Die Klage der Volkswagen AG (VW) gegen einen Bescheid des Landesbeauftragten für den Datenschutz Niedersachsen (LfD), in dem er fünf Verwarnungen gegen VW wegen Datenschutzverstößen im Zusammenhang mit der Aufarbeitung des Dieselskandals ausgesprochen hat, hat nur teilweise Erfolg. Die10. Kammer des Verwaltungsgerichts Hannover hat am 5. Juni 2025 geurteilt, dass zwei der fünf Verwarnungen rechtswidrig sind. Die drei weiteren Verwarnungen sah das Gericht jedoch als rechtmäßig an.
Anlass für das Einschreiten des LfD war, dass VW mehrere Vergleiche und Vereinbarungen mit US-Behörden im Zusammenhang mit dem sogenannten „Dieselskandal“ geschlossen hatte, um laufende Strafverfahren und zivilgerichtliche Klagen in den USA zu beenden. Dazu wurde ein sog. Monitorshipdurchgeführt. Ziel dieses Verfahrens war es, neue Compliance-Strukturen einzuführen und bestehende Strukturen zu verbessern, um entsprechende Vorkommnisse in Zukunft zu unterbinden. Hierzu wurde als Monitor ein ehemaliger stellvertretender US-Generalstaatsanwalt eingesetzt.
Der LfD sprach gegenüber VW eine erste Verwarnung aus, weil VW im Rahmen des Monitorships eine Liste mit 22 Klarnamen von ehemaligen und aktiven Beschäftigten, die zum Zeitpunkt des Dieselskandals in relevanten Bereichen des Unternehmens gearbeitet hatten, an den Monitor herausgegeben hat. Die Überschrift der Liste enthielt die Bezeichnung „direct knowledge“. Der LfD verwarnte VW, weil er die von VW durchgeführte Interessenabwägung vor der Offenlegung der Liste an den Monitor für fehlerhaft hielt. Das Gericht folgte dem nicht und hob diese Verwarnung auf. Es konnte in der von VW durchgeführtenInteressenabwägung keine Fehler erkennen. Vielmehr hat VW – entgegen der Ansicht des LfD – das Risiko, dass Personen auf der Liste zum Ziel strafrechtlicher Ermittlungen in den USA bzw. bereits bestehende Ermittlungsverfahren auf sie ausgedehnt werden könnten, zutreffend als gering bewertet und es fehlerfrei in die Abwägung eingestellt.
Die weitere Verwarnung, mit der der LfD VW vorwarf, im Rahmen des sog. „Fast Lane Prozesses“ gegen Datenschutzrecht verstoßen zu haben, hob das Gericht ebenfalls auf. Im Rahmen des Fast Lane Prozesses, der im Laufe des Monitorships eingerichtet wurde, übermittelte VW dem Monitor bestimmte Dokumente, in denen ausschließlich pseudonymisierte Daten der betroffenen Beschäftigten enthalten waren, per E-Mail. Diese Übermittlungsart wurde im Monitorship nur für bestimmte Dokumente gewählt und entsprach nichtder Regel. Seine Verwarnung stützte der LfD auf den Umstand, dass VW die E-Mails lediglich transportverschlüsselt übermittelte. Er ist der Ansicht, dass VW vor dem Hintergrund, dass es sich um schutzbedürftige Daten handele, eine Ende-zu-Ende-Verschlüsselung hätte wählen müssen. Das Gericht folgte dem nicht, sondern hält die Transportverschlüsselung für ausreichend. Denn die Daten waren – anders als der LfD meint – nicht besonders schutzbedürftig und enthielten darüber hinaus keine Klarnamen, weil sie in den übersandten Dokumenten durch Verwendung der Personalnummern der betroffenen Beschäftigten oder anderen Nummerierungen pseudonymisiert waren. Der LfD konnte das Gericht von seiner Annahme, dass ein hohes Angriffsinteresse auf die Daten bestehe, was eine Ende-zu-Ende-Verschlüsselung erfordere, nicht überzeugen. Das Gericht ist der Ansicht, dass das Risiko eines Angriffs auf die Daten während der Übermittlung gering war, weshalb die Transportverschlüsselung ausreichend gewesen ist. Hierfür spricht auch, dass potentielle Angreifer die pseudonymisierten Datenkeinen individualisierten Personen hätten zuordnen können, sondern wegen der Pseudonymisierung den entsprechenden Zuordnungsschlüssel benötigt hätten, der jedoch nicht Gegenstand der Übermittlung gewesen ist.
Im Gegensatz hierzu hielten die drei weiteren Verwarnungen der gerichtlichen Prüfung stand.
Anlässlich des Monitorships verwarnte der LfD VW ein drittes Mal, weil VW ihre Beschäftigten vor der Herausgabe einer Vielzahl an personenbezogenen Daten, die teilweise pseudonymisiert und teilweise auchKlarnamen enthielten, hierüber nicht ausreichend im Sinne der DSGVO informiert habe. Anders als VW argumentiert, ist das Gericht zu der Einschätzung gelangt, dass die nach den Personalnummern oder anderen Nummerierungen pseudonymisierten Daten der Beschäftigten personenbezogene Daten im Sinne der DSGVO darstellen und aus Sicht des Monitors auch nicht anonym waren. Denn der Monitor hätte dieMöglichkeit gehabt, mit vertretbarem Aufwand die entsprechenden Zuordnungsschlüssel anzufordern. Zudem ist das Gericht der Überzeugung, dass die Herausgabe der Daten an den Monitor eine Weiterverarbeitung zu einem anderen Zweck als dem Zweck darstellt, zu dem die Daten der Beschäftigten erhoben wurden. Das Monitorship dient weder dem Zweck des Beschäftigungsverhältnisses, noch stellt es eine Verteidigung von Rechtsansprüchen von VW dar. Zwar konnte VW nachweisen, dass sie ihren Mitarbeitenden diverse Informationen über das Monitorship, u.a. im Intranet, zur Verfügung gestellt hat, jedoch sind diese Informationen nach Ansicht des Gerichts zum einen zu pauschal gehalten und zum anderen genügt das bloße Einstellen von Mitteilungen im Intranet ohne zusätzlichen Hinweis an die (betroffenen) Mitarbeitenden den Informationspflichten der DSGVO nicht.
Außerdem sprach der LfD zwei Verwarnungen aus, die die sog. „EPA-Auditierung“ betrafen. VW schloss mit der US-Umweltbehörde eine weitere Verwaltungsvereinbarung, um zukünftig nicht von der Vergabe öffentlicher Aufträge ausgeschlossen zu werden. Diese Vereinbarung führte unter anderem zurDurchführung einer zusätzlichen Auditierung. Der hierfür eingesetzte Auditor sollte insbesondere das interne Compliance Management-System fortentwickeln und dessen Einhaltung überwachen.
Auch hier sah der LfD zu Recht – ähnlich wie bei der zuletzt dargestellten Verwarnung – einen Verstoß gegen die Informationspflicht, weil VW ihre Beschäftigten vor der Herausgabe ihrer Daten an den Auditor nichtausreichend informiert hatte, obwohl diese Datenverarbeitung ebenfalls eine Zweckänderung darstellte. Zwar handelte es sich auch hier ausschließlich um pseudonymisierte Daten, die jedoch – wie bei der zuletzt dargestellten Verwarnung – personenbezogene Daten im Sinne der DSGVO darstellen, da auch der Auditor die Herausgabe des entsprechenden Zuordnungsschlüssels mit vertretbarem Aufwand hätte verlangen können. Die zur Verfügung gestellten Informationen waren ebenfalls zu pauschal oder wurden den Betroffenen zu spät ausgehändigt.
Schließlich sprach der LfD eine letzte Verwarnung aus, weil VW zu Beginn der Auditierung kein sog. Verarbeitungsverzeichnis erstellt hatte. Ein Verarbeitungsverzeichnis soll der Aufsichtsbehörde einen ersten Eindruck verschaffen, ob der Datenschutz bei den entsprechenden Datenverarbeitungen gewahrt wird. Im Laufe der Auditierung holte VW dies zwar nach, stellte sich aber auf den Standpunkt, dass ein eigenes Verarbeitungsverzeichnis für die Auditierung nicht erforderlich sei, sondern auf das Verzeichnis desMonitorships zurückgegriffen werden könne. Das Gericht hält die Verwarnung des LfD für rechtmäßig, da ein Verstoß gegen die DSGVO vorliegt. Zwar ist der Verstoß aus Sicht des Gerichts als gering zu bewerten, da ein Verarbeitungsverzeichnis noch während der Auditierung erstellt worden ist. Allerdings ist die Ermessenserwägung des LfD, eine Verwarnung auszusprechen, um VW vor Augen zu führen, dass ihre Ansicht unzutreffend ist, rechtlich nicht zu beanstanden.
Gegen das Urteil kann die Zulassung der Berufung beim Niedersächsischen Oberverwaltungsgericht beantragt werden.
Az.: 10 A 4017/23
VG Hannover, 06.06.2025