DSGVO gilt nicht für Altfälle vor dem 25. Mai 2018

Mit Urteil vom 10. Oktober 2023 (Az. 10 A 5223/19) hat das Verwaltungsgericht (VG) Hannover eine grundlegende Entscheidung zur Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) auf sogenannte "Altfälle" getroffen. Es stellt unmissverständlich klar: Die DSGVO ist auf Datenschutzverstöße, die sich vor dem 25. Mai 2018 ereignet haben, nicht anwendbar.

Diese Entscheidung betrifft nicht nur Juristinnen und Juristen, sondern auch Datenschutzbeauftragte, Unternehmen und insbesondere Betroffene, die Verstöße aus der Zeit vor Inkrafttreten der DSGVO geltend machen wollen.

Hintergrund: Der konkrete Fall vor dem VG Hannover

Im Mittelpunkt des Verfahrens stand eine Frau, die 2008 Opfer eines schweren Autounfalls wurde. Infolge des Unfalls erlitt sie eine instabile Fraktur des fünften Lendenwirbelkörpers mit inkompletter Querschnittssymptomatik. Sie wurde mehrfach operiert, u.a. mit Einsetzen eines Titan-Wirbelkörpers. Ihre gesundheitliche Situation besserte sich zunächst deutlich, verschlechterte sich dann jedoch erneut, sodass sie seit 2010 auf Pflegestufe II angewiesen war.

Die Frau machte gegenüber mehreren Versicherungen Ansprüche geltend: sowohl gegen ihre private Unfallversicherung (die D.) als auch gegen die Haftpflichtversicherung des Unfallverursachers. Letztere beauftragte u.a. Gutachter zur Feststellung des Invaliditätsgrades.

Im Mai 2012 wurde die Betroffene auf Betreiben der Versicherung erneut gutachterlich untersucht. Im August 2012 übermittelte die Versicherung medizinische Unterlagen der Betroffenen an einen ihr bekannten Gutachter, Herrn Dr. F., der eine neue Einschätzung des Invaliditätsgrades vornehmen sollte. In seinem Gutachten kam Dr. F. zu einer deutlich niedrigeren Bewertung (30 % Invalidität).

Im Jahr 2018 – also rund sechs Jahre später – erfuhr die Betroffene von der Übermittlung und rügte sie bei der zuständigen Datenschutzaufsichtsbehörde. Sie argumentierte, dass keine Einwilligung oder Schweigepflichtentbindung vorgelegen habe. Sie monierte auch, dass die Daten – etwa CT-Aufnahmen mit Namen und Geburtsdatum – nicht anonymisiert gewesen seien. Sie forderte ein aufsichtsbehördliches Einschreiten.

Die Behörde nahm Prüfungen vor, forderte Stellungnahmen der Versicherung ein, entschied letztlich jedoch, dass kein Datenschutzverstoß vorliege. Die Betroffene klagte hiergegen mit dem Ziel, die Aufsichtsbehörde zu einem Einschreiten zu verpflichten.

Die rechtliche Ausgangslage: Gilt die DSGVO rückwirkend?

Die Datenschutz-Grundverordnung trat am 25. Mai 2018 in Kraft. Nach Art. 99 Abs. 2 DSGVO gilt sie ab diesem Datum. Eine ausdrückliche Übergangsregelung, die Verstöße aus der Zeit davor ebenfalls dem neuen Recht unterstellt, existiert nicht.

Das VG Hannover folgte der herrschenden Meinung in Rechtsprechung und Literatur und stellte fest:

"Das Inkrafttreten der DSGVO stellt nach deren Art. 99 eine klare Zäsur zwischen altem und neuem Recht dar."

Verstöße, die sich vor dem 25. Mai 2018 ereignet haben, unterliegen daher ausschließlich dem BDSG-alt.

Entscheidungsgründe des VG Hannover im Detail

1. Keine Anwendbarkeit der DSGVO

Die Verarbeitung der Gesundheitsdaten der Klägerin durch die D. fand im August 2012 statt, also sechs Jahre vor Inkrafttreten der DSGVO. Die DSGVO ist gemäß Art. 99 Abs. 2 DSGVO ab dem 25. Mai 2018 anwendbar. Eine Rückwirkung ist dem Gesetz nicht zu entnehmen.

Das Gericht verwies auf ähnliche Entscheidungen anderer Gerichte, insbesondere auf das VG Ansbach (Urt. v. 22.09.2021 – AN 14 K 19.01274). Dort wurde dieselbe Rechtsauffassung vertreten.

Auch ein Vergleich mit dem österreichischen Datenschutzrecht bestätigte die Einschätzung: In Österreich gibt es ausdrückliche Übergangsregelungen, in Deutschland nicht.

2. Keine Beschwerde im Sinne von Art. 77 DSGVO

Die Klägerin hatte ihre Eingabe an die Behörde als "Beschwerde" bezeichnet. Das Gericht stellt jedoch klar: Eine Beschwerde nach Art. 77 DSGVO ist nicht möglich, wenn der beanstandete Vorgang vor dem 25. Mai 2018 stattfand.

Die Eingabe sei stattdessen nach altem Recht zu behandeln, konkret nach Art. 28 Abs. 4 der Datenschutzrichtlinie 95/46/EG. Diese sah lediglich ein petitionsähnliches Verfahren vor, bei dem die Behörde:

• die Eingabe entgegennimmt,
• sachlich und rechtlich prüft,
• das Ergebnis mitteilt.

Ein Anspruch auf Einschreiten oder auf eine bestimmte Entscheidung bestand nicht.

3. Gerichtlicher Prüfungsumfang ist eingeschränkt

Nach dem alten Datenschutzrecht kann ein Gericht nicht überprüfen, ob die Behörde angemessen oder korrekt entschieden hat. Es kann lediglich prüfen, ob das Verfahren formell korrekt durchgeführt wurde. Das VG Hannover stellte fest:

• Die Behörde hat auf die Eingabe reagiert,
• hat die D. zur Stellungnahme aufgefordert,
• hat auf den Widerspruch der Klägerin erneut reagiert,
• hat letztlich einen Bescheid mit rechtlicher Begründung erlassen.

Damit habe die Behörde ihre Pflichten erfüllt. Weitere gerichtliche Kontrolle sei nicht zulässig.

4. Kein Anspruch auf Fortführung des Prüfverfahrens

Da kein materiell-rechtlicher Anspruch der Klägerin aus der DSGVO folgt und das Verfahren nach BDSG-alt ordnungsgemäß durchgeführt wurde, besteht kein Anspruch auf Fortführung des Prüfverfahrens gegen die D.

Die Klage war daher abzuweisen.

Praktische Auswirkungen und Fazit

Die Entscheidung des VG Hannover ist nicht nur juristisch präzise, sondern auch von hoher praktischer Bedeutung:

• Datenschutzverstöße vor dem 25. Mai 2018 sind endgültig nach altem Recht zu behandeln.
• Es gibt kein Rückgriffsrecht auf die umfangreichen Betroffenenrechte der DSGVO.
• Aufsichtsbehörden dürfen nicht auf Grundlage der DSGVO einschreiten.
• Gerichte sind bei der Prüfung solcher Fälle stark eingeschränkt.

Betroffene sollten deshalb genau prüfen (lassen), wann ein möglicher Datenschutzverstoß stattgefunden hat. Nur wenn der Sachverhalt nach dem 25. Mai 2018 liegt, kann die DSGVO geltend gemacht werden.