Zusatzhinweis, wenn zumutbar: Ein ergänzender Hinweis, beispielsweise eine kurze E-Mail, die auf den Intranet-Eintrag verweist, ist zwingend, sofern er nach den Umständen des Einzelfalls zumutbar ist und keinen unverhältnismäßigen Aufwand verursacht.
  • Zumutbarkeit gerade im Beschäftigtenverhältnis: Das Gericht betont, dass ein solcher Hinweis insbesondere dann ohne Weiteres zumutbar ist, wenn der Kreis der betroffenen Personen überschaubar und dem Verantwortlichen bekannt ist. Im Arbeitsverhältnis ist dies typischerweise gegeben, weil Arbeitgeber ihre Mitarbeitenden namentlich kennen und regelmäßig über dienstliche (und häufig auch private) Kontaktwege verfügen. Eine aktive Benachrichtigung ist damit praktisch gut umsetzbar.
  • Umsetzung im Streitfall: Im konkreten Verfahren hatte der Automobilhersteller eine spezielle Datenschutzerklärung zum Umgang mit dem US-Monitor lediglich ins Intranet eingestellt. Das bewertete das Gericht als DSGVO-Verstoß. Ein kurzer Hinweis per E-Mail an die betroffenen Beschäftigten wäre möglich und zumutbar gewesen. Den Einwand, das Intranet sei der übliche Kommunikationskanal für solche Informationen, ließ das Gericht auch deshalb nicht gelten, weil das Unternehmen kurz zuvor allgemeine Datenschutzhinweise noch postalisch zusammen mit Gehaltsabrechnungen verteilt hatte und zudem Einladungen zu Monitor-Gesprächen ebenfalls aktiv per E-Mail versandte.

Aktualisierungspflicht des Verarbeitungsverzeichnisses

Der sechste rechtliche Leitsatz des VG Hannover betrifft die Pflichten zur Erstellung, Führung und Anpassung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Nach dem Gericht gilt: Sobald konkrete Verarbeitungstätigkeiten aufgenommen werden, muss entweder ein neues Verzeichnis angelegt oder ein vorhandenes so erweitert werden, dass es die tatsächliche Situation bereits zu Beginn der Verarbeitung korrekt abbildet.

Aus den Entscheidungsgründen ergeben sich hierzu folgende vertiefende Anforderungen und Auslegungsgrundsätze:

  • Fortlaufende Pflege als zwingende Pflicht: Zwar enthält Art. 30 DSGVO keine ausdrücklich formulierte „Update-Pflicht“. Das Gericht leitet eine solche Verpflichtung aber aus Funktion und Zweck des Verzeichnisses sowie aus der allgemeinen Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 1 und Abs. 2 DSGVO) ab. Das Verzeichnis soll der Aufsichtsbehörde jederzeit ermöglichen, die Einhaltung datenschutzrechtlicher Vorgaben nachzuvollziehen. Dieser Zweck wird nur erreicht, wenn das Verzeichnis nicht veraltet ist, sondern die reale Verarbeitungslage widerspiegelt. Daraus folgt, dass es fortlaufend zu pflegen und bei Bedarf zu aktualisieren ist.
  • Was als „Verarbeitungstätigkeit“ gilt: Die Pflicht setzt mit der Aufnahme einer Verarbeitungstätigkeit ein. Das Gericht versteht darunter Vorgänge mit einer gewissen Dauer und Wiederholung – etwa eine Vielzahl gleichartiger Verarbeitungen über einen längeren Zeitraum. Eine einzelne, nur punktuelle Verarbeitung reicht danach grundsätzlich noch nicht aus, um als „Tätigkeit“ in diesem Sinne zu gelten.
  • Keine Ausweichlösung durch andere Dokumentationen: Der Verantwortliche kann seine Rechenschaftspflichten nicht dadurch erfüllen, dass er Verarbeitungen zwar ausführlich, aber außerhalb eines formellen Verzeichnisses dokumentiert. Entscheidend ist ein Verzeichnis, das die zwingenden Pflichtangaben nach Art. 30 Abs. 1 Satz 2 DSGVO vollständig enthält. Fehlen diese Elemente, ersetzt eine „Parallel-Dokumentation“ das Verarbeitungsverzeichnis nicht.

Bedeutung im konkreten Fall (Verwarnung E)

Das Gericht bestätigte die Verwarnung gegen den Automobilhersteller, weil die Verzeichnisführung weder rechtzeitig noch hinreichend präzise erfolgte:

  • Das Unternehmen begann bereits im März 2020 damit, Beschäftigtendaten an den EPA-Auditor zu übermitteln, legte das dazugehörige Verarbeitungsverzeichnis jedoch erst im Dezember 2021 an – also rund eineinhalb Jahre später.
  • Die Argumentation, ein im Februar 2020 erstelltes Verzeichnis für den US-Monitor habe die Verarbeitung im Rahmen der EPA-Prüfung „im Wesentlichen“ miterfasst, ließ das Gericht nicht gelten. Ein Rückgriff auf ein älteres, nur grob ähnliches Verzeichnis ist danach unzureichend, wenn sich wesentliche Pflichtangaben unterscheiden. Das Gericht stellte insbesondere darauf ab, dass sich Zwecke, Kategorien betroffener Personen und Empfänger in Drittländern in den beiden Prüfkonstellationen unterschieden. Gerade deshalb sei ein eigenständiges neues Verzeichnis – oder jedenfalls eine präzise, zeitnahe Aktualisierung – zwingend erforderlich gewesen.

Analyse der Verwarnungen

Buchstabe A: Klarnamenliste (aufgehoben)

Die Verwarnung unter Buchstabe A bezog sich auf die Übergabe einer Klarnamenliste mit 22 aktuellen und ehemaligen Beschäftigten an den US-Monitor. Diese Personen sollten nach Auffassung des Unternehmens über unmittelbare Kenntnisse („direct knowledge“) zu Vorgängen im Zusammenhang mit der Diesel-Thematik verfügen. Das VG Hannover hat diese Verwarnung vollständig aufgehoben. Die Begründung zeigt allerdings eine feine Trennung zwischen einem tatsächlich gegebenen Datenschutzverstoß und einem behördlichen Fehler bei der Begründung der Maßnahme:

  1. Ausgangspunkt: Vorwurf der Aufsichtsbehörde
    Die Datenschutzbehörde hielt die Übermittlung der Liste für nicht rechtmäßig, weil es an einer tragfähigen Rechtsgrundlage fehle. Insbesondere könne sich das Unternehmen nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO stützen, da die erforderliche Interessenabwägung aus Sicht der Behörde fehlerhaft sei. Das Unternehmen habe das Risiko für die betroffenen Beschäftigten wie etwa eine mögliche strafrechtliche Verfolgung in den USA infolge der Namensnennung verkannt und wesentliche Kriterien in der Abwägung falsch gewichtet.
  2. Gerichtliche Bewertung: Interessenabwägung trägt
    Diesen zentralen Punkt wies das Gericht zurück. Nach seiner Auffassung war die vom Automobilhersteller vorgenommene Interessenabwägung rechtlich nicht zu beanstanden. Das Ergebnis fiel deutlich zugunsten des Unternehmens aus: Das Unternehmen habe ein erhebliches legitimes Interesse an der Kooperation gehabt, weil im Falle einer Verweigerung gravierende Folgen drohten – bis hin zu existenzgefährdenden Strafzahlungen und einer Wiederaufnahme von US-Verfahren.
    Demgegenüber bewertete das Gericht das Risiko für die Beschäftigten als gering. Der Monitor sei nicht dazu eingesetzt worden, individuelles Fehlverhalten zum Zwecke strafrechtlicher Verfolgung aufzudecken, sondern sollte die Compliance-Strukturen und deren künftige Wirksamkeit kontrollieren. Allein die Kenntnis über Vorgänge im Dieselskandal sei daher nicht mit einer strafrechtlichen Verantwortlichkeit gleichzusetzen. Zusätzlich sah das Gericht das Risiko auch deshalb als deutlich reduziert an, weil die Liste dem Monitor lediglich als ausgedruckte Lesefassung („read only“) in Deutschland vorgelegt wurde.
  3. Trotzdem rechtswidrig: eigentlicher Datenschutzverstoß des Unternehmens
    Obwohl die materielle Interessenabwägung nach Ansicht des Gerichts stimmte, qualifizierte es die Weitergabe der Klarnamen dennoch als rechtswidrig. Ausschlaggebend war ein anderer Punkt: Das Unternehmen hatte es versäumt, den betroffenen Personen vor der Offenlegung sein berechtigtes Interesse und die wesentlichen Aspekte der Abwägung aktiv mitzuteilen. Damit lag ein Verstoß gegen Art. 13 Abs. 1 lit. d) DSGVO vor. Nach der (vom Gericht herangezogenen) aktuellen EuGH-Rechtsprechung ist diese Vorab-Mitteilung nicht bloß „nice to have“, sondern Voraussetzung dafür, dass die Verarbeitung überhaupt auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden kann – selbst wenn die Abwägung inhaltlich korrekt ist.
  4. Warum die Verwarnung dennoch aufgehoben wurde: Ermessensfehler der Behörde
    Dass Verwarnung A letztlich aufgehoben wurde, lag nicht daran, dass das Unternehmen insgesamt datenschutzkonform gehandelt hätte. Entscheidend war vielmehr ein Fehler der Behörde bei der Ausübung ihres Ermessens und der Begründung im Bescheid: Die Verwarnung war ausschließlich auf die angeblich fehlerhafte Interessenabwägung gestützt worden – genau diesen Punkt hielt das Gericht jedoch für rechtmäßig.
    Der tatsächliche Verstoß (fehlende Vorab-Information der Beschäftigten) war im Bescheid nicht als tragender Grund herangezogen worden. Eine nachträgliche „Umschaltung“ der Begründung erst im gerichtlichen Verfahren, also ein Austauschen der tragenden Erwägungen, war prozessrechtlich unzulässig (§ 114 VwGO). Die spätere Nachbesserung konnte den ursprünglichen Begründungsmangel daher nicht heilen.

Ergebnis: Die Verwarnung A wurde nicht deshalb aufgehoben, weil die Datenweitergabe in jeder Hinsicht zulässig gewesen wäre, sondern weil die Aufsichtsbehörde ihre Maßnahme auf einen tragenden Gesichtspunkt gestützt hatte, den das Gericht nicht teilte und diesen Fehler im Prozess nicht mehr wirksam korrigieren durfte.

Buchstabe B: Informationspflichten gegenüber dem Monitor (bestätigt)

Die Verwarnung unter Buchstabe B betrifft schwerwiegende Verstöße des Automobilherstellers (Klägerin) gegen die Informationspflichten bei einer Zweckänderung nach Art. 13 Abs. 3 DSGVO. Das VG Hannover hat diese Verwarnung vollständig als rechtmäßig bestätigt.

Die gerichtliche Würdigung lässt sich in folgenden Kernpunkten zusammenfassen:

1. Umfang der beanstandeten Datenübermittlungen

Die Datenschutzbehörde (Beklagter) beanstandete eine Vielzahl von Fällen, in denen Beschäftigtendaten an den US-Monitor weitergegeben wurden, ohne die Betroffenen vorher zu informieren. Dazu gehörten unter anderem:

  • die ergänzte Klarnamenliste der Beschäftigten mit „direct knowledge“ zur Diesel-Thematik,
  • Pseudonyme, Klarnamen sowie finanzielle Angaben aus Bonusgesprächen, einschließlich Informationen über Bonuskürzungen,
  • Übersichten zu Disziplinarvorgängen und Angaben zu Gehaltskorridoren,
  • Inhalte aus dem Hinweisgebersystem, darunter besonders sensible Angaben (etwa, dass eine hinweisgebende Mitarbeiterin schwanger war und Fehlgeburten erlitten hatte),
  • Namen und zudem private, für den Prüfzweck offensichtlich irrelevante Details von Mitarbeitenden, die das Hinweisgebersystem betreuten (z. B. Mitgliedschaft in einer Freiwilligen Feuerwehr oder besondere Kampfkunstkenntnisse).

2. Personenbezug trotz Pseudonymisierung

Zur Verteidigung trug die Klägerin vor, eine Informationspflicht greife nicht, weil viele Daten vor der Weitergabe weitgehend pseudonymisiert worden seien und für den Monitor damit faktisch anonym gewesen wären. Das Gericht verwarf diesen Ansatz klar: Rechtlich blieben es personenbezogene Daten. Maßgeblich war, dass der Monitor aufgrund seines weitreichenden vertraglichen und rechtlichen Mandats die Möglichkeit hatte, von der Klägerin bei Bedarf zusätzliche Informationen – einschließlich Zuordnungsschlüsseln – anzufordern, um Pseudonyme aufzulösen. Schon diese potenzielle Re-Identifizierbarkeit genügt, damit der Personenbezug bestehen bleibt.

3. Zweckänderung löst Informationspflicht zwingend aus

Die Beschäftigtendaten waren ursprünglich für Zwecke des normalen Arbeitsverhältnisses erhoben worden. Die Weitergabe an den US-Monitor verfolgte hingegen einen anderen Zweck: die Erfüllung der US-Vergleichsvereinbarungen und die Absicherung des Konzerns gegen existenzbedrohende Sanktionen. Bei einer solchen Zweckänderung verlangt Art. 13 Abs. 3 DSGVO, dass Betroffene vor der Weiterverarbeitung über den neuen Zweck informiert werden – einschließlich der (neuen) Rechtsgrundlage und der einschlägigen berechtigten Interessen.

4. Defizite der internen Kommunikation (fehlende aktive Unterrichtung)

Nach Auffassung des Gerichts erfüllte die Klägerin diese Pflichten nicht:

  • Allgemeine Hinweise in einer universellen Datenschutzerklärung oder Beiträge in der Mitarbeiterzeitung seien zu unbestimmt und zu allgemein gewesen.
  • Zwar existierte eine spezielle „Monitor-Datenschutzerklärung“, sie wurde jedoch lediglich passiv im Intranet bereitgestellt – und dort nachweislich kaum wahrgenommen.
  • Das Gericht bekräftigte, dass Art. 13 Abs. 3 DSGVO eine aktive Unterrichtung verlangt. Die Klägerin hätte die betroffenen Beschäftigten zumindest durch einen gesonderten Hinweis (etwa per E-Mail mit Link) auf die Informationen aufmerksam machen müssen. Das sei zumutbar und organisatorisch ohne Weiteres machbar gewesen.

5. Keine tragfähigen Ausnahmen

Die Gründe, mit denen das Unternehmen eine Information entbehrlich machen wollte, ließ das Gericht nicht gelten. Der Aufwand einer E-Mail-Benachrichtigung sei nicht unverhältnismäßig. Auch die Befürchtung, eine konkrete Information könne eine „Informationsflut“ auslösen oder Mitarbeitende zu Indiskretionen gegenüber der Presse verleiten und dadurch die Zusammenarbeit mit dem Monitor gefährden, bewertete das Gericht als spekulativ und nicht belastbar.

Fazit zu Verwarnung B: Weil die Betroffenen vor den Datenübermittlungen nicht ordnungsgemäß informiert wurden, hielt das Gericht die Verwarnung für verhältnismäßig und ermessensfehlerfrei. Der Umstand, dass es daneben offenbar ein separates Verfahren zu einem ursprünglich verhängten Bußgeld gab, änderte an der verwaltungsrechtlichen Feststellung des Verstoßes durch die Verwarnung B nichts. Diese blieb bestehen und wurde vom VG Hannover bestätigt.

Buchstabe C: Transportverschlüsselung (aufgehoben)

Die Verwarnung unter Buchstabe C betraf die Datensicherheit bei der E-Mail-Kommunikation und wurde vom VG Hannover vollständig aufgehoben. Streitpunkt war, ob beim Versand sensibler Unterlagen im sogenannten „Fast Lane“-Prozess eine reine Transportverschlüsselung ausreichte oder zwingend eine Ende-zu-Ende-Verschlüsselung hätte eingesetzt werden müssen.

1. Vorwurf der Datenschutzbehörde (Beklagter)

Die Aufsichtsbehörde sah einen Verstoß gegen Art. 32 DSGVO. Der Automobilhersteller hatte einen beschleunigten „Fast Lane“-Ablauf eingerichtet, um dem US-Monitor Compliance-Prüfunterlagen (insbesondere Testing-Tabellen) per E-Mail zu übermitteln. Dabei nutzte der Konzern lediglich eine Transportverschlüsselung (TLS 1.2 mit Perfect Forward Secrecy) und verzichtete auf Ende-zu-Ende-Verschlüsselung.
Die Behörde argumentierte, der Inhalt sei so brisant – etwa Angaben zu Disziplinarmaßnahmen, fristlosen Kündigungen oder gescheiterten Beförderungen im Top-Management –, dass er der höchsten Schutzstufe („Schutzstufe D“) zuzuordnen sei. Eine unbefugte Offenlegung könne die Betroffenen gesellschaftlich oder wirtschaftlich existenziell treffen. Zusätzlich nahm die Aufsicht im Kontext des Dieselskandals ein besonders hohes Risiko für Spionage und gezielte Sabotage an und leitete daraus ein erhöhtes Schutzbedürfnis ab. Auch die auffällige E-Mail-Domain wurde als Argument herangezogen, weshalb Ende-zu-Ende-Verschlüsselung zwingend erforderlich sei.

2. Gerichtliche Bewertung: Transportverschlüsselung genügte

Das Gericht folgte dieser Einschätzung nicht und kam zu dem Ergebnis, dass der Automobilhersteller angemessene technische und organisatorische Maßnahmen nach Art. 32 Abs. 1 DSGVO getroffen hatte. Die Aufhebung der Verwarnung C stützte das VG Hannover im Wesentlichen auf folgende Erwägungen:

  • Einhaltung des technischen Mindestniveaus: Transportverschlüsselung wurde als Basisschutz und Stand der Technik eingeordnet, der bei Verarbeitungslagen mit „normalen“ Risiken grundsätzlich ausreicht. Die konkret eingesetzte Lösung (TLS 1.2 plus Perfect Forward Secrecy) entsprach nach Auffassung des Gerichts den einschlägigen Mindeststandards des BSI. Eine Pflicht zur Ende-zu-Ende-Verschlüsselung bestehe nur dann, wenn besondere Umstände ein deutlich erhöhtes Risiko begründen – genau das verneinte das Gericht hier.
  • Keine Daten der höchsten Sensibilitätsstufe: Die Einordnung der Behörde in „Schutzstufe D“ wies das Gericht zurück. Es handelte sich nicht um besonders geschützte Kategorien nach Art. 9 oder Art. 10 DSGVO (wie Gesundheits- oder Strafdaten). Zwar enthielten die Tabellen arbeitsrechtlich heikle Informationen, etwa zu abgelehnten Beförderungen oder fristlosen Kündigungen wegen Fehlverhaltens. Diese Vorgänge seien jedoch rechtlich nicht mit dem Nachweis einer Straftat gleichzusetzen. Eine existenzielle Gefährdung durch unbefugte Offenlegung sah das Gericht nicht; allenfalls könne eine reputationsbezogene Beeinträchtigung („Schutzstufe C“) in Betracht kommen. Zudem betonte das Gericht, dass der US-Monitor keine Rolle bei arbeitsrechtlichen Entscheidungen hatte und die Pflichtverletzungen dem Arbeitgeber ohnehin bereits bekannt waren.
  • Deutliche Risikoreduktion durch konsequente Pseudonymisierung: Besonders ins Gewicht fiel, dass die über den „Fast Lane“-Prozess versendeten Inhalte durchgehend pseudonymisiert waren. Klarnamen wurden nicht genutzt; stattdessen enthielten die Tabellen Personal- bzw. Stammnummern. Selbst bei einem unbefugten Zugriff auf die Kommunikation hätte ein Angreifer ohne Zuordnungsschlüssel typischerweise keinen unmittelbaren Bezug zu konkreten Personen herstellen können. Den Einwand der Behörde, der Kreis potenziell Betroffener sei im Top-Management so klein, dass eine Identifizierung praktisch leicht möglich sei, ließ das Gericht nicht gelten, weil auch dort konsequent mit Pseudonymen gearbeitet wurde.
  • Kein konkret nachweisbar erhöhtes Spionage- oder Sabotagerisiko: Die Annahme eines außergewöhnlich hohen Angriffsszenarios allein wegen der medialen Aufmerksamkeit des Dieselskandals bewertete das Gericht als spekulativ. Es fehle an konkreten Anhaltspunkten, die über ein allgemeines Risiko hinaus ein tatsächlich erhöhtes Angriffs- oder Sabotageinteresse belegen würden.

Fazit zur Aufhebung: Die Verwarnung C war rechtswidrig, weil die Kombination aus BSI-konformer Transportverschlüsselung und der Pseudonymisierung der übermittelten Daten ein angemessenes Schutzniveau gewährleistete. Da weder besondere Kategorien sensibler Daten betroffen waren noch ein konkret gesteigertes Angriffsszenario festgestellt werden konnte, durfte die Aufsicht keine Ende-zu-Ende-Verschlüsselung als zwingend verlangen.

Buchstabe D: Informationspflichten im Rahmen der EPA-Auditierung (bestätigt)

Die Verwarnung unter Buchstabe D betrifft Verstöße gegen datenschutzrechtliche Informationspflichten im Zusammenhang mit der sogenannten EPA-Auditierung. Das VG Hannover hat diese Verwarnung materiell als rechtmäßig bewertet und in vollem Umfang bestätigt.

Die Argumentation des Gerichts lässt sich in folgende Kernelemente gliedern:

1. Ausgangslage und Personenbezug der übermittelten Daten

Im August 2019 schloss der Automobilhersteller eine zusätzliche Verwaltungsvereinbarung mit der US-Umweltschutzbehörde EPA, um einen Ausschluss von öffentlichen Ausschreibungen in den USA abzuwenden. Zur Kontrolle wurde ein unabhängiger „EPA-Auditor“ eingesetzt. Ab März 2020 übermittelte das Unternehmen diesem Auditor zahlreiche Unterlagen, darunter teils ungeschwärzte personenbezogene Angaben (z. B. Namen, Personalnummern, E-Mail-Adressen, berufliche Stationen und Bewertungen) sowie teils pseudonymisierte Beschäftigtenlisten.
Das Gericht stellte klar, dass es sich auch aus Sicht des Auditors nicht um anonyme Informationen handelte, sondern um personenbezogene Daten. Ausschlaggebend war, dass der Auditor aufgrund seiner vertraglichen Stellung weitreichende Anforderungsrechte hatte und damit mit vertretbarem Aufwand auch die Herausgabe von Zuordnungsschlüsseln zu Pseudonymen hätte verlangen können.

2. Zweckänderung der Verarbeitung

Die Weitergabe der Beschäftigtendaten an den EPA-Auditor ordnete das Gericht als Zweckänderung ein. Die Daten waren zunächst für Zwecke des Beschäftigungsverhältnisses erhoben worden, wurden nun jedoch zur Erfüllung einer Vereinbarung mit einer US-Behörde verwendet. Nach Ansicht des Gerichts war dies weder von der üblichen Abwicklung des Arbeitsverhältnisses gedeckt noch ließ es sich unter die in der allgemeinen Datenschutzerklärung genannten Kategorien wie „Prüfungstätigkeiten“ oder „Verteidigung von Rechtsansprüchen“ subsumieren.

3. Deutliche Defizite bei Art. 13 Abs. 3 DSGVO

Gerade wegen dieser Zweckänderung hätte das Unternehmen die betroffenen Beschäftigten vor der Übermittlung zwingend über den neuen Zweck, die maßgebliche Rechtsgrundlage und die berechtigten Interessen informieren müssen. Das sei nicht geschehen:

  • Unzureichende Intranet-Information: Ein allgemein gehaltener Intranet-Beitrag aus August 2019 erwähnte zwar den Einsatz des EPA-Auditors, enthielt jedoch nicht die nach Art. 13 Abs. 3 DSGVO erforderlichen datenschutzrechtlichen Angaben in der notwendigen Konkretisierung.
  • Keine „Mitabdeckung“ durch das Monitorship: Das Unternehmen konnte sich nicht darauf berufen, die Mitarbeitenden seien bereits durch Informationen zum US-Monitorship hinreichend aufgeklärt gewesen (vgl. Verwarnung B). Denn im Intranet-Beitrag von 2019 wurde ausdrücklich hervorgehoben, dass die EPA-Auditierung getrennt vom Monitorship laufe und dieses nicht beeinflusse.
  • Informationszeitpunkt deutlich zu spät: Zwar erstellte das Unternehmen eine spezielle „EPA-Datenschutzerklärung“, versandte diese aber erst im August 2022 per E-Mail an 234 betroffene Beschäftigte. Da die Übermittlungen an den Auditor bereits im März 2020 begonnen hatten, kam die Unterrichtung nach Auffassung des Gerichts verspätet: Art. 13 Abs. 3 DSGVO verlangt eine Information vor der Weiterverarbeitung.

4. Keine tragfähigen Ausnahmen

Wie bereits beim Monitorship überzeugten die Einwände des Konzerns nicht, eine umfassende Information könne eine „Informationsflut“ auslösen oder die Zusammenarbeit mit dem Auditor gefährden, etwa weil Beschäftigte vertrauliche Inhalte an die Presse geben könnten. Das Gericht bewertete diese Szenarien als pauschal und nicht hinreichend belegt. Entsprechende Ausnahmeregelungen – insbesondere solche, die im nationalen Recht vorgesehen sind – griffen daher nicht.

5. Verhältnismäßigkeit der Maßnahme

Schließlich bestätigte das Gericht, dass die Aufsichtsbehörde ihr Ermessen ordnungsgemäß ausgeübt hat. Weil die Stichproben im Rahmen der EPA-Auditierung nach Darstellung des Gerichts keine Fälle mit besonders extrem sensiblen Inhalten wie im Monitorship ergaben, verzichtete die Behörde hier auf ein Bußgeld. Die formelle Feststellung des Verstoßes in Form einer Verwarnung sei jedoch geeignet, erforderlich und angemessen gewesen.

Buchstabe E: Verarbeitungsverzeichnis zur EPA-Auditierung (bestätigt)

Die Verwarnung unter Buchstabe E betrifft einen Verstoß der Klägerin (Automobilhersteller) gegen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO im Zusammenhang mit der EPA-Auditierung. Das VG Hannover hat diese Verwarnung materiell als rechtmäßig eingeordnet und vollständig bestätigt.

Die gerichtliche Würdigung lässt sich wie folgt zusammenfassen:

1. Beanstandung der Aufsichtsbehörde

Die Datenschutzbehörde rügte, dass der Automobilhersteller im Zeitraum von März 2020 bis Mitte Dezember 2021 im Rahmen der EPA-Auditierung umfangreich personenbezogene Daten an den US-Auditor übermittelt habe, ohne hierfür ein entsprechendes Verzeichnis der Verarbeitungstätigkeiten zu führen. Ein speziell auf die EPA-Auditierung zugeschnittenes Verzeichnis wurde erst im Dezember 2021 erstellt – also deutlich mehr als ein Jahr nach Beginn der Übermittlungen.

2. Verteidigungslinie des Unternehmens

Das Unternehmen argumentierte, ein eigenes Verzeichnis für die EPA-Auditierung sei im Ergebnis eine entbehrliche Förmlichkeit. Die Vorgänge seien bereits durch ein im Februar 2020 angelegtes Verzeichnis zum US-Monitorship „im Wesentlichen“ abgedeckt gewesen, weil die Prozesse ähnlich gelagert gewesen seien. Zusätzlich verwies die Klägerin darauf, man habe die Abläufe auch außerhalb eines formellen Verzeichnisses umfassend dokumentiert; dies genüge zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

3. Sichtweise des Gerichts: Verwarnung zu Recht ergangen

Das Gericht wies diese Einwände umfassend zurück und begründete den Rechtsverstoß im Wesentlichen mit folgenden Punkten:

  • Erfordernis einer rechtzeitigen Erstellung bzw. Anpassung: Die Übermittlungen an den EPA-Auditor wertete das Gericht aufgrund ihrer Dauer und der Vielzahl der Fälle (mindestens 234 betroffene Beschäftigte) als fortlaufende Verarbeitungstätigkeit. Nach Sinn und Zweck von Art. 30 DSGVO müsse das Verzeichnis die tatsächliche Verarbeitungslage aktuell abbilden. Deshalb müsse bereits bei Beginn der konkreten Verarbeitung ein neues Verzeichnis angelegt oder ein bestehendes so ergänzt werden, dass die Situation zutreffend dokumentiert ist.
  • Keine „Ersatzlösung“ durch formlose Dokumentation: Der gesetzlichen Pflicht könne nicht dadurch ausgewichen werden, dass Verarbeitungsvorgänge zwar dokumentiert werden, aber außerhalb eines Verzeichnisses, das die zwingenden Pflichtangaben nach Art. 30 Abs. 1 S. 2 DSGVO vollständig enthält. Eine Parallel-Dokumentation ersetzt das formale Verarbeitungsverzeichnis nicht.
  • Wesentliche Unterschiede zum Monitorship-Verzeichnis: Das Gericht folgte nicht der These, das Monitorship-Verzeichnis decke die EPA-Auditierung ausreichend mit ab. Es sah vielmehr gravierende Differenzen bei zentralen Pflichtangaben:
    • Zweck: Das EPA-Verzeichnis diene der Umsetzung der konkreten Verwaltungsvereinbarung („EPA Administrative Agreement“), während das Monitor-Verzeichnis inhaltlich anders ausgerichtet gewesen sei (etwa auf die Abwehr bzw. Durchsetzung von Rechtspositionen im Kontext des Monitorships).
    • Kategorien von Daten und betroffenen Personen: Bei der EPA-Auditierung seien zusätzliche Kategorien relevant geworden (z. B. „Kunden“ oder „sonstige Geschäftspartner“) und auch die Bandbreiten der Betroffenenzahlen hätten sich deutlich unterschieden.
    • Empfänger und Drittlandbezüge: Im Rahmen der EPA-Auditierung seien Daten an andere Empfänger und in zusätzliche Drittländer (etwa den Staat AG.) übermittelt worden.
  • Bruch mit der eigenen Kommunikation des Unternehmens: Das Gericht hob zudem hervor, dass bereits der Titel des älteren Verzeichnisses keinen Bezug zur EPA-Auditierung erkennen ließ. Hinzu kam, dass das Unternehmen in einer internen Mitteilung vom 28. August 2019 selbst betont hatte, die EPA-Auditierung laufe vollständig getrennt vom Monitorship und beeinflusse dieses nicht – was die Behauptung einer bloßen „Mitabdeckung“ zusätzlich schwäche.

Fazit: Weil der Automobilhersteller seine Dokumentationspflichten nach Art. 30 DSGVO deutlich vernachlässigte, war die Verwarnung gerechtfertigt. Das Gericht bestätigte außerdem, dass die Aufsichtsbehörde ihr Ermessen ordnungsgemäß ausgeübt habe; ein Absehen von Maßnahmen sei auch deshalb nicht angezeigt gewesen, weil das Unternehmen bis zuletzt an der Auffassung festhielt, nicht rechtswidrig gehandelt zu haben.

Verfahrensausgang

Teilweise Aufhebung des Bescheids

Das Verfahren vor dem VG Hannover endete mit einem Teilerfolg für den klagenden Automobilhersteller. Der Bescheid der Aufsichtsbehörde vom 26. Juni 2023 wurde vom Gericht teilweise aufgehoben; im Übrigen blieb die Klage ohne Erfolg.

Im Einzelnen lässt sich der Ausgang wie folgt darstellen:

1. Aufhebung der Verwarnungen A und C

Nach dem Tenor wurden die Verwarnungen A und C als rechtswidrig angesehen und deshalb aufgehoben, weil sie die Klägerin in ihren Rechten verletzten.

  • Verwarnung A (Klarnamenliste): Die Aufhebung beruhte auf einem Ermessens- bzw. Begründungsfehler der Behörde. Die Aufsicht hatte die Verwarnung tragend damit begründet, dass die von der Klägerin vorgenommene Interessenabwägung fehlerhaft gewesen sei. Das Gericht hielt diese Abwägung jedoch für rechtlich vertretbar. Der tatsächliche DSGVO-Verstoß – das Unterlassen der vorherigen Mitteilung des berechtigten Interesses gegenüber den Betroffenen – war im Bescheid nicht als tragender Grund der Verwarnung angeführt worden. Eine nachträgliche „Reparatur“ dieser Begründung erst im gerichtlichen Verfahren war prozessual unzulässig, weil dies einer unzulässigen Auswechslung der tragenden Erwägungen gleichgekommen wäre.
  • Verwarnung C (Transportverschlüsselung): Diese Verwarnung hob das Gericht wegen materieller Rechtswidrigkeit auf. Die Behörde hatte beanstandet, dass im „Fast Lane“-Prozess sensible Unterlagen ohne Ende-zu-Ende-Verschlüsselung an den US-Monitor übermittelt wurden. Das Gericht sah die eingesetzte Transportverschlüsselung (TLS 1.2 mit Perfect Forward Secrecy) in Verbindung mit der konsequenten Pseudonymisierung jedoch als ausreichend an, um die Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO zu erfüllen. Da weder Daten besonders hoher Sensibilität (wie Gesundheits- oder Strafdaten) betroffen waren noch ein konkret gesteigertes Spionagerisiko feststellbar war, durfte die Behörde kein zwingendes Ende-zu-Ende-Schutzniveau verlangen.

2. Teilweise Aufhebung der behördlichen Kostenentscheidung

Als Folge der teilweisen Aufhebung der Verwarnungen korrigierte das Gericht auch die behördliche Kostengrundentscheidung im Bescheid. Betroffen war der Anteil der Gebühren und Auslagen, der auf die Verwarnungen A und C entfiel. Zur Begründung stellte das Gericht darauf ab, dass Kosten nach dem Niedersächsischen Verwaltungskostengesetz (NVwKostG) nur für rechtmäßige Amtshandlungen erhoben werden dürfen. Da A und C rechtswidrig waren, fehlte insoweit die Grundlage für die Kostenerhebung.

3. Abweisung der Klage im Übrigen und Kostenverteilung des Gerichtsverfahrens

Hinsichtlich der Verwarnungen B, D und E – also der Beanstandungen zu Informationspflichtverletzungen und zum fehlenden bzw. verspäteten Verarbeitungsverzeichnis – wurde die Klage abgewiesen. Das Gericht bestätigte diese Maßnahmen als formell und materiell rechtmäßig sowie als ermessensfehlerfrei.

Die Prozesskosten wurden nach § 155 Abs. 1 Satz 1 VwGO verhältnismäßig aufgeteilt, weil beide Seiten teilweise obsiegten und teilweise unterlagen. Das Gericht legte dabei folgende Quote fest:

  • 55 % der Kosten trägt die Klägerin,
  • 45 % der Kosten trägt der Beklagte.

Dabei nahm das Gericht keine rein rechnerische Aufteilung nach der Anzahl der Streitpunkte vor, sondern gewichtete die einzelnen Verwarnungen qualitativ:

  • den Verwarnungen A und B wurde das größte Gewicht beigemessen,
  • C und D wurden als weniger gewichtig eingeordnet,
  • E fiel im Vergleich am geringsten ins Gewicht.

Aus dieser Gesamtabwägung ergab sich die konkrete Kostenquote von 55 % zu 45 % zulasten der Klägerin. Parallel dazu wurde – konsequent – auch die Kostenentscheidung aus dem Verwaltungsverfahren insoweit korrigiert, wie sie auf die rechtswidrigen Verwarnungen A und C gestützt war.

Freispruch im Bußgeldverfahren (parallel)

Freispruch im parallelen Bußgeldverfahren

Neben dem verwaltungsrechtlichen Streit um die fünf Verwarnungen erließ die zuständige Datenschutzaufsicht am 29. Juni 2023 zusätzlich einen Bußgeldbescheid gegen den Automobilhersteller in Höhe von rund 4,3 Mio. Euro. Inhaltlich knüpfte das Bußgeld an denselben Komplex an, der auch der Verwarnung B zugrunde lag: den Vorwurf, bei der Übermittlung von Beschäftigtendaten an den US-Monitor seien die Informationspflichten nach Art. 13 Abs. 3 DSGVO in erheblichem Umfang verletzt worden.

In dem separat geführten Bußgeldverfahren setzte sich der Automobilhersteller jedoch vollständig durch. Das Landgericht Hannover kam mit Beschluss vom 26. Februar 2025 zu dem Ergebnis, dass ein Verstoß gegen die maßgeblichen DSGVO-Vorgaben nicht festzustellen sei, und sprach das Unternehmen frei. Rechtskraft erlangte diese Entscheidung, nachdem die Staatsanwaltschaft Hannover ihre zunächst eingelegte Rechtsbeschwerde am 10. Juni 2025 zurückgenommen hatte.

Auffällig ist dabei der aus den Quellen erkennbare juristische Spannungsbogen zwischen beiden Verfahren: Während das LG Hannover im Bußgeldverfahren keinen Datenschutzverstoß sah, bestätigte das VG Hannover im verwaltungsrechtlichen Verfahren die Verwarnung B als rechtmäßig. In seinem Urteil setzt sich das VG ausdrücklich und kritisch mit der landgerichtlichen Begründung auseinander. Das Landgericht hatte den Freispruch offenbar wesentlich darauf gestützt, dass der US-Monitor die Zuordnungsschlüssel zur Auflösung der Pseudonyme tatsächlich nicht besaß und die betroffenen Personen auch nicht konkret identifiziert wurden. Das VG Hannover bewertet diesen Ansatz als datenschutzrechtlich verfehlt bzw. für die Einordnung „nicht maßgeblich“. Nach seiner Auffassung ist für den Personenbezug nicht entscheidend, ob eine Identifizierung faktisch erfolgt ist, sondern ob der Empfänger rechtlich und praktisch die Möglichkeit hat, die Pseudonymisierung aufheben zu lassen.

Damit blieb ungeachtet des strafrechtlich bzw. bußgeldrechtlich rechtskräftigen Freispruchs die verwaltungsrechtliche Feststellung eines Verstoßes durch das VG Hannover in Form der Verwarnung B bestehen.

Warenkorb

Alle Preise inkl. der gesetzlichen MwSt.

Nach oben scrollen
Cookie Consent mit Real Cookie Banner