Rechtsprechung / Verwaltungsgericht Hannover
Verwaltungsgericht Hannover Urteil vom 05.06.2025 – 10 A 4017/23
ECLI:DE:VGHANNO:2025:0605.10A4017.23.00
Tenor
Der Bescheid des Beklagten vom 26. Juni 2023 wird hinsichtlich der unter den Buchstaben A und C ausgesprochenen Verwarnungen sowie hinsichtlich der Kostengrundentscheidung, soweit sie sich auf die unter den Buchstaben A und C ausgesprochenen Verwarnungen bezieht, aufgehoben. Im Übrigen wird die Klage abgewiesen.
Die Kosten des Verfahrens trägt die Klägerin zu 55 Prozent und der Beklagte zu 45 Prozent.
Die Entscheidung ist wegen der Kosten vorläufig vollstreckbar, für die Klägerin jedoch nur gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages. Die Klägerin kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils vollstreckbaren Betrages abwenden, wenn nicht der Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.
Tatbestand
Die Klägerin wendet sich gegen fünf datenschutzrechtliche Verwarnungen.
Sie ist ein international agierender Automobilhersteller mit Sitz in F. in Deutschland.
Am 11. Januar 2017 schloss die Klägerin mit dem US-Justizministerium, der US-Umweltbehörde "Environmental Protection Agency" (nachfolgend: EPA), dem US-Bundesstaat G. und dessen Emissionsschutzbehörde mehrere gerichtliche Vergleiche (sog. Settlement Agreements), um die damals gegen die Klägerin in den USA auf Landes- und Bundesebene geführten Strafverfahren sowie zivilgerichtliche Klagen wegen Abgasmanipulationen (nachfolgend: Diesel-Thematik) zu beenden. Der Klägerin wurde unter anderem vorgeworfen, gegen gesetzliche Vorgaben für Dieselfahrzeuge in den USA verstoßen zu haben, weil von ihr hergestellte Dieselfahrzeuge durch eine eingebaute Software lediglich auf dem Prüfstand die geltenden Abgasgrenzwerte eingehalten hätten, nicht jedoch im realen Fahrbetrieb. Die gerichtlichen Vergleiche sahen neben Strafzahlungen auch die Erfüllung umfangreicher Auflagen durch die Klägerin vor.
Die geschlossenen Vergleiche sahen unter anderem die Durchführung eines sog. Monitorships vor. Als Monitor wurde H. I. eingesetzt, der zuvor von J. bis K. US-Deputy Attorney General und damit stellvertretender Justizminister der USA war. In seiner Zeit als stellvertretender Justizminister der USA hatte er das sog. I. Memorandum über "Principles of Federal Prosecution of Business Organizations" herausgegeben. Das I. Memorandum war eine Orientierungshilfe innerhalb des US-Justizministeriums für die Entscheidung, ob ein Unternehmen wegen eines Fehlverhaltens einer Straftat angeklagt werden soll. Es verschärfte die bisherigen Vorgaben.
Der Monitor sollte die Einhaltung der Settlement Agreements überwachen, um das Risiko, dass sich ein vergleichbares Fehlverhalten wie in der Diesel-Thematik wiederholt, zu reduzieren. Da die Settlement Agreements als Bedingungen unter anderem vorsahen, dass die Klägerin ihre Compliance-, Berichts- und Kontrollsysteme überprüfen und Maßnahmen zu deren Stärkung ergreifen muss, gehörte es auch zu den Aufgaben des Monitors, die Einführung neuer und die Verbesserung bestehender Compliance-Strukturen zu überwachen. Zu seinen Aufgaben zählte jedoch nicht, rechtliches Fehlverhalten von einzelnen Beschäftigten, gegen die bisher keine (strafrechtlichen) Verfahren geführt wurden, zu ermitteln oder US-Behörden zur Kenntnis zu bringen. Sein Recht, die Benennung bestimmter verantwortlicher Personen zu verlangen, diente nicht dem Ziel, gegen diese Personen weiter zu ermitteln oder vorzugehen. Vielmehr war das Mandat des Monitors zukunftsgerichtet und diente der Verhinderung zukünftiger Verstöße. Das Monitorship dauerte von Juni 2017 bis September 2020.
Die Settlement Agreements standen jeweils unter der Bedingung, dass die Klägerin die darin geregelten Auflagen vollständig erfüllt. Andernfalls wären die gerichtlichen und behördlichen Verfahren, die während des Monitorships ruhten, wiederaufgenommen worden.
Zu Beginn des Monitorships schloss die Klägerin am 15. Juni 2017 eine Vertraulichkeitsvereinbarung mit dem Monitor. Sie sah insbesondere vor, dass die im Rahmen des Monitorships bereitgestellten Informationen und Unterlagen ausschließlich für Zwecke des Monitorships genutzt werden dürfen. Eine Weitergabe von Daten an Dritte war grundsätzlich nur mit der ausdrücklichen Zustimmung der Klägerin zulässig, soweit nicht eine Offenlegung aufgrund gesetzlicher Vorgaben geboten war. In Ausnahmefällen war es dem Monitor gestattet, Informationen zur Erfüllung seiner Aufgaben als Monitor mit dem US-Justizministerium zu teilen. Ferner sah die Vertraulichkeitsvereinbarung vor, dass der Monitor vorbehaltlich anderer anwendbarer Regularien oder Gesetze verpflichtet war, die ihm übermittelten Informationen 90 Tage nach Ende des Monitorships zu löschen.
Nach den geschlossenen Vergleichen hatte der Monitor das Recht, von der Klägerin, die die Unternehmenssoftware L. verwendete, Dokumente und andere Informationen zu verlangen, die erforderlich waren, um sein Mandat zu erfüllen. Dabei forderte er unter anderem auch Dokumente an, die Daten von Beschäftigten der Klägerin enthielten. Während des Monitorships stellte der Monitor in der Zeit vom 17. Juli 2017 bis 24. Juli 2020 insgesamt 6.603 Dokumenten- und Informationsanforderungen bei der Klägerin. Ihm wurden 64.002 Dokumente offengelegt.
Nach einer Dokumentenanforderung des Monitors wurden bei der Klägerin mehrere Schritte durchlaufen. Die Anfragen des Monitors wurden von der Klägerin unter anderem dahingehend geprüft, ob die angeforderten Informationen Themen betrafen, die von dem Mandat des Monitors gedeckt waren und ob sie für die Durchführung des Monitorships erforderlich waren. Ferner wurde geprüft, ob die Dokumente Daten enthielten, die Rückschlüsse auf die betroffenen Beschäftigten zuließen. Solche Daten wurden grundsätzlich entsprechend den Schwärzungsregeln des sog. Redaction Guide geschwärzt. Der Redaction Guide enthielt konkrete Vorgaben dazu, welche Daten vor der Offenlegung an den Monitor unter welchen Voraussetzungen unkenntlich zu machen waren. Insbesondere sollten folgende Angaben geschwärzt werden: private Kontaktdaten, grundsätzlich die Vermögensverhältnisse sowie sensible personenbezogene Daten.
In Fällen, in denen der Monitor die Offenlegung von Daten verlangte, die über die vorgenannten Schwärzungsregeln hinausgingen, führte die Klägerin Einzelfallentscheidungen durch, um zu ermitteln, ob eine Offenlegung dieser Daten datenschutzrechtlich zulässig war. Im Rahmen der Einzelfallentscheidungen führte sie jeweils eine Interessenabwägung zwischen ihrem Interesse an der umfassenden Erfüllung der jeweiligen Anfrage des Monitors und den der Offenlegung entgegenstehenden Interessen durch. Die Klägerin traf im Zeitraum vom 7. September 2018 bis zum 14. Mai 2020 38 Einzelfallentscheidungen. Auf der Grundlage der Einzelfallentscheidungen wurde eine deutlich größere Anzahl an Dokumenten offengelegt als Einzelfallentscheidungen getroffen wurden.
Neben der Dokumentenanforderung führte der Monitor auch Gespräche mit Beschäftigten der Klägerin. Hinsichtlich der Durchführung dieser Gespräche schloss die Klägerin die Konzernbetriebsvereinbarung Nr. 01/2017 vom 23. Oktober 2017 ab, die am 1. November 2017 in Kraft trat. In der Konzernbetriebsvereinbarung wurden die Rahmenbedingungen für die vom Monitor veranlassten Gespräche mit den Beschäftigten der Klägerin festgelegt. Durch die Konzernbetriebsvereinbarung sollten die berechtigten Interessen und Belange der Beschäftigten bei der Durchführung von Gesprächen mit dem Monitor gewährleistet werden. Die Klägerin übermittelte den Beschäftigten, die zu Gesprächen mit dem Monitor eingeladen wurden, zusammen mit der Einladung per E-Mail ein "lnformationsschreiben zu Gesprächen mit dem Monitor/FAQ (Stand: 24.11.2017)". Darin wurden die Hintergründe zum Monitorship erläutert, Informationen zu den Aufgaben und Rechten des Monitors gegeben, über den Ablauf der Gespräche informiert und Verhaltensempfehlungen gegeben. Zum Schluss folgte eine Zusammenstellung häufiger Fragen und der Text der Konzernbetriebsvereinbarung war als Anlage beigefügt. In dem lnformationsschreiben wurde unter anderem Folgendes ausgeführt:
"Um seine Aufgaben [...] erfüllen zu können, wird der Monitor neben der Sammlung und Auswertung von Dokumenten und anderen Informationen auch Gespräche mit Mitarbeitern der Volkswagen AG und anderer Konzerngesellschaften führen, um so Informationen über Organisationsstrukturen, Regelungen, Prozesse und Tätigkeiten zu erhalten. [...]
Die Gespräche des Monitors [...] haben keinen investigativen Charakter. Dies bedeutet insbesondere, dass der Monitor keine eigene Untersuchung der Umstände vornehmen darf, welche zur Dieselthematik geführt haben. Allerdings darf sich der Monitor über diese vergangenen Umstände informieren, damit er auch auf dieser Grundlage Verbesserungsmaßnahmen für die Compliance Strukturen und Prozessen bei Volkswagen vorschlagen kann mit dem Ziel, dass betrugsrelevantes Verhalten und Umweltverstöße für die Zukunft verhindert werden bzw. sich nicht wiederholen. [...]
Um seine Aufgaben erfüllen zu können, müssen der Monitor und sein Team Zugang zu relevanten Informationen erhalten. [...] Dementsprechend wurde in den getroffenen US-Vereinbarungen [...] eine enge Zusammenarbeit mit dem Monitor und die Offenlegung von Informationen vereinbart, soweit dies vom Monitormandat umfasst ist, nicht dem Schutz des Anwaltsgeheimnisses unterliegt und nicht gegen nationale (d.h. zum Beispiel in Deutschland geltende) Gesetze verstößt. [...]
Der Monitor ist innerhalb der Grenzen seines Mandates insbesondere zur Einsicht in Geschäftsdokumente und ggf. sonstige Dokumente und zum Zugang zu Büros und technischen Systemen sowie zu Gesprächen mit Mitarbeitern des M. Konzerns berechtigt. Außerdem ist der Monitor zur Teilnahme an Gremiensitzungen des Konzerns und seiner Marken befugt. [...]
Bei der Ausübung seiner Aufgaben ist der Monitor verpflichtet, geeignete Maßnahmen zur Geheimhaltung vertraulicher geschäfts- und personenbezogener Informationen zu ergreifen. Der Monitor darf die von ihm im Gespräch mit dem Mitarbeiter aufgenommenen vertraulichen Informationen nur zum Zwecke der Durchführung des Monitorships nutzen. Zudem ist es dem Monitor nur in eng begrenzten Fallen erlaubt, vertrauliche, nicht öffentliche Informationen, die er durch das Monitorship von M. (z.B. durch seine Gespräche mit Mitarbeitern) erlangt, weiterzugeben, nämlich wenn dies für die Durchführung des Monitorships erforderlich ist (z.B. aufgrund seiner Berichtspflichten an das US-Justizministerium) oder wenn spezielle Meldepflichten an US-Behörden [...] oder gesetzliche bzw. richterliche Offenlegungspflichten (z. B. in den verbleibenden Dieselklageverfahren) dies erfordern. [...]
Die größte Zahl der vom Monitor angefragten Gespräche wird Themenfelder betreffen, die keinen direkten Bezug zur Dieselthematik aufweisen. Das Mandat des Monitors ist insbesondere darauf gerichtet, die Compliance Strukturen und Prozesse bei Volkswagen zu bewerten und Verbesserungsmaßnahmen vorzuschlagen mit dem Ziel, dass betrugsrelevantes Verhalten und Umweltverstöße für die Zukunft verhindert werden bzw. sich nicht wiederholen. Zu diesem Zweck darf der Monitor allerdings auch Informationen darüber einholen, warum es zur Dieselthematik gekommen ist und wie das Unternehmen mit der Thematik umgegangen ist bzw. umgeht."
Mit den Gehaltsabrechnungen für Juli 2018 sendete die Klägerin allen damals beschäftigten Mitarbeitern die damalige Version der "Universelle[n] Datenschutzerklärung für Beschäftigte der M. AG" (nachfolgend: universelle Datenschutzerklärung) zu. Allen Beschäftigten, die seither eingestellt wurden, wurde die jeweils aktuelle Fassung der universellen Datenschutzerklärung im Rahmen des Einstellungsprozesses zur Verfügung gestellt. Ferner informierte die Klägerin die Belegschaft im Intranet über die universelle Datenschutzerklärung und wies die Führungskräfte an, alle Beschäftigten auf die Erklärung hinzuweisen. Der Abschnitt C. (in der Fassung von Dezember 2020) enthielt die Information, dass die Klägerin die personenbezogenen Daten ihrer Beschäftigten unter anderem in Zusammenhang mit
"[d]er Durchführung Ihres Beschäftigungsverhältnisses (z.B. Mitarbeitergespräche, Versetzungen und persönliche Veränderungen, Gesundheitsförderung und arbeitsmedizinische Betreuung, Zutrittskontrollen, interne und externe Kommunikation, Büroarbeitsplatzverwaltung) [...]
der Durchführung von Prüfungstätigkeiten und anlassbezogenen Untersuchungen (z. B. Aufklärungsoffice, Konzernrevision, Konzernsicherheit")
der Verteidigung von Rechtsansprüchen der Volkswagen AG (z. B. Arbeitsgerichtsprozesse, Patentmeldungen)"
verwendet. Im Abschnitt E. wurden die Rechtsgrundlagen, auf die Datenverarbeitungen gestützt werden können, aufgezählt und unter anderem Folgendes angegeben:
"berechtigtes, abgewogenes Interesse (Art. 6 Abs. 1 lit. f DSGVO) (z.B.) zur Kontaktaufnahme im Rahmen von Spendenaktionen zu Gunsten karitativer Einrichtungen, Verarbeitung von Daten Ihrer Angehörigen zur Kontaktaufnahme in Notfällen)".
Mit der Mitteilung "Wichtige datenschutzrechtliche Informationen im Zusammenhang mit dem Monitorship bei VW" vom 20. September 2018, die von der Klägerin als "Monitor-Datenschutzerklärung" und "Datenschutzerklärung Monitorship" bezeichnet wurde (nachfolgend: Monitor-Datenschutzerklärung), beabsichtigte sie, ihre Beschäftigten auf der internen Plattform "Group Connect" über den Umgang mit personenbezogenen Daten im Zusammenhang mit dem Monitorship zu informieren. "Group Connect" wurde von der Klägerin bis 2019 als Kommunikationsplattform (Intranet) genutzt und diente zum Austausch von Informationen von und mit Beschäftigten. Auf der Plattform, die ab dem Jahr 2019 von der zentralen Kommunikationsplattform "360° Volkswagen Net" abgelöst wurde, stellte die Klägerin unter anderem Informationen zu aktuellen Entwicklungen und Themen sowie auch in Bezug auf das Monitorship ein.
In der Monitor-Datenschutzerklärung wurden die Tätigkeit des Monitors und sein Auftrag, die Person des Monitors sowie die mit dem Monitor getroffenen Vereinbarungen (Vertraulichkeitsvereinbarung, Löschpflichten, keine Weitergabe an Dritte) thematisiert. Ferner wurde auf Folgendes hingewiesen:
"Die Kooperation der M. AG mit dem Monitor bedingt, dass die M. AG dem Monitor und den von der M. AG betrauten Anwälten in gewissem Umfang personenbezogene Daten ihrer Mitarbeiter offenlegt. Nur so kann der Monitor die Unternehmensstrukturen verstehen und seinen Auftrag erfüllen. Sollte die M. AG nicht mit dem Monitor kooperieren, droht eine Aufkündigung der Vergleichsvereinbarungen, was bedeutet, dass die US-Verfahren wieder fortgeführt werden könnten."
Insbesondere wurden Kategorien von personenbezogenen Daten aufgelistet, welche womöglich auf Anfrage übermittelt würden: Name, Funktions-/Positionsbeschreibung im Unternehmen, dienstliche Kontaktinformationen (dienstliche E-Mail-Adresse, dienstliche Anschrift, dienstliche Telefonnummer), Arbeitsprodukte wie Präsentationen und selbst erstellte Organigramme, Protokollangaben sowie Angaben über arbeitsrechtliche Maßnahmen. Es wurde ferner darauf hingewiesen, dass die Klägerin dem Monitor auf keinen Fall private Informationen oder besonders sensible Daten gemäß Art. 9 DSGVO übermitteln werde. Für den Beitrag im Intranet waren zum Zeitpunkt des 21. Mai 2021 für die "Version 3" 58 Ansichten vermerkt.
Am 1. Dezember 2018 wurde darüber hinaus eine Betriebsvereinbarung zum "Umgang mit personenbezogenen Daten im Beschäftigtenkontext bei der Volkswagen AG" geschlossen. Darin wurde in Nummer 5 geregelt, dass die Klägerin personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erheben oder verarbeiten werde. Weiter heißt es in der Betriebsvereinbarung:
"Im Rahmen des Beschäftigtenkontextes verarbeitet [die Klägerin] personenbezogene Daten insbesondere für folgende Zwecke:
Einstellung;
Durchführung des Beschäftigungsverhältnisses einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten;
Managementaufgaben;
Planung und Organisation der Arbeit;
[...]
Schutz des Eigentums der [Klägerin];
[...].
Weitere Zweckbestimmungen können in Anlagen geregelt werden."
Die Betriebsvereinbarung verfügte über drei Anlagen, die Bestimmungen zur Verarbeitung personenbezogener Daten in den Bereichen der digitalen Gefahrenabwehr (Anlage 1), zur Protokollierung des Betretens und des Verlassens des Werkgeländes durch ein Zutrittskontrollsystem (Anlage 2) und hinsichtlich der Fahrzeug- und Funktionsentwicklung (Anlage 3) enthielten. Die Betriebsvereinbarung wurde im Betrieb der Klägerin ausgelegt.
Außerdem fanden am 6. Juni 2017, 19. Juni 2019 und 25. September 2019 Betriebsveranstaltungen auf dem Werksgelände statt, an denen der Monitor teilnahm und in denen die Tätigkeit und Aufgaben des Monitors (mündlich) dargestellt wurden. Darüber hinaus wurde das Monitorship regelmäßig in Beiträgen der Mitarbeiterzeitung "Inside", unter anderem in der Ausgabe Nr. 13 vom 14. November 2018, thematisiert.
Zur Umsetzung seines Prüfauftrags forderte der Monitor die Klägerin im Jahr 2018 im Rahmen der sog. "Recommendation 2" dazu auf, eine Ursachenanalyse zur Diesel-Thematik durchzuführen, um die Umstände zu ermitteln, welche die Diesel-Thematik ermöglicht und begünstigt hatten. In diesem Zuge schlug der Monitor vor, dass die Klägerin aktuelle und ehemalige Mitarbeiter, die Auskünfte zur Diesel-Thematik geben könnten, befragen solle. Die Klägerin beabsichtigte, diese Gespräche zu führen und wählte hierzu Personen aus, die in dem relevanten Zeitraum in relevanten Bereichen des Unternehmens tätig waren und aus Sicht der Klägerin zur Analyse der Ursachen der eingetretenen Fehlentwicklungen im Rahmen der Diesel-Thematik beitragen konnten. Daher waren auch ehemalige Beschäftigte erfasst. Die Frage, ob die ausgewählten Personen tatsächlich spezifische und unmittelbare Kenntnisse vom konkreten Hergang der Diesel-Thematik hatten, spielte für die Klägerin bei der Auswahl keine Rolle. Maßgeblich war vielmehr, in welchen Bereichen und Abteilungen sie gearbeitet hatten. Nach Einschätzung der Klägerin umfasste die Liste daher sowohl Beschäftigte, die vor September 2015 Kenntnis von der Diesel-Thematik hatten, als auch Mitarbeiter, die diese nicht hatten. Mit Anfrage vom 18. Januar 2019 forderte der Monitor die Klägerin auf, ihm eine Liste mit den Namen dieser Beschäftigten zu übermitteln. Die Anfrage des Monitors zielte darauf ab, sich ein besseres Bild von den Personen zu verschaffen, die zur Ursachenanalyse beitragen konnten. Er wollte überprüfen, ob die Klägerin die "richtigen" Personen ausgesucht hatte. Da die Anfrage des Monitors Daten der Beschäftigten betraf, die über die Festlegungen im Redaction Guide der Klägerin hinausgingen, weil neben der Angabe von Namen und Positionsbeschreibungen aus dem Dokument auch auf unmittelbare Kenntnis ("direct knowledge") im Zusammenhang mit der Diesel-Thematik geschlossen werden konnte, führte die Klägerin unter dem 7. Februar 2019 eine Einzelfallentscheidung, die sie als Einzelfallentscheidung Nr. 06.0 bezeichnete, durch.
Im Rahmen der Einzelfallentscheidung Nr. 06.0 führte die Klägerin eine Interessenabwägung durch, welche sie schriftlich festhielt. Sie gab an, dass eine Interessensabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO erfolgt sei und nahm für sich das berechtigte Interesse an, dass die Informationsanforderungen des Monitors zu erfüllen seien. Die Bereitstellung der Information sei für die Kooperation mit dem Monitor grundsätzlich erforderlich. Hierzu zähle auch die Gewährung der Einsichtnahme in die Liste derjenigen Personen, die das Unternehmen im Rahmen der "Recommendation 2" befragt habe. Eine Nichterfüllung dieser Anforderung könnte zu einer Verletzung der Settlement Agreements und zur Wiederaufnahme des Strafverfahrens führen. Damit entstehe das erhebliche Risiko von Strafzahlungen, die den in den Vergleichen vereinbarten Betrag um ein Vielfaches übersteigen würden. Ein erneutes Verfahren führe zudem zu einem Reputationsverlust und wahrscheinlich zu einer Verlängerung des Monitorships. Demgegenüber sah die Klägerin für die betroffenen aktuellen oder ehemaligen Mitarbeiter ein schutzwürdiges Interesse, nicht in Verbindung mit potentiellen Pflichtverletzungen gegenüber Dritten gebracht zu werden. Dies könne die Reputation der Betroffenen beschädigen und ihr weiteres berufliches Fortkommen negativ beeinflussen. Zudem hätten die Betroffenen ein Interesse daran, wegen ihrer (potentiellen) Beteiligung an strafrechtlich relevantem Handeln nicht einer strafrechtlichen Verfolgung ausgesetzt zu werden. Die Klägerin kam zu dem Abwägungsergebnis, dass ihre berechtigten Interessen die Interessen der Betroffenen überwiegen würden. Denn die Einsichtnahme durch den Monitor in die Liste begründe keine oder nur eine sehr geringe Gefahr eines Reputationsschadens oder möglicher strafrechtlicher Konsequenzen für die betroffenen Personen. Die Befragung sei kein Nachweis der Beteiligung an Vorgängen im Zusammenhang mit der Diesel-Thematik. Die Befragung diene vielmehr der Aufklärung der genauen Kenntnis solcher Vorgänge. Die Auswahl der befragten Personen sei lediglich auf der Grundlage der Kenntnis von relevanten Vorgängen erfolgt. Wie weit diese Kenntnis reiche und ob die befragten Personen in irgendeiner Weise an den Vorgängen beteiligt gewesen seien, lasse sich aus der Tatsache einer Befragung nicht entnehmen. Das Risiko nachteiliger Folgen sei daher für die betroffenen Personen gering. Für ihr Abwägungsergebnis führte die Klägerin außerdem an, dass die Tabelle nur ausgedruckt ("read only") in Deutschland vorgelegt werden würde und der Monitor zur vertraulichen Behandlung sämtlicher Informationen verpflichtet sei, von denen er im Rahmen des Monitorships Kenntnis erlangen würde.
Sodann wurde dem Monitor auf der Grundlage der Einzelfallentscheidung Nr. 06.0 eine Liste mit Klarnamen von 22 Personen in F. als Lesefassung zur Verfügung gestellt. Die Überschrift des Dokuments lautete "list of current or former employees with ,direct knowledge' that the Company would like, or is attempting, to talk to [...]". Die Liste enthielt jeweils Vor- und Nachnamen, eine Kurzbezeichnung der Abteilung sowie die Gesellschaft, in der sich die Genannten zum damaligen Zeitpunkt der Offenlegung der Liste befanden. In der Liste waren 18 aktive Beschäftigte aufgeführt, einer davon arbeitete zum Zeitpunkt der Listenerstellung bei der N. Goup of America. Vier in der Liste aufgeführte Personen waren zum Zeitpunkt der Listenerstellung bereits aus dem Konzern ausgeschieden ("formerly N. AG"). Gegen fünf der genannten Mitarbeiter liefen seit 2017 öffentliche Fahndungen zur Aufenthaltsermittlung durch US-Behörden. Außerdem wurden 2016/2017 US-Haftbefehle gegen sie ausgestellt. Ferner wurde im Januar 2017 gegen vier der in der Liste genannten Personen Anklage vor einem US-Gericht in O. erhoben wegen ihrer Rolle bei der Diesel-Thematik. Ihnen wurden Betrug und Gesetzesverstöße vorgeworfen. In der Liste wurden diese Umstände (Fahndungen, Haftbefehle oder erhobene Anklagen) nicht angegeben.
Im Rahmen der Übermittlung der Liste wurde dem Monitor mitgeteilt, dass es auch Mitarbeiter aus der Finanz- und Vertriebsabteilung gebe, die zur Aufklärung der Diesel-Thematik beitragen könnten. Diese Personen seien nicht auf der Liste enthalten, weil die Klägerin davon ausgehe, dass diese keine unmittelbare Kenntnis vom Fehlverhalten gehabt hätten.
Nachfolgend bat der Monitor mit einer zusätzlichen Anfrage am 15. Februar 2019 um Mitteilung der Namen dieser Mitarbeiter aus der Finanz- und Vertriebsabteilung. Auf der Grundlage dieser ergänzenden Anforderung des Monitors wurde erneut eine Einzelfallentscheidung durchgeführt, die im Prüfverfahren als Einzelfallentscheidung Nr. 06.1 bezeichnet wurde. Im Rahmen dieser Einzelfallentscheidung führte die Klägerin aus, dass die Interessenabwägung im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO zu ihren Gunsten ausfalle und entschied sich dafür, die Liste mit aktuellen und ehemaligen Mitarbeitern mit "direct knowledge" zum Fehlverhalten im Rahmen der Diesel-Thematik (Einzelfallentscheidung Nr. 06.0) um fünf Beschäftigte aus den Abteilungen Finanzen und Vertrieb zu ergänzen. Die Liste enthielt deren Klarnamen und den Hinweis, dass diese Personen nicht in der vorherigen Liste aufgeführt gewesen seien, weil diese nach dem Verständnis der Klägerin keine unmittelbare Kenntnis von dem Fehlverhalten gehabt hätten. Die Interessenermittlung und Abwägung erfolgten vergleichbar wie bei der Einzelfallentscheidung Nr. 06.0. Die aktualisierte Liste wurde dem Monitor ebenfalls als Lesefassung in Deutschland zur Verfügung gestellt.
Am 7. März 2019 teilte der Monitor der Klägerin mit, dass er an Bonusdurchsprachen persönlich teilnehmen wolle, um die Umsetzung der von ihr implementierten Compliance-Strukturen zur Höhe der Bonuszahlungen überprüfen zu können, insbesondere um die Integrität und Diskussionskultur im Performance-Management-Prozess der Klägerin zu würdigen. Bei den Bonusdurchsprachen handelte es sich um Termine, in denen die Höhe des persönlichen Leistungsbonus und die Leistung von einzelnen Beschäftigten im Vergleich zu anderen Beschäftigten derselben Ebene von deren Vorgesetzten sowie dem zuständigen Personalwesen festgelegt wurden. Der persönliche Leistungsbonus war zum Zeitpunkt des Monitorships eine zusätzliche Gehaltskomponente für Beschäftigte der Klägerin. Er bemaß sich insbesondere anhand der Leistung des jeweiligen Mitarbeiters und seines hierauf bezogenen sonstigen Verhaltens im Beschäftigungskontext im relevanten Bewertungszeitraum. In den Bonusdurchsprachen selbst fand keine Abstimmung über eine Kürzung des persönlichen Leistungsbonus wegen erfolgter Pflichtverletzung statt. Entsprechende Abstimmungen erfolgten vielmehr bereits vor der Bonusdurchsprache durch den jeweiligen Vorgesetzten und das Personalwesen. In der Bonusdurchsprache wurde ein bereits wegen Pflichtverletzungen gekürzter persönlicher Leistungsbonus zugrunde gelegt. Der Monitor kritisierte, dass er auf Basis der ihm vorliegenden Informationen nicht belastbar bewerten könne, inwiefern mögliches Fehlverhalten von Mitarbeitern in die Berechnung ihres individuellen persönlichen Leistungsbonus einfließen würde. Daher bat er die Klägerin, an den Bonusdurchsprachen teilnehmen zu dürfen, um die entsprechenden Prozesse prüfen zu können. Die betroffenen Beschäftigten, um deren persönlichen Leistungsbonus es ging, nahmen an den Bonusdurchsprachen nicht teil. Zusätzlich verlangte der Monitor am 18. und 19. März 2019 Informationen über Disziplinarfälle im Management, um die Diskussion der betroffenen Mitarbeiter bei den Bonusdurchsprachen zielgerichtet verfolgen zu können. Diese Anfrage war nicht im Redaction Guide abgebildet und wurde daher im Rahmen der Einzelfallentscheidung Nr. 8 bearbeitet. Am 21. März 2019 forderte der Monitor zudem Bewertungsbögen der Mitarbeiter an, die sowohl Gegenstand von bonusrelevanten Disziplinarfällen als auch der Bonusdurchsprachen waren. Diese Anfrage wurde unter der Einzelfallentscheidung Nr. 10 geführt. Am 19. März 2019 bestand der Monitor erneut auf die persönliche Teilnahme an verschiedenen Bonusdurchsprachen. Die Einzelfallentscheidungsprozesse Nr. 8 und Nr. 10 wurden in einer gesammelten Einzelfallentscheidung als Grundsatzentscheidung, der Einzelfallentscheidung Nr. 11, zusammengeführt. Im Rahmen der Einzelfallentscheidung Nr. 11 vom 22. März 2019 wurde entschieden, dass der Monitor an den Bonusdurchsprachen teilnehmen dürfe und ihm die angeforderten Unterlagen zur Vorbereitung, unter anderem die Listen mit Disziplinarfällen, offengelegt werden würden.
Im Rahmen der Bonusdurchsprachen, an denen der Monitor teilnahm, wurden die Daten der Mitarbeiter, die von einer Kürzung des persönlichen Leistungsbonus betroffen waren, unter Verwendung eines Pseudonyms offengelegt. Bei regulären Bonusdurchsprachen, die keine Leistungskürzung zum Gegenstand hatten, wurden die (Klar-)Namen der Beschäftigten mitgeteilt. Der Monitor hatte vor Beginn der Bonusdurchsprachen zugesichert, keine Mitschriften anzufertigen. Bonusdurchsprachen fanden in Anwesenheit des Monitors am 1. April 2019, 11. April 2019, 23. April 2019 und 30. April 2019 statt. Die vom Monitor angeforderten Unterlagen zur Vorbereitung seiner Teilnahme an den Bonusdurchsprachen, die ihm in einer "read-only"-Fassung zur Einsicht gegeben wurden, enthielten unter anderem Angaben zu dienstlichen Defiziten und Pflichtverletzungen sowie arbeitsrechtlichen Maßnahmen, die gegenüber den jeweils Betroffenen ergriffen wurden. Dabei wurden keine Klarnamen der betroffenen Beschäftigten angegeben, sondern es wurden entweder die Nummern von 1 bis 24 oder die Bezeichnungen "Employee 1" bis "Employee 36" verwendet. Dem Monitor wurden keine Aufstellungen ausgehändigt, durch die er die hinter diesen Nummern oder Bezeichnungen stehenden Personen hätte identifizieren können.
Unter der Aufsicht des Monitors und in Erfüllung seiner Empfehlungen führte die Klägerin ein neues Compliance- und Ethik-Programm ein. Dabei sollten unter anderem weitere Compliance-Maßnahmen in bestehende Personalprozesse wie Einstellungsentscheidungen, Beförderungen, Entlohnung und Disziplinarmaßnahmen integriert werden. Auf entsprechende Anfragen des Monitors übermittelte die Klägerin ihm diesbezüglich Unterlagen, unter anderem fünf tabellarische Übersichten. Die Übersichten waren zunächst geschwärzt, insbesondere hatte die Klägerin die Angaben zum "Mitarbeiterkreis" (z.B. Management, Oberer-Management-Kreis, non-Management, etc.) unkenntlich gemacht. Der Monitor bat die Klägerin am 17. Januar 2020 darum, die ihm übermittelten Dokumente in ungeschwärzter Form zur Verfügung zu stellen. Er wollte insbesondere die Offenlegung der Angabe des Mitarbeiterkreises erreichen. Daraufhin führte die Klägerin am 24. Januar 2020 die Einzelfallentscheidung Nr. 27 durch und beschloss, die Anfrage des Monitors zu erfüllen. Diesbezüglich führte sie aus, dass der Monitor die Abläufe von Personalmaßnahmen anhand von tatsächlichen Fällen auswerten wolle. Hierzu sei erforderlich, dass er die Stammnummer einsehen könne. Andernfalls könne er die einzelnen Vorgänge mangels für ihn nachvollziehbarer Pseudonymisierung nicht nachvollziehen. Daraufhin erhielt der Monitor die von ihm angeforderten ungeschwärzten Listen. In den offengelegten Dokumenten wurde festgehalten, ob eine Selbstauskunft vom Betroffenen erfolgt war und ob sich hieraus Erkenntnisse ergaben. Ferner wurde angegeben, ob sich Erkenntnisse aus diversen Überprüfungen, wie beispielsweise der Überprüfung der Personalakte bezüglich Qualifikationen, Ausbildungen und Rechtsverstößen, sowie Abfragen, wie unter anderem Abfragen der "Group Security" oder des "Investigation Office", ergaben. Sofern dies der Fall war, wurde dies in der entsprechenden Tabelle notiert. Dabei wurden die Namen der Betroffenen durch die Verwendung ihrer jeweiligen Personalnummer, die bei der Klägerin als Stammnummer bezeichnet wird, ersetzt.
Zudem überprüfte der Monitor die Prozesse und Strukturen des Hinweisgebersystems der Klägerin. In diesem Zusammenhang forderte er eine Vielzahl von Dokumenten zu Prüffällen an. Im Rahmen der Einzelfallentscheidung Nr. 37 vom 27. März 2020 entschied die Klägerin, dem Monitor die von ihm angeforderten Datensätze aus dem Hinweisgebersystem zur Verfügung zu stellen. Diese Dokumente beschrieben unter anderem vorgeworfene Pflichtverletzungen einschließlich des relevanten Sachverhaltes sowie mögliche belastende und entlastende Umstände. Allerdings beschloss die Klägerin auch in diesem Fall, dem Monitor nicht die Klarnamen der betroffenen Beschäftigten zu übermitteln. Im Rahmen der Einzelfallentscheidung führte sie aus, dass nur eine Pseudonymisierung in Betracht komme, weil der Monitor mitgeteilt habe, "dass er durch eine Anonymisierung (Schwärzung) der Namen an der Ausübung seines Mandats gehindert" sei. Daher beschloss die Klägerin, die Namen von Beschuldigten, Hinweisgebern, Zeugen und Vorgesetzten jeweils durch Pseudonyme zu ersetzen. Diesbezüglich wurden die Begriffe "Subject", "Whistleblower", "Witness" und "Supervisor of Subject" gewählt. Sofern mehrere Personen einer Gruppe in einem Dokument genannt wurden, wurden die entsprechenden Begriffe nummeriert (z.B. Subject 1, Subject 2., etc.). Weitergehende Angaben zu den Betroffenen wurden geschwärzt wie zum Beispiel "Geschäftsführer einer bestimmten Gesellschaft". In dem Fall einer schwangeren Mitarbeiterin, die wegen vermeintlich unangemessener Behandlung durch ihren Vorgesetzten Beschwerde eingereicht und dieser Beschwerde ein ärztliches Attest beigefügt hatte, wurden dem Monitor Informationen in Bezug auf die Schwangerschaft der Mitarbeiterin übermittelt. Dem Dokument, in dem der Name der Mitarbeiterin durch den Begriff "Whistleblower" ersetzt ist, ist beispielsweise zu entnehmen, dass sie bereits zwei Fehlgeburten erlitten hat.
Darüber hinaus überprüfte der Monitor den betriebsinternen Umgang mit Pflichtverletzungen von Mitarbeitern. Diesbezüglich wollte er nachvollziehen, ob es bei Vorwürfen von Pflichtverletzungen zu Sitzungen des Disziplinarkomitees bzw. des Personalausschusses gekommen ist und ob die Vorgänge ordnungsgemäß dokumentiert und listenmäßig erfasst wurden. Zur Umsetzung einer ordnungsgemäßen Compliance-Organisation führte die Klägerin zwei Listen, in denen das Fehlverhalten von Beschäftigten des Management-Kreises sowie des oberen Management-Kreises (Liste 1) und des Top-Management-Kreises sowie von Mitgliedern des Vorstands (Liste 2) erfasst wurden. Die Namen der betroffenen Personen wurden nicht angegeben, sondern ersetzt. Mit Anfrage vom 13. Mai 2020 bat der Monitor um Offenlegung der entsprechenden Dokumente, um die Wirksamkeit der internen Dokumentation zu überprüfen. Mit der Einzelfallentscheidung Nr. 38 vom 14. Mai 2020 beschloss die Klägerin, die folgenden mit den Personalnummern der betroffenen Mitarbeiter verbundenen Informationen dem Monitor offenzulegen: zunächst das Datum der Sitzung des Disziplinarkomitees bzw. des Personalausschusses, ferner die Information, ob die Betroffenen in einer der genannten Liste aufgeführt sind, und ob das Vier-Augen-Prinzip gewahrt wurde sowie der Nachweis der Dokumentation der Pflichtverletzung, falls es sich um eine "other regulatory violation" handelte.
Im Rahmen der Einzelfallentscheidungen Nrn. 27, 37 und 38 wurden dem Monitor die Namen der betroffenen Beschäftigten nicht offengelegt. Auch wurden dem Monitor keine sonstigen Unterlagen oder Informationen übermittelt, durch die er die hinter der Personalnummer oder dem verwendeten Begriff stehenden Personen hätte identifizieren können. Entsprechende Anfragen stellte er nicht.
Ferner bat der Monitor die Klägerin um weitere Informationen bezüglich ihres Hinweisgebersystems, um zu überprüfen, ob die Hinweisgeberstrukturen hinreichend effektiv waren. Er wollte dazu insbesondere nachvollziehen, welche Mitarbeiter mit der Bearbeitung von Hinweisen betraut waren und bat um Weitergabe der Klarnamen. Dem kam die Klägerin am 15. Januar 2020 nach. Die übermittelten Unterlagen enthielten auch weitere Informationen über die einzelnen Mitarbeiter wie Informationen zur Ausbildung, Berufserfahrung, Trainings, Qualifikationen, Zertifizierungen und sonstige relevante Erfahrungen der Betroffenen. Unter "other relevant experience" wurde bei einem Mitarbeiter angegeben, dass er in der Freiwilligen Feuerwehr sei. Ein anderer Mitarbeiter sei Kampfkunst-Experte ("Martial Arts Specialist").
Um das Monitorship erfolgreich abschließen zu können und zu überprüfen, ob die unter der Aufsicht des Monitors entwickelten Compliance-Strukturen hinreichend effektiv und belastbar waren, forderte der Monitor eine Überprüfung der nach seinen Anforderungen eingeführten sowie geänderten Compliance-Regeln. Die Klägerin führte daraufhin entsprechend den Vorgaben des Monitors bestimmte Prüfungen durch (sog. Testing) und dokumentierte die Ergebnisse in Prüfprotokollen (sog. Testing-Dokumente). Anhand der Testing-Dokumente kontrollierte der Monitor, ob die Klägerin die neu eingeführten sowie geänderten Compliance-Regeln einhält bzw. eingehalten hat.
Zur Übermittlung der Testing-Dokumente richtete die Klägerin den sog. Fast Lane-Prozess ein. Hierbei handelte es sich um einen gesonderten und beschleunigten Prozess zur ausschließlichen Übermittlung der Testing-Dokumente an den Monitor per E-Mail, der von August 2019 bis Juli 2020 genutzt wurde. Für den Fast Lane-Prozess wurden für den Monitor und sein Team E-Mail-Adressen unter der Domain "@N. monitor.com" eingerichtet. Das Hosting wurde durch P. übernommen. Die E-Mails im Rahmen von Fast Lane wurden mit einer Transportverschlüsselung an den Monitor verschickt. Zum Einsatz kam die Transportverschlüsselung TLS 1.2 in Kombination mit "Perfect Forward Secrecy". Eine Ende-zu-Ende-Verschlüsselung wurde nicht eingerichtet. Der Fast Lane-Prozess wurde von August 2019 bis Juli 2020 genutzt. Dabei verwendete die Klägerin ihn insgesamt 589 Mal. Über Fast Lane wurden dem Monitor 1.202 Dokumente übermittelt.
Für das Testing führte die Klägerin sog. Testing-Tabellen. Sie bezogen sich auf mögliche Feststellungen im Rahmen der Integritätschecks für Führungskräfte und Hintergrundprüfungen. Anhand dieser Testing-Dokumente konnte der Monitor überprüfen, ob die Klägerin seine Empfehlungen zur Verbesserung ihrer Compliance-Strukturen angemessen umgesetzt hat. Beispielsweise kontrollierte er stichprobenartig, ob bei der Durchführung des sog. Integritätschecks und den sonstigen Hintergrundprüfungen die einschlägigen gesetzlichen und internen Vorgaben eingehalten wurden. Bei diesen Integritätschecks und Hintergrundprüfungen handelte es sich um Kontrollen der Klägerin, ob mögliche Verdachtsmomente gegen einzelne Mitarbeiter oder Bewerber (etwa im Rahmen von Beförderungs- und Einstellungsprozessen) nach Maßgabe der internen Richtlinien und Prozesse aufgeklärt und - soweit geboten - geahndet wurden. Geprüft wurde auch, ob gegen Mitarbeiter gegebenenfalls Sanktionen verhängt wurden wie beispielsweise eine Kündigung oder die Zurückstellung im Beförderungsprozess.
Die Tabellen wurden während des betreffenden Testings fortlaufend geführt, täglich aktualisiert und dem Monitor und seinem Team zur Verfügung gestellt. Vor der Übermittlung der einzelnen Dokumente wurden sie unter anderem im Hinblick auf den Datenschutz geprüft. Falls erforderlich schwärzte die Klägerin nach den Vorgaben des Redaction Guides.
In den Testing-Tabellen wurden ausschließlich die Personalnummern der überprüften Beschäftigten hinterlegt, nicht deren Klarnamen. Mit Klarnamen waren hingegen die Mitarbeiter vermerkt, die mit der Durchführung der Testings betraut waren.
In einer Tabelle hielt die Klägerin ihre Überprüfung fest, ob im Falle von Feststellungen beim Integritätstest für Führungskräfte der Prozess, der die Beteiligung des aus drei Vorstandsmitgliedern bestehenden Review Committee beinhaltet, durchgeführt worden war. Dabei wurden mehrere Beförderungsrunden und externe Bewerbungen überprüft. Insgesamt wurden 186 Personen getestet. Die Personalnummern der betroffenen Mitarbeiter wurden jeweils angegeben, nicht jedoch deren Klarnamen. Vermerkt wurde außerdem unter anderem das Datum der Hintergrundprüfung, ob es zu Erkenntnissen gekommen war, ob das Review Committee durchgeführt wurde und ob das Review Committee Empfehlungen ausgesprochen hat, wie das Review Committee zusammengesetzt war, ob dessen Empfehlungen in der Personalakte dokumentiert wurden, ob die Entscheidung des Personalausschusses im Einklang mit den Empfehlungen stand sowie ob der Kandidat eingestellt oder befördert wurde. Aus den Testing-Tabellen geht unter anderem hervor, dass bei dem Beschäftigten mit der Personalnummer Q. im Rahmen eines Beförderungsverfahrens zum Top-Management-Kreis Erkenntnisse bei einer durchgeführten Hintergrundprüfung gefunden wurden. Das Review Committee empfahl, die Beförderung aufzuschieben aufgrund laufender Ermittlungen. Das Dokument enthält den Vermerk, dass nicht befördert wurde. Ferner geht aus der entsprechenden Testing-Tabelle hervor, dass im Rahmen eines Beförderungsverfahrens zum Top-Management-Kreis bei der Hintergrundprüfung des Beschäftigten mit der Personalnummer R. Erkenntnisse gefunden wurden. Auch diesbezüglich wurde vermerkt, dass die Beförderung aufgeschoben wurde und im Ergebnis nicht erfolgte.
Darüber hinaus hielt die Klägerin ihre Überprüfung, ob die für die Bewerbungen und Beförderungen für bestimmte Management-Ebenen vorgeschriebenen Integritätstests durchgeführt wurden, in einer weiteren Tabelle fest, die dem Monitor über den Fast Lane-Prozess übermittelt wurde. In dem der Tabelle zugrunde liegenden Testing wurde eine repräsentative Stichprobe von Bewerbungen und Beförderungen aus bestimmten Management-Ebenen überprüft. In der Tabelle wurde unter anderem vermerkt, dass sich bei den Beschäftigten mit den Personalnummern Q. und R., die eine Beförderung zum Top-Management-Kreis angestrebt hatten, bei diversen Abfragen Erkenntnisse ergaben und keine Beförderung erfolgte. Ferner wurde aufgeführt, dass die Beschäftigten mit den Personalnummern S., T. und U. am Standort F. im Rahmen der angestrebten Beförderung zum Brand Board Member überprüft wurden. Die Abfrage "Dienstleister" ergaben zwar Treffer; die Beförderungen wurden aber durchgeführt. Darüber hinaus wurde festgehalten, dass der Integritätstest bei Beförderungen zum Management-Kreis oder zum Oberen Management-Kreis ebenfalls bei einzelnen Abfragen Erkenntnisse vorbrachte, die Beförderungen aber trotzdem erfolgten.
In einer weiteren Tabelle hielt die Klägerin die Ergebnisse der Überprüfung, ob bestätigtes Fehlverhalten von Beschäftigten dokumentiert und bewertet wurde, fest. Im Rahmen des Testings wurde insbesondere geprüft, ob angemessene Prozesse und Kontrollen bestanden, um zu verifizieren, dass die Mitarbeitergruppe mit bestätigtem Fehlverhalten vollständig und richtig war. Beispielsweise wurde kontrolliert, ob die Vollständigkeit der entsprechenden Liste zum Fehlverhalten von Mitarbeitern im Vier-Augen-Prinzip geprüft wurde. 32 Personen aus dem oberen Management-Kreis sowie dem Management-Kreis wurden getestet. In der Testing-Tabelle sind jeweils die Personalnummern, nicht aber die Klarnamen angegeben. Darüber hinaus wurden 26 Personen aus dem Board of Management und Top-Management-Kreis geprüft. Das Datum der Sitzung des Disziplinarkomitees sowie der Eintrag in der entsprechenden Liste und die Kontrollen nach dem Vier-Augen-Prinzip wurden festgehalten. Die Personalnummern der betroffenen Personen wurden ohne Namensnennung angegeben. Beispielsweise wurde in dem entsprechenden Testing-Dokument festgehalten, dass dem Beschäftigten mit der Personalnummer V. aus dem oberen Management-Kreis fristlos gekündigt worden war.
Am 13. August 2019 schloss die Klägerin zudem eine weitere Verwaltungsvereinbarung mit der EPA, um die in Bezug auf die Diesel-Thematik laufenden Rechtsstreitigkeiten mit der EPA, insbesondere das Verfahren zum Ausschluss der Klägerin von der Teilnahme an öffentlichen Ausschreibungen in den USA, vorläufig zu beenden. Gegenstand der Vereinbarung war unter anderem die Durchführung der sog. EPA-Auditierung, welche von August 2019 bis August 2022 andauerte. Die EPA-Auditierung war darauf ausgerichtet, das interne Compliance-Management-System der Klägerin fortzuentwickeln und die bestehenden Compliance-Strukturen auf ihre Effektivität zu überprüfen. Dazu zählten unter anderem die Bereitstellung eines Hinweisgebersystems und die Einführung eines Verhaltenskodex zur anonymen Meldung möglicher Rechtsverstöße. Die Prüfmaßnahmen zielten darauf ab, vergleichbare Vorfälle wie die Diesel-Thematik in Zukunft zu vermeiden. Es wurde ein EPA-Auditor eingesetzt. Als Auditor wurde ein Partner einer Wirtschaftsprüfungsgesellschaft ausgewählt. Zu seinen Hauptaufgaben zählten neben der Überwachung der Erfüllung der in der Verwaltungsvereinbarung mit der EPA niedergelegten Bedingungen die Überprüfung und Bewertung der internen Compliance-, Berichts- und Kontrollsysteme sowie der zu deren Stärkung ergriffenen bzw. zu ergreifenden Maßnahmen. Zudem war er verpflichtet, der US-Regierung über die Umsetzung der Bedingungen durch die Klägerin zu berichten. Seine Tätigkeiten ähnelten der des Monitors, waren vom Umfang her aber begrenzter.
Die geschlossene Vereinbarung stand unter der Bedingung, dass die Klägerin die darin geregelten Auflagen vollständig erfüllen muss. Andernfalls wären die ruhend gestellten Verfahren wiederaufgenommen worden.
Auch der EPA-Auditor durfte nach der Verwaltungsvereinbarung von der Klägerin die Übermittlung von Dokumenten verlangen und stellte auch entsprechende Dokumentenanforderungen. Die Klägerin prüfte - wie beim Monitorship - die Anfragen des EPA-Auditors. In den Dokumenten, die an den EPA-Auditor übermittelt wurden, wurden grundsätzlich folgende Daten geschwärzt: sämtliche Kontaktdaten, Mitarbeiternamen in Organigrammen, Inhalte privater Natur, die Namen Dritter und von Personen, die nicht im Zusammenhang mit dem Inhalt des jeweiligen Dokuments standen, Angaben über Arbeitszeiten, Bilder (soweit nicht öffentlich verfügbar), Gehaltsangaben, Angaben über Disziplinarmaßnahmen, Unterschriften ohne Beweiswert und sämtliche besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO. Der EPA-Auditor sollte umgekehrt grundsätzlich nur Namen, Positionsbeschreibungen und öffentlich zugängliche Bilder sowie Angaben aus Protokollen und über die Teilnehmer an Sitzungen erhalten. Die Übermittlung von darüberhinausgehenden Daten bedurften einer Einzelfallentscheidung. Die Datenschutzerklärung "Zusammenarbeit mit dem EPA-Auditor", welche überwiegend im Präteritum oder Perfekt formuliert wurde, enthielt folgende Angaben:
"Im Rahmen des EPA-Auditorships hat die M. AG dem EPA-Auditor verschiedene Dokumente und Informationen zu unternehmensinternen Compliance-Prozessen zur Verfügung gestellt. Im Rahmen eines Freigabe- und Prüfungsprozesses wurden grundsätzlich nur geschwärzte Dokumente und Informationen an den EPA-Auditor übermittelt, die keine direkte Identifizierung von individuellen Personen erlauben und somit nicht unmittelbar personenbezogen sind. In Einzelfällen wurden aber auch nicht geschwärzte Dokumente und Informationen an den EPA-Auditor übermittelt [...].
Dies vorausgeschickt, werden im Rahmen der oben genannten Prozesse folgende Kategorien von personenbezogenen Daten verarbeitet:
Berufliche Kontakt- und (Arbeits-)Organisationsdaten (z.B. Name, Vorname, Unterschrift, dienstliche Anschrift, dienstliche E-Mail-Adresse und Telefonnummer, Personalnummer, Gesellschaft, Fachbereich, Kostenstelle)
Daten zu persönlichen/beruflichen Verhältnissen und Merkmalen (z.B. Familienstand, Geschlecht, Berufsbezeichnung, beruflicher Werdegang, Dauer der Werkszugehörigkeit, ausgeübte Tätigkeiten, Qualifikationen, Bewertungen).
[...]
Der EPA-Auditor, an den in bestimmten Fällen personenbezogene Daten von betroffenen Personen übermittelt wurden, hat seinen Sitz in den USA."
Die Klägerin schloss mit dem EPA-Auditor eine Vertraulichkeitsvereinbarung. Sie sah insbesondere vor, dass die im Rahmen der EPA-Auditierung erhobenen Daten ausschließlich für die Zwecke der EPA-Auditierung verwendet werden dürfen.
In der Mitteilung "Verwaltungsvereinbarung mit der US-Umweltschutzbehörde EPA abgeschlossen" vom 28. August 2019 gaben die Vorstandsmitglieder Dr. W. und Dr. X. den Abschluss der Verwaltungsvereinbarung, die Hintergründe der EPA-Auditierung und die geplante Zusammenarbeit mit dem EPA-Auditor bekannt. Die Mitteilung wurde bei "360° M. Net" eingestellt. "360° M. Net" wurde von der Klägerin im Jahr 2019 als gruppenweites Intranet und zentrale interne Kommunikationsplattform für Beschäftigte eingeführt. Die Klägerin nutzte diese im Jahr 2019 sukzessive eingeführte Kommunikationsplattform wie bisher "Group Connect" unter anderem für die zentrale Bereitstellung von Informationen für die Belegschaft.
In der Mitteilung vom 28. August 2019 hieß es unter anderem:
"Die neue Vereinbarung verlangt in erster Linie die weitere Einhaltung der Bedingungen unserer schon bestehenden Vergleiche in den USA sowie Schritte, die sich größtenteils mit unseren bereits bestehenden Aktivitäten decken. Dazu gehört zum Beispiel eine Fortsetzung der Schulungen zum Verhaltenskodex und die Verwendung unseres Whistleblowersystems.
Die Vereinbarung sieht auch die Beauftragung eines unabhängigen EPA-Prüfers zur Überwachung ihrer Einhaltung sowie die Abgabe eines jährlichen Compliance Reports an die EPA vor. Als unabhängiger Prüfer wurde Y. vom US-amerikanischen Unternehmen Z. eingesetzt. Diese Verwaltungsvereinbarung ist getrennt von unseren schon bestehenden Vergleichen mit den US-Behörden aus dem Jahr 2017 und hat keinen Einfluss auf das laufende Monitorship.
Wie bei allen unseren regulatorischen Verpflichtungen ist jede Mitarbeiterin und jeder Mitarbeiter verpflichtet, die Verwaltungsvereinbarung ebenso einzuhalten wie alle anderen gesetzlichen Vorschriften, Verordnungen, Unternehmensrichtlinien und Arbeitsanweisungen.
Wir werden in vollem Umfang mit dem EPA-Prüfer kooperieren und alle dazu notwendigen Schritte unternehmen. Er wird vom Team von AA. und den vergleichbaren Teams der anderen Marken in seiner täglichen Arbeit unterstützt, die Kolleginnen und Kollegen von AA. werden - ähnlich wie im Monitorship, auf die jeweils involvierten Fachbereiche zukommen. Wir bitten um deren vollumfängliche Unterstützung."
Die Verwaltungsvereinbarung war in englischer Sprache dem Artikel im Intranet beigefügt. Für den Beitrag im Intranet ist als "Besucherzähler" die Zahl 462 vermerkt.
Der EPA-Auditor stellte die ersten Dokumentenanforderungen am 4. März 2020. Die ersten Dokumente wurden ihm ab dem 13. März 2020 übersandt. Bis zum 29. September 2020 übermittelte die Klägerin dem EPA-Auditor etwa 689 Dokumente. Am 27. August 2021 ließ sie ihm auf entsprechende Anfrage beispielsweise eine pseudonymisierte Liste der Beschäftigten "at AB. SE, AC." zukommen.
Die Klägerin sandte den von der Offenlegung ihrer Daten betroffenen 234 Beschäftigten am 15. August 2022 die Datenschutzerklärung "Zusammenarbeit mit EPA-Auditor" (nachfolgend: EPA-Datenschutzerklärung) per E-Mail zu. Zuvor wurde die EPA-Datenschutzerklärung bereits mit EMail vom 23. Februar 2022 an einen Mitarbeiter versendet und ihm wurde mitgeteilt, dass pseudonymisierte personenbezogene Daten an den EPA-Auditor übermittelt werden würden.
Bereits mit Schreiben vom 24. November 2021 bat der Beklagte die Klägerin im Prüfverfahren zur EPA-Auditierung um Vorlage eines Verarbeitungsverzeichnisses, insbesondere im Hinblick auf technisch-organisatorische Maßnahmen. Ein Verarbeitungsverzeichnis wurde für die EPA-Auditierung am 15. Dezember 2021 von der Klägerin erstellt, das den Namen "EPA Auditorship" trägt. Als Zweck der Verarbeitungstätigkeiten wurde die "Erfüllung der Verpflichtungen aus dem EPA Administrative Agreement" angegeben. In der Rubrik "Empfänger in Drittländern" wurden unter anderem AD. (AE.) und AF. (AG.) aufgeführt. Als Drittländer, an die personenbezogene Daten übermittelt wurden, wurde unter anderem auch der Staat AG. angegeben. Die Anzahl der von den Verarbeitungstätigkeiten betroffenen Personen wurde mit 1.000 bis 10.000 beziffert. Im Rahmen des Monitorships hatte die Klägerin bereits am 14. Februar 2020 ein Verarbeitungsverzeichnis mit dem Titel "Monitorship M. _N. AG Verantwortlicher" erstellt. Die "Verteidigung von Rechtsansprüchen durch die Koordination von Monitoranfragen inkl. Bereitstellung von angefragten Informationen" wurde als Zweck der Verarbeitungstätigkeiten angegeben, die Anzahl der von Verarbeitungstätigkeiten betroffenen Personen wurde mit 10.000 bis 100.000 beziffert.
Nach entsprechender Anhörung erließ der Beklagte gegenüber der Klägerin mit Bescheid vom 26. Juni 2023 fünf datenschutzrechtliche Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO (Buchstaben A bis E) und erlegte ihr die Kosten des Verfahrens auf.
Unter dem Buchstaben A sprach der Beklagte gegenüber der Klägerin eine Verwarnung nach Art. 58 Abs. 2 Buchst. b DSGVO aus, weil die Klägerin dem Monitor im Februar 2019 in F. eine ausgedruckte Liste mit Klarnamen von 22 aktuellen und ehemaligen Mitarbeitern mit "direct knowledge" zum Fehlverhalten im Rahmen der Diesel-Thematik ausgehändigt hat. Der Beklagte begründete die Verwarnung damit, dass die Klägerin durch die Aushändigung der Liste gegen Art. 6 Abs. 1 und Art. 5 Abs. 1 Buchst. a DSGVO verstoßen habe, da sie ohne Rechtsgrundlage Beschäftigtendaten zu anderen Zwecken als zur Durchführung des Beschäftigungsverhältnisses weiterverarbeitet habe. Insbesondere könne die Preisgabe der Daten wegen der Zweckänderung nicht auf § 26 BDSG gestützt werden. § 26 BDSG beruhe auf Art. 88 Abs. 1 DSGVO, der die Datenverarbeitung im Beschäftigungskontext betreffe. Die Offenlegung personenbezogener Beschäftigtendaten im Rahmen des Monitorships falle nicht unter die Umschreibung der Zwecke in Art. 88 Abs. 1 und 2 DSGVO und sei jedenfalls nicht dem Beschäftigungskontext zuzuordnen. Unabhängig von der Frage, ob Compliance-Maßnahmen dem Begriff der "Organisation der Arbeit" (vgl. Art. 81 Abs. 1 DSGVO) und damit dem Beschäftigungskontext unterfallen würden, sei das Monitorship keine eigene Maßnahme der Compliance-Organisation. Denn die Offenlegung sensibler Beschäftigtendaten an einen im Auftrag eines Drittstaats arbeitenden Monitor zur Erfüllung einer zwischen der Klägerin und den Behörden eines Drittstaates geschlossenen Vereinbarung stelle auch nach objektiver Betrachtung keinen üblicherweise mit einem Beschäftigungsverhältnis verbundenen Vorgang und keine Maßnahme der Compliance-Organisation dar, mit denen die betroffenen Beschäftigten hätten rechnen müssen. Eine Datenverarbeitung "zum Schutze des Eigentums des Arbeitgebers" im Sinne des Art. 88 Abs. 1 DSGVO scheide vorliegend auch aus, da es eine extensive Auslegung sei, wenn Beschäftigtendaten zum Schutz des Verantwortlichen vor Sanktionen und Strafzahlungen noch hierunter gefasst werden würden. Die "Zusammenarbeit mit ausländischen Stellen und Behörden" sei gerade nicht als eigene Fallgruppe in Art. 88 Abs. 1 DSGVO genannt. Im Übrigen habe der deutsche Gesetzgeber für die Aufdeckung von Straftaten mit § 26 Abs. 1 S. 2 BDSG eine Sondernorm geschaffen.
Die Behauptung der Klägerin, es sei zu keiner Zweckänderung gekommen, überzeuge auch vor dem Hintergrund nicht, dass in der in das Intranet eingestellten Monitor-Datenschutzerklärung darauf hingewiesen werde, dass personenbezogene Daten auf der Grundlage von Art. 6 Abs. 1 Buchst. f DSGVO übermittelt werden würden. Wenn keine Zweckänderung eingetreten wäre, dann hätte die Klägerin in ihrer Mitteilung die falsche Rechtsgrundlage angegeben.
Da die Offenlegung der Liste eine Verarbeitung zu einem anderen Zweck als dem des Beschäftigungsverhältnisses darstelle, sei eine Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO gegeben. Art. 6 Abs. 4 DSGVO setze voraus, dass der andere Zweck mit dem ursprünglichen Zweck vereinbar sei. Darüber hinaus müsse die zweckändernde Verarbeitung auf einer Rechtsgrundlage beruhen.
Die Betriebsvereinbarungen kämen vorliegend nicht als Rechtsgrundlage in Betracht. Weder die Konzernbetriebsvereinbarung Nr. 01/2017 noch die Betriebsvereinbarung Nr. 03/18 seien taugliche Rechtsgrundlagen. Denn beide würden keine Regelungen enthalten, die eine Offenlegung personenbezogener Beschäftigtendaten durch die Klägerin an den Monitor beinhalte.
Die Weiterverarbeitung könne auch nicht auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden. Diesbezüglich habe die Klägerin nicht nachweisen können, dass sie eine fehlerfreie Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO vorgenommen habe. Sie habe bei der Interessenabwägung offensichtlich wesentliche Abwägungskriterien nicht einbezogen. Bei einer ordnungsgemäßen Ermittlung der Interessen und Rechte hätte die Klägerin die vernünftigen Erwartungen der Betroffenen mit "direct knowledge", differenziert danach, ob gegen diese bereits in den USA Ermittlungsverfahren gelaufen wären oder nicht, auf der einen Seite und die vernünftigen Erwartungen der Betroffenen ohne "direct knowledge" einbeziehen und gewichten müssen. Außerdem hätte sie die Erwartungen der Person berücksichtigen müssen, die ihren Dienstort in den USA habe. Ferner sei einzubeziehen gewesen, dass die Offenlegung bei etwaigen Dienstreisen in die USA Folgen haben könnte. Einfluss auf die Abwägung hätten auch Informationen über beabsichtigte Reisen in die USA zu familiären Zwecken gehabt. Darüber hinaus seien wesentliche Abwägungskriterien falsch gewichtet worden wie beispielsweise die Annahme eines geringen Risikos strafrechtlicher Verfolgung in den USA für die auf der Liste genannten Mitarbeiter. Aufgrund dieses Abwägungsdefizits habe die Klägerin nicht nachweisen können, dass die Voraussetzungen von Art. 6 Abs. 1 Buchst. f DSGVO erfüllt gewesen seien.
Im Rahmen seiner Ermessenserwägungen führte der Beklagte aus, dass ein Bußgeld nicht habe verhängt werden können, da davon auszugehen sei, dass die Ordnungswidrigkeit verjährt sei. Wegen des dargestellten Verstoßes habe er sich jedoch dazu entschieden, eine Verwarnung auszusprechen, die verhältnismäßig sei.
Unter dem Buchstaben B stellte der Beklagte fest, dass die Klägerin gegen Art. 13 Abs. 3 DSGVO verstoßen habe, weil sie in mehreren Fällen personenbezogene Daten zu einem anderen Zweck als dem Erhebungszweck weiterverarbeitet und die Betroffenen vor der Weiterverarbeitung nicht nach Art. 13 Abs. 3 DSGVO informiert habe. Konkret stellte der Beklagte auf folgende Fälle ab:
Die Klägerin habe die Betroffenen nicht vorab darüber informiert, dass sie dem Monitor auf der Grundlage der Einzelfallentscheidung Nr. 06.1 vom 1. März 2019 eine um ihre Namen ergänzte Liste mit aktuellen und ehemaligen Mitarbeitern mit "direct knowledge" zum Diesel-Fehlverhalten offengelegt habe.
Ohne vorherige Information habe die Klägerin dem Monitor auf der Grundlage der Einzelfallentscheidung Nr. 11 bei Bonusdurchsprachen, die einen gekürzten persönlichen Leistungsbonus zum Gegenstand gehabt hätten, das Pseudonym und den Bonus sowie bei regulären Bonusdurchsprachen, die keine Leistungskürzung zum Gegenstand gehabt hätten, die Namen von den Beschäftigten und den Bonus offengelegt. Ferner habe sie ohne entsprechende Information im Zusammenhang mit Bonusdurchsprachen pseudonymisierte Listen mit Disziplinarfällen übermittelt. Ebenso wenig habe die Klägerin die Betroffenen darüber informiert, dass sie dem Monitor zur Vorbereitung der Bonusdurchsprachen Unterlagen zur Verfügung gestellt habe, aus denen Disziplinarfälle hervorgegangen und unter anderem der Gegenstand der Pflichtverletzung, die ergriffene Maßnahme sowie Gehaltskorridore durch Angaben des Mitarbeiterkreises aufgelistet gewesen seien.
Ferner habe die Klägerin nicht darüber informiert, dass sie dem Monitor auf der Grundlage der Einzelfallentscheidung Nr. 27 Unterlagen mit personenbezogenen Daten offenlegen werde, insbesondere die Personalnummer, den Mitarbeiterkreis, die Angabe einer Beförderung in diese "Mitarbeiterkreise", das Datum des Arbeitsvertrags oder das Einstiegsdatum, Informationen zu einer lntegritätsklausel, zu Hintergrundprüfungen, zum Umgang mit Pflichtverletzungen und Angaben über Abweichungen vom Einstellungsprozess sowie Angaben zur Genehmigung von Abweichungen beim Einstellungsprozess.
Ohne vorherige Information der Betroffenen habe die Klägerin dem Monitor ferner auf der Grundlage der Einzelfallentscheidung Nr. 37 Nachrichten aus dem Hinweisgebersystem mit personenbezogenen Daten offengelegt, insbesondere Pseudonyme von Beschuldigten, Hinweisgebern und Zeugen. Ferner sei auch mitgeteilt worden, dass eine Beschäftigte schwanger sei.
Darüber hinaus habe die Klägerin die Betroffenen nicht darüber informiert, dass sie dem Monitor auf der Grundlage der Einzelfallentscheidung Nr. 38 Dokumente offenlegen werde mit Daten wie der Personalnummer, dem Datum der Sitzung des Disziplinarkomitees bzw. des Personalausschusses, den Informationen, ob die betroffenen Mitarbeiter in einer Liste enthalten seien und das Vier-Augen-Prinzip gewahrt worden sei, sowie dem Nachweis der Dokumentation der Pflichtverletzung im Dokumentenmanagementsystem, falls es sich um eine "other regulatory violation" gehandelt habe.
Zudem habe sie wegen der übermittelten Testing-Tabellen gegen Art. 13 Abs. 3 DSGVO verstoßen, denn sie habe die Betroffenen hierüber zuvor nicht informiert.
Zuletzt habe die Klägerin gegen Art. 13 Abs. 3 DSGVO verstoßen, weil sie dem Monitor am 15. Januar 2020 zwei Dokumente mit personenbezogenen Daten von Beschäftigten offengelegt habe, die Hinweise im internen Hinweisgebersystem der Klägerin bearbeiten würden, ohne die Betroffenen hierüber vorab zu informieren. Die Dokumente hätten insbesondere Vor- und Nachname, Berufserfahrung, Trainings, Qualifikationen, Zertifizierungen und sonstige relevante Erfahrungen der Betroffenen sowie in zwei Fällen den Zusatz enthalten, dass ein Betroffener Mitglied der Freiwilligen Feuerwehr und ein anderer Betroffener Kampfkunst-Experte sei.
In allen Fällen habe die Klägerin den Betroffenen nicht die maßgeblichen Informationen nach Art. 13 Abs. 3 DSGVO zur Verfügung gestellt. Dabei sei Art. 13 Abs. 3 DSGVO anwendbar, da auch die vorliegend teilweise pseudonymisierten Daten personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO seien, denn der Personenbezug sei erhalten geblieben. Für die Frage der Pseudonymisierung oder Anonymisierung sei entscheidend, ob irgendjemand den Bezug zu einer bestimmten Person herstellen könne. Die Klägerin sei jederzeit in der Lage gewesen, die Pseudonyme den einzelnen Beschäftigten zuzuordnen, da sie entweder die Stammnummer oder andere Kennnummern zur Pseudonymisierung verwendet habe. Unerheblich sei, dass der Monitor keinen unmittelbaren Zugriff auf den jeweiligen Zuordnungsschlüssel gehabt habe. Denn er hätte jederzeit die Offenlegung der Pseudonyme verlangen können. Die aufgeführten Datenverarbeitungen seien zu einem anderen Zweck als dem Erhebungszweck, der Durchführung des Beschäftigungsverhältnisses, erfolgt, weshalb Art. 13 Abs. 3 DSGVO einschlägig sei und die entsprechenden Informationen zur Verfügung gestellt werden müssten. Dem sei die Klägerin nicht nachgekommen. Sie habe die Betroffenen vor der Datenübermittlung nicht ausreichend informiert. Die von ihr zur Verfügung gestellten Informationen über das Monitorship seien unzureichend und zu pauschal gewesen. Insbesondere sei eine auf den Einzelfall bezogene Information nicht erfolgt. Ferner seien auch private Daten wie die Angabe der Mitgliedschaft in der Freiwilligen Feuerwehr oder der Kampfkunst-Expertise offengelegt worden, was jedoch laut der Monitor-Datenschutzerklärung auf keinen Fall hätte erfolgen sollen. Die Informationspflicht sei auch nicht anderweitig - beispielsweise durch die universelle Datenschutzerklärung, das Informationsschreiben vom 24. November 2017, die Konzernbetriebsvereinbarung Nr. 01/2017 und auch nicht durch die Teilnahme des Monitors an Betriebsversammlungen - erfüllt worden. Die Informationspflicht sei auch nicht nach § 32 Abs. 1 Nr. 4 oder Nr. 5 BDSG ausgeschlossen gewesen. Es sei nicht erkennbar, inwieweit die Information der Betroffenen über die zweckändernde Weiterverarbeitung die Ausübung oder Verteidigung rechtlicher Ansprüche der Klägerin beeinträchtigt hätte oder weshalb die Erfüllung der Informationspflichten die Kooperation mit dem Monitor gefährdet hätte.
Im Rahmen seiner Ermessenerwägungen habe er, der Beklagte, sich dazu entschieden, im Verwaltungsverfahren lediglich den Verstoß festzustellen und darüber hinaus von der in Erwägungsgrund 148 der DSGVO beschriebenen Möglichkeit Gebrauch zu machen und vorliegend ein Bußgeld zu verhängen, da nicht nur ein geringfügiger Verstoß gegeben sei. Ferner führte der Beklagte im Bescheid aus, dass er von der im Anhörungsschreiben in Erwägung gezogenen Verhängung einer Anordnung nach Art. 58 Abs. 2 Buchst. d DSGVO absehe, da eine nachträgliche Information knapp drei Jahre nach Abschluss des Monitorships nicht gleich geeignet wäre wie diejenige, die zum gesetzlich vorgeschriebenen Zeitpunkt hätte erfolgen müssen und der Wert der nachträglichen Informationen für die Betroffenen nicht unerheblich reduziert wäre.
Eine dritte Verwarnung sprach der Beklagte unter dem Buchstaben C aus. Die Klägerin habe gegen Art. 32 DSGVO verstoßen, weil sie beim Fast Lane-Prozess für die Übermittlung von sensiblen personenbezogenen Daten an den Monitor per E-Mail keine Ende-zu-Ende-Verschlüsselung eingerichtet, sondern sie ihm lediglich transportverschlüsselt per einfacher EMail geschickt habe. Die übermittelten personenbezogenen Beschäftigtendaten, die beispielsweise Hinweise auf Fehlverhalten oder arbeitsrechtliche Maßnahmen enthalten würden, seien mindestens der Schutzstufe D zuzuordnen. Nach dem von ihm, dem Beklagten, erarbeiteten Schutzkonzept würden solche Daten unter die Schutzstufe D fallen, die bei unsachgemäßer Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnten ("Existenz") und bei denen die Schwere eines möglichen Schadens "substantiell" sei. Im Hinblick auf die Eintrittswahrscheinlichkeit, die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen und den Implementierungsaufwand wäre es unter dem Gesichtspunkt der Datensicherheit erforderlich gewesen, eine Ende-zu-Ende-Verschlüsselung vorzusehen. Insbesondere sei das Sabotageinteresse Dritter, unter anderem von internationalen Wettbewerbern, im Kontext mit der Diesel-Thematik nicht zu gering einzuschätzen. Industriespionage wäre nicht unwahrscheinlich gewesen. Es sei sogar von einem erhöhten Angriffsinteresse wegen der medialen Berichterstattung über das Monitorship im Rahmen der Diesel-Thematik auszugehen. Ferner hätten potentielle Angreifer angesichts der eindeutigen EMail-Adresse "@N. monitor.com" wenig Aufwand betreiben müssen, um das konkrete Ziel ihres Angriffs zu identifizieren. Zudem könne die assoziierte Domäne des Monitors nicht per se als vertrauenswürdig eingestuft werden. Zwar habe die Pseudonymisierung einen gewissen Schutz geboten. Sie hätte aber nicht ausschließen können, dass Angreifer durch weitere Zusatzinformationen oder die Preisgabe des Zuordnungsschlüssels hätten herausfinden können, wer hinter den verwendeten Pseudonymen gestanden habe. Dies gelte insbesondere für die Bewerbungen zu Spitzenpositionen im Top-Management-Kreis oder zum Brand Board Member, weil es nur eine begrenzte Anzahl an Plätzen im Markenvorstand geben würde. Darüber hinaus seien der lmplementierungsaufwand und die Implementierungskosten für die Einrichtung einer Ende-zu-Ende-verschlüsselten E-Mail-Kommunikation äußerst gering.
Außerdem sprach der Beklagte unter dem Buchstaben D eine weitere Verwarnung gegenüber der Klägerin aus. Er warf der Klägerin vor, auch in der EPA-Auditierung gegen Art. 13 Abs. 3 DSGVO verstoßen zu haben, weil sie die Betroffenen - mit einer Ausnahme - im Rahmen der EPA-Auditierung vor der Weiterarbeitung ihrer personenbezogenen Daten weder über den Zweck der Verarbeitung informiert noch die anderen maßgeblichen Informationen nach Art. 13 DSGVO zur Verfügung gestellt habe.
Die Datenübermittlungen an den EPA-Auditor stellten eine zweckändernde Weiterverarbeitung von Beschäftigtendaten im Sinne von Art. 13 Abs. 3 DSGVO dar. Die von der Klägerin zur Verfügung gestellten Informationen würden nicht den Anforderungen des Art. 13 Abs. 3 DSGVO genügen. Die Mitteilung der Vorstandsmitglieder vom 28. August 2019 enthalte weder die Pflichtinformationen aus Art. 13 Abs. 2 DSGVO noch die Informationen aus dem ebenfalls maßgeblichen Art. 13 Abs. 1 DSGVO. Im Übrigen erscheine angesichts der Besucherzahlen von "462" fraglich, ob die Mitteilung im Intranet überhaupt geeignet gewesen sei, alle betroffenen Beschäftigten zu erreichen. Die Monitor-Datenschutzerklärung könne eine den Anforderungen des Art. 13 Abs. 3 DSGVO genügende Information im Zusammenhang mit dem EPA-Auditorship nicht ersetzen. Außerdem werde in der Mitteilung vom 28. August 2019 ausdrücklich darauf hingewiesen, dass die neue Verwaltungsvereinbarung getrennt von anderen Vergleichen zu sehen sei und keinen Einfluss auf das laufende Monitorship habe.
Die Informationspflicht sei auch nicht nach § 32 Abs. 1 Nr. 4 oder Nr. 5 BDSG ausgeschlossen gewesen. Es sei nicht erkennbar, inwieweit die Information der Betroffenen über die zweckändernde Weiterverarbeitung die Ausübung oder Verteidigung rechtlicher Ansprüche der Klägerin beeinträchtigt oder weshalb die Erfüllung der Informationspflichten die Kooperation mit dem EPA-Auditor gefährdet hätte.
Die Verhängung einer Verwarnung sei vorliegend angesichts der im Rahmen der Stichproben ermittelten Feststellungen die geeignete, erforderliche und angemessene Abhilfemaßnahme. Da im Rahmen der Stichprobe im Hinblick auf die Kategorien personenbezogener Daten keine Anhaltspunkte für einen schwerwiegenden Informationspflichtverstoß ermittelt worden seien, sei die Verhängung eines Bußgeldes nicht erforderlich und nicht angemessen. Ferner werde von der Verhängung einer Abhilfemaßnahme nach Art. 58 Abs. 2 Buchst. d DSGVO - anders als im Anhörungsschreiben angekündigt - abgesehen, da die EPA-Auditierung bereits abgeschlossen und zumindest nach Auswertung der Stichproben davon auszugehen sei, dass keine vergleichbar sensiblen personenbezogenen Daten wie beim Monitorship offengelegt worden seien.
Eine letzte Verwarnung sprach der Beklagte unter dem Buchstaben E aus. Er rügte, dass die Klägerin gegen Art. 30 Abs. 1 DSGVO verstoßen habe, weil sie im Zusammenhang mit der EPA-Auditierung vom 13. März 2020 bis zum 14. Dezember 2021 Verarbeitungstätigkeiten durchgeführt habe, ohne ein Verzeichnis von Verarbeitungstätigkeiten hierüber zu führen. Spätestens ab dem Zeitpunkt des Beginns von Verarbeitungstätigkeiten müsse ein solches Verzeichnis vorliegen oder ein bereits bestehendes Verzeichnis durch die neu hinzukommenden Verarbeitungstätigkeiten ergänzt werden. Die Datenübermittlungen an den EPA-Auditor seien entgegen der Annahme der Klägerin auch nicht hinreichend vom Verarbeitungsverzeichnis, das im Rahmen des Monitorships erstellt worden sei, abgedeckt. Dies ergebe sich unter anderem daraus, dass sich das mittlerweile erstellte Verarbeitungsverzeichnis für die EPA-Auditierung und das für das Monitorship erheblich unterscheiden würden. Beispielsweise würden die angegebenen Zwecke für die Datenverarbeitungen und die Beschreibung der Kategorien betroffener Personen, personenbezogener Daten sowie der Empfänger divergieren. Die Verwarnung sei im Hinblick auf die Schwere der Tat die geeignete, erforderliche und angemessene Abhilfemaßnahme. Das Absehen von einer Abhilfemaßnahme komme nicht in Betracht, da die Klägerin die Meinung vertrete, dass kein rechtswidriges Verhalten vorgelegen habe.
Die Kostengrundentscheidung begründete der Beklagte damit, dass die Klägerin durch ihre Datenverarbeitungen Anlass zu seiner Verwaltungshandlung gegeben habe.
Mit Bescheid vom 29. Juni 2023 verhängte der Beklagte gegen die Klägerin ein Bußgeld in Höhe von etwa 4,3 Millionen Euro wegen eines von ihm angenommenen Verstoßes gegen Art 13 Abs. 3 DSGVO hinsichtlich des unter dem Buchstaben B genannten Sachverhalts.
Die Klägerin hat am 24. Juli 2023 Klage gegen den Bescheid vom 26. Juni 2023 erhoben.
Mit Bescheid vom 23. August 2023 hat der Beklagte die Kosten für das verwaltungsrechtliche Verfahren hinsichtlich des Bescheids vom 26. Juni 2023 in Höhe von 35.400,00 Euro festgesetzt.
Zur Begründung ihrer Klage trägt die Klägerin im Wesentlichen Folgendes vor:
Der Bescheid vom 26. Juni 2023 sei bereits wegen durchgreifender Verfahrensfehler aufzuheben. Der Sachverhalt sei unzureichend und lückenhaft dargestellt und ermittelt worden. Insbesondere sei die Annahme des Beklagten, dass etwaige strafrechtliche Ermittlungen oder Strafverfahren gegen Mitarbeiter durch Angaben des Monitors oder des EPA-Auditors eingeleitet oder gefördert worden seien oder diese habe fördern können, eine bloße Mutmaßung. Der Beklagte habe diesbezüglich unzureichend ermittelt.
Die unter dem Buchstaben A ausgesprochene Verwarnung sei rechtswidrig. Der Anwendungsbereich der DSGVO sei bereits nicht eröffnet. Die Offenlegung der Liste mit 22 Klarnamen von Beschäftigten mit "direct knowledge" stelle bereits keine (teilweise) automatisierte und auch keine nichtautomatisierte Datenverarbeitung im Sinne des Art. 2 Abs. 1 DSGVO dar, weil die Liste dem Monitor lediglich als Lesefassung zum Durchlesen überreicht worden sei.
Unabhängig davon könne die Offenlegung der Liste gemäß Art. 5 Abs. 1 Buchst. a DSGVO jedenfalls auf eine wirksame Rechtsgrundlage gestützt werden. Hierfür kämen § 26 BDSG und mehrere einschlägige Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO in Betracht.
Die Offenlegung der Liste sei bereits nach § 26 Abs. 1 S. 1 BDSG gerechtfertigt, denn die Datenverarbeitung sei für die Durchführung des Beschäftigungsverhältnisses erforderlich gewesen. Der Zweckbindungsgrundsatz in Art. 5 Abs. 1 Buchst. b DSGVO sei weit auszulegen. Es obliege allein dem datenschutzrechtlich Verantwortlichen, die Verarbeitungszwecke festzulegen. Diese müsse er auch nicht möglichst kleinteilig festlegen. Vorliegend habe sie, die Klägerin, den Verarbeitungszweck transparent gegenüber den Mitarbeitern festgelegt. Sie habe sie umfassend über die mögliche Datenverarbeitung im Rahmen des Monitorships durch diverse Unterlagen informiert wie beispielsweise durch die universelle Datenschutzerklärung und weitergehende Informationsunterlagen. Die Offenlegung der Liste sei von diesem transparent kommunizierten und konkret festgelegten Verarbeitungszweck gedeckt gewesen. In den Unterlagen sei umfassend über das Monitorship informiert worden, sodass die Beschäftigten daraus hätten schließen können, dass ihre Daten an den Monitor übermittelt werden würden. In der universellen Datenschutzerklärung sei darauf hingewiesen worden, dass Verarbeitungen ggf. im Rahmen von Prüfungstätigkeiten, anlassbezogenen Untersuchungen und zur Verteidigung von Rechtsansprüchen der Klägerin erfolgen würden. Diese Beschreibung erfasse auch die Zusammenarbeit mit ausländischen Behörden und anderen Stellen wie dem Monitor. Es sei nicht erheblich, dass der Monitor hierbei nicht explizit aufgelistet worden sei. Bei den Beispielen handele es sich um nicht abschließende, verdeutlichende Beispiele. Ferner sei dies durch die Monitor-Datenschutzerklärung konkretisiert worden: Es sei darüber informiert worden, dass dem Monitor ggf. Namen, Positionsbeschreibungen im Unternehmen und sonstige Informationen hinsichtlich der Beschäftigungsverhältnisse von Mitarbeitern offengelegt werden würden. Ferner enthalte das Schreiben weitere Informationen über die Hintergründe und den Umfang der Zusammenarbeit mit dem Monitor.
Jedenfalls sei die Datenverarbeitung von den allgemeinen Zwecken des Beschäftigungsverhältnisses im Sinne von § 26 Abs. 1 S. 1 BDSG und Art. 88 Abs. 1 DSGVO gedeckt. In der universellen Datenschutzerklärung sei ausdrücklich darauf hingewiesen worden, dass sie, die Klägerin, die personenbezogenen Daten der Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeite. Art. 88 Abs. 1 DSGVO, auf dem § 26 BDSG beruhe, erfasse sämtliche Datenverarbeitungen, die in einem Zusammenhang mit dem Beschäftigungskontext stehen würden. Der Begriff "Beschäftigungskontext" sei weit und die in Art. 88 DSGVO aufgelisteten Beispiele seien nicht abschließend zu verstehen. Die exemplarischen Zwecke würden den gesamten Zyklus des Arbeitsverhältnisses (Bewerbung bis Kündigung) und Zwecke, die nicht an die Erfüllung arbeitsvertraglicher Pflichten anknüpfen würden, wie zum Beispiel die Diversität am Arbeitsplatz, erfassen. Auch der deutsche Gesetzgeber habe die Zwecke bezüglich des Beschäftigungsverhältnisses als weit angesehen. Ferner spreche die Systematik für ein weites Verständnis: Art. 88 DSGVO sei eine Öffnungsklausel und solle den Mitgliedstaaten ermöglichen, speziellere Regelungen zum Schutz der Beschäftigten zu treffen. Es sei nicht ersichtlich, weshalb die Schutzmaßnahmen gerade nicht für die Weitergabe von Beschäftigtendaten an ausländische Behörden gelten sollten. Art. 88 DSGVO und auch § 26 BDSG würden den Schutz von Arbeitnehmern bezwecken. Dieser Schutz würde verwehrt werden, wenn keine weite Auslegung angenommen werden würde. Die hier streitgegenständliche Zusammenarbeit mit ausländischen Behörden sei Teil des Beschäftigungsverhältnisses. Die Durchführung von Compliance-Maßnahmen gehöre zu den Zwecken des Beschäftigungsverhältnisses. Hierfür spreche unter anderem, dass in Art. 88 Abs. 1 DSGVO die Organisation der Arbeit genannt werde. Die Zusammenarbeit mit dem Monitorship sei eine Compliance-Maßnahme gewesen, da das Monitorship darauf gerichtet gewesen sei, die Compliance-Strukturen zu verbessern, um vergleichbare Fälle wie die Diesel-Thematik zu verhindern. Für die Beschäftigten sei es eine arbeitsvertragliche Nebenpflicht gemäß § 241 BGB, Compliance-Maßnahmen zu dulden und an ihnen mitzuwirken, da sie verpflichtet seien, im Rahmen des Zumutbaren Schaden vom Arbeitgeber abzuwenden. Der Annahme eines Beschäftigungskontextes stehe auch nicht entgegen, dass das Monitorship zur Erfüllung gerichtlicher Auflagen durchgeführt worden sei. Vielmehr sei der Beschäftigungskontext auch deshalb gegeben gewesen, weil das Monitorship mittelbar dem Erhalt des Beschäftigungsverhältnisses gedient habe. Denn im Falle des Abbruchs oder der Nichtdurchführung des Monitorships hätten ihr, der Klägerin, existenzgefährdende Nachteile gedroht. Zudem habe die Offenlegung der Liste gerade die berufliche Sphäre der Mitarbeiter betroffen. Die betroffenen Mitarbeiter hätten nur auf der Liste gestanden, weil sie bei ihr, der Klägerin, in den jeweils relevanten Bereichen während der Diesel-Thematik tätig gewesen seien.
Die Datenverarbeitung sei auch erforderlich gewesen im Sinne des § 26 Abs. 1 S. 1 BDSG. Die vorzunehmende Interessenabwägung habe sie, die Klägerin, im Rahmen der Einzelfallentscheidung Nr. 06.0 durchgeführt. Sie habe die Interessen zutreffend abgewogen. Es seien keine milderen, gleich effektiven Mittel verfügbar gewesen, um die konkrete Anfrage des Monitors beantworten zu können. Eine Schwärzung der Namen sei nicht möglich gewesen, da der Monitor habe herausfinden wollen, ob sie der angegebenen Ursachenanalyse unter anderem durch das Führen von Gesprächen mit bestimmten Beschäftigten entsprechend der Vorgaben nachgekommen sei. Sie habe alle Namen unterhalb des oberen Management-Kreises schwärzen wollen, worauf der Monitor mit massiver Kritik reagiert habe und die reale Möglichkeit bestanden habe, dass er das Monitorship beenden würde. Sie habe bei der Offenlegung der Liste als reine Lesefassung bereits auf die Datenminimierung geachtet, zudem sei der Monitor zur Verschwiegenheit verpflichtet gewesen.
Darüber hinaus sei nur eine geringe Eingriffstiefe anzunehmen, da die Daten ausschließlich aus dem beruflichen Kontext stammten. Außerdem sei maßgeblich, dass die Maßnahme für die Betroffenen nicht überraschend gewesen sei, da sie, die Klägerin, transparent über die Datenverarbeitungen im Rahmen des Monitorships informiert habe. Ferner spreche für die Erforderlichkeit, dass lediglich geringe Risiken für die Betroffenen bestanden hätten. Es habe insbesondere keine Gefahr gegeben, dass der Monitor die durch die Liste offengelegten Daten für Zwecke der Strafverfolgung genutzt hätte. Denn er habe lediglich nachprüfen wollen, ob sie die Ursachenanalyse ordnungsgemäß und effektiv durchgeführt habe. Das Monitorship habe gerade nicht auf die Strafverfolgung einzelner Mitarbeiter abgezielt. Dies sei weder der Haupt- noch der Nebenzweck gewesen. Zwar sei es dem Monitor ausweislich der Vertraulichkeitsvereinbarung gestattet gewesen, Informationen zur Erfüllung seiner Aufgaben als Monitor mit dem US-Justizministeriums zu teilen, dies jedoch nur, wenn und soweit es den Zwecken des Monitorships gedient hätte, was hinsichtlich der Strafverfolgung nicht der Fall gewesen wäre. Außerdem habe die bloße Teilnahme an der Ursachenanalyse noch keinen (Anfangs-)Verdacht oder eine Tatbeteiligung begründet. Es lägen weder Anhaltspunkte dafür vor, dass der Monitor Namen an US-Strafbehörden weitergeleitet habe, noch sei ersichtlich, dass vermeintliche Erkenntnisse des Monitors bezüglich der Namensliste in den USA in Straf- oder Ermittlungsverfahren verwertet worden seien. Die bloße Namensnennung auf der offengelegten Liste habe weder bereits eingeleitete Verfahren verschärft oder beschleunigt, noch seien neue Verfahren eingeleitet worden. Darüber hinaus habe der mittlerweile mehrere Jahre zurückliegende Einsatz des Monitors I. als US-Deputy Attorney General keinen Einfluss auf das Monitorship gehabt. Weiter spreche für die Erforderlichkeit, dass erhebliche rechtliche und finanzielle Nachteile für sie, die Klägerin, gedroht hätten, wenn sie nicht umfassend mit dem Monitor kooperiert hätte. Die Vermeidung von Sanktionen durch US-Behörden sei ein anerkanntes berechtigtes Interesse. Sie sei auch nicht verpflichtet gewesen, gesonderte Interessenabwägungen für die auf der offengelegten Liste genannten Beschäftigten durchzuführen. Sie habe nicht für jede einzelne Datenverarbeitung und Betroffenengruppe gesondert Interessen abwiegen müssen. Die Interessen der betroffenen Personen seien in der Einzelfallentscheidung Nr. 06.0 ausreichend berücksichtigt worden. Durch die Anwendung von einheitlichen Abwägungskriterien sei vielmehr eine datenschutzkonforme, neutrale und objektive Entscheidungsfindung sichergestellt worden. Abgesehen davon sei auch unklar, welche zusätzlichen Aspekte im Rahmen von gesonderten Interessensabwägungen hätten berücksichtigt werden sollen. Es sei unklar, welchen Mehrwert gesonderte Interessensabwägungen gehabt hätten. Diesbezüglich spreche der Aspekt der Datenminimierung gegen die Durchführung mehrerer Interessensabwägungen, da diese zusätzliche Datenerhebungen erfordert hätten. Soweit der Beklagte die Beachtung von möglichen Privatreisen der betroffenen Mitarbeiter in die USA anspreche, hätte sie, die Klägerin, die Reisevorlieben oder Reisepläne sowie ggf. die Vermögens- und Familienverhältnisse abfragen müssen, was zusätzliche Datenerhebungen bedeutet hätte. Demgegenüber habe sie ein hohes Interesse daran gehabt, die Dokumentenanfragen des Monitors zu beantworten. Bei mangelnder Kooperation hätte die Kündigung der Vergleichsvereinbarungen gedroht, wodurch massive finanzielle und rechtliche Nachteile sowie Reputationsschäden gedroht hätten. Diese Folgen hätte ihre Geschäftsentwicklung negativ beeinträchtigen können, da Strafzahlungen in existenzbedrohendem Ausmaß gedroht hätten.
Ungeachtet dessen könne die Datenverarbeitung auch auf die mit dem Konzernbetriebsrat abgeschlossene Konzernbetriebsvereinbarung Nr. 01/2017 zu Gesprächen mit dem Monitor gestützt werden. Aus Art. 88 Abs. 1 DSGVO ergebe sich, dass Kollektivvereinbarungen wie Betriebsvereinbarungen Datenverarbeitungen im Beschäftigungskontext rechtfertigen könnten, soweit die Vorgaben des Art. 88 Abs. 1 und 2 DSGVO eingehalten worden seien. Nach Ansicht des Bundesarbeitsgerichts könnten Betriebsvereinbarungen bereits dann Datenverarbeitungen rechtfertigen, wenn diese von der Betriebsvereinbarung geregelt oder lediglich vorausgesetzt werden würden. Dies sei hier der Fall. Die Konzernbetriebsvereinbarung Nr. 01/2017 bezwecke den Schutz der betroffenen Beschäftigten. Sie stelle in der Einleitung klar, dass sie den "berechtigten Interessen und Belangen der Beschäftigten" bei vom Monitor veranlassten Gesprächen Rechnung tragen wolle. Diese Schutzwirkung sei nicht allein auf Gespräche mit dem Monitor beschränkt. Auch seien die Voraussetzungen des Art. 88 DSGVO eingehalten worden.
Anders als der Beklagte meine, sei auch keine gesonderte Rechtsgrundlage erforderlich gewesen. Es habe - wie bereits ausgeführt - gerade keine Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO vorgelegen.
Doch selbst wenn eine Zweckänderung gegeben sei, wäre die Offenlegung der Liste nach Art. 6 Abs. 4 DSGVO gerechtfertigt gewesen. Denn die Offenlegung im Rahmen des Monitorships sei mit dem ursprünglichen Zweck, dem Beschäftigungsverhältnis, kompatibel, d.h. vereinbar, gewesen im Sinne von Art. 6 Abs. 4 DSGVO. Es habe ein enger Zusammenhang zwischen der Datenverarbeitung und der ursprünglichen Erhebung bestanden. Die Betroffenen hätten vernünftigerweise mit der Weitergabe ihrer Daten an den Monitor rechnen müssen. Zudem seien keine sensiblen Daten betroffen gewesen. Auch habe die Weiterverarbeitung keine negativen Folgen gehabt, insbesondere seien keine strafrechtlichen Risiken vorhanden gewesen. Darüber hinaus habe sie, die Klägerin, geeignete Schutzmaßnahmen ergriffen, beispielsweise habe die Liste nur vor Ort in Deutschland von dem Monitor gelesen werden können.
Wegen der gegebenen Kompatibilität nach Art. 6 Abs. 4 DSGVO sei das Vorliegen einer gesonderten Rechtsgrundlage nicht erforderlich gewesen. Dies ergebe sich unter anderem aus dem 50. Erwägungsgrund der DSGVO sowie dem Wortlaut des Art. 6 Abs. 4 DSGVO, der lediglich die Kompatibilität anordne.
Doch selbst wenn unterstellt werde, dass eine Zweckänderung vorliege und Art. 6 Abs. 4 DSGVO eine gesonderte Rechtsgrundlage erfordere, sei die Offenlegung rechtmäßig erfolgt. Denn sie könne auf Art. 6 Abs. 1 Buchst. b DSGVO gestützt werden, da sie zur Durchführung eines Vertragsverhältnisses erforderlich gewesen sei. Die Norm sei weit auszulegen und erfasse auch die Umsetzung von Nebenpflichten im Sinne des § 241 Abs. 2 BGB. Die Offenlegung personenbezogener Daten zu Zwecken der Zusammenarbeit mit ausländischen Behörden diene der Erfüllung entsprechender nebenvertraglicher (Rücksichtnahme-)Pflichten. Für die Mitarbeiter bestehe die Verpflichtung, mögliche Schäden von dem Arbeitgeber abzuwenden und an zumutbaren Abwehrmaßnahmen mitzuwirken. Hierzu gehöre auch die Vermeidung rechtlicher und finanzieller Risiken. Dies sei für die betroffenen Mitarbeiter jedenfalls erwartbar und nicht überraschend gewesen.
Ungeachtet dessen komme auch Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage in Betracht. Denn die Offenlegung der Liste sei zur Wahrnehmung der berechtigten Interessen der Verantwortlichen erforderlich gewesen. Wie bereits dargestellt, habe sie, die Klägerin, die Interessen der Betroffenen angemessen berücksichtigt und eine fehlerfreie Interessenabwägung durchgeführt. Die Interessen der Verantwortlichen seien im Rahmen von Art. 6 Abs. 1 Buchst. f DSGVO weit auszulegen: Es seien jegliche rechtmäßige Interessen erfasst. Dazu gehöre auch das Interesse, mit ausländischen Behörden zu kooperieren, um mögliche finanzielle und rechtliche Risiken zu verringern. Im Falle des Abbruchs des Monitorships hätten erhebliche Strafzahlungen gedroht, die sich gemeinsam mit den damit verbundenen Reputationsschäden negativ und dauerhaft auf die gesellschaftliche Entwicklung ausgewirkt hätten. Dies hätte auch zu erheblichen Nachteilen für die Belegschaft und die Mitarbeiter selbst geführt. Die Offenlegung der Liste sei zur Wahrung dieser Interessen erforderlich gewesen. Darüber hinaus würden die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen, weshalb die Datenverarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden könne.
Das Urteil des Europäischen Gerichtshofs vom 9. Januar 2025, C-394/23, lasse keine Rückschlüsse für den vorliegenden Rechtsstreit zu. Das Urteil beziehe sich ausschließlich auf die Verarbeitung von personenbezogenen Daten bei der Erfassung von persönlichen Anreden im Rahmen von Bestellprozessen für Bahntickets. Mit den gegenständlichen Compliance-Maßnahmen im Rahmen des Monitorships habe dies nichts zu tun.
Mit der unter dem Buchstaben B ergangenen Feststellung eines Verstoßes habe der Beklagte keine zulässige Abhilfemaßnahme ergriffen. Denn Art. 58 Abs. 2 DSGVO führe als mögliche Abhilfemaßnahmen nicht die Feststellung eines Verstoßes auf. Darüber hinaus liege auch kein Verstoß vor, da eine Informationspflicht nach Art. 13 Abs. 3 DSGVO weit überwiegend nicht bestanden habe, da es (mehrheitlich) bereits nicht zu einer Verarbeitung von personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO gekommen sei. Art. 13 Abs. 3 DSGVO setze eine Zweckänderung nach Art. 6 Abs. 4 DSGVO voraus, welche wiederum eine Verarbeitung von personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO erfordere. Vorliegend sei Letzteres jedoch nicht der Fall, da es sich überwiegend um anonyme Daten gehandelt habe. Der DSGVO liege ein relativer Personenbezug zugrunde. Für die Frage der Identifizierbarkeit und damit des Personenbezugs im Sinne des Art. 4 Nr. 1 DSGVO sei ausschließlich der subjektive Empfängerhorizont maßgeblich. Somit komme es nur auf die Sicht des Monitors an. Aus seiner Sicht seien die überwiegend pseudonymisierten Daten anonym gewesen. Denn er habe über kein Zusatzwissen wie Personallisten oder sonstige Aufstellungen verfügt, um die Pseudonymisierung aufzuheben und die hinter den Pseudonymen stehenden Personen zu identifizieren. Er habe weder Zugriff auf die einschlägigen Kennungslisten gehabt, noch habe er mit zumutbarem Aufwand Zusatzwissen erlangen können. Insbesondere hätte sie, die Klägerin, ihm die entsprechenden Zuordnungslisten auf Aufforderung nicht zur Verfügung gestellt. Der Monitor hätte sie hierzu rechtlich zwingen müssen, wobei solche Rechtsmittel weder nach deutschem noch nach ausländischem Recht existierten. Sie würden sich auch nicht aus den entsprechenden Vereinbarungen ergeben. Ferner hätte sich der Monitor die Daten auch nicht aus den Gesamtumständen erschließen können. Diesbezüglich verkenne der Beklagte die Ausrichtung des Monitorships, das ausschließlich auf die Überprüfung interner Prozesse gerichtet gewesen sei.
Im Hinblick auf die Bonusdurchsprachen seien bereits deshalb keine personenbezogenen Daten gegeben, weil es sich ausschließlich um Gespräche gehandelt habe.
Abgesehen davon sei, wie bereits dargelegt, keine Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO gegeben, da die Datenübermittlung noch innerhalb des Zwecks erfolgt sei, zu dem die Daten erhoben worden seien. Doch selbst wenn eine Zweckänderung angenommen werde, sei nicht gegen die Informationspflicht des Art. 13 Abs. 3 DSGVO verstoßen worden. Denn die Betroffenen hätten gemäß Art. 13 Abs. 4 DSGVO über die Informationen bereits verfügt. Dabei dürften die Anforderungen an Art. 13 Abs. 3 und 4 DSGVO nicht überspannt werden. Die Information müsse präzise sowie transparent und daher kurz und knapp sein. Art. 13 Abs. 3 und 4 DSGVO würden gerade nicht den Zweck verfolgen, alle betroffenen Personen detailliert und spezifisch über alle (theoretisch möglichen) Verarbeitungsschritte im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten zu informieren. Sie, die Klägerin, habe ihren Mitarbeitern transparente und umfangreiche Informationen zur Verfügung gestellt. Insbesondere seien die Beschäftigten in der Monitor-Datenschutzerklärung über die mögliche Weitergabe ihrer personenbezogenen Daten an den Monitor sowie über Hintergründe des Monitorships und den Umfang möglicher Datenübermittlungen an den Monitor unterrichtet worden. Die vermeintlich geringfügige Abrufzahl im Intranet sei nicht maßgeblich, da die Monitor-Datenschutzerklärung leicht auffindbar, für alle zugänglich gewesen und das Intranet der Standard-Informationskanal auch für datenschutzrechtliche Themen sei. Ausreichend sei, dass die Mitarbeiter die Möglichkeit der Kenntnisnahme gehabt hätten. Darüber hinaus habe es mehrere Informationsschreiben und je eine Betriebsversammlung im Juni 2017, im Juni 2019 sowie im September 2019 auf dem Werksgelände gegeben. Durch die unterschiedlich bereitgestellten Informationsangebote hätten alle betroffenen Beschäftigten ausreichend Möglichkeit gehabt, von den Informationen Kenntnis zu erhalten. Die geringen Aufrufzahlen seien vielmehr als Indiz dafür zu sehen, dass alle Mitarbeiter durch die verschiedenen Angebote gut informiert gewesen seien. Eine individuelle Information einzelner Beschäftigter sei jedenfalls nicht geboten gewesen. Denn Art. 13 DSGVO fordere die Information in allgemeiner Form. Sofern Betroffene weitergehende Informationen wünschten, stünde Art. 15 DSGVO zur Verfügung. Ferner gehe auch aus den im gerichtlichen Verfahren vorgelegten Mitteilungen von drei Beschäftigten hervor, dass die Mitarbeiter ausreichend informiert gewesen seien. So sei einem namentlich benannten Beschäftigten, der an der Durchführung betrieblicher Ermittlungen im Rahmen des Hinweisgebersystems gearbeitet habe, der "Inhalt und der Zweck der Datenlieferung bekannt und bewusst" gewesen. Dies gelte nach Angabe des Beschäftigten nicht nur für ihn, sondern auch für seine betroffenen Kollegen. Ein weiterer Mitarbeiter, der in der Konzernsicherheit arbeite, sei sich im Klaren gewesen, dass die von ihm getätigten Angaben, die in den Dokumenten enthalten und auch dem privaten Bereich zuzuordnen seien, an das US-Monitorteam weitergegeben worden seien. Ferner sei einer weiteren Beschäftigten, die über die von ihr verantworteten Prozesse Auskunft gegeben habe, völlig bewusst gewesen, dass die von ihr eigenständig in eine Tabelle eingetragenen persönlichen und beruflichen Daten an den Monitor übermittelt worden seien. Darüber sei sie aufgeklärt worden. Ausweislich ihrer Erklärung sei die Belegschaft "aufs intensivste informiert" worden, zum Beispiel auf Betriebsversammlungen, über das Intranet und auch über die Presse; jeder habe erkennen müssen, dass Daten von potentiell jedem Beschäftigten an den Monitor übermittelt werden könnten.
Ungeachtet dessen scheide eine Informationspflicht nach Art. 13 Abs. 3 DSGVO vorliegend bereits deshalb aus, weil Ausnahmetatbestände des § 32 Abs. 1 BDSG erfüllt seien. Eine weitergehende Information hätte die Zusammenarbeit mit dem Monitor gemäß § 32 Abs. 1 Nr. 4 BDSG erheblich gefährdet. Diese Norm sei weit auszulegen. Öffentlich-rechtliche Ansprüche seien auch erfasst. Vorliegend hätten erhebliche Sanktionen und Belastungen gedroht, wenn sie die (gerichtlichen) Auflagen nicht ordnungsgemäß und vollständig erfüllt hätte. Daher sei sie zu einer umfassenden Kooperation mit dem Monitor verpflichtet gewesen. Weitergehende individuelle Informationen hätten zu einer "Informationsflut" geführt, die die Beschäftigten hätte verleiten können, Informationen an die Presse zu geben. Dies hätte die ordnungsgemäße Durchführung des Monitorships erheblich beeinträchtigen und auch zu einem Reputationsschaden führen können. Es seien auch keine überwiegenden widerstreitenden Interessen, insbesondere keine überwiegende Schutzbedürftigkeit, zu erkennen. Die Mitarbeiter hätten ein umfassendes Bild aufgrund der ihnen zur Verfügung gestellten Informationen gehabt. Es habe sich aus Sicht des Monitors um anonyme Daten gehandelt. Weitergehende Informationen hätten einen unverhältnismäßigen Aufwand bedeutet und es sei eine Informationsflut bzw. -ermüdung zu befürchten gewesen. Ferner sei auch der Ausnametatbestand des § 32 Abs. 1 Nr. 5 BDSG erfüllt gewesen. Weitergehende Informationen hätten die vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden können. Sie hätten es erschwert, vertrauensvoll mit dem Monitor, einer öffentlichen Stelle, zusammenzuarbeiten, da das realistische Risiko bestanden hätte, dass diese Informationen gegenüber der Presse oder Öffentlichkeit offengelegt worden wären.
Im Übrigen sei anzumerken, dass es sich bei der Datenkategorie "Mitarbeiterkreis" im Rahmen der Einzelfallentscheidung Nr. 27 nicht um besonders sensible Daten gehandelt habe. Ein Gehaltskorridor sei aus dieser Kategorie nicht ableitbar. Auch würden Gehaltsdaten keiner gesteigerten Schutzbedürftigkeit unterliegen. Hinsichtlich der Namensnennung der Mitarbeiter, die im Hinweisgebersystem gearbeitet hätten, habe keine Schutzbedürftigkeit bestanden, da diesen Beschäftigten bekannt gewesen sei, dass der Monitor wegen ihrer Tätigkeit Kenntnis von ihren Namen erhalten würde. Ferner habe sie, die Klägerin, umfassend über die Datenverarbeitungen durch unter anderem die universelle Datenschutzerklärung, die Monitor-Datenschutzerklärung, das Informationsschreiben zu "Gesprächen mit dem Monitor/FAQ", diverse Informationsveranstaltungen und sonstige Informationsquellen wie Betriebsversammlungen informiert.
Im Hinblick auf die Verwarnung bezüglich des Fast Lane-Prozesses (Buchstabe C) sei der Anwendungsbereich des Art. 32 DSGVO nicht eröffnet, da aus der maßgeblichen Sicht des Monitors weitestgehend anonyme Daten übermittelt worden seien und dem Monitor keine Mittel zur Verfügung gestanden hätten, die Pseudonymisierung aufzuheben. Ungeachtet dessen hätten die Sicherheitsmaßnahmen im Rahmen des Fast Lane-Prozesses den Anforderungen des Art. 32 DSGVO entsprochen. Sie, die Klägerin, habe ein angemessenes Maß an Datensicherheit eingehalten. Die Daten seien transportverschlüsselt und pseudonymisiert bzw. anonymisiert gewesen. Insbesondere sei die Transportverschlüsselung angemessen und ausreichend gewesen. Mit dem Einsatz von TLS 1.2 in Kombination mit "Perfect Forward Secrecy" habe sie den einschlägigen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entsprochen. Da es sich vorliegend um eine Verarbeitungssituation mit normalen Risiken handele, sei die Transportverschlüsselung auch nach Ansicht der sog. Datenschutzkonferenz in ihrer Orientierungshilfe "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" (Stand: 16. Juni 2021) ausreichend gewesen. Die Behauptung des Beklagten, es seien Angriffe von Dritten zu erwarten gewesen, sei zu pauschal und würde jeglicher Grundlage entbehren. Eine hohe Eingriffswahrscheinlichkeit, dass der Monitor oder Unbefugte offengelegte Daten widerrechtlich hätten nutzen können, habe gerade nicht vorgelegen. Darüber hinaus seien die per E-Mail übersandten Daten pseudonymisiert gewesen. Auch habe keine gesteigerte Schutzbedürftigkeit der offengelegten Daten bestanden. Vorliegend seien die Daten nicht der Schutzstufe D des von dem Beklagten entwickelten Schutzstufenkonzepts zuzuordnen gewesen. Selbst Feststellungen im Rahmen von Hintergrundprüfungen würden keine Rückschlüsse auf eine mögliche Straffälligkeit zulassen. Der Ausspruch einer außerordentlichen Kündigung sei nicht mit einer nachweisbaren Straftat gleichzusetzen. Die Annahme einer von dem Beklagten behaupteten Existenzbedrohung sei fernliegend. Im Übrigen seien auch keine Schäden eingetreten. Der Beklagte gehe von Risiken aus, die nicht existierten.
Hinsichtlich der Verwarnung unter dem Buchstaben D trägt die Klägerin vor, dass die EPA-Auditierung inhaltlich und organisatorisch ein erst 2019 aufgrund einer zusätzlichen Verwaltungsvereinbarung hinzugekommener Bestandteil des sonstigen Monitorships gewesen sei. Dementsprechend habe die EPA-Auditierung allen Regelungen und Prozessen unterlegen, die auch für das sonstige Monitorship gegolten hätten. Auch die Daten, die im Ra hmen der EPA-Auditierung an den Auditor übermittelt worden seien, hätten überwiegend keinen Personenbezug aufgewiesen, weshalb die Daten aus der maßgeblichen Sicht des Auditors anonym gewesen seien. Daher sei der Anwendungsbereich der DSGVO auch hier nicht eröffnet. Sie habe ein erhebliches und berechtigtes Interesse daran gehabt, mit dem EPA-Auditor zu kooperieren. Hätte sie die Zusammenarbeit verweigert, hätten die beteiligten Behörden die Verwaltungsvereinbarung kündigen können. Dies hätte zu einer Fortführung der gerichtlichen und behördlichen Verfahren in den USA geführt. Neben finanziellen Belastungen hätten auch substantielle kommerzielle Einbußen gedroht, da sie im Falle der Fortführung der Rechtsstreitigkeiten voraussichtlich nicht mehr an öffentlichen Ausschreibungen in den USA hätte teilnehmen dürfen. Dies hätte nicht nur zu Geschäftseinbußen, sondern auch zu einem großen Reputationsschaden über den öffentlichen Sektor hinaus geführt. Die Übermittlung der nicht pseudonymisierten Daten wie die personenbezogenen Daten von Mitarbeitern, die an der Auditierung beteiligt gewesen seien, sei - wie beim Monitorship - nicht zu einem anderen Zweck erfolgt. Ungeachtet dessen habe sie, die Klägerin, die Informationspflichten des Art. 13 Abs. 3 DSGVO umfassend erfüllt. Über das Intranet "360° Grad M. Net" habe sie beispielsweise die Mitteilung vom 28. August 2019 über den EPA-Auditor veröffentlicht, durch die sich die Mitarbeiter im Zusammenspiel mit der universellen Datenschutzerklärung und den weiteren Informationen aus dem Monitorship einen transparenten Überblick über stattfindende Datenverarbeitungen hätten verschaffen können. Auch hier seien die niedrigen Aufrufzahlen nicht relevant. Jedenfalls habe die Informationspflicht nach Art. 13 Abs. 3 DSGVO nicht bestanden, da die Ausnahmetatbestände aus den bereits bezüglich des Monitorships genannten Gründen nach § 32 Abs. 1 Nr. 4 und 5 BDSG auch hier erfüllt gewesen seien.
Im Hinblick auf die unter dem Buchstaben E ausgesprochene Verwarnung ist die Klägerin der Ansicht, dass sie nicht gegen Art. 30 DSGVO verstoßen habe. Es habe keine Notwendigkeit für ein gesondertes, spezifisch für die EPA-Auditierung zu erstellendes Verarbeitungsverzeichnis gegeben, denn die während der EPA-Auditierung durchgeführten Datenverarbeitungen hätten weitestgehend den in dem Verarbeitungsverzeichnis des Monitorships aufgeführten Datenverarbeitungen entsprochen. Das Verarbeitungsverzeichnis für das Monitorship habe zwar primär auf die Zusammenarbeit mit dem Monitor abgezielt, es habe inhaltlich aber auch die Kooperation mit dem Auditor hinreichend abgedeckt. Insbesondere seien die Verarbeitungsverzeichnisse im Hinblick auf die Kategorien an die betroffenen Personen, Datenkategorien sowie Empfänger nahezu deckungsgleich gewesen. Ein Verarbeitungsverzeichnis diene lediglich dazu, Datenverarbeitungsvorgänge überblicksartig prüfen zu können. Eine abschließende Darstellung, die eine vollumfängliche Prüfung ermögliche, sei jedoch nicht Ziel des Art. 30 DSGVO. Dem Beklagten wäre es möglich gewesen, anhand der Angaben im Verarbeitungsverzeichnis, das im Rahmen des Monitorships erstellt worden sei, auch die Datenverarbeitungen anlässlich der EPA-Auditierung überschlägig zu prüfen. Die Forderung des Beklagten nach einem weiteren Verarbeitungsverzeichnis sei eine unnötige Förmlichkeit. Sie sei ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO dadurch nachgekommen, dass sie die einschlägigen Datenverarbeitungen außerhalb des Verarbeitungsverzeichnisses für die EPA-Auditierung umfassend dokumentiert habe.
Die Klägerin beantragt,
den Bescheid des Beklagten vom 26. Juni 2023 aufzuheben.
Der Beklagte beantragt,
die Klage abzuweisen.
Er verteidigt den angefochtenen Bescheid. Hierzu wiederholt er seine Argumentation aus dem Bescheid und vertieft diese.
Die Übermittlung der Liste mit den Klarnamen (Buchstabe A) werde vom Anwendungsbereich der DSGVO erfasst, da es sich um eine automatisierte Datenverarbeitung im Sinne des Art. 2 Abs. 1 DSGVO handele. Zwar treffe zu, dass der Monitor die Liste lediglich gelesen habe. Allerdings sei die Liste von der Klägerin elektronisch geführt worden. Dadurch erfülle sie den Tatbestand des Art. 2 Nr. 1 DSGVO, da sie zumindest eine teilweise automatisierte Datenverarbeitung darstelle.
Darüber hinaus könne die Offenlegung offensichtlich nicht auf Art. 88 DSGVO oder § 26 BDSG gestützt werden. Bereits nach objektiver Betrachtung sei die Übermittlung der Liste kein üblicherweise mit einem Beschäftigungsverhältnis verbundener Vorgang, mit welchem die betroffenen Beschäftigten hätten rechnen müssen. Die gegenteilige Auffassung der Klägerin überdehne die Grenzen des einmal festgelegten Zweckes der Durchführung eines Beschäftigungsverhältnisses und lasse sich auch nicht mit hypothetischen Überlegungen zu möglichen mittelbaren Nachteilen für Beschäftigte bei hypothetischen wirtschaftlichen Nachteilen für den Arbeitgeber rechtfertigen. Es sei überraschend, dass sich die Klägerin auf § 26 BDSG stütze, da sie sich - wie aus der universellen Datenschutzerklärung und den Einzelfallentscheidungen Nr. 06.0 und 06.01 hervorgehe - während der Durchführung des Monitorships immer wieder auf Art. 6 Abs. 1 Buchst. f DSGVO berufen habe. Es sei bereits unklar, ob § 26 BDSG unionsrechtskonform sei, da der Europäische Gerichtshof in seinem Urteil vom 20. März 2023, C-34/21, eine wortgleiche Vorschrift des hessischen Landesrechts für nicht vereinbar mit Art. 88 DSGVO gehalten habe. Im Übrigen sei die Annahme der Klägerin, Art. 88 DSGVO sei weit auszulegen, falsch. Der Europäische Gerichtshof habe in der genannten Entscheidung eine gegenteilige Position vertreten. Ungeachtet dessen könne § 26 BDSG nicht als Rechtsgrundlage dienen, da eine Zweckänderung eingetreten sei. Die Offenlegung der Liste stehe nicht im Kontext mit dem Beschäftigungsverhältnis. Die Zusammenarbeit mit Strafverfolgungsbehörden von Drittstaaten verlasse den Bereich des üblichen Beschäftigungskontextes. Die Auffassung der Klägerin würde zu einer uferlosen Ausweitung des Verarbeitungszweckes "zur Durchführung des Beschäftigungsverhältnisses" führen. Die Offenlegung teilweise sensibler Beschäftigtendaten an den im Auftrag eines Drittstaats arbeitenden Monitor zur Erfüllung einer Vereinbarung der Klägerin mit den Behörden des Drittstaats stelle auch nach objektiver Betrachtung keinen üblicherweise mit einem Beschäftigungsverhältnis verbundenen Vorgang und keine Maßnahme der unternehmensinternen Compliance-Organisation eines Arbeitgebers dar, mit welchem die betroffenen Beschäftigten hätten rechnen müssen. Das vorliegende Überprüfungsverfahren durch eine US-Behörde sei ein beispielloser Vorgang für Beschäftigte eines deutschen Unternehmens und sicher kein in einem Beschäftigungsverhältnis üblicher Grund für besondere Datenverarbeitungen. Das Beschäftigungsverhältnis selbst bleibe von der Zusammenarbeit des Arbeitgebers mit der Drittstaatsbehörde in allen Aspekten völlig unberührt. Die Durchführung des Beschäftigungsverhältnisses werde von der Erfüllung der Rechtspflichten der Klägerin gegenüber der US-Behörden überhaupt nicht tangiert. Jedenfalls sei zum Zeitpunkt der Datenerhebung nicht absehbar gewesen, dass die Daten an einen Monitor herausgegeben werden könnten. Die Ausführungen der Klägerin, dass sie einen Zweck festgelegt habe, sei unerheblich, da einzig maßgeblich sei, ob die Datenverarbeitung zum Zweck der Durchführung des Beschäftigungsverhältnisses erfolge. Anders als die Klägerin meine, sei das Monitorship auch nicht als Compliance-Maßnahme einzustufen. Denn die Offenlegung der Namensliste sei nicht im Rahmen einer unternehmensinternen und in einem konkreten Zusammenhang mit dem Beschäftigungsverhältnis stehenden Compliance-Maßnahme erfolgt. Vielmehr habe sich die Klägerin, nachdem gegen sie in den USA ermittelt worden sei, der Überprüfung durch die Behörden eines Drittstaates unterworfen, da sie sich hierzu gegenüber den US-Behörden verpflichtet habe.
Ungeachtet dessen sei die Offenlegung jedenfalls nicht erforderlich gewesen im Sinne des § 26 BDSG. Die durchzuführende Abwägung gehe zu Lasten der Klägerin aus. Weder die lückenhafte Vertraulichkeitsvereinbarung mit dem Monitor noch der Umstand, dass die Liste ausschließlich als Lesefassung zur Verfügung gestellt worden sei, reichten aus, um die Betroffenen hinreichend zu schützen. Der Monitor hätte sich die Namen merken oder sich Notizen machen können. Außerdem seien nicht alle Betroffenen hinreichend über die Datenverarbeitung im Monitorship informiert gewesen, zumindest habe die Information, dass ihre Namen dem Monitor mit dem Zusatz "direct knowledge" offengelegt werden würden, gefehlt. Zudem habe die Klägerin die Betroffenen dem Risiko der Strafverfolgung in den USA durch die Offenlegung der Liste ausgesetzt.
Die Offenlegung der Liste könne auch nicht auf Konzernbetriebsvereinbarungen im Sinne von Art. 88 Abs. 1 DSGVO gestützt werden. Weder die Konzernbetriebsvereinbarung Nr. 01/2017 vom 23. Oktober 2017 noch die allgemeine Betriebsvereinbarung Nr. 03/18 enthielten konkrete Regelungen zur Offenlegung von personenbezogenen Daten im Kontext der Tätigkeit des Monitors.
Des Weiteren sei Art. 6 Abs. 4 DSGVO keine taugliche Rechtsgrundlage, da die Norm, selbst wenn der Kompatibilitätstest positiv ausfalle, eine zusätzliche Rechtsgrundlage erfordere. Dies folge aus der Systematik des Art. 5 Abs. 1 Buchst. a und b DSGVO: Die Rechtmäßigkeit und Zweckbindung seien nebeneinanderstehende Prinzipien der Datenverarbeitung. Art. 6 Abs. 4 DSGVO betreffe ausschließlich das Prinzip der Zweckbindung, da die Norm lediglich von der Vereinbarkeit der Zwecke spreche. Satz 2 des 50. Erwägungsgrundes der DSGVO sei ein Redaktionsversehen. Vielmehr verdeutliche der achte Satz des genannten Erwägungsgrundes, dass die in der Verordnung niedergelegten Grundsätze anzuwenden seien.
Vorliegend sei bereits der Kompatibilitätstest nicht erfüllt. Darüber hinaus könne die Offenlegung der Namen in der Liste weder auf Art. 6 Abs. 1 Buchst. b DSGVO noch auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden.
Die Offenlegung von Beschäftigtendaten an eine von einem US-Gericht eingesetzte Stelle sei keine Nebenpflicht zur Durchführung des Beschäftigungsverhältnisses. Art. 6 Abs. 1 Buchst. b DSGVO erfordere, dass die Verarbeitung der Daten gerade zur Durchführung des Vertrages erforderlich sein müsse, was hier aus den genannten Gründen nicht der Fall gewesen sei. Vielmehr sei die Datenverarbeitung zur Durchführung der mit der US-Strafverfolgungsbehörden geschlossenen Vereinbarung erfolgt.
Die Offenlegung sei auch nicht durch Art. 6 Abs. 1 Buchst. f DSGVO zu rechtfertigen, denn die Interessenabwägung gehe nicht zu Gunsten der Klägerin aus. Die Klägerin habe nicht den Nachweis führen können, dass ihre berechtigten Interessen die Grundrechte und Grundfreiheiten der Betroffenen überwiegen würden. Die Bewertung der Klägerin, der Offenlegung der Namen gegenüber dem Monitor wohne keine oder eine nur eine sehr geringe Gefahr möglicher strafrechtlicher Konsequenzen für die Betroffenen inne, sei rechtlich nicht haltbar. Die von der Klägerin angestellte Risikoprognose sei offensichtlich unzutreffend gewesen. Das vorhandene Risiko, strafrechtlichen Ermittlungen ausgesetzt zu werden, habe die Klägerin nicht hinreichend berücksichtigt. Dies gelte insbesondere vor dem Hintergrund, dass es in den USA bereits zu Strafverfahren gegen fünf der auf der Liste genannten Beschäftigten gekommen sei. Sie habe fälschlicherweise ein zu geringes Risiko nachteiliger Folgen für die Betroffenen angenommen, weshalb die Interessensabwägung fehlerhaft gewesen sei. Für die Betroffenen auf der Liste, gegen die noch nicht ermittelt worden sei, habe das Risiko bestanden, erstmals in das Visier von US-Behörden zu geraten. Aus Sicht einer zuständigen US-Stelle, die Zugriff auf die Liste erhalten hätte, hätte es nahegelegen, alle bislang nicht bekannten Personen auf der Liste einer Überprüfung zu unterziehen, um herauszufinden, ob und inwieweit Personen mit "direct knowledge" auch eine unmittelbare Tatbeteiligung nachgewiesen werden könne. Die bereits laufenden Strafverfahren gegen fünf der Betroffenen legten das Interesse der Strafverfolgungsbehörden an der Verfolgung nahe. Daneben habe auch das Risiko bestanden, dass die auf der Liste genannten Mitarbeiter bei einer Einreise in die USA hätten verhaftet werden können. Dieses Risiko sei insbesondere für das Urlaubs- und Reiseverhalten der Betroffenen relevant als auch für die Beschäftigten auf der Liste, deren Dienstort die USA gewesen sei. Das Risiko, dass es zur Weitergabe an US-Behörden hätte kommen können, sei auch nicht deshalb ausgeschlossen gewesen, weil es nicht Aufgabe des Monitors gewesen sei, rechtliches Fehlverhalten einzelner Mitarbeiter zu ermitteln. Die mit der Klägerin geschlossene Vereinbarung habe vorgesehen, dass der Monitor Berichtspflichten und -rechte über "Potential or Actual Misconduct" gegenüber dem US-Justizministerium und US-Staatsanwälten gehabt habe. Denkbar sei auch die Ladung des Monitors als Zeuge in etwaigen Strafverfahren gewesen. Die Vertraulichkeitsvereinbarung sei lückenhaft gewesen. Zudem sei der Monitor der frühere stellvertretende Generalstaatsanwalt der Vereinigten Staaten im US-Justizministerium gewesen. Er sei durch Verschärfungen bei der Strafverfolgung von Unternehmen durch das I. Memorandum bekannt geworden. Daher sei es naheliegend gewesen, dass der Monitor Ermittlungsergebnisse bei entsprechender rechtlicher Zulässigkeit nach US-Recht an US-Behörden weitergegeben hätte. Des Weiteren sei die Behauptung der Klägerin, ihre Weigerung, dem Monitor die Klarnamen offenzulegen, hätte den sofortigen Abbruch des Monitorships zur Folge gehabt, unrealistisch. Außerdem sei für die Interessenabwägung auch relevant, dass sich die Klägerin selbst durch eigenes Fehlverhalten - die Manipulation von Abgaswerten auf dem Prüfstand - in diese Situation gebracht habe. Ferner sei zu kritisieren, dass die Klägerin im Rahmen der Einzelfallentscheidung Nr. 06.0 lediglich eine Pauschalabwägung für alle auf der Liste genannten Personen vorgenommen habe und nicht nach bestimmten Gruppen oder Individualinteressen (z.B. direct knowledge und ohne direct knowledge; Arbeitsort USA oder Dienstreisen USA, etc.) differenziert habe.
Darüber hinaus habe die Klägerin ihr angenommenes berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO den Betroffenen nicht vor der Offenlegung der Liste mitgeteilt. Dies sei nach dem Urteil des Europäischen Gerichtshofs vom 9. Januar 2025, C-394/23, jedoch erforderlich.
Die unter dem Buchstaben B ergriffene Abhilfemaßnahme sei rechtmäßig, da die Klägerin gegen ihre Informationspflicht aus Art. 13 Abs. 3 DSGVO verstoßen habe. Die entsprechenden Datenverarbeitungen seien zu einem anderen Zweck erfolgt, da zwischen dem Beschäftigungsverhältnis, das den ursprünglichen Zweck darstelle, zu dem sie erhoben worden seien, und dem Monitorship kein innerer Zusammenhang bestehe. Anders als die Klägerin meine, seien die von der Verwarnung betroffenen Datenverarbeitungen vom Anwendungsbereich der DSGVO erfasst, da es sich entweder um Daten nach Art. 4 Nr. 1 DSGVO oder - die pseudonymisierten Daten betreffend - um Daten nach Art. 4 Nr. 5 DSGVO handele. Die pseudonymisierten Daten seien insbesondere keine anonymen Daten, da die Daten durch bestimmte Kennnummern pseudonymisiert worden seien und die Identifizierung jederzeit möglich gewesen sei. Dies gehe auch aus der Einzelfallentscheidung Nr. 27 hervor. Auf Seite 4 der Einzelfallentscheidung habe die Klägerin festgehalten, dass die Weitergabe von Stammnummern bzw. der N. ID einer Namensnennung gleichkomme, wobei hier zu berücksichtigen sei, dass ein Bezug zu einer bestimmten Person unternehmensfremden Dritten nicht ohne weiteres möglich sei. Dem Monitor sei es vorliegend nicht mit unverhältnismäßigem Aufwand möglich gewesen, den Personenbezug wiederherzustellen. Er hätte beispielsweise durch eine einfache Anfrage die Herausgabe des Zuordnungsschlüssels verlangen können. Er habe im Austausch mit den entsprechenden Abteilungen der Klägerin gestanden und hätte beispielsweise entsprechende Personallisten mit den Stammnummern herausverlangen können. In der Vergangenheit habe der Monitor die Herausgabe weitergehender Information, zum Beispiel ungeschwärzter Unterlagen, gefordert. Nichts anderes folge aus der Rechtsprechung des Europäischen Gerichtshofs.
Die Klägerin sei ihrer Pflicht aus Art. 13 Abs. 3 DSGVO nicht ausreichend nachgekommen. Sie habe ihre Beschäftigten weder davon in Kenntnis gesetzt, ob sie tatsächlich von den Datenübermittlungen an den Monitor betroffen seien, noch jenen die Möglichkeit gegeben, zu den beabsichtigten Datenübermittlungen an den Monitor Stellung zu beziehen und weitere Betroffenenrechte wirksam ausüben zu können. Die Pflicht aus Art. 13 Abs. 3 DSGVO sei absolut und unabhängig von einer Schutzbedürftigkeit.
Die Klägerin habe die Informationspflicht auch nicht anderweitig erfüllt. Die Monitor-Datenschutzerklärung enthalte lediglich allgemeine und generell-abstrakte Informationen, dass es zu einer möglichen Weitergabe von personenbezogenen Daten von einzelnen Beschäftigten kommen könne. Es fehle jedoch die Angabe, ob und welche personenbezogenen Daten im Einzelfall tatsächlich an welche Stelle übermittelt worden seien. Aus der Datenschutzerklärung sei für die Beschäftigten nicht hervorgegangen, ob sie überhaupt zum Kreis der Betroffenen gehörten und welche konkreten Daten über sie verarbeitet und dem Monitor offengelegt werden würden. Insbesondere hätten die (betroffenen) Beschäftigten wegen der zweckändernden Weiterverarbeitung konkreter informiert werden müssen, um im Wissen um diese Weiterverarbeitung handeln und Entscheidungen treffen zu können, beispielsweise um Widerspruch gegen die Weitergabe zu dem geänderten Zweck einlegen zu können. Darüber hinaus habe die Klägerin sensible Daten offengelegt, die nicht in der Erklärung enthalten gewesen seien, wie beispielsweise die Information "direct knowledge" zur Diesel-Thematik, Informationen über Vergütungen (Leistungsboni), arbeitsrechtliche Maßnahmen bis hin zu Kündigungen und teilweise sogar private Informationen ohne Bezug zur konkreten Tätigkeit im Unternehmen. Ferner treffe auch die universelle Datenschutzerklärung keine Aussagen zu einer Übermittlung von Beschäftigtendaten an eine US-Behörde im Zusammenhang mit Strafverfolgungsmaßnahmen. Die dort genannten Prüfungstätigkeiten und anlassbezogenen Untersuchungen würden sich nicht auf externe Audits durch eingesetzte Vertreter einer Drittlandbehörde beziehen und auch die dort genannten Beispiele für die Verarbeitung von Beschäftigtendaten zur Verteidigung von Rechtsansprüchen seien nicht mit dem Monitorship vergleichbar. Die weiteren von der Klägerin zur Verfügung gestellten Unterlagen würden keine Informationen über den Umgang mit personenbezogenen Daten enthalten, weshalb sie die Anforderungen des Art. 13 DSGVO nicht erfüllen könnten. Letzteres gelte auch für die Betriebsversammlungen, an denen der Monitor teilgenommen habe. Die Unterrichtung, dass das Monitorship stattfinde, genüge Art. 13 Abs. 3 DSGVO nicht. Anders als die Klägerin meine, sei eine individuelle Information der Betroffenen sehr wohl möglich gewesen. Dies habe keinen unvertretbaren Aufwand bedeutet. Insbesondere sei bei einmaliger, auf die eigene Person bezogene Information keine Informationsmüdigkeit zu befürchten gewesen.
Die Ansicht der Klägerin, er, der Beklagte, vermenge die Informationspflicht aus Art. 13 Abs. 3 DSGVO und den Auskunftsanspruch aus Art. 15 DSGVO sei unzutreffend. Es sei nicht die Obliegenheit der Betroffenen, über den Auskunftsanspruch Informationen über Datenübermittlungen einzuholen. Vielmehr stehe die Informationspflicht des Verantwortlichen neben dem Recht auf Auskunft und werde durch diese nicht begrenzt. Beispielsweise hätten die Personen, die auf der Liste, die Gegenstand der Einzelfallentscheidung Nr. 06.01 gewesen sei, genannt worden seien, gerade nicht gewusst, dass dem Monitor die Information, dass sie über "direct knowledge" verfügt hätten, offengelegt worden sei. Für sie habe nicht nahe gelegen, einen diesbezüglichen Auskunftsanspruch geltend zu machen. Auch aus der Systematik der DSGVO ergebe sich, dass dem Betroffenen zunächst die erforderliche Information mitgeteilt werden müsse. Erst dann könne der Betroffene entscheiden, ob er einen Widerspruch gegen die Datenverarbeitung einlegen werde. Ohne die vorherige Information würde es sich um einen "Verdachtswiderspruch" handeln.
Die Informationspflicht nach Art. 13 Abs. 3 DSGVO sei vorliegend auch nicht nach § 32 Abs. 1 BDSG ausgeschlossen. Die Behauptung der Klägerin, die Erteilung der Informationen hätte die Zusammenarbeit mit dem Monitor gefährdet, weshalb der Ausschlussgrund nach § 32 Abs. 1 Nr. 4 BDSG anzunehmen sei, sei spekulativ und unbegründet. Auch liege § 32 Abs. 1 Nr. 5 BDSG nicht vor, da die Datenverarbeitung vorliegend aufgrund eines freiwillig geschlossenen Vergleiches erfolgt sei. Die Behauptung zur Gefährdung sei nicht belegt und eine Behauptung ins Blaue hinein.
Hinsichtlich der unter dem Buchstaben C ergangenen Verwarnung halte er, der Beklagte, daran fest, dass die Klägerin sensible personenbezogene Daten der Schutzstufe D lediglich transportverschlüsselt per einfacher E-Mail an den Monitor versendet habe. Bei den Daten handele es sich nicht - auch nicht aus Sicht des Monitors - um anonyme Daten. Sie seien weitestgehend anhand der Personalnummer pseudonymisiert gewesen. Die übermittelten Daten seien der Schutzstufe D zuzuordnen, denn die Informationen, dass ein Beschäftigter aufgrund von Feststellungen bei Hintergrundprüfungen nicht in den Top-Management-Kreis berufen worden sei, sondern von höchster Stelle entschieden worden sei, dass die Beförderung aufzuschieben sei, oder die Angabe, dass einem Beschäftigten ein bestätigtes Fehlverhalten vorgeworfen und ihm fristlos gekündigt worden sei, könnten bei unsachgemäßer Handhabung die Betroffenen in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen erheblich beeinträchtigen. Dabei sei zu bedenken, dass das Schutzstufenkonzept lediglich mögliche Beispiele nenne. Die Aufzählung sei nicht abschließend. Wegen der Sensibilität der Daten, der auffälligen E-Mail-Domain ("@N. monitor.com") und der Einbindung einer von einem US-Konzern kontrollierten Domäne auf Empfängerseite im Drittland hätten besondere Anhaltspunkte vorgelegen, die einen erhöhten Schutzbedarf begründet hätten. Sie würden das bei einer Transportverschlüsselung bestehende Restrisiko als nicht mehr angemessen erscheinen lassen. Auch die Orientierungshilfe der Datenschutzkonferenz spreche sich für eine Ende-zu-Ende-Verschlüsselung und qualifizierte Transportverschlüsselung aus, sofern - wie vorliegend - ein Bruch der Vertraulichkeit von personenbezogenen Daten in einer E-Mail ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstelle.
Im Hinblick auf die weitere Verwarnung (Buchstabe D) habe die Klägerin die von der Datenverarbeitung Betroffenen nicht nach Art. 13 Abs. 3 DSGVO informiert. Die Mitteilung vom 28. August 2019 über die abgeschlossene Verwaltungsvereinbarung mit der EPA und den eingesetzten EPA-Auditor genüge nicht den Anforderungen an eine Datenschutzerklärung im Sinne von Art. 13 Abs. 3 DSGVO. Die Monitor-Datenschutzerklärung könne eine Art. 13 Abs. 3 DSGVO entsprechende Information für die EPA-Auditierung nicht ersetzen. Das Argument der Klägerin, die Mitarbeiter hätten sich aus einer Gesamtschau verschiedener Erklärungen und Informationen auf Betriebsversammlungen ein ausreichendes Bild verschaffen können, gehe fehl und reiche für die gesetzliche Pflicht des Art. 13 Abs. 3 DSGVO nicht aus.
Auch die unter dem Buchstaben E ausgesprochene Verwarnung sei rechtmäßig. Insbesondere sei eine überblicksartige Prüfung der Datenverarbeitungsvorgänge anhand des für das Monitorship erstellte Verarbeitungsverzeichnis nicht ausreichend gewesen, da das Monitorship und die EPA-Auditierung getrennt voneinander zu betrachten seien und das während des Monitorships angefertigte Verarbeitungsverzeichnis ausdrücklich nur für dieses angefertigt worden sei.
Mit Beschluss vom 26. Februar 2025, , ist die Klägerin in dem gegen sie geführten Bußgeldverfahren freigesprochen worden. Das Landgericht Hannover hat dies im Wesentlichen damit begründet, dass die Klägerin nicht gegen Art. 58 Abs. 2 Buchst. i DSGVO in Verbindung mit Art. 83 Abs. 1, Abs. 2, Abs. 5 Buchst. b, Art. 13 Abs. 3 DSGVO verstoßen habe. Wegen der weiteren Begründung wird auf den Inhalt des Beschlusses Bezug genommen. Nachdem die Staatsanwaltschaft Hannover ihre gegen den Beschluss des Landgerichts Hannover eingelegte Rechtsbeschwerde am 10. Juni 2025 zurückgenommen hat, ist der Beschluss rechtskräftig geworden.
Im vorliegenden Verfahren hat der Beklagte in der mündlichen Verhandlung am 5. Juni 2025 mitgeteilt, dass die unter dem Buchstaben A erlassene Verwarnung auch darauf gestützt werde, dass die Klägerin den Betroffenen die Informationen zu den verfolgten berechtigten Interessen bis zur Offenlegung der Liste an den Monitor nicht gegeben habe. Ferner hat er erklärt, dass die unter dem Buchstaben B erlassene Abhilfemaßnahme auch eine Verwarnung darstelle.
Wegen der weiteren Einzelheiten des Sachverhalts wird auf den Inhalt der Gerichtsakte, des beigezogenen Verwaltungsvorgangs und der beigezogenen Akten des Bußgeldverfahrens Bezug genommen.
Entscheidungsgründe
I.
Die Klage hat in dem aus dem Urteilstenor ersichtlichen Umfang Erfolg.
Sie ist zulässig. Insbesondere ist sie als Anfechtungsklage gemäß § 42 Abs. 1 Alt. 1 VwGO statthaft. Denn eine Verwarnung nach Art. 58 Abs. 2 Buchst. b DSGVO ist ein belastender Verwaltungsakt (vgl. OVG Münster, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 25). Für den Adressaten entstehen durch eine Verwarnung zwar keine Handlungspflichten, allerdings wird eine verbindliche, missbilligende Feststellung zu einem konkreten Datenschutzverstoß getroffen, die als feststellender Verwaltungsakt zu qualifizieren ist (VG Düsseldorf, Urteil vom 16. Januar 2025 - 29 K 3117/22 -, juris Rn. 23; VG Hannover, Urteil vom 27. November 2019 - 10 A 820/19 -, BeckRS 2019, 31874 Rn. 17). Durch die Klarstellung des Beklagten, dass auch die unter dem Buchstaben B ausgesprochene datenschutzrechtliche Abhilfemaßnahme eine Verwarnung ist, ist die Klage als Anfechtungsklage auch diesbezüglich statthaft.
Die Klage ist allerdings nur teilweise begründet. Die im angefochtenen Bescheid unter den Buchstaben A und C ausgesprochenen Verwarnungen sind aufzuheben, weil sie rechtswidrig sind und die Klägerin in ihren Rechten verletzen (§ 113 Abs. 1 S. 1 VwGO) (1.). Die weiteren, unter den Buchstaben B, D und E ergangenen Verwarnungen sind hingegen rechtmäßig und verletzen die Klägerin nicht in ihren Rechten (2.). Die Kostengrundentscheidung ist rechtswidrig, soweit sie sich auf die unter den Buchstaben A und C ausgesprochenen Verwarnungen bezieht, und verletzt die Klägerin insoweit in ihren Rechten (§ 113 Abs. 1 S. 1 VwGO) (3.).
1.
a.
Die unter dem Buchstaben A ausgesprochene Verwarnung ist nach der maßgeblichen Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung galt (vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3/23 -, juris Rn. 21), rechtswidrig.
Rechtsgrundlage für die von dem Beklagten ausgesprochene Verwarnung ist Art. 58 Abs. 2 Buchst. b DSGVO. Danach hat die Aufsichtsbehörde die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat.
Zwar hat die Klägerin gegen die Vorschriften der vorliegend anwendbaren DSGVO (aa.) verstoßen, weil sie dem Monitor eine Liste mit 22 Klarnamen von Beschäftigten als Lesefassung zur Verfügung gestellt hat, obwohl sich diese Verarbeitung von personenbezogenen Daten nicht auf eine Rechtsgrundlage stützen lässt. Allerdings hat der Beklagte sein ihm nach Art. 58 Abs. 2 DSGVO zustehendes Ermessen fehlerhaft ausgeübt, was die Rechtswidrigkeit der Verwarnung zur Folge hat (bb.).
aa.
Anders als die Klägerin meint, ist der Anwendungsbereich der DSGVO eröffnet, weil (zumindest eine teilweise) automatisierte Verarbeitung von personenbezogenen Daten im Sinne des Art. 2 Abs. 1 DSGVO vorliegt. Der Begriff der Automatisierung, der in der DSGVO nicht legal definiert wird, ist weit zu verstehen und umfasst alle Verfahren, bei denen ein Datenverarbeitungsvorgang anhand eines vorgegebenen Programms ohne weiteres menschliches Zutun selbständig erledigt wird. Eine Digitalisierung der verarbeiteten Daten ist hinreichende Bedingung der Automatisierung (Bäcker in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. August 2023, DSGVO, Art. 2 Rn. 2 m.w.N.). Für eine teilweise automatisierte Verarbeitung genügt bereits, dass ein einzelner Teilschritt automatisiert erfolgt (Kühling/Raab in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 2 Rn. 17). Dies ist beispielsweise der Fall, wenn personenbezogene Daten manuell in eine digitale Datenbank eingegeben werden (Bäcker in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. August 2023, DSGVO, Art. 2 Rn. 3). Vorliegend wurde die streitgegenständliche Liste mit 22 Klarnamen von Beschäftigten mit "direct knowledge" digital geführt, was bereits beim überblicksartigen Überfliegen des Ausdrucks erkennbar ist. Deshalb kann auch dahinstehen, ob die Namen der 22 Personen manuell eingetragen wurden, was für eine teilweise automatisierte Verarbeitung sprechen würde. Denn jedenfalls ist der sachliche Anwendungsbereich nach Art. 2 Abs. 1 DSGVO eröffnet.
Diesbezüglich kann die Klägerin auch nicht mit Erfolg einwenden, dass dem Monitor die Liste lediglich ausgedruckt und als Lesefassung zur Verfügung gestellt worden ist. Denn der Umstand, dass die digital geführte Liste ausgedruckt wurde, lässt die Qualifizierung als (zumindest teilweise) automatisierte Verarbeitung nicht entfallen. Ansonsten wäre dies eine Möglichkeit für Verantwortliche, die Regelungen der DSGVO bewusst zu umgehen, indem sie digital erfasste Daten, welche offensichtlich den sachlichen Anwendungsbereich des Art. 2 Abs. 1 DSGVO erfüllen, ausdrucken und physisch übermitteln. Die DSGVO bezweckt jedoch einen umfassenden Schutz. Die Umgehung ihrer Vorschriften soll vermieden werden (vgl. Erwägungsgrund 15 S. 1 der DSGVO).
bb.
Die Verwarnung ist rechtswidrig, da der Beklagte sein ihm nach Art. 58 Abs. 2 DSGVO zustehendes Ermessen fehlerhaft ausgeübt hat. Er hat seine Entscheidung, die Klägerin zu verwarnen, mit der aus seiner Sicht fehlerhaften, nach Einschätzung des Gerichts jedoch nicht zu beanstandenden Interessensabwägung der Klägerin und nicht mit der unterlassenen Mitteilung des verfolgten berechtigten Interesses im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. d DSGVO begründet.
Im Rahmen der gerichtlichen Überprüfung des von der Behörde ausgeübten Ermessens prüft das Gericht die Gesichtspunkte nach, auf die sich die Behörde erkennbar gestützt hat. Die gerichtliche Kontrolle muss daran anknüpfen, wie die Behörde im konkreten Fall ihr Ermessen gebildet hat (BVerwG, Urteil vom 5. April 1984 - 1 C 57/81 -, BVerwGE 69, 137-146 Rn. 26). Maßgeblich ist dabei die tatsächliche Entscheidungsfindung. Hierfür sind primär die angegebene Entscheidungsbegründung und sekundär alle Gesichtspunkte, die auf die materielle Entscheidungsbegründung hinweisen, zu berücksichtigen (Wolff in Sodan/Ziekow, Verwaltungsgerichtsordnung, 5. Aufl. 2018, VwGO, § 114 Rn. 177). Die Behörde hat alle wesentlichen Umstände in ihre Ermessensausübung einzubeziehen. Übersieht sie einen solchen Gesichtspunkt, so sind ihre Ermessenserwägungen unvollständig und rechtswidrig (Schübel-Pfister in Eyermann, Verwaltungsgerichtsordnung, 16. Aufl. 2022, VwGO, § 114 Rn. 24). Stützt die Behörde ihre Entscheidung hingegen auf einen Aspekt, der außerhalb des Ermessensraums liegt und daher sachwidrig ist, ist die Entscheidung fehlerhaft (Wolff in Sodan/Ziekow, Verwaltungsgerichtsordnung, 5. Aufl. 2018, VwGO, § 114 Rn. 177).
Vorliegend ist die Entscheidung, die Klägerin zu verwarnen, ermessensfehlerhaft ergangen, denn der Beklagte hat diese Entscheidung auf einen sachwidrigen Grund gestützt. Er hat den Ausspruch der Verwarnung damit begründet, dass die Klägerin die Interessensabwägung des Art. 6 Abs. 1 Buchst. f DSGVO nicht fehlerfrei vorgenommen habe. Dadurch stützt der Beklagte seine Entscheidung auf einen sachwidrigen Aspekt, denn die von der Klägerin im Rahmen der Einzelfallentscheidung Nr. 06.0 durchgeführte Interessensabwägung, die zu ihren Gunsten ausgeht, ist nach Einschätzung des Gerichts rechtlich nicht zu beanstanden (1). Vielmehr ist die streitgegenständliche Datenverarbeitung deshalb rechtswidrig, weil die Klägerin den Betroffenen vor der Offenlegung der Liste nicht ihr berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO an der konkreten Datenverarbeitung mitgeteilt hat und die Datenverarbeitung deshalb nicht auf eine Rechtsgrundlage gestützt werden kann (2). Diesen Gesichtspunkt hat der Beklagte im maßgeblichen Zeitpunkt der letzten Behördenentscheidung im Rahmen seiner Ermessensentscheidung nicht berücksichtigt und er konnte seine fehlerhafte Ermessensentscheidung im gerichtlichen Verfahren auch nicht nachbessern (3).
(1)
Art. 6 Abs. 1 Buchst. f DSGVO legt fest, dass eine Datenverarbeitung nur dann rechtmäßig ist, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht die berechtigten Interessen des Verantwortlichen, die die Verarbeitung der Daten erforderlich machen, überwiegen. Demnach hat der Verantwortliche eine Abwägung der einander gegenüberstehenden Rechte und Interessen vorzunehmen, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt (vgl. EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 50; EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 79 m.w.N.). Entsprechend dem Grundsatz von Treu und Glauben muss die Abwägung insbesondere den Umfang und die Absehbarkeit der Verarbeitung, deren Auswirkungen auf die betroffenen Personen und die Beziehung der Betroffenen zum Verantwortlichen sowie die vernünftigen Erwartungen der betroffenen Personen berücksichtigen (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 87; Erwägungsgrund 47 S. 1 und 2 der DSGVO; Albers/Veit in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO Art. 6 Rn. 72). Solange nicht die schutzwürdigen Interessen der betroffenen Personen überwiegen, geht die Abwägung zugunsten des Verantwortlichen aus. Ein bloßes Tangieren der Rechte der Betroffenen macht die Datenverarbeitung nicht unzulässig. Sie darf daher - sofern die weiteren Voraussetzungen des Art. 6 Abs. 1 Buchst. f DSGVO vorliegen - bei gleichwertigen Interessen stattfinden (vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 69; Schulz in Gola/Heckmann, DSGVO, BDSG, 3. Aufl. 2022, DSGVO, Art. 6 Rn. 62). Die vom Verantwortlichen vorzunehmende Abwägung ist der richterlichen Nachprüfung uneingeschränkt zugänglich (vgl. EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 50; EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 79; Schulz in Gola/Heckmann, DSGVO, BDSG, 3. Aufl. 2022, DSGVO, Art. 6 Rn. 166; Reimer in Sydow/Marsch, DSGVO BDSG, 3. Aufl. 2022, DSGVO, Art. 6 Rn. 82).
Diese Maßstäbe zugrunde gelegt, geht die Abwägung im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO vorliegend zu Gunsten der Klägerin und zu Lasten der betroffenen Personen aus, denn deren Interessen, Grundrechte und Grundfreiheiten überwiegen nach Einschätzung der Kammer nicht das berechtigte Interesse der Klägerin an der Datenverarbeitung.
Auf Seiten der Klägerin liegt ein berechtigtes Interesse an der Datenverarbeitung im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO vor. Unter dem Begriff des berechtigten Interesses, welcher in der DSGVO nicht definiert wird, ist jedes rechtliche, wirtschaftliche oder ideelle Interesse zu verstehen (vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, juris Rn. 16 m.w.N.). Mit der Übermittlung der Liste verfolgte die Klägerin sowohl rechtliche als auch wirtschaftliche Interessen. Denn sie kam der Informationsanforderung des Monitors nach, um ihre Verpflichtungen aus den Settlement Agreements, durch die gegen sie in den USA geführte strafrechtliche und zivilgerichtliche Verfahren vorerst und mit der Verknüpfung von Auflagen beendet wurden, zu erfüllen. In plausibler und schlüssiger Weise hat sie auch dargelegt, dass die Nichterfüllung der Informationsanforderung zu einer Verletzung der Settlement Agreements hätte führen können. Dadurch hätte das gegen sie geführte Strafverfahren wiederaufgenommen werden können, es hätten erhebliche Strafzahlungen auf sie zukommen können und/oder das Monitorship hätte verlängert werden können. Darüber hinaus spricht auch Satz 2 des Erwägungsgrundes 47 der DSGVO dafür, dass ein berechtigtes Interesse auf Seiten der Klägerin gegeben ist. Denn danach kann ein berechtigtes Interesse vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Vorliegend war die Klägerin zum Zeitpunkt der Datenverarbeitung die aktuelle bzw. ehemalige Arbeitgeberin der betroffenen Personen, sodass eine maßgebliche und angemessene Beziehung bestand.
Die Belange der betroffenen Personen überwiegen nicht das berechtigte Interesse der Klägerin.
In die Abwägung sind neben den Grundrechten und Grundfreiheiten alle Interessen der betroffenen Person einzustellen, ohne dass es dafür - anders als auf Seiten des Verantwortlichen - erforderlich ist, dass es sich dabei um ein "berechtigtes" Interesse handelt (Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 49). Allerdings müssen auch diese Interessen den Schutz der personenbezogenen Daten erfordern. Als zu berücksichtigende Interessen der betroffenen Person kommen auch die mit der Verarbeitung verbundenen Risiken wie zum Beispiel Diskriminierung, finanzielle Verluste und Rufschädigung in Betracht (Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 49 m.w.N.).
Vorliegend geht die Abwägung nicht zu Gunsten der Betroffenen aus. Zwar ist den Betroffenen zuzugestehen, dass sie ein Interesse daran haben, nicht mit potentiellen Pflichtverletzungen gegenüber Dritten in Verbindung gebracht zu werden. Jedoch wird dieses Interesse durch die Erfüllung der Informationsanforderung des Monitors nicht in der Weise tangiert, dass es das berechtigte Interesse der Klägerin an der Datenverarbeitung überwiegen würde. Denn die Datenübermittlung an den Monitor begründet die vom Beklagten genannte Gefahr, dass das berufliche Fortkommen negativ beeinflusst werden könnte, nicht. Die Klägerin hat als (teilweise ehemalige) Arbeitgeberin bereits Kenntnis von den etwaigen Pflichtverletzungen. Aus der bloßen Offenlegung der Liste an den Monitor ergeben sich für die Klägerin als Arbeitgeberin keine weiteren Erkenntnisse, die für die berufliche Zukunft des jeweils Betroffenen relevant sein könnten. Der Monitor hat auf die berufliche Zukunft der Betroffenen keinen Einfluss. Darüber hinaus ist auch die Gefahr der Schädigung der Reputation als gering anzusehen. Denn für das Gericht ist nicht ersichtlich, weshalb die bloße Offenlegung der Liste gegenüber dem Monitor zu einer Schädigung des Rufs und/oder des Ansehens der Betroffenen führen sollte. Diesbezüglich sind keine überzeugenden Anhaltspunkte vorgetragen worden oder sonst ersichtlich. Insbesondere werden die Namen der Betroffenen durch die Übermittlung der Liste als Lesefassung an den Monitor nicht veröffentlicht.
Ungeachtet dessen, ob die Gefahr, strafrechtlichen Ermittlungen in den USA ausgesetzt zu werden, überhaupt ein schutzwürdiges und berücksichtigungsfähiges Interesse im Rahmen des Art. 6 Abs. 1 Buchst. f DSGVO darstellt, da die DSGVO den Schutz von personenbezogenen Daten, nicht aber den Schutz vor einer (ggf. berechtigten) Strafverfolgung bezweckt, kann dieses Interesse - seine Schutzwürdigkeit und Berücksichtigungsfähigkeit unterstellt - jedenfalls nicht das berechtigte Interesse der Klägerin überwiegen. Denn das Risiko, strafrechtlichen Ermittlungen in den USA ausgesetzt zu werden, ist vorliegend als höchstens gering einzuschätzen. Hierfür spricht vor allem, dass das Monitorship darauf gerichtet war, das Risiko zu reduzieren, dass sich zukünftig ähnliche Vorfälle wie die Diesel-Thematik ereignen. Die Compliance-Strukturen der Klägerin sollten getestet, verbessert und ergänzt werden, um die Wahrscheinlichkeit eines vergleichbaren Fehlverhaltens bei der Klägerin in der Zukunft zu minimieren. Zu den Aufgaben des Monitors gehörte es hingegen nicht, das Fehlverhalten einzelner Mitarbeiter während der Diesel-Thematik zu ermitteln und an die US-(Straf-)Behörden weiterzuleiten. Hierfür spricht auch, dass der Monitor und die Klägerin eine Vertraulichkeitsvereinbarung geschlossen haben, die zum vertraulichen Umgang verpflichtet hat, wenngleich diese nicht ausnahmslos galt, da der Monitor gewissen (gesetzlichen) Berichtspflichten gegenüber US-Behörden unterlag (siehe sogleich). Ferner war der Monitor verpflichtet, die ihm übermittelten Daten nach 90 Tagen nach der Beendigung des Monitorships zu löschen, wodurch sichergestellt war, dass sie nicht zeitlich unbegrenzt verfügbar waren. Des Weiteren spricht die Motivation des Monitors für die konkrete Informationsanforderung gegen ein (erhöhtes) Risiko der Strafverfolgung. Denn er begründete seine Anfrage damit, dass er die Namen der Betroffenen erfahren wolle, um zu überprüfen, ob die Klägerin mit den "richtigen" Personen Gespräche geführt habe. Folglich ging es ihm nicht darum, die Namen der Betroffenen zu erfahren, um sie an US-Strafbehörden weiterzugeben, vielmehr wollte er überprüfen, ob die Klägerin seinem Auftrag, eine Ursachenanalyse zur Diesel-Thematik durchzuführen, zufriedenstellend und umfassend nachgekommen ist bzw. nachkommt.
Zu keiner anderen Einschätzung führt der Umstand, dass der Monitor gewissen Berichtspflichten gegenüber US-Strafbehörden unterlag. Auch vor diesem Hintergrund ist von einer - wenn überhaupt - geringen Gefahr von strafrechtlichen Ermittlungen als Auswirkung der Datenübermittlung auszugehen. Hierfür spricht maßgeblich, dass die Information, die Betroffenen hätten Kenntnis von Vorgängen im Zusammenhang mit der Diesel-Thematik gehabt, nicht mit einer strafrechtlichen Beteiligung oder Verantwortlichkeit gleichzusetzen ist. Denn dem Umstand, dass die Klägerin Gespräche mit den auf der Liste genannten Mitarbeitern zu führen beabsichtigte, um eine Ursachenanalyse durchzuführen und Umstände zu ermitteln, die die Diesel-Thematik ermöglicht und begünstigt haben, ist nicht zu entnehmen, dass die jeweils Betroffenen an den Vorgängen der Diesel-Thematik (ggf. in strafrechtlich relevanter Weise) beteiligt gewesen sind. Die - von der Klägerin angenommene - bloße Kenntnis der Betroffenen von Vorgängen im Zusammenhang mit der Diesel-Thematik ist kein Nachweis für eine Beteiligung an diesen Vorgängen oder gar für eine Strafbarkeit. Vielmehr hat die Klägerin nachvollziehbar begründet, dass diese Personen ausschließlich deshalb ausgewählt worden seien, weil sie in den entscheidenden Zeiträumen in relevanten Positionen gearbeitet hätten und die Klägerin daher vermutet habe, dass sie Kenntnis von wesentlichen Vorfällen hatten. Wie weit diese Kenntnis gereicht hat und ob die Ausgewählten an Vorgängen der Abgasmanipulation beteiligt waren, war für die Klägerin hingegen gerade kein Kriterium für die Auswahl.
Soweit der Beklagte der Auffassung ist, dass das Risiko, strafrechtlichen Ermittlungen ausgesetzt zu werden, nicht als gering einzuschätzen sei, hat er diesbezüglich weder schriftsätzlich noch in der mündlichen Verhandlung überzeugend dargelegt, weshalb ein höheres Risiko anzunehmen sein sollte. Der bloße Umstand, dass der Monitor I. von J. bis K. stellvertretender Justizminister der USA war und das I. Memorandum herausgegeben hat, vermag angesichts des klaren Zuschnitts des Monitorships und der dargestellten Auswirkungen der Datenübermittlung nichts an der Einschätzung des Gerichts zu verändern.
Darüber hinaus wirken sich die Art, wie die personenbezogenen Daten offengelegt wurden, und der Umfang der Daten in der Abwägung zugunsten der Klägerin und ihrem berechtigten Interesse aus. Denn die Liste mit den Namen der Betroffenen und dem Zusatz "direct knowledge" wurde dem Monitor ausschließlich als Lesefassung in Deutschland zur Verfügung gestellt. Zwar wird diesbezüglich nicht verkannt, dass es dem Monitor durchaus möglich gewesen wäre, sich die auf der ihm lediglich vorgelegten Liste genannten Namen zu merken oder zu notieren. Jedoch spricht der Umstand, dass die Liste dem Monitor nur als Lesefassung in Deutschland zur Verfügung gestellt und ihm gerade nicht digital übersandt wurde, bei lebensnaher Betrachtung und unter Berücksichtigung des Ziels des Monitorships dafür, dass die etwaige Gefahr, die auf der Liste genannten Personen könnten strafrechtlichen Ermittlungen ausgesetzt werden, weiter reduziert wurde. Der Monitor konnte die Liste gerade nicht abspeichern oder aufbewahren, sondern konnte sie ausschließlich in einem begrenzten Zeitfenster und an einem konkreten Ort lesen. Ferner wurden neben dem Kriterium "direct knowledge" und der Abteilung lediglich der Klarname der Betroffenen offengelegt.
Des Weiteren überzeugt der Einwand des Beklagten nicht, die Abwägung hätte differenziert nach bestimmten Gruppen und Individualinteressen vorgenommen werden müssen. Eine solche Differenzierung, beispielsweise zwischen den Interessen der Betroffenen, gegen die bereits ermittelt worden ist, und der Betroffenen, gegen die noch nicht ermittelt worden ist, ist nach Einschätzung des Gerichts nicht erforderlich. Sofern ein und derselbe Sachverhalt eine Vielzahl von betroffenen Personen erfasst, genügt eine summarische Prüfung der Belange der betroffenen Personen unter Zugrundelegung von Erfahrungswerten (vgl. Schulz in Gola/Heckmann, DSGVO, BDSG, 3. Aufl. 2022, DSGVO, Art. 6 Rn. 63). Denn nach Einschätzung des Gerichts würden sich auch bei einer Differenzierung keine anderen Abwägungsergebnisse ergeben. Sowohl für Personen, gegen die bereits ermittelt wurde, als auch gegen Personen, gegen die (bisher) keine strafrechtlichen Verfahren in den USA betrieben wurden, war die Gefahr, dass die Offenlegung der Liste dazu geführt hätte, dass sie strafrechtlichen Ermittlungen ausgesetzt oder die bereits bestehenden Ermittlungen ausgedehnt worden wären, aus den genannten Gründen als gering anzusehen. Diesbezüglich ist auch darauf hinzuweisen, dass dem Monitor, der zum Zeitpunkt des Monitorships keiner US-Strafbehörde angehörte, nicht bekannt gewesen sein dürfte, gegen welche Personen, die auf der Liste standen, strafrechtliche Ermittlungsverfahren geführt wurden. Aus der Liste selbst ging diese Information jedenfalls nicht hervor.
Ferner war auch keine Differenzierung nach den von dem Beklagten vorgeschlagenen Kriterien "Dienstort in den USA", "Dienstreisen in die USA" oder "private Reisen in die USA" vorzunehmen. Denn eine Differenzierung nach den genannten Kriterien hätte zur Folge gehabt, dass weitere, teilweise das Privatleben betreffende Daten wie beispielsweise die Anzahl und Häufigkeit von Dienstreisen oder auch private Reisevorlieben hätten ermittelt und herangezogen werden müssen. Dies hätte eine weitere Erhebung von Daten zu teilweise privaten Themen bedeutet und somit dem in Art. 5 Abs. 1 Buchst. c DSGVO niedergelegten und für die gesamte DSGVO geltenden Grundsatz der Datenminimierung widersprochen.
Dem rechtsfehlerfreien Ergebnis, dass die Interessen der Betroffenen nicht das berechtigte Interesse der Klägerin überwiegen, steht auch nicht Satz 4 des 47. Erwägungsgrundes der DSGVO entgegen. Danach können die Interessen und Grundrechte der betroffenen Personen das Interesse des Verantwortlichen überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss. Die Beurteilung der Begründetheit der Erwartungshaltung der Betroffenen erfordert stets ein Mitdenken des Verarbeitungskontexts (Albers/Veit in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 6 Rn. 72; vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 42). Denn ausweislich des Wortlauts von Satz 4 des 47. Erwägungsgrundes ist selbst dann, wenn die Betroffenen zum Zeitpunkt der Erhebung ihrer Daten nicht mit einer weiteren Verarbeitung rechnen mussten, nicht automatisch ein Überwiegen der Belange der Betroffenen anzunehmen. Vorliegend konnten die Betroffenen zum Zeitpunkt der Datenerhebung zwar vernünftigerweise nicht damit rechnen, dass ihre personenbezogenen Daten im Rahmen eines Monitorships übermittelt werden, das auf gerichtlichen Vergleichen mit Behörden von Drittstaaten beruht, um wegen Abgasmanipulationen geführte Gerichtsverfahren zu beenden und Verurteilungen zu vermeiden. Jedoch vermag diese fehlende Absehbarkeit das Abwägungsergebnis im vorliegenden Einzelfall angesichts der weiteren berücksichtigten, maßgeblichen Abwägungskriterien wie insbesondere die Auswirkungen der Verarbeitung auf die betroffenen Personen, der Umfang und die Art der Verarbeitung sowie die Beziehung der Betroffenen zur Verantwortlichen, die vorliegend zum Zeitpunkt der Datenverarbeitung von einem besonderen Näheverhältnis gekennzeichnet war, da die Klägerin die (ehemalige) Arbeitgeberin der Betroffenen war, nicht zu verändern.
Somit ist die von der Klägerin durchgeführte Interessenabwägung rechtlich nicht zu beanstanden. Sie geht zu ihren Gunsten aus, da die zu berücksichtigenden Belange der Betroffenen nicht das von der Klägerin verfolgte berechtigte Interesse überwiegen im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO.
(2)
Die hier in Rede stehende Verarbeitung von personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO erfolgte nicht rechtmäßig nach Art. 5 Abs. 1 Buchst. a DSGVO, denn sie lässt sich nicht auf eine taugliche Rechtsgrundlage stützen ((a) und (b)). Insbesondere wird die Offenlegung der Liste nicht von Art. 6 Abs. 1 Buchst. f DSGVO gerechtfertigt, da die Klägerin den Betroffenen vor der Offenlegung nicht ihr berechtigtes Interesse an der konkreten Datenverarbeitung mitgeteilt hat (c).
(a)
Anders als die Klägerin meint, kann die Offenlegung der Liste nicht darauf gestützt werden, dass die Klägerin Verarbeitungszwecke festgelegt hat. Denn aus dem Wortlaut und der Systematik des Art. 5 Abs. 1 Buchst. a und b DSGVO folgt, dass Daten nur auf rechtmäßige Weise, d.h. gestützt auf eine ausreichende Rechtsgrundlage, sowie für festgelegte, eindeutige und legitime Zwecke verarbeitet werden dürfen. Dies bedeutet, dass im Falle der Festlegung eines Zwecks nicht das Vorliegen einer Rechtsgrundlage hinfällig wird. Vor diesem Hintergrund vermag das Vorbringen der Klägerin, die Offenlegung der Liste sei von dem konkret festgelegten und transparent kommunizierten Verarbeitungszweck gedeckt gewesen, nicht dazu führen, dass die Daten rechtmäßig im Sinne des Art. 5 Abs. 1 Buchst. a DSGVO verarbeitet wurden, da das Vorbringen keine Anhaltspunkte für das Vorhandensein einer ausreichenden Rechtsgrundlage liefert.
(b)
Vorliegend stellen weder § 26 BDSG noch Art. 88 Abs. 1 DSGVO in Verbindung mit einer Kollektivvereinbarung noch Art. 6 Abs. 1 Buchst. b DSGVO die taugliche Rechtsgrundlage dar.
Unabhängig von der Frage, ob § 26 BDSG verordnungswidrig ist, wofür nach dem Urteil des Europäischen Gerichtshofs vom 30. März 2023 - C-34/21 -, Celex-Nr. 62021CJ0034, einiges sprechen dürfte, lässt sich die Datenverarbeitung nicht auf diese Norm stützen, da die Offenlegung der Namen der Betroffenen mit dem Zusatz "direct knowledge" jedenfalls keine Datenverarbeitung darstellt, die für Zwecke des Beschäftigungsverhältnisses erfolgt ist.
Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Hier ist die Offenlegung der Liste mit den Namen der Betroffenen, die ursprünglich zur Begründung des Beschäftigungsverhältnisses erhoben worden sind, nicht für dessen Durchführung erforderlich. Dies gilt zunächst für die auf der Liste genannten Personen, die zum Zeitpunkt der Offenlegung bereits nicht mehr bei der Klägerin angestellt waren, da es wegen des bereits beendeten Beschäftigungsverhältnisses an einem solchen fehlt. Ferner gilt dies aber auch für die Personen, die zum Zeitpunkt der Offenlegung der Liste bei der Klägerin angestellt waren, da die Offenlegung ihrer Namen mit dem Zusatz "direct knowledge" keine Datenverarbeitung darstellt, die für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.
Erforderlich ist die Datenverarbeitung, wenn der Arbeitgeber diese zur Erfüllung seiner - gegenüber dem Beschäftigten oder Dritten - bestehenden gesetzlichen Pflichten, für die Erfüllung seiner vertraglichen Pflichten oder zur Wahrnehmung seiner gesetzlichen oder vertraglichen Rechte benötigt. Für die Bestimmung der Erforderlichkeit kommt es auf die berechtigten Interessen und Zwecke des Arbeitgebers an (VG Lüneburg, Teilurteil vom 19. März 2019 - 4 A 12/19 -, juris Rn. 33; Riesenhuber in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Februar 2025, BDSG, § 26 Rn. 114). Diesbezüglich ist jedoch unter Berücksichtigung des Wortlauts und der Systematik der Norm zu beachten, dass sich die berechtigten Interessen auf das konkrete Beschäftigungsverhältnis beziehen müssen und nicht gleichzusetzen sind mit dem Begriff der berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO. Denn § 26 BDSG regelt ausweislich seines Wortlauts ausschließlich die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Nur wenn die Verarbeitung vorrangig dem Beschäftigungsverhältnis dient, kann § 26 BDSG überhaupt als Befugnisnorm in Betracht kommen (vgl. Maschmann, Verarbeitung personenbezogener Entgeltdaten und neuer Datenschutz, BB 2019, 628, 629). Daraus folgt, dass die Erfüllung irgendeiner vertraglichen Pflicht des Arbeitgebers nicht die Erforderlichkeit der Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses begründen kann. Vielmehr muss es sich um Pflichten handeln, die in Zusammenhang mit dem Beschäftigungsverhältnis stehen. Diese Auslegung ergibt sich auch aus Art. 88 Abs. 1 DSGVO. § 26 Abs. 1 BDSG beruht auf der Öffnungsklausel des Art. 88 Abs. 1 DSGVO, durch die den Mitgliedstaaten ermöglicht wird, spezifischere Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Erfüllung des Arbeitsvertrags, zu erlassen. Art. 88 Abs. 1 DSGVO ermächtigt demnach ausschließlich zu Regelungen, die in Zusammenhang mit dem Beschäftigungsverhältnis stehen. Diesbezüglich werden in Art. 88 Abs. 1 DSGVO exemplarisch einige Verarbeitungszwecke aufgezählt, in denen eine Verarbeitung zum Zwecke der Erfüllung des Arbeitsvertrags erfolgt wie beispielsweise die Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen.
Die streitgegenständliche Datenverarbeitung diente vorliegend nicht dem Beschäftigungsverhältnis. Sie war für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich. Zwar beruhte die Offenlegung der Liste auf der vertraglichen Verpflichtung der Klägerin gegenüber dem Monitor bzw. den US-Behörden anlässlich der von ihr freiwillig eingegangenen Settlement Agreements. Jedoch diente die Erfüllung dieser vertraglichen Verpflichtung nicht dem Beschäftigungsverhältnis der auf der Liste genannten Personen, sondern die Klägerin kam ihren vertraglichen Verpflichtungen gegenüber dem Monitor mit dem Ziel nach, ihre Pflichten aus den Settlement Agreements zu erfüllen, um die Gerichtsverfahren dauerhaft zu beenden und so Verurteilungen zu vermeiden. Abgesehen davon hätten Strafzahlungen und finanzielle Einbußen, zu denen es gegebenenfalls hätte kommen können, wenn die Klägerin die Informationsanforderung nicht erfüllt hätte, keinen (unmittelbaren) Einfluss auf die Durchführung des jeweiligen Beschäftigungsverhältnisses gehabt. Das Beschäftigungsverhältnis wäre davon höchstens mittelbar berührt worden, beispielsweise dann, wenn die Klägerin, sofern es zu Verurteilungen in den Gerichtsverfahren, die im Falle von Verstößen der Klägerin gegen die Settlement Agreements gegebenenfalls wiederaufgenommen worden wären, gekommen wäre, einen Teil der Belegschaft hätte entlassen müssen, da die Gerichtsverfahren und Verurteilungen zu erheblichen finanziellen Einbußen hätten führen können. Dieser mittelbare Einfluss reicht für eine Rechtfertigung nach § 26 Abs. 1 BDSG jedoch nicht aus.
Das Monitorship ist auch kein Zweck, der in Art. 88 Abs. 1 DSGVO exemplarisch genannt wird oder hiermit gleichzusetzen wäre. Denn eine der Hauptaufgaben des Monitors bestand darin, zu überwachen, ob die Klägerin die mit den US-Behörden geschlossene Vergleichsvereinbarung zur Beendigung von Gerichtsverfahren einhält. Dies stellt nach objektiver und lebensnaher Betrachtung keinen üblicherweise mit dem Beschäftigungsverhältnis verbundenen Vorgang dar. Die Durchführung des Monitorships kann auch nicht als Planung und Organisation der Arbeit eingestuft oder hiermit verglichen werden, da die Klägerin die Auflagen der Vergleichsvereinbarung erfüllte, um die Wiederaufnahme von Gerichtsverfahren und mögliche Verurteilungen zu vermeiden. Diesbezüglich führt auch der Umstand, dass der Monitor neben der Überwachung der Einhaltung der Vergleichsvereinbarung die Umsetzung von Compliance-Maßnahmen zur Verhinderung zukünftiger Verstöße als Aufgabe verfolgt hat, zu keiner anderen Einschätzung. Zum einen lässt dieser Umstand die Motivation der Klägerin, laufende Gerichtsverfahren in den USA zu beenden, um möglichen Verurteilungen zu entgehen, nicht in den Hintergrund treten. Zum anderen handelt es sich bereits aus dem Grund, dass die Klägerin sich den Behörden eines Drittstaates unterwirft, nicht um eine typische und übliche Compliance-Maßnahme, sondern - auch angesichts der konkreten Ausgestaltung des Monitorships und der Aufgaben des Monitors - um eine beispiellose Maßnahme eigener Art. Darüber hinaus diente die Durchführung des Monitorships auch nicht dem Schutz des Eigentums der Klägerin. Zwar befürchtete die Klägerin, dass Strafzahlungen drohen könnten, sofern sie die Informationsanforderung des Monitors nicht erfüllen und dadurch die Vereinbarungen verletzen würde. Allerdings berühren diese bloß mittelbaren Folgen vermögensrechtlicher Art nicht das Eigentum der Klägerin.
Anders als die Klägerin vorträgt, ist davon auszugehen, dass sie selbst vor der Offenlegung der Liste nicht davon ausgegangen ist, dass dies zur Durchführung des Beschäftigungsverhältnisses mit den Betroffenen erforderlich ist oder im Beschäftigungskontext erfolgt. In ihrer universellen Datenschutzerklärung hat sie für sich und die Beschäftigten durch Beispiele erläutert, welche Datenverarbeitungen zur Durchführung des Beschäftigungsverhältnisses dienen. Darin werden Mitarbeitergespräche, Versetzungen und persönliche Veränderungen, Gesundheitsförderung, Zutrittskontrollen, interne und externe Kommunikation und Büroarbeitsplatzverweisungen genannt. Zwar ist der Klägerin zuzugestehen, dass diese Auflistung nicht abschließend ist. Jedoch ergibt sich aus dem Gesamteindruck der aufgeführten Beispiele, dass die Informationsübermittlung im Monitorships hiermit nicht vergleichbar ist. Denn die aufgezählten Beispiele wie das Mitarbeitergespräch, die Versetzung, die Zutrittskontrollen oder die Büroplatzverweisungen haben einen direkten Bezug zu dem Beschäftigungsverhältnis und beeinflussen dessen alltägliche Ausgestaltung und Durchführung. Bei der Übermittlung der Liste an den Monitor fehlt es an diesem unmittelbaren Bezug, da sie dem Beschäftigungsverhältnis nicht dient. Zudem hat die Klägerin im Rahmen der streitgegenständlichen Einzelfallentscheidung Nr. 06.0 als einschlägige Rechtsgrundlage Art. 6 Abs. 1 Buchst. f DSGVO und nicht § 26 BDSG angegeben.
Ferner stellen weder die Konzernbetriebsvereinbarung Nr. 01/2017 noch die Betriebsvereinbarung Nr. 03/18 in Verbindung mit Art. 88 Abs. 1 DSGVO taugliche Rechtsgrundlagen für die Offenlegung der Liste dar.
Die Konzernbetriebsvereinbarung Nr. 01/2017 bezog sich ausweislich ihrer Regelung in § 1 Absatz 3, die den sachlichen Geltungsbereich festlegt, ausschließlich auf die Durchführung von Gesprächen mit Beschäftigten durch den Monitor. Die Offenlegung der Liste mit den Namen und dem Zusatz "direct knowledge" sollte jedoch nicht dazu dienen, dass der Monitor selbst Gespräche mit den genannten Personen führt, sondern er wollte überprüfen, ob die Klägerin seinem Auftrag im Rahmen der "Recommendation 2", eine Ursachenanalyse zur Diesel-Thematik durchzuführen, zufriedenstellend und umfassend nachgekommen ist. Im Übrigen wurde in der Konzernbetriebsvereinbarung nicht erwähnt, dass auch personenbezogene Daten an den Monitor übermittelt werden könnten. Der Hinweis in der Präambel, dass der Monitor auch Informationen sammeln und auswerten werde, war zu pauschal gehalten. Daraus ging jedenfalls nicht erkennbar hervor, dass die Klägerin ihm auch personenbezogene Daten der Beschäftigten offenlegen wird.
Die Datenverarbeitung lässt sich auch nicht auf die Betriebsvereinbarung Nr. 03/18 stützen. Denn auch diese Betriebsvereinbarung regelt ausweislich ihres Titels ausschließlich den Umgang mit personenbezogenen Daten im Beschäftigungskontext. Dass das Monitorship nicht hierunter zu fassen ist, ergibt sich auch bei Würdigung der von der Klägerin in der Betriebsvereinbarung abschließend aufgeführten Zwecke. Unter anderem wird die Durchführung des Beschäftigungsverhältnisses und der Schutz des Eigentums der Klägerin genannt. Neben den in der Vereinbarung aufgelisteten Zwecken können ausweislich des Wortlauts auf Seite 4 der Betriebsvereinbarung weitere Zweckbestimmungen in Anlagen geregelt werden. Wie bereits ausgeführt, erfolgte die Offenlegung der Liste nicht zur Durchführung des Beschäftigungsverhältnisses und auch nicht zum Schutz des Eigentums der Klägerin. Ebenso wenig lässt sich die Offenlegung der Namen mit dem Zusatz "direct knowledge" unter die in den Anlagen der Betriebsvereinbarung genannten Zusammenhänge subsumieren, denn diese betreffen die digitale Gefahrenabwehr, die Protokollierung des Zutritts zum Werksgelände sowie Prozesse der Fahrzeug- und Funktionsentwicklung.
Art. 88 Abs. 1 DSGVO kann (isoliert betrachtet) auch nicht als Rechtsgrundlage herangezogen werden, da die Vorschrift als Öffnungsklausel lediglich die Mitgliedstaaten dazu ermächtigt, spezifischere datenschutzrechtliche Bestimmungen zur Verarbeitung personenbezogener Beschäftigungsdaten im Beschäftigungskontext zu erlassen. Sie stellt keine eigenständige Rechtsgrundlage dar.
Des Weiteren kommt auch die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. b DSGVO vorliegend nicht in Betracht. Unabhängig davon, ob für diese Norm wegen § 26 BDSG noch ein Anwendungsbereich gegeben ist, lässt sich die Offenlegung der Liste jedenfalls nicht auf diese Rechtsgrundlage stützen.
Nach Art. 6 Abs. 1 Buchst. b DSGVO ist die Verarbeitung unter anderem dann rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Hinsichtlich der auf der Liste genannten Personen, die zum Zeitpunkt der Offenlegung ihrer Namen nicht mehr bei der Klägerin beschäftigt waren, scheidet Art. 6 Abs. 1 Buchst. b DSGVO bereits aus, da zwischen ihnen kein Vertragsverhältnis mehr besteht. Darüber hinaus kommt die genannte Norm auch nicht als Rechtsgrundlage für die Offenlegung der Namen der Betroffenen in Betracht, die zu diesem Zeitpunkt bei der Klägerin beschäftigt waren.
Damit eine Verarbeitung personenbezogener Daten als erforderlich im Sinne des Art. 6 Abs. 1 Buchst. b DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche dieser Verarbeitung muss somit nachweisen können, inwiefern der Hauptgegenstand dieses Vertrags ohne diese Verarbeitung nicht erfüllt werden kann (EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 33). Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Buchst. b DSGVO genannten Rechtfertigungsgrundes ist vielmehr, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 34).
Dies zugrunde gelegt, ist die Offenlegung der Namen mit dem Zusatz "direct knowledge" jedenfalls nicht erforderlich, um den jeweiligen Arbeitsvertrag, der zwischen den zum Zeitpunkt der Offenlegung der Liste beschäftigten Betroffenen und der Klägerin bestand, zu erfüllen. Denn sie ist weder objektiv unerlässlich noch wesentlich, um die Verpflichtungen aus dem Arbeitsvertrag ordnungsgemäß zu erfüllen. Der Hauptgegenstand des Arbeitsvertrags, d.h. die Hauptpflichten der Beschäftigten und der Klägerin, liegen darin, die Arbeitsleistung zu erbringen und diese zu vergüten. Die Offenlegung des Namens der Beschäftigten gegenüber dem Monitor hat keine (unmittelbaren) Auswirkungen für die Erfüllung des Arbeitsvertrages. Der dargestellte Einfluss, der ausschließlich mittelbar denkbar gewesen wäre, lässt eine Rechtfertigung nach Art. 6 Abs. 1 Buchst. b DSGVO nicht zu. Die Erfüllung der Informationsanforderung des Monitors hätte für das Vertragsverhältnis zwischen der Klägerin und den betroffenen Beschäftigten vor diesem Hintergrund höchstens von Nutzen sein können, was nach der Rechtsprechung des Europäischen Gerichtshofs jedoch nicht ausreichend ist.
Anders als die Klägerin meint, kommt es nach der Rechtsprechung des Europäischen Gerichtshofs auf den Hauptgegenstand des Arbeitsvertrages an, weshalb arbeitsvertragliche Nebenpflichten nicht maßgebend sind. Doch selbst wenn unterstellt werden würde, dass auch arbeitsvertragliche Nebenpflichten erfasst wären, würde dies zu keinem anderen Ergebnis führen. Denn auch in diesem Fall wäre die Übermittlung der Liste an den Monitor aus Sicht des Beschäftigten höchstens nützlich, aber nicht erforderlich, um seinen arbeitsvertraglichen Nebenpflichten gegenüber der Klägerin nachzukommen.
Ferner lässt sich die Datenverarbeitung auch nicht deshalb auf Art. 6 Abs. 1 Buchst. b DSGVO stützen, weil zwischen der Klägerin und dem Monitor bzw. den entsprechenden US-Behörden vertragliche Beziehungen bestehen. Denn Art. 6 Abs. 1 Buchst. b DSGVO setzt voraus, dass der von der Verarbeitung seiner personenbezogenen Daten Betroffene Vertragspartei ist. Die Betroffenen stehen vorliegend in keinem Vertragsverhältnis zum Monitor oder den US-Behörden.
(c)
Darüber hinaus lässt sich die Datenverarbeitung nicht auf Art. 6 Abs. 1 Buchst. f DSGVO in Verbindung mit Art. 6 Abs. 4 DSGVO stützen. Zwar liegen sowohl eine Zweckänderung als auch eine Kompatibilität im Sinne des Art. 6 Abs. 4 DSGVO vor, allerdings sind die Voraussetzungen des Art. 6 Abs. 1 Buchst. f DSGVO nicht erfüllt, weil die Klägerin es unterlassen hat, den Betroffenen das von ihr verfolgte berechtigte Interesse im Zeitpunkt der Weiterverarbeitung mitzuteilen.
Zur Überzeugung der Kammer handelt es sich bei Art. 6 Abs. 4 DSGVO um eine Auslegungsregel für das Tatbestandsmerkmal der Vereinbarkeit und stellt - anders als die Klägerin meint - keine eigene Ermächtigungsgrundlage dar. Die Regelungssystematik und der Wortlaut von Art. 6 Abs. 1 und Abs. 4 DSGVO sprechen dafür, dass der Kompatibilitätstest des Absatzes 4 eine zweckändernde Datenverarbeitung noch nicht zu einer rechtmäßigen Verarbeitung machen kann, sondern dass Art. 6 Abs. 4 DSGVO ausschließlich Aussagen zur Zweckänderung trifft (vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 41; BVerwG, Urteil vom 27. September 2018 - 7 C 5/17 -, juris Rn. 27; Reimer in Sydow/Marsch, DSGVO BDSG, 3. Aufl. 2022, DSGVO, Art. 6 Rn. 92 f.). Der Wortlaut von Art. 6 Abs. 4 DSGVO legt bereits nahe, dass sich die Vorschrift auf die Vorgabe der Zweckbindung einer Datenverarbeitung nach Art. 5 Abs. 1 Buchst. b DSGVO bezieht (VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 41; Buchner/Petri in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 6, Rn. 183). Zudem folgt aus dem Wortlaut des Art. 6 Abs. 1 DSGVO, dass eine Datenverarbeitung nur dann rechtmäßig ist, wenn mindestens eine der in Art. 6 Abs. 1 Buchst. a bis f DSGVO aufgeführten Bedingungen erfüllt ist. Einen Vorbehalt hinsichtlich Art. 6 Abs. 4 DSGVO enthält Art. 6 Abs. 1 DSGVO hingegen nicht. Vielmehr ist der in Absatz 1 aufgeführte Katalog erschöpfend und abschließend. Nichts anderes ergibt sich aus der systematischen Stellung der Vorschrift in Art. 6 DSGVO. Denn die Regelung des Absatzes 4 baut auf die vorhergehenden Absätze, insbesondere auf Absatz 1, auf (vgl. Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 69). Anders als die Klägerin meint, ist auch dem 50. Erwägungsgrund der DSGVO nicht zu entnehmen, dass Art. 6 Abs. 4 DSGVO ein eigener Erlaubnistatbestand darstellt. Zwar ist Satz 2 des 50. Erwägungsgrundes zu entnehmen, dass im Falle einer kompatiblen Zweckänderung "keine andere gesonderte Rechtsgrundlage erforderlich [ist] als diejenige für die Erhebung der personenbezogenen Daten". Jedoch ist diese missverständlich formulierte Erläuterung, die teilweise auch für ein Redaktionsversehen gehalten wird (vgl. Reimer in Sydow/Marsch, DSGVO BDSG, 3. Aufl. 2022, DSGVO, Art. 5 Rn. 26), zur Überzeugung der Kammer nicht dahingehend zu verstehen, dass bei einer Feststellung der Vereinbarkeit mit dem ursprünglichen Zweck die ursprüngliche Rechtsgrundlage für die Erhebung der Daten ausreichend ist (vgl. Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 69; Roßnagel in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 6 Rn. 13; Reimer in Sydow/Marsch, DSGVO BDSG, 3. Aufl. 2022, DSGVO, Art. 5 Rn. 2). Vielmehr enthält Satz 2 des 50. Erwägungsgrundes die Klarstellung, dass eine andere, gesonderte Rechtsgrundlage als diejenige, die die Ersterhebung getragen hat, nicht erforderlich ist, sofern die Weiterverarbeitung der einmal erhobenen und vorhandenen Daten zu einem anderen kompatiblen Zweck erfolgt (vgl. Albers/Veit in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 6 Rn. 108; Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 69). Für dieses und gegen das Verständnis der Klägerin spricht auch, dass Satz 2 des 50. Erwägungsgrundes im systematischen Zusammenhang mit Satz 8 zu lesen ist. Satz 8 stellt klar, dass die Anwendung der in der DSGVO niedergelegten Grundsätze in jedem Fall gewährleistet werden soll (vgl. Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 69). Der Grundsatz der Rechtmäßigkeit, der in Art. 5 Abs. 1 Buchst. a DSGVO und Art. 6 Abs. 1 DSGVO niedergelegt ist, muss demnach Beachtung finden.
Nach Art. 6 Abs. 4 DSGVO kann eine Datenverarbeitung zu einem anderen Zweck erfolgen als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, wenn der nunmehr verfolgte Zweck (Sekundärzweck) mit dem Erhebungsweck (Primärzweck) vereinbar ist. Vorliegend wurden, wie bereits dargelegt, die Namen der Betroffenen, welche ursprünglich zur Begründung und Durchführung des Beschäftigungsverhältnisses erhoben wurden, mit dem Zusatz "direct knowledge" gegenüber dem Monitor nicht zur Durchführung des jeweiligen Beschäftigungsverhältnisses offengelegt. Die Übermittlung erfolgte vielmehr zu einem anderen Zweck, da die Klägerin die Daten an den Monitor übersandt hat, um ihren Pflichten aus dem Monitorship und insbesondere aus den Settlement Agreements nachzukommen.
Selbst wenn angenommen wird, dass auch die von der Klägerin in ihrer universellen Datenschutzerklärung festgelegten Zwecke Primärzwecke darstellen, ist eine Zweckänderung anzunehmen. Denn die Datenübermittlung an den Monitor erfolgte nicht zu einem in der universellen Datenschutzerklärung festgelegten Zweck. Durch die Offenlegung der Liste mit den Namen der Betroffenen wurden insbesondere weder Rechtsansprüche verteidigt noch handelte es sich bei dem Monitorship um eine Prüfungstätigkeit oder anlassbezogene Untersuchung. Die Klägerin setzte mit der Durchführung des Monitorships keine eigenen Rechtsansprüche durch, sondern versuchte vielmehr durch die Verpflichtung zum Monitorship gegen sie geführte Gerichtsverfahren und mögliche Verurteilungen in den USA zu verhindern. Dass der von der Klägerin in ihrer universellen Datenschutzerklärung festgelegte Zweck "Verteidigung von Rechtsansprüchen" die Durchsetzung von eigenen Rechtsansprüchen voraussetzt, ergibt sich neben dem Wortlaut auch aus den aufgezählten Beispielen.
Ungeachtet dessen, dass diese Aufzählung nicht abschließender Natur ist, lässt sich dem Charakter der genannten Beispiele "Arbeitsgerichtsprozesse und Patentanmeldungen" entnehmen, dass diese jeweils die Verfolgung von eigenen Ansprüchen der Klägerin voraussetzen, was vorliegend nicht der Fall war. Ferner handelte es sich bei dem Monitorship auch nicht um die Durchführung von Prüfungstätigkeiten und anlassbezogenen Untersuchungen. Die in der universellen Datenschutzerklärung genannten Beispiele "Aufklärungsoffice, Konzernrevision und Konzernsicherheit" legen nahe, dass es sich um regelmäßige Prüfungstätigkeiten handelt, die eher interner Natur sind. Das Monitorship erfolgte zwar anlassbezogen, es stellt aber keine Maßnahme dar, die mit einer Konzernrevision, einem Aufklärungsoffice oder der Konzernsicherheit vergleichbar ist. Denn die Klägerin unterwarf sich freiwillig einer zwangsweisen und umfassenden Überprüfung durch eine Behörde eines Drittstaates, um gegen sie geführte Gerichtsverfahren in den USA zu beenden und mögliche Verurteilungen zu vermeiden. Deshalb handelte es sich bei dem Monitorship auch nicht um eine reine Untersuchung, Prüfung, Konzernrevision oder eine Compliance-Maßnahme, sondern stellte eine Maßnahme eigener Art dar. Seine Durchführung sollte - wie beispielsweise aus der Monitor-Datenschutzerklärung hervorgeht - hauptsächlich dazu dienen, die Einhaltung der von der Klägerin freiwillig mit den US-Behörden eingegangenen Vergleichsvereinbarungen zu gewährleisten. Dass das Monitorship selbst keine (reine) Compliance-Maßnahme war, wird zudem daran erkennbar, dass der Monitor eine Vielzahl von Aufgaben hatte. Hauptsächlich hatte er zu überwachen, dass die Klägerin die Vergleichsvereinbarungen einhielt. Darüber hinaus zählte auch die Umsetzung von neuen sowie bestehenden Compliance-Maßnahmen zu seinen Aufgaben. Dieser Umstand verdeutlicht, dass das Monitorship keine Compliance-Maßnahme darstellt, sondern vielmehr neue Compliance-Maßnahmen anlässlich des Monitorships eingeführt und umgesetzt werden sollten. Dass die Klägerin selbst davon ausgegangen ist, dass die Datenverarbeitungen, zu denen es im Monitorship kommen würde, nicht auf die in der universellen Datenschutzerklärung genannten Zwecke zu stützen seien, zeigt sich darin, dass sie eine zusätzliche Datenschutzerklärung, die ausschließlich das Monitorship betraf, erstellte. Die Klägerin gab dieser in den gerichtlichen Schriftsätzen den Titel "Monitor-Datenschutzerklärung". Wäre die Klägerin davon ausgegangen, dass die Datenverarbeitungen im Monitorship unter die in der universellen Datenschutzerklärung genannten Zwecke fallen, hätte es der Monitor-Datenschutzerklärung nicht bedurft. Hierfür spricht auch, dass die Klägerin im Hinblick auf die EPA-Auditierung, die in Teilen ähnlich gelagert war wie das Monitorship, ebenfalls eine zusätzliche Datenschutzerklärung, die speziell auf die EPA-Auditierung zugeschnitten war, angefertigt hat.
Der nunmehr verfolgte Sekundärzweck ist mit dem Primärzweck auch gemäß Art. 6 Abs. 4 DSGVO vereinbar. Die Vorschrift enthält einen Katalog mit Kriterien, die für die Kompatibilität des Zwecks, der vor oder bei der Datenerhebung festgelegt wurde, und andererseits des Zwecks, zu dem die personenbezogenen Daten weiterverarbeitet werden sollen, maßgeblich ist. Dieser Katalog ist ausweislich der verwendeten Formulierung "unter anderem" nicht abschließender Natur und lässt daher Raum für weitere Erwägungen und für die Berücksichtigung zusätzlicher Aspekte, die für die konkrete Datenverarbeitung relevant sind. Umgekehrt handelt es sich bei den Kriterien nicht um Bedingungen, die kumulativ erfüllt sein müssen, damit eine Verarbeitung mit dem Zweck der ursprünglichen Verarbeitung vereinbar ist. Vielmehr sind die Verarbeitungszwecke und -kontexte im Rahmen einer wertenden Beurteilung zu vergleichen. Dabei ist die Relevanz der einzelnen Kriterien im jeweiligen Einzelfall festzustellen und zu gewichten (vgl. Albers/Veit in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 6 Rn. 105; Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 6 Rn. 71).
Zur Überzeugung des Gerichts folgt bereits aus dem Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, dass die Zwecke kompatibel sind. Denn die Betroffenen waren zum Zeitpunkt der Übermittlung ihrer Namen Beschäftigte oder ehemalige Beschäftigte der Klägerin. Sie standen durch das bestehende bzw. vergangene Arbeitsverhältnis in einem Näheverhältnis zur Klägerin. Darüber hinaus besteht zwischen der Begründung bzw. Durchführung des Beschäftigungsverhältnisses und der Durchführung des Monitorships auch eine Verbindung im Sinne des Art. 6 Abs. 4 Buchst. a DSGVO, die auch für die Vereinbarkeit spricht. Zwar erfolgte die Offenlegung der Daten gegenüber dem Monitor - wie bereits dargestellt - nicht zur Begründung bzw. Durchführung des Beschäftigungsverhältnisses und sie war auch nicht aus der universellen Datenschutzerklärung hinreichend klar ersichtlich, denn es ist davon auszugehen, dass ein durchschnittlicher Beschäftigter nach der universellen Datenschutzerklärung nicht unmittelbar vorhersehen konnte, dass seine bei Beschäftigungsbeginn oder während des laufenden Beschäftigungsverhältnisses erhobenen personenbezogenen Daten an eine Behörde eines Drittstaates übermittelt werden würden, um laufende Gerichtsverfahren der Klägerin in diesem Drittstaat zu beenden. Jedoch ist anzunehmen, dass ein durchschnittlicher Beschäftigter nach Beginn des Monitorships durchaus damit rechnen konnte, dass unter Umständen auch personenbezogene Daten von Beschäftigten offengelegt werden. Denn die Klägerin hat in allgemeiner Weise über das Monitorship informiert. Aus der Konzernbetriebsvereinbarung Nr. 01/2017 ging beispielsweise hervor, dass Beschäftigte vom Monitor befragt werden können. Dadurch konnte davon ausgegangen werden, dass der Monitor zum Beispiel durch Gespräche Namen von einzelnen Beschäftigten erfahren könnte. Ferner wurde in der Konzernbetriebsvereinbarung darauf hingewiesen, dass der Monitor Informationen sammelt und auswertet. Außerdem wurde in der Mitarbeiterzeitung in diversen Artikeln abstrakt über die Arbeit des Monitors berichtet und er wurde auf drei Betriebsversammlungen vorgestellt.Für die Vereinbarkeit ist zudem anzuführen, dass es sich bei den weiterverarbeiteten personenbezogenen Daten nicht um Daten im Sinne von Art. 9 oder 10 DSGVO gehandelt hat. Insbesondere stellt die Übermittlung der Namen mit dem Zusatz "direct knowledge" keine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten dar. Denn - wie bereits ausgeführt - ist die "direct knowledge" nicht mit einer strafrechtlichen Beteiligung oder dem Nachweis einer Straftat gleichzusetzen. Außerdem war das Risiko negativer Folgen für die Betroffenen gering. Darüber hinaus spricht für die Zweckkompatibilität, dass der Monitor grundsätzlich gemäß der Verschwiegenheitsvereinbarung nicht zur Weitergabe der ihm im Rahmen des Monitorships bekannt gewordenen Daten verpflichtet war und ihm die Liste lediglich als Lesefassung vorgelegt wurde.
Die Weiterverarbeitung der Daten zu einem anderen, kompatiblen Zweck lässt sich allerdings nicht auf eine Rechtsgrundlage stützen. Insbesondere sind die Voraussetzungen des einzig in Betracht kommenden Art. 6 Abs. 1 Buchst. f DSGVO nicht erfüllt, denn die Klägerin hat vor der Offenlegung der Liste den hiervon betroffenen Personen das von ihr verfolgte Interesse an der konkreten Datenverarbeitung nicht entsprechend Art. 13 Abs. 1 Buchst. d DSGVO mitgeteilt.
Nach Art. 6 Abs. 1 Buchst. f DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Nach der Rechtsprechung des Europäischen Gerichtshofs muss der Verantwortliche im Rahmen von Art. 6 Abs. 1 Buchst. f DSGVO nicht nur ein berechtigtes Interesse wahrnehmen, vielmehr obliegt es ihm auch, der betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen gemäß Art. 13 Abs. 1 Buchst. d DSGVO mitzuteilen (EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 46). Unterlässt der Verantwortliche diese Mitteilung, so kann diese Erhebung nicht auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden (EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 52). Zwar handelt es sich bei der hier streitgegenständlichen Datenverarbeitung nicht um die erstmalige Erhebung der Daten der betroffenen Personen, sondern um die Weiterverarbeitung von bereits erhobenen Daten zu einem anderen, kompatiblen Zweck, welche erstmals auf Art. 6 Abs. 1 Buchst. f DSGVO in Verbindung mit Art. 6 Abs. 4 DSGVO gestützt werden soll. Zur Überzeugung des Gerichts ist der Rechtsprechung des Europäischen Gerichtshofs jedoch unzweifelhaft zu entnehmen, dass Art. 6 Abs. 1 Buchst. f DSGVO nur dann als Rechtsgrundlage für eine Datenverarbeitung in Betracht kommen kann, wenn dem Betroffenen das wahrgenommene berechtigte Interesse vor der Datenverarbeitung, die (erstmals) auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt wird, mitgeteilt worden ist. Die Mitteilung des berechtigten Interesses ist unabhängig davon, ob die Daten erhoben oder zu einem anderen Zweck weiterverarbeitet werden, unmittelbare Rechtmäßigkeitsvoraussetzung des Art. 6 Abs. 1 Buchst. f DSGVO. Fehlt die Mitteilung, stellt dies daher nicht nur isoliert einen Verstoß gegen die Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO dar, sondern entzieht der Verarbeitung zur Wahrnehmung berechtigter Interessen auch die Rechtsgrundlage (vgl. hierzu: Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 13 Rn. 10; Gerhold, Anmerkung zu EuGH, Urteil vom 9. Januar 2025 - C-394/23, EuZW 2025, 435, 441 f.; Stief, Anmerkung zu EuGH, Urteil vom 9. Januar 2025 - C-394/23, MMR 2025, 266, 271; Brandt/Dienst, Anmerkung zu EuGH, Urteil vom 9. Januar 2025 - C-394/23, GRUR-Prax 2025, 152, 152).
Art. 13 Abs. 1 Buchst. d DSGVO verpflichtet den Verantwortlichen dazu, dem Betroffenen, sofern die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruht, die verfolgten berechtigten Interessen mitzuteilen. Da das berechtigte Interesse die Datenverarbeitung nur dann rechtfertigt, wenn es die gegenläufigen Interessen und Rechte der betroffenen Personen überwiegt, ist der Verantwortliche im Rahmen von Art. 13 Abs. 1 Buchst. d DSGVO auch verpflichtet, die für die Interessensabwägung maßgeblichen Gesichtspunkte darzustellen (Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 27 m.w.N.; Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 13 Rn. 10). Er hat die bislang im Rahmen der internen Vorprüfung erfolgte Abwägung und Begründung des berechtigten Interesses transparent zu machen. Dabei muss die Information so präzise sein, dass die betroffene Person die Abwägung nachvollziehen und ggf. substantiierte Einwände gegen sie vorbringen kann (Knyrim in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 13 Rn. 49; Schmidt-Wudy in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 13 Rn. 49). Der pauschale Verweis des Verantwortlichen, die Datenverarbeitung diene eigenen berechtigten Interessen, reicht dafür nicht aus (Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 13 Rn. 10).
Vorliegend hat die Klägerin den Betroffenen zum Zeitpunkt der Offenlegung der Liste weder die von ihr mit der Verarbeitung der personenbezogenen Daten verfolgten berechtigten Interessen noch die wesentlichen Gesichtspunkte ihrer im Rahmen der Einzelfallentscheidung Nr. 06.0 durchgeführten Interessenabwägung mitgeteilt. Sie hat den Betroffenen vor der Datenübermittlung keine Informationen zur Verfügung gestellt, durch die diese in der Lage gewesen wären, die Abwägung nachvollziehen und dadurch die Rechtmäßigkeit der Datenverarbeitung überprüfen zu können, um ggf. Einwände oder Rechte wie beispielsweise aus Art. 18 Abs. 1 DSGVO oder Art. 21 Abs. 1 S. 1 DSGVO geltend zu machen. Die Klägerin ist ihrer Mitteilungspflicht aus Art. 13 Abs. 1 Buchst. d DSGVO auch nicht dadurch nachgekommen, dass sie in der Monitor-Datenschutzerklärung darüber informiert hat, dass sie personenbezogene Daten an den Monitor auf der Grundlage von Art. 6 Abs. 1 Buchst. f DSGVO übermitteln würde, da sie ein berechtigtes Interesse an der Kooperation mit dem Monitor habe. Denn unabhängig davon, ob diese Datenschutzerklärung den Betroffenen überhaupt zur Verfügung gestellt worden ist im Sinne des Art. 13 Abs. 4 DSGVO, findet sich in der Monitor-Datenschutzerklärung keine den Anforderungen des Art. 13 Abs. 1 Buchst. d DGSVO entsprechende Erläuterung des berechtigten Interesses. Vielmehr erschöpfen sich die Angaben in dem pauschalen Verweis, dass die Klägerin "ein berechtigtes Interesse an der Kooperation mit dem Monitor" habe. Worin dieses berechtigte Interesse jedoch konkret liegt, geht aus der Monitor-Datenschutzerklärung nicht hervor. Darüber hinaus hat die Klägerin auch die wesentlichen Gesichtspunkte der konkret durchgeführten Abwägung im Rahmen der Einzelfallentscheidung Nr. 06.0 nicht mitgeteilt. Diesbezüglich scheidet die Monitor-Datenschutzerklärung als Informationsquelle von vornherein aus, da diese aus September 2018 stammt und die Einzelfallentscheidung Nr. 06.0 im Februar 2019 getroffen wurde. Ferner sind keine Informationen oder Mitteilungen der Klägerin an die Betroffenen vorgelegt worden oder sonst ersichtlich, durch die die Betroffenen die im Rahmen der Einzelfallentscheidung Nr. 06.0 durchgeführte Abwägung sowie das berechtigte Interesse der Klägerin hätten nachvollziehen können.
Zu keiner anderen Einschätzung führen die von der Klägerin im gerichtlichen Verfahren vorgelegten persönlichen Erklärungen von drei Beschäftigten. Denn aus ihren teilweise pauschalen Angaben ("Über die Inhalte der Tätigkeiten des Monitors wurde die Belegschaft aufs [I]ntensivste informiert") geht jedenfalls nicht hervor, dass die Klägerin die wesentlichen Aspekte der im Rahmen der Einzelfallentscheidung Nr. 06.0 durchgeführten Abwägung oder das von ihr verfolgte berechtigte Interesse so mitgeteilt hat, dass die Betroffenen die Abwägung hätten nachvollziehen und die Datenverarbeitung auf ihre Rechtmäßigkeit hin überprüfen können.
Ferner rügt die Klägerin ohne Erfolg, dass die Rechtsprechung des Europäischen Gerichtshofs nicht auf den vorliegenden Fall übertragbar sei, da sich das Urteil vom 9. Januar 2025 ausschließlich auf die Verarbeitung von personenbezogenen Daten bei der Erfassung von persönlichen Anreden im Rahmen von Bestellprozessen für Bahntickets beziehen würde und mit den Compliance-Maßnahmen im Rahmen des gegenständlichen Monitorships nichts zu tun habe. Zwar ist der Klägerin zuzustimmen, dass der dem Urteil des Europäischen Gerichtshofs zugrunde liegende Sachverhalt nicht mit dem vorliegenden Fall übereinstimmt. Jedoch hat der Europäische Gerichtshof im Rahmen der Beantwortung der Vorlagenfragen in klarer, allgemeiner und unmissverständlicher Weise sowie losgelöst vom konkreten Ausgangsfall ausgeführt, dass Art. 6 Abs. 1 Buchst. f DSGVO voraussetze, dass das wahrgenommene berechtigte Interesse dem Betroffenen vor der Datenverarbeitung mitgeteilt werden müsse; ansonsten könne eine Datenverarbeitung nicht auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden (vgl. EuGH, Urteil vom 9. Januar 2025 - C-394/23 -, juris Rn. 46, 52).
Nach alledem ist die streitgegenständliche Datenverarbeitung rechtswidrig, weil sie nicht auf eine Rechtsgrundlage gestützt werden kann. Insbesondere rechtfertigt Art. 6 Abs. 1 Buchst. f DSGVO sie nicht, da die Klägerin den Betroffenen das von ihr verfolgte berechtigte Interesse im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO an der konkreten Datenverarbeitung nicht vor der Offenlegung der Liste mitgeteilt hat.
(3)
Die Entscheidung, die Klägerin zu verwarnen, ist ermessensfehlerhaft ergangen. Denn der Beklagte hat die Verwarnung ausschließlich auf die seiner Ansicht nach fehlerhafte Interessensabwägung gestützt, die - wie bereits ausgeführt - jedoch rechtmäßig ist. Er hat den Umstand, dass die Klägerin den Betroffenen das von ihr verfolgte berechtigte Interesse an der Datenverarbeitung nicht mitgeteilt hat, im maßgeblichen Zeitpunkt der letzten Behördenentscheidung nicht in seine Ermessenserwägungen einbezogen. Seine fehlerhafte Ermessensentscheidung konnte er im gerichtlichen Verfahren nicht nachbessern.
Im angefochtenen Bescheid hat der Beklagte seine Ermessenserwägungen auf Seite 22 dargestellt. Dabei hat er hinsichtlich des von ihm angenommenen Verstoßes der Klägerin gegen die DSGVO lediglich auf "den oben dargestellten Verstoß" verwiesen. Zuvor hat der Beklagte auf den Seiten 10 und 15 des Bescheids ausgeführt, dass die Klägerin die Liste dem Monitor offengelegt habe, ohne dass dies von einer Rechtsgrundlage gedeckt gewesen sei. Insbesondere habe Art. 6 Abs. 1 Buchst. f DSGVO nicht als Rechtsgrundlage herangezogen werden können, da die Klägerin nicht nachgewiesen habe, dass sie eine fehlerfreie Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO vorgenommen habe, weil sie bei der Interessenabwägung wesentliche Abwägungskriterien nicht einbezogen und/oder falsch gewichtet habe. Aufgrund dieses Abwägungsdefizits, das der Beklagte im Bescheid noch weiter ausgeführt hat, habe die Klägerin nicht nachweisen können, dass die Voraussetzungen des Art. 6 Abs. 1 Buchst. f DSGVO erfüllt gewesen seien. Einen weiteren Grund, weshalb die Voraussetzungen des Art. 6 Abs. 1 Buchst. f DSGVO nach Ansicht des Beklagten nicht gegeben waren, hat er nicht benannt.
Der Beklagte hätte aber im Rahmen seiner Ermessenserwägungen einbeziehen müssen, dass Art. 6 Abs. 1 Buchst. f DSGVO vorliegend deshalb nicht als Rechtsgrundlage herangezogen werden kann, weil die Klägerin den Betroffenen nicht ihr berechtigtes Interesse an der Datenverarbeitung gemäß Art. 13 Abs. 1 Buchst. d DSGVO mitgeteilt hat. Denn dieses Unterlassen stellt den für die vorliegende Ermessensentscheidung wesentlichen Gesichtspunkt dar, weil die unterlassene Mitteilung des berechtigten Interesses nach Einschätzung des Gerichts den Verstoß gegen die DSGVO erst begründet. Nur dadurch steht dem Beklagten die Möglichkeit zu, eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu erlassen.
Es ist auch nicht ersichtlich, dass der Beklagte den Ausspruch der Verwarnung zum maßgeblichen Zeitpunkt der letzten Behördenentscheidung auf die unterlassene Mitteilung des berechtigten Interesses gestützt hat. Im Hinblick auf die Offenlegung der Liste mit den 22 Klarnamen und dem Zusatz "direct knowledge" hat er im Bescheid selbst weder unmittelbar noch mittelbar darauf abgestellt, dass Art. 6 Abs. 1 Buchst. f DSGVO deshalb nicht als Rechtsgrundlage herangezogen werden kann, weil die Klägerin den Betroffenen ihr berechtigtes Interesse an der Offenlegung der Liste nicht mitgeteilt hat. Auch aus dem Verwaltungsvorgang sind keine diesbezüglichen Anhaltspunkte erkennbar.
Darüber hinaus rechtfertigt der Verweis des Beklagten in der mündlichen Verhandlung, er habe auf den Seiten 16 und 46 des Bescheids zur fehlenden Mitteilung des berechtigten Interesses ausgeführt, keine andere Bewertung. Denn auf Seite 16 des Bescheids hat er lediglich dargelegt, weshalb die Interessenabwägung fehlerhaft erfolgt sei. Zwar hat der Beklagte auf Seite 46 ausgeführt, dass bei einem Wechsel der Rechtsgrundlage zu Art. 6 Abs. 1 Buchst. f DSGVO gemäß Art. 13 Abs. 1 Buchst. d DSGVO die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden würden, zu nennen seien. Allerdings hat er diese rechtlich zutreffende Erwägung nicht mit dem Verhalten der Klägerin hinsichtlich der Offenlegung der Liste mit den 22 Klarnamen und dem Zusatz "direct knowledge" verknüpft. Er hat diesbezüglich weder subsumiert noch in erkennbarer Weise dargestellt, dass er seine Entscheidung, die Klägerin wegen der Offenlegung der genannten Liste zu verwarnen, (auch) auf die unterlassene Mitteilung des berechtigten Interesses stützt. Zudem stehen die Ausführungen zur Mitteilung des berechtigten Interesses im Bescheid an einer Stelle, die nicht in Zusammenhang mit der Offenlegung der Liste steht. Vielmehr hat er im Bescheid auf den Seiten 41 bis 57 dargelegt, weshalb er wegen weiterer Datenverarbeitungen, die nicht Gegenstand oder Folge der Einzelfallentscheidung Nr. 06.0 waren, sondern zu der unter dem Buchstaben B ausgesprochenen Verwarnung gehören, Abhilfemaßnahmen ergriffen hat.
Ferner konnte der Beklagte seine fehlerhafte Ermessensentscheidung auch nicht nachbessern. Nach § 114 S. 2 VwGO können Ermessenserwägungen im gerichtlichen Verfahren ergänzt werden. Eine Ergänzung liegt dann jedoch nicht mehr vor, wenn die Ermessenserwägungen vollständig ausgewechselt werden, wenn also die die Ermessensentscheidung tragenden Gründe vollständig oder doch in ihrem Wesensgehalt ausgetauscht werden (vgl. OVG Lüneburg, Beschluss vom 26. April 2007 - 5 ME 122/07 -, juris Rn. 3; BVerwG, Beschluss vom 30. April 2010 - 9 B 42/10 -, juris Rn. 4; Decker in Posser/Wolff/Decker, Verwaltungsgerichtsordnung, 74. Edition 1. Juli 2025, VwGO, § 114 Rn. 41).
Mit seiner in der mündlichen Verhandlung abgegebenen Erklärung, die Verwarnung werde auch darauf gestützt, dass die Klägerin den Betroffenen vor der Offenlegung der Liste an den Monitor die Informationen zu den verfolgten berechtigten Interessen nicht gegeben habe, kann der Beklagte seine fehlerhafte Ermessensentscheidung nicht heilen. Seine Erklärung kommt keiner Ergänzung fehlerhafter Ermessenserwägungen nach § 114 S. 2 VwGO gleich, sondern stellt vielmehr eine vollständige Auswechslung der die Ermessensentscheidung tragenden Gründe dar. Denn wie bereits ausgeführt, kann die von dem Beklagten angenommene fehlerhafte Interessenabwägung nicht als Gesichtspunkt herangezogen werden, der eine Abhilfemaßnahme rechtfertigt, da diesbezüglich kein Verstoß gegen die DSGVO gegeben ist. Die nunmehr benannte unterlassene Mitteilung des berechtigten Interesses ist von ihrem Wesensgehalt her ein völlig anderer Verstoß gegen die DSGVO als der zunächst herangezogene vermeintliche Verstoß. Die unterlassene Mitteilung steht auch nicht in einem Zusammenhang mit einer etwaigen fehlerhaften Interessenabwägung. Vielmehr stellen beide Aspekte unabhängige Tatbestandsvoraussetzungen des Art. 6 Abs. 1 Buchst. f DSGVO dar.
b.
Die unter dem Buchstaben C ausgesprochene Verwarnung ist rechtswidrig, denn die Klägerin hat dadurch, dass sie dem Monitor Dokumente per transportverschlüsselter E-Mails ohne Nutzung einer sog. Ende-zu-Ende-Verschlüsselung übermittelt hat, nicht gegen Art. 32 Abs. 1 DSGVO verstoßen.
Nach Art. 32 Abs. 1 DSGVO hat unter anderem der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Als mögliche Maßnahmen werden in Art. 32 Abs. 1 Halbs. 2 Buchst. a DSGVO ausdrücklich die Pseudonymisierung und Verschlüsselung genannt. Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugtem Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Für die Differenzierung der Eintrittswahrscheinlichkeit und für mögliche Schäden kann auf die Abstufungen der unabhängigen Datenschutzbehörden des Bundes und der Länder (nachfolgend: Datenschutzkonferenz), die sie in ihrem Kurzpapier Nr. 18: "Risiko für die Rechte und Freiheiten natürlicher Personen" vom 26. April 2018 (abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf, zuletzt abgerufen am 25. September 2025) dargestellt hat, zurückgegriffen werden. Für mögliche Schäden kann ergänzend das Schutzstufenkonzept des Beklagten aus Oktober 2018 (abrufbar unter: https://www.lfd.niedersachsen.de/startseite/themen/technik_und_organisation/schutzstufen/schutzstufen-56140.html, zuletzt abgerufen am 25. September 2025) herangezogen werden.
Diese Maßstäbe zugrunde gelegt, hat die Klägerin durch die von ihr im Rahmen des Fast Lane-Prozesses gewählte Transportverschlüsselung TLS 1.2 in Kombination mit "Perfect Forward Secrecy", mit der sie ihre E-Mails an den Monitor versendete, geeignete Maßnahmen getroffen, um ein nach Art. 32 Abs. 1 DSGVO angemessenes Schutzniveau zu gewährleisten. Darüberhinausgehende Sicherungsmaßnahmen wie eine Ende-zu-Ende-Verschlüsselung mussten nicht ergriffen werden.
Bei einer Transportverschlüsselung wird eine E-Mail bei den an der E-Mail-Kommunikation beteiligten Servern jeweils ent- bzw. verschlüsselt und ist folglich nur auf dem Transport zwischen den Servern durch Verschlüsselung abgesichert. Eine Ende-zu-Ende-Verschlüsselung zeichnet sich demgegenüber dadurch aus, dass eine Entschlüsselung des Inhalts nur an den Endpunkten der Kommunikation (Absender und Empfänger) erfolgt (VG Mainz, Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris Rn. 32 m.w.N.).
Die Verwendung einer Transportverschlüsselung ist datenschutzrechtlich ausreichend, sofern keine Anhaltspunkte für besonders sensible Daten gegeben sind oder sonstige Umstände hinzutreten, die ein höheres Schutzniveau oder zusätzliche Maßnahmen erfordern. Denn die Transportverschlüsselung ist als (Mindest-)Stand der Technik einzustufen (vgl. VG Mainz, Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris Rn. 40 m.w.N.; Schuster, Die Verschlüsselung von E-Mail-Kommunikation als Pflicht nach BGB und DSGVO, CR 2025, 184, 187). Nichts anderes folgt aus der Orientierungshilfe der Datenschutzkonferenz vom 27. Mai 2021. Auf den Seiten 3 ff. führt die Orientierungshilfe (abrufbar unter: https://www.datenschutzkonferenzonline.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf; zuletzt abgerufen am 25. September 2025) Folgendes aus:
"Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht. Die Transportverschlüsselung reduziert die Erfolgswahrscheinlichkeit passiver Abhörmaßnahmen Dritter auf dem Transportweg auf ein geringfügiges Maß. [...]
Alle Verantwortlichen, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit (des Inhalts oder der Umstände der Kommunikation, soweit sie sich auf natürliche Personen beziehen) ein Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, sollten sich an der TR 03108-1 orientieren und müssen eine obligatorische Transportverschlüsselung sicherstellen. [...]
Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen. Inwieweit entweder auf die Ende-zu-Ende-Verschlüsselung oder die Erfüllung einzelner Anforderungen an diese [...] oder an die qualifizierte Transportverschlüsselung (z. B. DANE oder DNSSEC) verzichtet werden kann, hängt von den bestehenden Risiken, der konkreten Ausgestaltung des Übertragungsweges und ggf. getroffenen kompensierenden Maßnahmen ab."
Besondere Anhaltspunkte, die vorliegend einen erhöhten Schutzbedarf begründet und/oder dafürgesprochen hätten, dass das bei der Transportverschlüsselung bestehende Restrisiko nicht (mehr) angemessen gewesen wäre, lagen nicht vor. Bei den streitgegenständlichen Daten handelte es sich nicht um besonders sensible Daten. Es sind weder Daten nach Art. 9 oder 10 DSGVO betroffen, noch lassen sich die dem Monitor übermittelten Daten der Schutzstufe D des Schutzstufenkonzepts des Beklagten zuordnen.
Art. 9 Abs. 1 DSGVO betrifft die Verarbeitung von personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Art. 10 S. 1 DSGVO legt die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln fest.
Daten in diesem Sinne wurden nicht per E-Mail übermittelt. Aus den über Fast Lane versandten Testing-Dokumenten ging im Wesentlichen hervor, dass es bei einzelnen Beschäftigten Hinweise für Fehlverhalten gab, arbeitsrechtliche Maßnahmen ergriffen wurden und beabsichtigte Beförderungen wegen Erkenntnissen bei durchgeführten Hintergrundprüfungen, Integritätstests und sonstigen Abfragen nicht erfolgt bzw. trotz der Erkenntnisse erfolgt sind. So wurde beispielsweise angegeben, dass eine Beförderung wegen laufender Ermittlungen nicht erfolgt, es bei Überprüfungen von Personen im Spitzen-Führungskreis zu Feststellungen gekommen und eine außerordentliche Kündigung wegen eines bestätigten Fehlverhaltens ausgesprochen worden sei. Diese Daten sind weder den Kategorien des Art. 9 Abs. 1 DSGVO zuzuordnen noch sind es Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängenden Sicherungsmaßregeln. Dass es zu Fehlverhalten am Arbeitsplatz gekommen ist und auf dieses mit arbeitsrechtlichen Maßnahmen wie einer Kündigung oder der Ablehnung der Beförderung reagiert worden ist, stellt weder eine strafrechtliche Verurteilung oder eine begangene Straftat dar noch stehen das Fehlverhalten oder die Reaktionen hierauf einer Verurteilung oder Straftat gleich.
Anders als der Beklagte meint, können die übermittelten personenbezogenen Daten auch nicht der Schutzstufe D seines Schutzstufenkonzepts zugeordnet werden. Das Schutzstufenkonzept des Beklagten sieht in Übereinstimmung mit dem Kurzpapier Nr. 18 der Datenschutzkonferenz bei der Ermittlung der Schwere eines möglichen Schadens vier Abstufungen vor: geringfügig (Schutzstufe A und B), überschaubar (Schutzstufe C), substantiell (Schutzstufe D) und groß (Schutzstufe E). Die Schutzstufe D betrifft personenbezogene Daten, deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte ("Existenz"). Als Beispiele werden Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Arbeitszeugnisse, Gesundheitsdaten, Schulden, Pfändungen, Sozialdaten oder Daten besonderer Kategorien nach Art. 9 DSGVO aufgeführt.
Danach lassen sich die im Rahmen von Fast Lane übermittelten personenbezogenen Daten nicht der Schutzstufe D zuordnen. Das Ergreifen von arbeitsrechtlichen Maßnahmen oder die Feststellungen von Erkenntnissen im Rahmen von Überprüfungen stellen weder dienstliche Beurteilungen dar noch sind sie hiermit vergleichbar. Auch lassen sie keine Rückschlüsse auf eine Straffälligkeit zu. Selbst der Ausspruch einer außerordentlichen Kündigung ist nicht mit einer nachweisbaren Straftat gleichzusetzen. Der Einwand des Beklagten, die aufgezählten Beispiele seien nicht abschließend zu verstehen, führt zu keiner anderen Einschätzung. Aus systematischen Erwägungen heraus können nur solche Daten der Schutzstufe D zugeordnet werden, die von ihrer Art her den Daten nach Art. 9 DSGVO entsprechen oder hiermit vergleichbar sind. Denn der Beklagte hat in seinem Schutzstufenkonzept "Daten besonderer Kategorien nach Art. 9 DSGVO" als Beispiel für die Schutzstufe D aufgeführt. Daraus folgt, dass personenbezogenen Daten nur dann der Schutzstufe D zugeordnet werden können, wenn sie mit Daten nach Art. 9 DSGVO zumindest vergleichbar sind. Wie bereits ausgeführt, sind die streitgegenständlichen Daten nicht ansatzweise den in Art. 9 Abs. 1 DSGVO aufgeführten Kategorien zuzuordnen oder mit ihnen vergleichbar. Darüber hinaus ist für das Gericht auch nicht erkennbar, dass die streitgegenständlichen personenbezogene Daten solche Daten sind, deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte. Auch im Falle der unsachgemäßen Handhabung der vorliegend übermittelten Daten wäre nicht zu befürchten gewesen, dass die Betroffenen in ihrer gesellschaftlichen Stellung oder in den wirtschaftlichen Verhältnissen erheblich beeinträchtigt worden wären oder ein diesbezügliches Risiko bestanden hätte. Der Verlust des Arbeitsplatzes, der zu einer erheblichen Beeinträchtigung der wirtschaftlichen Verhältnisse führen könnte, oder ähnliche Folgen waren wegen einer unbefugten Handhabung nicht zu befürchten, da die Erkenntnisse aus den Überprüfungen oder das bestätigte Fehlverhalten der Betroffenen ihrer Arbeitgeberin, der Klägerin, bereits bekannt waren. Wegen der bloßen Übermittlung an den Monitor, der auf arbeitsrechtliche Maßnahmen gegenüber den Betroffenen keinen Einfluss hatte, waren diesbezüglich keine weitergehenden Maßnahmen zu erwarten. Darüber hinaus sind auch keine konkreten, nachvollziehbaren Anhaltspunkte dafür ersichtlich, dass die unsachgemäße Handhabung der streitgegenständlichen Daten zu einer erheblichen, ihre Existenz betreffende Beeinträchtigung der gesellschaftlichen Stellung der Betroffenen geführt hätte. Vielmehr liegt im Bereich des Vorstellbaren, dass es zu Beeinträchtigungen des gesellschaftlichen Ansehens der betroffenen Personen gekommen wäre, wenn die an den Monitor übersandten Informationen der Gesellschaft und der Öffentlichkeit bekannt geworden wären. Dies spricht jedoch gegen eine Zuordnung der Daten zur Schutzstufe D und höchstens für eine Zuordnung zur Schutzstufe C, welche dadurch gekennzeichnet ist, dass eine unsachgemäße Handhabung zu einer Beeinträchtigung der gesellschaftlichen Stellung ("Ansehen") führen kann und der Schaden als überschaubar definiert wird.
Darüber hinaus ist auch keine erhöhte Angriffswahrscheinlichkeit zu erkennen. Der Beklagte führt diesbezüglich wenig substantiiert aus, dass das Risiko durch Industriespionage und das allgemeine Informationsinteresse internationaler Wettbewerber nicht zu gering einzustufen seien. Dem folgt das Gericht nicht. Die Befürchtungen des Beklagten können nicht auf konkrete Anhaltspunkte des Einzelfalls gestützt werden, aus denen hervorgeht, dass ein kriminelles Interesse Dritter wie beispielsweise ein Sabotageinteresse vorliegend absehbar war. Beim Monitorship ging es um die (nachträgliche) Aufarbeitung der Diesel-Thematik sowie um die Etablierung und Überprüfung effektiver Compliance-Strukturen für die Zukunft, um ein vergleichbares Fehlverhalten zu vermeiden. Trotz der medialen Berichterstattung und der verwendeten E-Mail-Domain ist nicht ersichtlich, weshalb zum einen Wettbewerber oder andere Dritte ein im Vergleich zum allgemeinen Informationsinteresse gesteigertes Interesse an den im Rahmen des Monitorships versendeten Daten gehabt haben sollten und weshalb zum anderen ein Angriff auf die elektronische Kommunikation wahrscheinlich gewesen wäre. Vielmehr gehört das Risiko, dass Dritte (unbefugt) Inhalte der elektronischen Kommunikation angreifen, um sie auszuspähen, zum allgemeinen Lebensrisiko. Ein darüber hinaus gehendes, erhöhtes Risiko ist weder erkennbar noch überzeugend dargelegt worden.
Abgesehen davon spricht der Umstand, dass die personenbezogenen Daten, die über den Fast Lane-Prozess versendet wurden, pseudonymisiert übermittelt wurden, dagegen, dass eine hohe Eintrittswahrscheinlichkeit sowie ein schweres Risiko für die Rechte und Freiheiten der Betroffenen gedroht haben. Vielmehr ist das Risiko, dass Unbefugte durch einen Angriff auf die Kommunikation personenbezogene Daten hätten abgreifen können, die sie natürlichen Personen unmittelbar hätten zuordnen können, durch die Pseudonymisierung erheblich und auf ein Minimum reduziert worden. Denn - wie auch der Beklagte anerkannt hat - hatte die Pseudonymisierung anhand der Personalnummern der jeweiligen Mitarbeiter zur Folge, dass unbefugte Dritte im Falle eines Angriffs auf die elektronische Kommunikation lediglich auf pseudonymisierte Daten zugegriffen hätten. Diese Daten hätten sie keiner natürlichen Person zuordnen können, da die entsprechenden Zuordnungsschlüssel dem Monitor nicht übersandt wurden. Es sind vorliegend auch keine Anhaltspunkte dafür erkennbar, dass die Klägerin den Zuordnungsschlüssel für die Pseudonymisierung unbefugten Dritten auf anderem Wege hätte preisgeben wollen. Selbst wenn der Monitor die Herausgabe des Zuordnungsschlüssels verlangt hätte, hätte dies nicht zwangsläufig bedeutet, dass die Klägerin dem Monitor den Zuordnungsschlüssel ebenfalls per transportverschlüsselter E-Mail über Fast Lane zur Verfügung gestellt hätte. Vielmehr lässt das Verhalten der Klägerin im Rahmen der Einzelfallentscheidungen Nr. 06.0 und Nr. 06.1 erkennen, dass ein solches Verlangen, das über die zuvor festgelegten Grundsätze hinausgeht, grundsätzlich abgewogen und in der Abwägung auch die Art und Weise der Übermittlung berücksichtigt wurde. Daher wäre denkbar gewesen, dass die Klägerin im Falle des Herausgabeverlangens durch den Monitor den Zuordnungsschlüssel - wie auch bei den Einzelfallentscheidungen Nr. 06.0 und Nr. 06.1 - dem Monitor lediglich als Lesefassung in Deutschland zur Verfügung gestellt hätte, um das Risiko eines Angriffs während der elektronischen Übermittlung zu vermeiden.
Diesbezüglich überzeugt der Einwand des Beklagten, dass die Pseudonymisierung gerade für die Daten der Bewerber um Spitzenpositionen nur einen geringen Schutz geboten hätte, da es lediglich eine geringe Anzahl an Spitzenpositionen geben würde und die Identifizierbarkeit dadurch leichter gelingen würde, nicht. Denn auch bei den Bewerbern um Spitzenpositionen wurden keine Klarnamen übermittelt, sondern Pseudonyme verwendet. Der Umstand, dass die Anzahl der zu besetzenden Stellen geringer ist als bei anderen Stellen, steht dem nicht entgegen.
Die von der Klägerin genutzte Transportverschlüsselung TLS 1.2 in Kombination mit "Perfect Forward Secrecy" entsprach darüber hinaus auch den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), das in seinem Hilfsdokument zum Mindeststandard des BSI zur Verwendung von Transport Layer Security V2.4 vom 25. Mai 2023 (abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Hilfsdokument_Mindeststandard_BSI_TLS_Version_2_4.pdf?__blob=publicationFile&v=3, zuletzt abgerufen am 25. September 2025) auf Seite 4 erläutert, dass die Transportverschlüsselung eine geeignete Schutzmaßnahme darstelle, um das Ausspähen oder die Manipulation von Informationen beim Transport über Kommunikationsnetze zu verhindern. Dabei fordere der Mindeststandard des BSI den Einsatz von TLS 1.2 und/oder TLS 1.3 in Kombination mit "Perfect Forward Secrecy", sofern Transportverschlüsselung verwendet werde. Dies hat die Klägerin vorliegend erfüllt.
2.
Die unter den Buchstaben B, D und E ausgesprochenen Verwarnungen erweisen sich als rechtmäßig.
Rechtsgrundlage für die Verwarnungen ist ebenfalls Artikel 58 Abs. 2 Buchst. b DSGVO.
Die Verwarnungen sind formell rechtmäßig. Der Beklagte ist nach Art. 51 Abs. 1 DSGVO in Verbindung mit § 40 Abs. 1 BDSG und § 22 Abs. 1 Nr. 1 NDSG die zuständige Aufsichtsbehörde für die Überwachung von nichtöffentlichen Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen. Vorliegend ist er zuständig, da die Klägerin eine solche nichtöffentliche Stelle ist.
Anders als die Klägerin meint, ist kein Verfahrensfehler erkennbar, der bereits die formelle Rechtswidrigkeit des Bescheides begründen würde. Mit ihrer Rüge, der Beklagte habe den Sachverhalt im angefochtenen Bescheid unzureichend und lückenhaft ermittelt sowie dargestellt, kann sie nicht durchdringen. Denn im Bescheid werden das beanstandete Verhalten der Klägerin und die Hintergründe hierzu in ausreichender Weise dargelegt.
Durchgreifende Anhaltspunkte für eine unzureichende Sachverhaltsermittlung sind - auch unter Würdigung des Verwaltungsvorgangs - nicht erkennbar. Dass der Beklagte das Risiko, dass betroffene Beschäftigte durch bestimmte Datenverarbeitungen strafrechtlichen Ermittlungen in den USA ausgesetzt werden könnten, anders einschätzt als die Klägerin, begründet keinen formellen Verfahrensfehler.
Die unter den Buchstaben B, D und E ergangenen Verwarnungen sind auch materiell rechtmäßig.
a.
Die unter dem Buchstaben B erlassene Verwarnung ist materiell rechtmäßig. Die Klägerin hat gegen die DSGVO verstoßen, indem sie die im Bescheid unter dem Buchstaben B aufgezählten Daten, welche personenbezogenen Daten im Sinne des Art. 4 Nr. 1 und Nr. 5 DSGVO darstellen (aa.), an den Monitor übermittelt hat, ohne die Betroffenen zuvor entsprechend den Anforderungen des Art. 13 Abs. 3 DSGVO zu informieren (bb.). Der Ausspruch der Verwarnung erfolgte ermessensfehlerfrei (cc.).
aa.
Vorliegend hat die Klägerin personenbezogene Daten im Sinne des Art. 4 Nr. 1 und Nr. 5 DSGVO verarbeitet.
Neben den teilweise offengelegten Klarnamen stellen auch die mehrheitlich pseudonymisierten Daten, die die Klägerin nach Durchführung der Einzelfallentscheidungen Nrn. 11, 27, 37 und 38 sowie zur Überprüfung der Testings an den Monitor übermittelt hat, personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar. Denn bei den pseudonymisierten Daten handelte es sich - anders als die Klägerin meint - aus Sicht des Monitors nicht um anonyme Daten, sondern um personenbezogene Daten im Sinne des Art. 4 Nr. 1 und Nr. 5 DSGVO, die - wie auch die von der Verwarnung mitumfassten Klarnamen, die teilweise Gegenstand der Einzelfallentscheidungen Nr. 06.1 und 11 waren, sowie die mitumfassten, offengelegten Klarnamen der im Hinweisgebersystem beschäftigten Mitarbeiter - dem Anwendungsbereich der DSGVO unterliegen.
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten, auf welche die Vorschriften der DSGVO anwendbar sind, alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Aus Art. 4 Nr. 5 DSGVO geht hervor, dass eine Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise darstellt, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen sowie organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Demgegenüber finden die Vorschriften der DSGVO keine Anwendung, wenn es sich um anonyme Daten handelt (vgl. Satz 6 des 26. Erwägungsgrundes der DSGVO). Daten sind dann anonym, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder wenn sie in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (vgl. Satz 5 des 26. Erwägungsgrundes der DSGVO).
Die Behauptung der Klägerin, die übermittelten Daten seien für den Monitor anonym gewesen, wird bereits von dem Verhalten der Klägerin selbst widerlegt. Denn im Rahmen der durchgeführten Einzelfallentscheidungen hat sie stets von Pseudonymisierung gesprochen (z.B. in den Einzelfallentscheidungen Nr. 11, 27 oder 38). Dass ihr der Unterschied zur Anonymisierung bewusst gewesen sein muss, zeigt die Einzelfallentscheidung Nr. 37. Denn im Rahmen der Abwägung zu dieser Einzelfallentscheidung hielt die Klägerin ausdrücklich fest, dass eine Anonymisierung (Schwärzung) ausscheide, da dies den Monitor in der Ausübung seines Mandats hindern würde, weshalb nur eine Pseudonymisierung in Betracht käme. Diese von der Klägerin selbst vorgenommene Unterscheidung belegt daher auch, dass vorliegend keine etwaige "pseudonymisierende Anonymisierung" vorgelegen hat. Denn die Klägerin hat in der Einzelfallentscheidung Nr. 37 festgehalten, dass die Übermittlung von für den Monitor anonymen Daten ausscheide. Auch im Rahmen der Einzelfallentscheidung Nr. 27 hat die Klägerin ausgeführt, dass nachvollziehbar sei, dass der Monitor die Abläufe von Personalmaßnahmen anhand von tatsächlichen Fällen auswerten wolle. Hierfür sei erforderlich, dass er die Stammnummer einsehen könne, da die einzelnen Vorgänge andernfalls mangels für den Monitor nachvollziehbarer Pseudonymisierung nicht nachvollzogen werden könne.
Für die Frage der Identifizierbarkeit im Sinne des Art. 4 Nr. 1 und 5 DSGVO kommt es unter Berücksichtigung des 26. Erwägungsgrundes der DSGVO nicht nur auf die Mittel des Verantwortlichen, sondern auch auf Mittel Dritter an. Nach den Sätzen 3 bis 4 des Erwägungsgrundes sollten zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Der Rechtsprechung des Europäischen Gerichtshofs ist diesbezüglich zu entnehmen, dass ein rechtliches Mittel zur Verfügung steht, wenn es bei vernünftiger Betrachtung und mit vertretbarem Aufwand zur Bestimmung der betreffenden Person eingesetzt werden kann (EuGH, Urteil vom 19. Oktober 2016 - C-582/14 -, juris Rn. 45 ff.; EuGH, Urteil vom 9. November 2023 - C-319/22 -, juris Rn. 46, 49; EuGH, Urteil vom 7. März 2024 - C-604/22 -, juris Rn. 51). Ein solches steht nicht zur Verfügung, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, weil dies zum Beispiel einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde (EuGH, Urteil vom 19. Oktober 2016 - C-582/14 -, juris Rn. 46; EuGH, Urteil vom 7. März 2024 - C-479/22 P -, juris Rn. 43, 61). Der Europäische Gerichtshof hat in diesem Zusammenhang klargestellt, dass eine tatsächliche Identifizierung nicht erforderlich ist, um die Daten zu personenbezogenen Daten werden zu lassen. Vielmehr genügt die mögliche Identifizierbarkeit (EuGH, Urteil vom 7. März 2024 - C-479/22 P -, juris Rn. 43, 61). Darüber hinaus geht aus der bisherigen Rechtsprechung des Europäischen Gerichtshofs hervor, dass es für die Frage, wer über das Mittel verfügen muss, durch das der Personenbezug hergestellt werden kann, jedenfalls nicht auf das Wissen irgendeiner beliebigen Stelle bzw. irgendeines beliebigen Dritten ankommt. Vielmehr hat der Europäische Gerichtshof in seinen bisherigen Entscheidungen darauf abgestellt, dass es sowohl auf die Mittel des datenschutzrechtlichen Verantwortlichen ankommt (vgl. hierzu: EuGH, Urteil vom 19. Oktober 2016 - C-582/14 -, juris Rn. 49; EuGH, Urteil vom 7. März 2024 - C-604/22 -, juris Rn. 48, 51) als auch die Perspektive des Datenempfängers, der Zugang zu den Daten hat, maßgeblich ist (vgl. hierzu: EuGH, Urteil vom 9. November 2023 - C-319/22 -, juris Rn. 48 f.; Hanloser, Anmerkung zu EuGH, Urteil vom 9. November 2023 - C-319/22 -, ZD 2024, 173, 176).
Diese Maßstäbe zugrunde gelegt, ist der Personenbezug herstellbar. Denn für die Frage, ob entsprechende Mittel zur Identifizierung vorhanden sind, kommt es vorliegend auf die Perspektive des Monitors als Datenempfänger an, da ihm die streitgegenständlichen Daten übermittelt wurden und er Zugang zu ihnen hatte. Ihm standen auch rechtliche Mittel zur Verfügung, die er bei vernünftiger Betrachtung und mit vertretbarem Aufwand zur Bestimmung der betreffenden Personen hätte einsetzen können.
Die Klägerin hat die hier maßgeblichen personenbezogenen Daten weitestgehend pseudonymisiert. Dabei hat sie entweder auf die Stammnummer der jeweils betroffenen Beschäftigten zurückgegriffen, ihnen laufende Nummern zugewiesen oder die Namen in jedem Einzelfall durch andere Worte wie "Whistleblower" oder "Subject" ersetzt. Aufgrund der gerichtlichen Vergleiche aus dem Jahr 2017, in denen die Durchführung des Monitorships vereinbart worden war, hatte der Monitor während des Monitorships das Recht, von der Klägerin Dokumente und andere Informationen zu verlangen, die erforderlich waren, um sein Mandat zu erfüllen. Vor diesem Hintergrund verfügte der Monitor über das (vertragliche) Recht, von der Klägerin auch die Herausgabe der zur Pseudonymisierung verwendeten Informationen wie dem jeweiligen Zuordnungsschlüssel oder den sonstigen Unterlagen zu verlangen, durch die die Zuordnung ermöglicht worden wäre.
Die Umstände, dass der Monitor tatsächlich nicht über die jeweiligen Zuordnungsschlüssel oder Dokumente, mit denen die Zuordnung möglich gewesen wäre, verfügt hat, diese nicht angefordert hat und die Betroffenen auch nicht identifiziert hat, sind - anders als das Landgericht Hannover in seinem Beschluss vom 26. Februar 2025 - - meint - nicht relevant. Denn nach der bereits dargestellten Rechtsprechung des Europäischen Gerichtshofs kommt es ausschließlich auf die mögliche Identifizierbarkeit an. Der Monitor verfügte über die maßgeblichen rechtlichen Mittel, durch die er einen Personenbezug hätte herstellen können.
Dass die Forderung der jeweiligen Zuordnungsschlüssel von vorneherein nicht mehr von dem Mandat des Monitors gedeckt gewesen sein könnte, ist vorliegend nicht überzeugend dargelegt worden. Zudem kann die Klägerin nicht mit Erfolg einwenden, dass der Monitor kein Interesse daran gehabt hätte, spezifische Beschäftigte zu identifizieren. Denn beispielsweise forderte der Monitor die Klägerin dazu auf, ihm eine Liste mit den Namen zu übermitteln, mit denen sie im Rahmen der Ursachenanalyse Gespräche führen wollte (vgl. Einzelfallentscheidung Nr. 06.0). Ihm ging es konkret darum, die Namen der Mitarbeiter zu erfahren, mit denen gesprochen werden sollte. Ferner forderte er auch die Offenlegung der Namen der Beschäftigten, die im Hinweisgebersystem arbeiteten, da er nachvollziehen wollte, welche Mitarbeiter mit der Bearbeitung von Hinweisen betraut waren. Dies zeigt, dass es im Rahmen seines Mandats Fälle gab, in denen er zur Erfüllung seiner Aufgaben Daten herausverlangte, durch die er Mitarbeiter der Klägerin identifizieren konnte. Vor diesem Hintergrund sind keine durchgreifenden Anhaltspunkte ersichtlich oder von der Klägerin vorgetragen worden, die dagegensprechen, dass der Monitor nicht auch hinsichtlich der pseudonymisierten Daten, die nach Durchführung der Einzelfallentscheidungen Nrn. 11, 27, 37 sowie 38 und durch die Testing-Dokumente übermittelt wurden, die Klarnamen der Betroffenen hätte erfahren wollen und daher die Herausgabe des jeweiligen Zuordnungsschlüssels hätte verlangen können, um die in den Dokumenten vorhandenen Pseudonyme natürlichen Personen zuordnen zu können. Beispielsweise ist denkbar, dass der Monitor, um zu überprüfen, ob die Informationen zu den Disziplinarfällen richtig dokumentiert wurden, Kontakt zu den jeweils betroffenen Mitarbeitern hätte aufnehmen wollen. Um diese Beschäftigten ausfindig zu machen, hätte er die Herausgabe des Zuordnungsschlüssels verlangen können. Darüber hinaus ist auch denkbar, dass der Monitor hätte überprüfen wollen, ob den Betroffenen tatsächlich nur ein gekürzter Leistungsbonus ausgezahlt wurde oder ob wegen Erkenntnissen bei den Hintergrundüberprüfungen tatsächlich keine Beförderung erfolgt ist. Dazu hätte er unter anderem Kontakt zu den Betroffenen aufnehmen können, wozu er ebenfalls die Herausgabe des Zuordnungsschlüssel hätte verlangen können. Ferner erscheint möglich, dass der Monitor ähnlich hinsichtlich des Hinweisgebersystems hätte vorgehen können, um beispielsweise zu überprüfen, ob die jeweils angegebenen Hinweisgeber tatsächlich die entsprechenden Hinweise gegeben haben.
Diesbezüglich kann sich die Klägerin nicht mit Erfolg darauf berufen, dass der Monitor ausschließlich die Effektivität der Compliance-Strukturen überprüfen und nicht spezifische Mitarbeiter identifizieren wollte. Denn die vorstehend genannten Szenarien, die das Gericht als realistisch ansieht, hätten auch der Überprüfung der Effektivität der Compliance-Strukturen gedient. Der Monitor hätte dadurch überprüfen können, ob die Mechanismen wie das Hinweisgebersystem oder die Hintergrundprüfungen bei Beförderungen funktionieren und von der Klägerin ordnungsgemäß angewandt werden. Wie die anlässlich der Einzelfallentscheidung Nr. 06.0 übermittelten Klarnamen sowie die Offenlegung der Namen der Mitarbeiter im Hinweisgebersystem zeigen, war es zur Überprüfung der Effektivität der Compliance-Strukturen aus Sicht des Monitors durchaus auch notwendig, Mitarbeiter zu identifizieren.
Darüber hinaus überzeugt die Behauptung der Klägerin, sie hätte auch im Falle einer Anforderung durch den Monitor die Zuordnungslisten auf keinen Fall herausgegeben, nicht. Denn zum einen hat sie durch die Übermittlung der Klarnamen nach Durchführung der Einzelfallentscheidungen Nrn. 06.0, 06.1 und (teilweise) 11 bereits gezeigt, dass sie auch Daten herausgegeben hat, die einen direkten Personenbezug enthalten. Dies gilt auch hinsichtlich der im Hinweisgebersystem Beschäftigten. Zum anderen steht die oben genannte Behauptung der Klägerin in unauflösbarem Widerspruch zu ihrem Vorbringen an anderer Stelle. Denn sie führte zur Begründung, weshalb sie die Klarnamen von Mitarbeitern mit "direct knowledge" herausgegeben habe (vgl. 1. a. bb. (1)), aus, dass sie ein hohes Interesse daran gehabt habe, der Dokumentenanfrage des Monitors umfassend nachzukommen, weil andernfalls bei mangelnder Kooperation das Risiko bestanden hätte, dass die beteiligten US-Behörden die Vergleichsvereinbarungen aus dem Jahr 2017 gekündigt hätten, wodurch massive finanzielle und rechtliche Nachteile sowie Reputationsschäden gedroht hätten, was ihre weitere Geschäftsentwicklung erheblich negativ hätte beeinträchtigen können. Die ohnehin pauschale und nicht näher belegte Behauptung, sie hätte keinesfalls den Zuordnungsschlüssel herausgegeben, erscheint vor diesem Hintergrund wenig überzeugend.
Ferner kann sie auch nicht mit ihrer in der mündlichen Verhandlung geäußerten Behauptung durchdringen, dass die Einzelfallentscheidungen final gewesen seien und jedenfalls ein Ende der Eskalation markiert hätten. Diese Behauptung wird bereits dadurch widerlegt, dass die Klägerin die im Rahmen der Einzelfallentscheidung Nr. 06.0 offengelegten Daten nachträglich ergänzt hat. Denn die Klägerin beschloss im Wege der Einzelfallentscheidung Nr. 06.1, dass die zuvor im Rahmen der Einzelfallentscheidung Nr. 06.0 angefertigte Liste um weitere Namen ergänzt werden sollte. Dies zeigt, dass die Klägerin zum einen gewillt war, den Anfragen des Monitors nachzukommen, und zum anderen in der Lage war, Einzelfallentscheidungen durchzuführen, die an zuvor vorgenommenen Einzelfallentscheidungen anknüpften und diese ergänzten. Hierfür spricht auch die konkrete, fortlaufende Nummerierung der Einzelfallentscheidungen (Nr. 06.0 und Nr. 06.1). Vorliegend ist daher denkbar, dass der Monitor im Nachgang zu einer der streitgegenständlichen Einzelfallentscheidungen den Zuordnungsschlüssel hätte anfragen können. Bei lebensnaher Betrachtung ist aus Sicht des Gerichts davon auszugehen, dass die Klägerin dann eine weitere Einzelfallentscheidung bezüglich der Offenlegung des konkreten Zuordnungsschlüssels durchgeführt hätte. Selbst wenn angenommen werden würde, dass die Einzelfallentscheidungen, wie die Klägerin behauptet, "final" gewesen seien, wäre die ursprüngliche Einzelfallentscheidung durch eine Anforderung des Zuordnungsschlüssels durch den Monitor in ihrem Grundsatz nicht in Frage gestellt worden, sie wäre lediglich ergänzt oder erweitert worden.
Des Weiteren kann die Klägerin auch nicht mit Erfolg einwenden, dass die anlässlich der Einzelfallentscheidung Nr. 11 übersandten Daten keine Daten darstellen würden, die dem Anwendungsbereich der DSGVO unterfallen würden, da es sich bei den Bonusdurchsprachen lediglich um Gespräche gehandelt habe. Denn auch in diesem Fall liegt eine Datenverarbeitung im Sinne des Art. 2 Abs. 1 DSGVO vor. Dabei kann offenbleiben, ob sie eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten darstellt. Ausweislich der Einzelfallentscheidung Nr. 11 durfte der Monitor nicht nur an Bonusdurchsprachen teilnehmen, sondern ihm wurden vorab auch vorbereitende Unterlagen mit personenbezogenen Daten der Beschäftigten zugesandt. Er erhielt unter anderem Bonuslisten mit den Namen und Beträgen bzw. Betragsvorschlägen. Die Listen wurden digital geführt, weshalb sie jedenfalls Daten im Sinne des Art. 2 Abs. 1 DSVO darstellen. Ferner hielt die Klägerin in der Einzelfallentscheidung fest, dass der Monitor durch die Teilnahme an den Bonusdurchsprachen auch Kenntnis von Daten wie Zielerwartungen, Kurzbiografien mit Namen, Fotos, Qualifizierung und Entgelt erhalten würde. Mangels entgegenstehender Anhaltspunkte und vor dem Hintergrund, dass die Klägerin die Unternehmenssoftware L. verwendet hat, ist auch diesbezüglich anzunehmen, dass die vorbereitenden Unterlagen digital geführt wurden und daher - trotz der geführten Gespräche - (ganz oder teilweise) automatisierte Verarbeitungen von personenbezogenen Daten nach Art. 2 Abs. 1 DSGVO vorlagen.
bb.
Durch die Übermittlung der im Bescheid unter dem Buchstaben B aufgezählten Daten an den Monitor hat die Klägerin gegen Art. 13 Abs. 3 DSGVO verstoßen, da sie die Betroffenen vor der Weiterverarbeitung ihrer personenbezogenen Daten nicht entsprechend den Vorgaben des Art. 13 Abs. 3 DSGVO (1) informiert hat (2). Die Information nach Art. 13 Abs. 3 DSGVO ist vorliegend auch nicht entbehrlich gewesen (3).
(1)
Nach Art. 5 Abs. 1 Buchst. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"). Eine faire und transparente Verarbeitung setzt nach dem ersten Satz des 60. Erwägungsgrundes der DSGVO voraus, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dabei verlangt der in Art. 5 Abs. 1 Buchst. a DSGVO niedergelegte Grundsatz der Transparenz, dass die Datenverarbeitung von der betroffenen Person nachvollzogen werden kann. Dabei ist die Transparenz nicht nur retrospektiv, sondern - wie der 39. Erwägungsgrund der DSGVO in seinem Satz 2 klarstellt - auch prospektiv zu gewährleisten. Die betroffene Person muss demnach auch über zukünftige Datenverarbeitungen Klarheit haben (Schantz in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. November 2021, DSGVO, Art. 5 Rn. 11). Hierzu gehört es, dass die betroffene Person nicht nur den Verantwortlichen und die Zwecke der Verarbeitung kennt, sie muss auch zusätzliche Informationen erhalten, die unter anderem in Art. 13 DSGVO normiert sind. Sofern weitere Informationen erforderlich sind, um eine faire und transparente Verarbeitung zu gewährleisten, sind auch diese Informationen zu erteilen (Schantz in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. November 2021, DSGVO, Art. 5 Rn. 11).
Beabsichtigt der Verantwortliche, personenbezogene Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, hat er nach Art. 13 Abs. 3 DSGVO dem Betroffenen vor der Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung zu stellen. Zur Erfüllung seiner Verpflichtung aus Art. 13 Abs. 3 DSGVO muss ein Verantwortlicher zunächst über den neuen Zweck der Datenverarbeitung informieren. Die Angaben müssen dabei so vollständig und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, mit welchen Datenverarbeitungen er zu rechnen hat (Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 71). Des Weiteren hat er nach dem Wortlaut des Art. 13 Abs. 3 DSGVO "alle anderen maßgeblichen Informationen gemäß Absatz 2" zur Verfügung zu stellen. Aus dem Sinn und Zweck des Art. 13 Abs. 3 DSGVO und unter Berücksichtigung des für die DSGVO geltenden Grundsatzes der Transparenz ergibt sich jedoch, dass der Verantwortliche nicht nur die Informationen nach Absatz 2, sondern auch - über den Wortlaut hinaus und abhängig vom Einzelfall - Informationen nach Art. 13 Abs. 1 DSGVO zur Verfügung stellen muss. Denn die Informationspflicht aus Art. 13 Abs. 3 DSGVO ist eine Ausprägung des Transparenzgrundsatzes und bezweckt, dass dem Betroffenen ermöglicht wird, die Rechtmäßigkeit der Datenverarbeitung auf Basis des anderen Zwecks nachprüfen zu können (Schmidt-Wudy in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 13 Rn. 90). Der Betroffene muss sich ein Bild davon machen können, welche Verarbeitungen mit seinen Daten erfolgen wird. Erst durch die nach Art. 13 DSGVO gewonnenen Informationen wird er in die Lage versetzt, eine Datenverarbeitung richtig einschätzen und ggf. Betroffenenrechte rechtzeitig ausüben zu können (vgl. Schmidt-Wudy in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 13 Rn. 2). Dadurch soll verhindert werden, dass die zu einem bestimmten Zweck erhobenen Daten ohne das Wissen des Betroffenen zweckentfremdet werden können (Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 13 Rn. 22). Vor diesem Hintergrund sind alle Informationen "maßgeblich" im Sinne des Art. 13 Abs. 3 DSGVO, die dem Betroffenen noch nicht zur Verfügung stehen, über die der Verantwortliche jedoch bereits bei der Datenerhebung hätte informieren müssen, wenn die Datenerhebung ursprünglich zu dem (später geänderten) Zweck erfolgt wäre (vgl. Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 13 Rn. 23; Knyrim in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 13 Rn. 76). Für dieses Verständnis spricht auch der 61. Erwägungsgrund der DSGVO, der in Satz 3 erläutert, dass der Verantwortliche vor der Weiterverarbeitung Informationen über den neuen Zweck "und andere erforderliche Informationen zur Verfügung stellen" sollte. Eine inhaltliche Beschränkung der zu erteilenden Informationen nimmt der Erwägungsgrund nicht vor, sondern spricht ausschließlich von den "erforderlichen Informationen". Folglich muss der Verantwortliche dem Betroffenen die Informationen geben, die der Betroffene bisher noch nicht kannte, die aber erforderlich sind, um einschätzen zu können, welche Datenverarbeitungen zu dem anderen Zweck erfolgen werden. Dies bedeutet, dass in der Regel nicht erneut über den Verantwortlichen oder den Datenschutzbeauftragten (Art. 13 Abs. 1 Buchst. a und b DSGVO) informiert werden muss, sofern diese - was regelmäßig der Fall sein dürfte - auch bei der Zweckänderung gleichgeblieben sind. Haben sich jedoch beispielsweise die Rechtsgrundlage oder der Empfänger (vgl. Art. 13 Abs. 1 Buchst. c und e DSGVO) geändert, dann sind Angaben hierzu - trotz des Wortlauts des Art. 13 Abs. 3 DSGVO - von der Informationspflicht dieser Vorschrift erfasst (vgl. Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO, Art. 13 Rn. 23). Denn wären die Daten des Betroffenen zu dem - mittlerweile geänderten - Verarbeitungszweck ursprünglich erhoben worden, hätten dem Betroffenen die Rechtsgrundlage und der Empfänger mitgeteilt werden müssen.
(2)
Diese Maßstäbe zugrunde gelegt, ist die Klägerin vorliegend nicht ihrer aus Art. 13 Abs. 3 DSGVO resultierenden Informationspflicht nachgekommen, da sie den betroffenen Beschäftigten vor der Weiterverarbeitung ihrer personenbezogenen Daten zum Zwecke des Monitorships insbesondere nicht mitgeteilt hat, auf welcher Rechtsgrundlage die Weiterverarbeitung beruht und welche berechtigten Interessen im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO verfolgt werden.
Anders als die Klägerin meint, ist Art. 13 Abs. 3 DSGVO vorliegend anwendbar, denn sie hat die unter dem Buchstaben B aufgezählten personenbezogenen Daten zu einem anderen Zweck als zu demjenigen, zu welchem sie sie ursprünglich erhoben bzw. verarbeitet hat, weiterverarbeitet. Ursprünglich wurden die Daten zu den in der universellen Datenschutzerklärung angegebenen Zwecken erhoben bzw. verarbeitet. Die Übermittlung dieser Daten an den Monitor stellt aus den bereits unter I. 1. a. bb. (2) (c) dargestellten Gründen eine Zweckänderung dar, weil die Verarbeitung der personenbezogenen Daten der betroffenen Beschäftigten im Monitorship weder zur Durchführung des jeweiligen Beschäftigungsverhältnisses noch zu den weiteren in der universellen Datenschutzerklärung genannten Zwecken, insbesondere nicht zur Verteidigung von Rechtsansprüchen oder der Durchführung von Prüfungstätigkeiten und anlassbezogenen Untersuchungen, erfolgte.
Die Klägerin hätte den betroffenen Mitarbeitern vor der Datenübermittlung an den Monitor zum einen die nunmehr einschlägige Rechtsgrundlage im Sinne des Art. 13 Abs. 3 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c DSGVO mitteilen müssen und zum anderen hätte sie sie auch über die von ihr verfolgten berechtigten Interessen im Sinne des Art. 13 Abs. 3 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. d DSGVO informieren müssen. Denn die Übermittlung der personenbezogenen Daten, die Gegenstand der Einzelfallentscheidungen Nrn. 06.1, 27, 37 und 38 sowie in den Testing-Dokumenten enthalten waren, ist aus den gleichen Erwägungen wie bei der anlässlich der Einzelfallentscheidung Nr. 06.0 erfolgten Datenverarbeitung (vgl. I. 1. a. bb. (2) (c)) - ausschließlich - auf Art. 6 Abs. 1 Buchst. f DSGVO (in Verbindung mit Art. 6 Abs. 4 DSGVO) zu stützen. Die Erhebung der Daten beruhte jedoch auf einer anderen Rechtsgrundlage, weshalb die Klägerin zur Mitteilung der nunmehr einschlägigen Rechtsgrundlage verpflichtet war. Zudem hätte sie den Betroffenen das von ihr verfolgte berechtigte Interesse im Sinne des Art. 13 Abs. 3 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. d DSGVO mitteilen müssen. Denn aus Art. 13 Abs. 1 Buchst. d DSGVO geht eindeutig hervor, dass der Verantwortliche die verfolgten berechtigten Interessen mitteilen muss, wenn die Datenverarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruht. Da, wie bereits unter I. 1. a. bb. (2) (c) dargestellt, alle Informationen als "maßgeblich" im Sinne des Art. 13 Abs. 3 DSGVO gelten, die dem Betroffenen noch nicht zur Verfügung stehen, über die der Verantwortliche jedoch bereits bei der Datenerhebung hätte informieren müssen, wenn die Datenerhebung ursprünglich zu dem (später geänderten) Zweck erfolgt wäre, ist auch über die verfolgten berechtigten Interessen zu informieren. Denn hätte die Klägerin die an den Monitor übermittelten Daten ursprünglich zu diesem Zweck erhoben, hätte sie die Erhebung bereits auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt, was die Mitteilungspflicht des Art. 13 Abs. 1 Buchst. d DSGVO ausgelöst hätte. Erst durch die Mitteilung der Rechtsgrundlage und des von der Klägerin berechtigten Interesses werden die Betroffenen nämlich in die Lage versetzt, die Datenverarbeitung einschätzen zu können und ggf. Betroffenenrechte wie beispielsweise aus Art. 18 und Art. 21 Abs. 1 DSGVO ausüben zu können.
Dem ist die Klägerin jedoch nicht nachgekommen. Die Mitteilung insbesondere der Rechtsgrundlage und des verfolgten berechtigten Interesses war vorliegend auch nicht entbehrlich. Mit ihrer pauschalen Behauptung, eine weitergehende Information wäre mit einem unverhältnismäßigen Aufwand verbunden gewesen, kann sie nicht durchdringen. Denn zum einen ist weder ersichtlich, worin der unverhältnismäßige Aufwand gelegen hätte, noch hat die Klägerin dies substantiiert ausgeführt. Zum anderen sind die Fälle, in denen von Art. 13 Abs. 3 DSGVO abgewichen werden kann, enumerativ aufgeführt (unter anderem in Art. 13 Abs. 4 DSGVO und § 32 Abs. 1 BDSG). Diese Normen enthalten keine Regelungen, die eine Ausnahme von der Informationspflicht wegen eines unverhältnismäßigen Aufwands statuieren.
In der universellen Datenschutzerklärung wird zwar darauf hingewiesen, dass die Datenverarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruhen kann. Allerdings werden weder die mit der Übermittlung der Daten an den Monitor konkret verfolgten berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO mitgeteilt noch lässt sich aus der universellen Datenschutzerklärung entnehmen, dass die Datenübermittlung an den Monitor auf die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DSGVO gestützt wird. Denn die in der Datenschutzerklärung aufgelisteten Beispiele zur Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DSGVO sind bei systematischer Betrachtung nicht mit der Durchführung des Monitorships vergleichbar. Dabei wird nicht verkannt, dass die Auflistung nicht abschließender Natur ist.
Jedoch geht angesichts der Art der aufgeführten Beispiele wie der Kontaktaufnahme im Rahmen von Spendenaktionen zu Gunsten karitativer Einrichtungen oder die Verarbeitung von Daten der Angehörigen zur Kontaktaufnahme in Notfällen erkennbar hervor, dass die Übermittlung von personenbezogenen Daten im Rahmen eines Monitorships, das auf Vergleichsvereinbarungen mit US-Behörden beruht, um zivil- und strafrechtliche Verfahren vor US-Gerichten zu beenden und Verurteilungen zu vermeiden, hiermit nicht vergleichbar ist. Denn bei der Datenübermittlung im Monitorship handelt es sich weder um einen Notfall noch um eine Situation, die einer Spendenaktion ähnlich ist.
Ebenso wenig erfüllte die Klägerin die Anforderungen des Art. 13 Abs. 3 DSGVO durch das "Informationsschreiben zu Gesprächen mit dem Monitor/FAQ" vom 24. November 2017, denn das Informationsschreiben verhält sich hauptsächlich dazu, dass der Monitor Gespräche mit einzelnen Beschäftigten durchführen wird. Darüber hinaus wird lediglich darauf hingewiesen, dass der Monitor auch Dokumente und andere Informationen sammeln und auswerten wird. Konkrete Ausführungen dazu, dass und welche personenbezogene Daten der Beschäftigten an den Monitor übermittelt werden, auf welcher Rechtsgrundlage diese Verarbeitungen beruhen und welche berechtigten Interessen von der Klägerin diesbezüglich verfolgt werden, sind in dem Informationsschreiben nicht enthalten.
Ihrer Informationspflicht aus Art. 13 Abs. 3 DSGVO ist die Klägerin auch nicht durch den Abschluss der Konzernbetriebsvereinbarung Nr. 01/2017 nachgekommen, die für die Durchführung von Gesprächen mit Beschäftigten im Rahmen des Monitor- und Auditorships erstellt wurde. Zwar wird auch in der Konzernbetriebsvereinbarung angegeben, dass der Monitor Informationen sammeln und auswerten werde. Allerdings wird auch hier hauptsächlich über die Gespräche informiert, die der Monitor mit Beschäftigten durchführen wird. Zudem werden weder die Rechtsgrundlage noch die verfolgten berechtigten Interessen erwähnt.
Ebenso wenig erfüllte die Klägerin die Informationspflicht des Art. 13 Abs. 3 DSGVO durch die Betriebsvereinbarung Nr. 03/18 zum Umgang mit personenbezogenen Daten im Beschäftigtenkontext bei der AH.. Denn der Betriebsvereinbarung ist nicht zu entnehmen, dass sie sich auch auf das Monitorship bezieht. In der Betriebsvereinbarung werden viele Zwecke aufgeführt, zu denen personenbezogene Daten verarbeitet werden. Wie bereits unter I. 1. a. bb. (2) (b) dargestellt, wird das Monitorship in dieser Auflistung, die abschließender Natur ist, da sie um Regelungen in den Anlagen ergänzt werden kann, weder erwähnt noch erfasst.
Ferner genügen weder die Artikel in der Mitarbeiterzeitung noch die durchgeführten Informationsveranstaltungen den Anforderungen des Art. 13 Abs. 3 DSGVO. Denn in den Artikeln in der Mitarbeiterzeitung wird lediglich allgemein über das Monitorship berichtet. Zwar wird darauf hingewiesen, dass der Monitor beispielsweise eine Umfrage durchführen werde, bei der Mitarbeiter Antworten geben sollten und es wird erläutert, dass der Monitor in den ersten eineinhalb Jahren viele Dokumente angefordert habe. Allerdings werden weder die Rechtsgrundlage noch die berechtigten Interessen in den Artikeln genannt. Hinsichtlich der Informationsveranstaltungen, die auf dem Betriebsgelände der Klägerin gemeinsam mit dem Monitor durchgeführt wurden, ist gänzlich unklar, über welche Inhalte bei den Veranstaltungen gesprochen wurde und ob die von den Datenverarbeitungen betroffenen Beschäftigten anwesend waren.
Des Weiteren ist die Klägerin ihrer Verpflichtung aus Art. 13 Abs. 3 DSGVO auch nicht durch die Monitor-Datenschutzerklärung gerecht geworden. Zwar erwähnt die Klägerin in dem Dokument, dass die Datenübermittlung an den Monitor auf Art. 6 Abs. 1 Buchst. f DSGVO beruhe und sie ein berechtigtes Interesse an der Kooperation mit dem Monitor habe, was die Übermittlung von personenbezogenen Daten in gewissem Maße erforderlich machen würde. Jedoch hat die Klägerin ihre Informationspflicht deshalb nicht erfüllt, weil sie die Monitor-Datenschutzerklärung lediglich in das Intranet eingestellt hat. Zur Überzeugung des Gerichts genügte das bloße Einstellen in das Intranet nicht, um den Anforderungen des Art. 13 Abs. 3 DSGVO gerecht zu werden.
Zwar gelten für die von Art. 13 DSGVO statuierte Informationspflicht grundsätzlich keine speziellen Formerfordernisse, sondern es ist auf die allgemeinen Vorgaben aus Art. 12 Abs. 1 DSGVO zurückzugreifen (vgl. Schmidt-Wudy in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 13 Rn. 85 m.w.N.). Danach sind die Informationen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln". Maßgeblich sind jeweils die Umstände des Einzelfalls (vgl. Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 60). Dabei hat sich der Verantwortliche bezüglich Form und Sprache grundsätzlich an dem durchschnittlichen Personenkreis der Tätigkeit zu orientieren (Paal/Hennemann in Paal/Pauly, DSGVO BDSG, 3. Aufl. 2021, DSGVO, Art. 13 Rn. 5). Art. 13 Abs. 3 DSGVO verlangt jedoch eine aktive Unterrichtung der betroffenen Personen (Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 59, 79; Knyrim in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 13 Rn. 25; Artikel-29-Gruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679 vom 11. April 2018, S. 21). Ausweislich des 58. Erwägungsgrundes der DSGVO kann die Bereitstellung der Information in elektronischer Form gewählt werden, wie beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist (Satz 2). Dies gilt nach dem dritten Satz des Erwägungsgrundes insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Doch auch in einem solchen Fall muss der Verantwortliche die betroffenen Personen auf die Website hinweisen (Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 59, 79; vgl. auch: Knyrim in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 13 Rn. 26). Der Verantwortliche muss selbst aktiv werden, um den Betroffenen die Informationen bereitzustellen oder sie aktiv zu der Stelle zu leiten, wo die Angaben zur Verfügung stehen (Artikel-29-Gruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679 vom 11. April 2018, S. 21). Den Betroffenen muss die Bürde abgenommen werden, unter sonstigen Informationen aktiv nach den relevanten Informationen, die Art. 13 Abs. 3 DSGVO abdecken, zu suchen (vgl. Artikel-29-Gruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679 vom 11. April 2018, S. 21).
Vor diesem Hintergrund hat die Klägerin die von den streitgegenständlichen Datenverarbeitungen Betroffenen nicht aktiv unterrichtet, da sie die Monitor-Datenschutzerklärung lediglich in das Intranet "Group Connect" eingestellt hat, ohne aber die Betroffenen gesondert aktiv auf die Einstellung ins Intranet hinzuweisen.
Vorliegend ist ein zusätzlicher Hinweis auch zumutbar und nicht mit unverhältnismäßigem Aufwand verbunden, da gerade keine Situation gegeben ist, die der in den Sätzen 2 und 3 des 58. Erwägungsgrundes der DSGVO geschilderten Situation gleichkommt. Denn die von der Klägerin zu erbringende Information ist nicht für die Öffentlichkeit und somit nicht für eine unüberschaubare Anzahl an betroffenen Personen bestimmt. Vielmehr ist der Kreis der Betroffenen für die Klägerin überschaubar und ihr bekannt. Die von den Datenverarbeitungen Betroffenen sind ihre Mitarbeiter, die sie alle namentlich kennt und über deren dienstliche sowie private Anschriften sie verfügt. Darüber hinaus stehen der Klägerin die (technischen und praktisch durchsetzbaren) Mittel zur Verfügung, neben allen betroffenen Beschäftigten sogar alle Mitarbeiter zu erreichen. Denn selbst die Gesamtheit ihrer Mitarbeiter stellt für sie keinen unüberschaubaren Personenkreis dar. Hiervon ist insbesondere deshalb auszugehen, weil die Klägerin die universelle Datenschutzerklärung, die im Hinblick auf die Geltung der DSGVO erstellt worden war, allen im Juli 2018 beschäftigten Mitarbeitern zusammen mit der Gehaltsabrechnung für den Monat Juli 2018 per Post zugeschickt hat.
Ferner kann die Behauptung der Klägerin, das Intranet sei der Ort, an dem datenschutzrechtliche Informationen bekannt geben werden würden, vor dem Hintergrund nicht überzeugen, dass die Klägerin wenige Monate zuvor, im Juli 2018, allen Beschäftigten die universelle Datenschutzerklärung postalisch hat zukommen lassen. Sofern das Intranet der Klägerin der Ort wäre, an dem datenschutzrechtliche Informationen bekannt gegeben werden und dies allen Beschäftigten bekannt wäre, dann erschließt sich nicht, weshalb die Klägerin die universelle Datenschutzerklärung nicht auch lediglich in das Intranet gestellt hat, sondern jedem einzelnen Beschäftigten individuell postalisch zugesandt hat. Vielmehr entwertet dieses Vorgehen der Klägerin ihre Behauptung, das Intranet sei der Ort der Bekanntgabe datenschutzrechtlicher Bestimmungen. Gegen die Richtigkeit dieser Behauptung spricht auch der Umstand, dass die im Intranet eingestellte Monitor-Datenschutzerklärung lediglich 58-mal angesehen wurde. Denn auf dem sich im Verwaltungsvorgang befindlichen Ausdruck des Intranetbeitrags, der aus Mai 2021 stammt, sind nur "58 Ansichten" vermerkt. Im Mai 2021 war das Monitorship schon beendet. Der Einwand der Klägerin, die geringe Aufrufzahl zeige, dass alle Mitarbeiter informiert gewesen seien, führt zu keiner anderen Einschätzung. Denn der pauschale und nicht näher substantiierte Einwand überzeugt bereits deshalb nicht, weil bei lebensnaher Betrachtung davon auszugehen ist, dass die (betroffenen) Mitarbeiter zunächst den Eintrag im Intranet lesen müssen, bevor sie zu dem Ergebnis kommen können, dass sie über alle maßgeblichen Informationen zur Datenübermittlung im Rahmen des Monitorships verfügen können. Diesbezüglich lässt die Klägerin auch völlig offen, wodurch die Mitarbeiter ausreichend informiert gewesen sein sollen. Wie bereits dargelegt, entsprechen die weiteren von der Klägerin erstellten Unterlagen gerade nicht den Anforderungen des Art. 13 Abs. 3 DSGVO. Auch die im gerichtlichen Verfahren vorgelegten Erklärungen der drei Beschäftigten führen zu keiner anderen Einschätzung. Denn sie sind nicht geeignet, die Behauptung der Klägerin, alle Mitarbeiter seien informiert gewesen, zu belegen. Aus den Erklärungen lässt sich nicht ansatzweise entnehmen, welche Informationen über die Weiterverarbeitung von personenbezogenen Daten tatsächlich zur Verfügung gestellt wurden. Vielmehr erschöpfen sich die Erklärungen im Wesentlichen in pauschalen und unspezifischen Angaben wie zum Beispiel, dass "alle [...] betroffenen Kollegen informiert" gewesen seien, dass die Belegschaft "über die Inhalte der Tätigkeiten des Monitors [...] aufs [I]ntensivste informiert" worden sei und dass man "darüber aufgeklärt" habe. Daneben wird in einer Erklärung aufgezählt, dass die Information durch "Betriebsversammlungen, regelmäßig über das Intranet und auch über die Presse" erfolgt sei. Wie bereits aufgezeigt, erfüllen die Betriebsversammlungen und die in das Intranet eingestellten Mitteilungen die Anforderungen des Art. 13 Abs. 3 DSGVO jedoch nicht. Ob mit der Presse die Artikel in der Mitarbeiterzeitung oder in anderen Medien gemeint sind, kann dahinstehen, denn die Artikel in der Mitarbeiterzeitung enthalten jedenfalls nicht die Informationen, die nach Art. 13 Abs. 3 DSGVO hätten erteilt werden müssen. Weitere (Presse-)Artikel sind weder dem Verwaltungsvorgang noch der Gerichtsakte zu entnehmen.
Abgesehen davon geht aus dem klägerischen Vortrag hervor, dass die Intranet-Plattform "Group Connect", auf der die Monitor-Datenschutzerklärung eingestellt worden war, ab dem Jahr 2019 von der hiervon zu unterscheidenden Plattform "360° M. Net" abgelöst wurde, da die Klägerin Letztere ab 2019 sukzessive als gruppenweites Intranet für Beschäftigte eingerichtet hat. Ab 2019 stand der Klägerin nach eigenen Angaben "360° M. Net" als interne und zentrale Kommunikationsplattform zur Verfügung; zuvor nutzte sie für diese Zwecke die Plattform "Group Connect". Vor diesem Hintergrund bestehen ernsthafte Zweifel daran, dass die Plattform "Group Connect" zum Zeitpunkt der streitgegenständlichen Datenübermittlungen, die sowohl im Jahr 2019 als auch erst im Jahr 2020 stattfanden, überhaupt noch von der Klägerin und den Beschäftigten aktiv genutzt wurde bzw. zugänglich war. Zudem spricht der Umstand, dass die Klägerin bereits im August 2019 Informationen zur EPA-Auditierung ausschließlich auf der Plattform "360° M. Net" eingestellt hat, dafür, dass - zumindest ab August 2019 - die Plattform "Group Connect" nicht mehr als Kommunikationsplattform und jedenfalls nicht als Plattform, auf der datenschutzrechtliche Informationen zur Verfügung gestellt werden, genutzt wurde.
Des Weiteren wird die Behauptung, das Intranet stelle den Ort der Bekanntgabe datenschutzrechtlicher Informationen dar, auch deshalb entwertet, weil die Klägerin im August 2022 allen von der Weiterverarbeitung ihrer Daten im Rahmen der EPA-Auditierung Betroffenen, insgesamt 234 Beschäftigten, eine für die EPA-Auditierung angefertigte Datenschutzerklärung per E-Mail zugesandt hat. Wäre das Intranet der Ort für die Bekanntgabe datenschutzrechtlicher Informationen, hätte sich die Klägerin mit dem Einstellen auch der für die EPA-Auditierung erstellten Datenschutzerklärung ins Intranet begnügen können. Diesen Weg hat sie aber gerade nicht gewählt, sondern sich für die aktive Bereitstellung der datenschutzrechtlichen Informationen durch Übersendung per E-Mail entschieden.
Vor diesem Hintergrund ist nicht ersichtlich und nicht nachvollziehbar, weshalb die Klägerin die Monitor-Datenschutzerklärung nicht zumindest den betroffenen Beschäftigten per E-Mail zugesandt hat. Dass ein entsprechendes Vorgehen für die Klägerin möglich und auch zumutbar gewesen wäre, verdeutlicht neben der zuletzt dargestellten Vorgehensweise auch die Handhabung der Klägerin im Rahmen des Monitorships, allen Beschäftigten, mit denen der Monitor Gespräche führen wollte, die entsprechende Einladung zusammen mit dem "Informationsschreiben zu Gesprächen mit dem Monitor/FAQ (Stand: 24.11.2017)" per E-Mail zuzusenden.
Ungeachtet dessen wäre vorliegend, sofern unterstellt wird, dass die Monitor-Datenschutzerklärung die inhaltlichen Anforderungen des Art. 13 Abs. 3 DSGVO erfüllt hätte, auch das bloße Versenden eines kurzen Hinweises an die Mitarbeiter per Mail, mit dem auf die im Intranet eingestellte Monitor-Datenschutzerklärung aufmerksam gemacht worden wäre, möglich gewesen. Denn dadurch hätte die Klägerin die Betroffenen aktiv auf die datenschutzrechtliche Information hingewiesen.
(3)
Die Pflicht zur Information nach Art. 13 Abs. 3 DSGVO entfällt vorliegend auch nicht deshalb, weil die Klägerin zumindest hinsichtlich der Einzelfallentscheidung Nr. 27 der Ansicht ist, dass die übermittelten Daten nicht besonders schutzbedürftig seien. Art. 13 Abs. 3 DSGVO differenziert nicht nach der Schutzbedürftigkeit der verarbeiteten Daten.
Auch kann die Klägerin nicht mit Erfolg rügen, dass die Mitarbeiter im Hinweisgebersystem gewusst hätten, dass ihre Namen an den Monitor weitergegeben werden würden. Denn zum einen bleibt unklar, woher die Mitarbeiter dies gewusst haben sollen. Die Klägerin hat dies nicht überzeugend ausgeführt. Zum anderen wurden nicht nur die Namen, sondern auch weitere personenbezogene Daten der Mitarbeiter im Hinweisgebersystem gegenüber dem Monitor offengelegt. So wurden beispielsweise Daten übersandt, die privater Natur sind wie die Angabe, dass ein Beschäftigter Mitglied der Freiwilligen Feuerwehr und ein anderer Mitarbeiter Kampfkunst-Experte sei. Die Klägerin hat diesbezüglich weder substantiiert vorgetragen noch auf anderem Wege nachgewiesen, dass sie die Betroffenen hierüber vor der Datenübermittlung informiert hat.
Ferner entfällt die Informationspflicht nach Art. 13 Abs. 3 DSGVO auch nicht deshalb, weil den Betroffenen ein Auskunftsrecht nach Art. 15 DSGVO zusteht. Wie der Beklagte zutreffend ausführt, steht die Informationspflicht des Verantwortlichen nach Art. 13 DSGVO neben dem Auskunftsanspruch der Betroffenen nach Art. 15 DSGVO. Die Möglichkeit, Auskunft nach Art. 15 DSGVO zu verlangen, entlässt den Verantwortlichen nicht aus seiner Pflicht, die Betroffenen nach Art. 13 DSGVO zu informieren. Denn aus Art. 13 DSGVO folgt eine aktive Informationspflicht des Verantwortlichen gegenüber der betroffenen Person, die ihn ohne vorherige Handlung der betroffenen Person verpflichtet. Art. 15 DSGVO hingegen statuiert ein Recht auf Auskunft gegenüber dem Verantwortlichen, dessen Ausübung der betroffenen Person freisteht (vgl. Ehmann in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 15 Rn. 12; Schmidt-Wudy in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 15 Rn. 15).
Mit ihrer Behauptung, die Betroffenen seien ausreichend informiert gewesen, kann die Klägerin nicht mit Erfolg durchdringen. Denn es ist kein Fall des Art. 13 Abs. 4 DSGVO gegeben, wonach die Regelungen des Art. 13 Abs. 1 bis 3 DSGVO keine Anwendung finden, wenn und soweit die betroffenen Personen bereits über die Informationen verfügen. Wie bereits unter I. 2. a. bb. (2) dargestellt, genügen die den Beschäftigten zur Verfügung gestellten Unterlagen nicht den Anforderungen des Art. 13 Abs. 3 DSGVO. Etwas anderes folgt auch nicht aus den persönlichen Erklärungen der drei Beschäftigten. Denn sie sind nicht geeignet, die Erfüllung der Informationspflicht aus Art. 13 Abs. 3 DSGVO durch die Klägerin zu belegen (vgl. I. 2. a. bb. (2)). Ungeachtet dessen haben die Betroffenen unmittelbar vor der Weiterverarbeitung jedenfalls nicht gemäß Art. 13 Abs. 4 DSGVO über die Informationen verfügt, aus denen sich das berichtigte Interesse für die Weiterverarbeitung zu dem anderen Zweck ergeben haben, denn in keinem der von der Klägerin benannten Unterlagen sind Ausführungen hierzu zu finden.
Darüber hinaus liegen - anders als die Klägerin meint - auch die Ausnahmetatbestände des § 32 Abs. 1 Nr. 4 oder 5 BDSG nicht vor. Nach diesen Regelungen entfällt die Pflicht zur Information gemäß Art. 13 Abs. 3 DSGVO, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen (Nr. 4) oder eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde (Nr. 5).
Soweit die Klägerin der Ansicht ist, eine weitergehende individuelle Information der einzelnen Betroffenen bzw. Beschäftigten hätte die ordnungsgemäße Durchführung des Monitorships erheblich beeinträchtigen können, weil die übermäßige Information, die die Klägerin als "Informationsflut" bezeichnet, die Mitarbeiter hätte verleiten können, diese Informationen an die Presse weiterzugeben, kann sie damit nicht das Vorliegen des Ausnahmetatbestands des § 32 Abs. 1 Nr. 4 BDSG begründen. Ihre Argumentation, die Veröffentlichung von vertraulichen Informationen hätte zu erheblichen Reputationsrisiken führen können, wenn Beschäftigte die geheimen Informationen selbst proaktiv an die Öffentlichkeit herausgegeben hätten, vermag nicht zu überzeugen. Zum einen bleibt bereits völlig unklar, weshalb die Klägerin zu ihrer Annahme gelangt, die Beschäftigten könnten sich bei übermäßiger Information an die Presse wenden. Nachvollziehbare Anhaltspunkte, die ihre These stützen, hat sie nicht dargelegt und sind auch ansonsten nicht erkennbar. Zum anderen verkennt die Klägerin, dass zur Erfüllung der Informationspflicht aus Art. 13 Abs. 3 DSGVO auch vor dem Hintergrund des Art. 5 Abs. 1 Buchst. a DSGVO keine "Informationsflut" der Betroffenen erforderlich ist. Vielmehr setzen die genannten Vorschriften voraus, dass die Informationen und Mitteilungen an die betroffene Person präzise und verständlich, in klarer und einfacher Sprache sowie adressatengerecht abgefasst sind (vgl. Erwägungsgrund 58 der DSGVO; Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2024, DSGVO, Art. 5 Rn. 18). Die Informationen müssen so ausgestaltet sein, dass sich die betroffenen Personen durch die Angaben ein Bild davon machen können, mit welchen Datenverarbeitungen sie zu rechnen haben (Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 71). Weshalb die Klägerin vor diesem Hintergrund von einer "Informationsflut" ausgeht, bleibt unklar. Abgesehen davon ist für das Gericht auch nicht ersichtlich, inwiefern eine vollständige Information der Betroffenen, insbesondere im Zusammenhang mit den Einzelfallentscheidungen und Testings, die Ausübung oder Verteidigung rechtlicher Ansprüche der Klägerin beeinträchtigen würde. Dies hat die Klägerin nicht nachvollziehbar dargelegt.
Darüber hinaus ist auch der Ausnametatbestand des § 32 Abs. 1 Nr. 5 BDSG nicht erfüllt. Unabhängig davon, ob der Monitor eine öffentliche Stelle im Sinne des § 32 Abs. 1 Nr. 5 BDSG darstellt, lassen die nicht näher belegten Behauptungen der Klägerin nicht erkennen, ob und inwiefern die vollständige Information der Betroffenen die Kooperation mit dem Monitor gefährdet hätte. Diesbezüglich beruft sich die Klägerin erneut auf das aus ihrer Sicht realistische Risiko, dass die betroffenen Beschäftigten die Informationen an die Presse oder Öffentlichkeit hätten weitergeben können, ohne konkrete und nachvollziehbare Anhaltspunkte für ihre nicht näher belegte Vermutung darzulegen.
Die Pflicht zur Information nach Art. 13 Abs. 3 DSGVO ist auch nicht deshalb ausgeschlossen, weil die Klägerin die Verarbeitung der Daten gegebenenfalls gemäß Art. 21 Abs. 1 S. 2 DSGVO auch dann hätte weiterführen dürfen, selbst wenn die betroffenen Personen der Verarbeitung nach Art. 21 Abs. 1 S. 1 DSGVO widersprochen hätten. Denn Art. 21 Abs. 1 S. 2 DSGVO stellt keine Ausnahme von der Informationspflicht dar. Letztere sind in der DSGVO und in dem BDSG abschließend geregelt. Vielmehr setzt der in Art. 5 Abs. 1 Buchst. a DSGVO niedergelegte Grundsatz der Transparenz gerade voraus, dass ein Betroffener Kenntnis und Klarheit von Datenverarbeitungen hat, um die Kontrolle über seine personenbezogenen Daten zu haben (vgl. Erwägungsgrund 7 S. 2 der DSGVO). Nur wenn der Betroffene Kenntnis über die Verarbeitungen zu einem anderen Zweck hat, weil er vor ihrer Weiterverarbeitung gemäß Art. 13 Abs. 3 DSGVO informiert worden ist, kann er der Weiterverarbeitung nach Art. 21 DSGVO auch widersprechen nach Art. 21 DSGVO. Ohne entsprechende Informationen nach Art. 13 Abs. 3 DSGVO würde die Möglichkeit, Widerspruch gegen die Verarbeitung zu einem anderen Zweck einzulegen, in der Praxis mangels Kenntnis von der Weiterverarbeitung faktisch leerlaufen.
cc.
Die Verwarnung erging auch ermessensfehlerfrei. Der Beklagte war sich seines Auswahl- und Entschließungsermessens bewusst und hat dies fehlerfrei ausgeübt. So hat er nachvollziehbar - im Bescheid sowie in der mündlichen Verhandlung - erläutert, weshalb er sich im Verwaltungsverfahren lediglich für die Feststellung des Verstoßes in Form einer Verwarnung entschieden hat und darüber hinaus von der in Erwägungsgrund 148 der DSGVO beschriebenen Möglichkeit, bei einem nicht nur geringfügigen Verstoß auch eine Geldbuße verhängen zu können, Gebrauch gemacht hat. Anhaltspunkte für eine Unverhältnismäßigkeit der ausgesprochenen Verwarnung sind weder ersichtlich noch vorgetragen worden. Ferner hat der Beklagte anschaulich ausgeführt, weshalb er sich im Verwaltungsverfahren - anders als im Anhörungsschreiben noch angedeutet - dagegen entschieden hat, eine Anordnung nach Art. 58 Abs. 2 Buchst. d DSGVO zu verhängen.
b.
Die unter dem Buchstaben D ergangene Verwarnung ist materiell rechtmäßig, denn die Klägerin hat gegen ihre Informationspflicht aus Art. 13 Abs. 3 DSGVO verstoßen, da sie personenbezogene Daten nach Art. 4 Nr. 1 und Nr. 5 DSGVO (aa.) an den EPA-Auditor zu einem anderen Zweck als den, für den sie die personenbezogenen Daten erhoben hat, weiterverarbeitet hat (bb.), ohne die Betroffenen hierüber vorab gemäß Art. 13 Abs. 3 DSGVO zu informieren (cc.). Ermessensfehler sind nicht ersichtlich (dd.).
aa.
Anders als die Klägerin meint, handelte es sich bei den im Rahmen der EPA-Auditierung übermittelten Daten ebenfalls um personenbezogene Daten im Sinne des Art. 4 Nr. 1 und Nr. 5 DSGVO, da die Daten aus Sicht des Monitors nicht anonym waren. Denn wie die Klägerin in der EPA-Datenschutzerklärung selbst mitgeteilt hat, übersandte sie nicht nur geschwärzte Dokumente, die keine direkte Identifizierung von individuellen Personen ermöglichten, sondern auch nicht geschwärzte Dokumente und Informationen. Sie bestätigte ausdrücklich in der genannten Datenschutzerklärung, dass "in bestimmten Fällen personenbezogene Daten von betroffenen Personen [an den EPA-Auditor] übermittelt wurden". Laut Datenschutzerklärung waren dies berufliche Kontakt- und (Arbeits-)Organisationsdaten wie unter anderem der Name, der Vorname, die dienstliche E-Mail-Adresse und die Personalnummer sowie Daten zu persönlichen und beruflichen Verhältnissen und Merkmalen wie unter anderem der Familienstand, das Geschlecht, die Berufsbezeichnung, der berufliche Werdegang, die Dauer der Werkszugehörigkeit, die Qualifikationen sowie Bewertungen. Dass die Klägerin (nicht geschwärzte) Daten, welche personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO darstellen, übermittelt hat, ergibt sich auch aus ihrem Vortrag im Klageverfahren, da sie sich auf den Standpunkt stellt, nur weitüberwiegend geschwärzte Daten offengelegt zu haben. Aus diesem Vorbringen geht bereits hervor, dass auch ungeschwärzte Dokumente und damit personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO übermittelt worden sind.
Darüber hinaus ist einer Auflistung von im Rahmen des EPA-Auditorships übersandten Dokumenten zu entnehmen, dass eine Vielzahl von pseudonymisierten Daten an den EPA-Auditor übermittelt wurden, unter anderem eine pseudonymisierte Liste der Beschäftigten "at AB. SE, AC.". Auch diesbezüglich handelt es sich - unter Berücksichtigung der unter I. 2. a. aa. beschriebenen Maßstäbe - um personenbezogene Daten im Sinne des Art. 4 Nr. 5 DSGVO, denn auch der EPA-Auditor war befugt, gegenüber der Klägerin aufgrund der mit der EPA geschlossenen Verwaltungsvereinbarung Dokumente und Informationen anzufordern. Durch dieses (vertragliche) Recht stand ihm ein rechtliches Mittel, das er vernünftigerweise und mit vertretbarem Aufwand hätte einsetzen können, zur Verfügung, um die Zuordnungsschlüssel, mit denen er die Pseudonymisierung hätte aufdecken können, von der Klägerin im Rahmen seines Mandats anzufordern. Mit ihrer pauschal gehaltenen Behauptung, der EPA-Auditor hätte sich das für die Identifizierung notwendige Zusatzwissen nicht mit zumutbarem Aufwand verschaffen können, kann die Klägerin nicht mit Erfolg durchdringen. Denn die Anforderung des jeweiligen Zuordnungsschlüssels hätte er mit einer Dokumentenanforderung von der Klägerin verlangen können. Es ist nicht ersichtlich, dass die Anforderung des jeweiligen Zuordnungsschlüssels von vorneherein nicht vom Mandat des EPA-Auditors gedeckt wäre. Darüber hinaus ist auch nicht ersichtlich oder überzeugend vorgetragen worden, dass die Klägerin den Anforderungen grundsätzlich nicht nachgekommen wäre. Vielmehr lässt sich dem klägerischen Vorbringen sowohl im Gerichtsverfahren als auch während der EPA-Auditierung entnehmen, dass die Klägerin beabsichtigt hat, umfassend mit dem EPA-Auditor zu kooperieren, wozu auch die Bereitschaft gehörte, den Dokumentenanfragen des EPA-Auditors grundsätzlich nachzukommen. Diesbezüglich hat die Klägerin vorgetragen, dass sie ein erhebliches Interesse daran gehabt habe, mit dem EPA-Auditor zu kooperieren. Hätte sie die Zusammenarbeit verweigert, hätten die beteiligten Behörden die Verwaltungsvereinbarung kündigen können. In diesem Fall hätten nach Einschätzung der Klägerin neben finanziellen Belastungen substantielle kommerzielle Einbußen sowie ein großer Reputationsschaden über den öffentlichen Sektor hinaus gedroht. Dass sie ein erhebliches und berechtigtes Interesse daran hatte, ihrer Verpflichtung zur Zusammenarbeit mit dem EPA-Auditor nachzukommen, geht auch aus der Datenschutzerklärung zur EPA-Auditierung hervor. Zudem hat sie in der Mitteilung vom 28. August 2019 darauf hingewiesen, dass sie in vollem Umfang mit dem EPA-Auditor kooperieren und alle dazu notwendigen Schritte unternehmen werde.
bb.
Anders als die Klägerin meint, ist Art. 13 Abs. 3 DSGVO vorliegend auch anwendbar, denn es ist eine Zweckänderung im Sinne des Art. 13 Abs. 3 DSGVO gegeben. Die Datenübermittlung an den EPA-Auditor erfolgte aus den ähnlichen Erwägungen, die für das Monitorship gelten und auf die an dieser Stelle Bezug genommen wird (vgl. I. 1. a. bb. (2) (c) und I. 2. a. bb. (2)), nicht zu dem Zweck, zu dem die Daten ursprünglich erhoben bzw. verarbeitet wurden. Sie erfolgte insbesondere nicht zur Durchführung des Beschäftigungsverhältnisses oder zu den weiteren in der universellen Datenschutzerklärung genannten Zwecken.
Der Zweck der Durchführung des Beschäftigungsverhältnisses wurde durch die Datenübermittlung nicht verfolgt. Denn die Klägerin übermittelte die entsprechenden Daten, um ihre Verpflichtungen aus der Verwaltungsvereinbarung mit der US-Umweltbehörde zu erfüllen. Dadurch wollte sie langfristig die endgültige Beendigung der in Bezug auf die Diesel-Thematik laufenden Rechtsstreitigkeiten mit der EPA erreichen und insbesondere verhindern, dass sie von der Teilnahme an öffentlichen Ausschreibungen in den USA ausgeschlossen wird. Wie bei den Datenübermittlungen im Monitorship erfolgte die Datenverarbeitung anlässlich der EPA-Auditierung, um die freiwillig mit der Behörde eines Drittstaates eingegangene Vereinbarung zu erfüllen und nicht zu dem Zweck, das jeweilige Beschäftigungsverhältnis durchzuführen. Ausweislich der in der universellen Datenschutzerklärung aufgeführten Beispiele betreffen Datenverarbeitungen, die zur Durchführung des Beschäftigungsverhältnisses erfolgen, das Beschäftigungsverhältnis unmittelbar wie beispielsweise Mitarbeitergespräche, Versetzungen oder Zutrittskontrollen. Durch die Datenübersendung an den EPA-Auditor ist das jeweilige Beschäftigungsverhältnis der Betroffenen hingegen - höchstens - mittelbar betroffen.
Darüber hinaus erfolgte die Datenübermittlung an den EPA-Auditor nicht zur Verteidigung von Rechtsansprüchen oder zur Durchführung von Prüfungstätigkeiten und anlassbezogenen Untersuchungen, welche in der universellen Datenschutzerklärung genannt werden, sofern diese auch als Primärzwecke angesehen werden. Durch die Durchführung der EPA-Auditierung setzte die Klägerin keine eigenen Rechtsansprüche durch, sondern beabsichtigte vielmehr, laufende Rechtsstreitigkeiten wegen Fehlverhaltens zu beenden und unter anderem den Ausschluss von der öffentlichen Auftragsvergabe in den USA zu verhindern. Wie bereits ausgeführt, ergibt sich bei systematischer Betrachtung der universellen Datenschutzerklärung, dass der Zweck "Durchsetzung von Rechtsansprüchen" eigene Ansprüche voraussetzt. Solche Ansprüche verteidigt die Klägerin vorliegend nicht, sondern ihr geht es darum, möglichen Sanktionen zu entgehen. Darüber hinaus handelte es sich bei der EPA-Auditierung nicht um die Durchführung von Prüfungstätigkeiten und anlassbezogenen Untersuchungen. Auch diesbezüglich gelten die hinsichtlich des Monitorships ausgeführten Erwägungen, wonach es sich bei systematischer Betrachtung der aufgezählten Beispiele in der universellen Datenschutzerklärung bei den Prüfungstätigkeiten und anlassbezogenen Untersuchungen eher um regelmäßige, interne Prüfungstätigkeiten handelt. Zwar erfolgte auch die EPA-Auditierung anlassbezogen, jedoch stellt auch sie keine einer Konzernrevision, einem Aufklärungsoffice oder der Konzernsicherheit vergleichbare Maßnahme dar. Denn die Klägerin unterwarf sich freiwillig einer zwangsweisen und umfassenden Überprüfung durch eine Behörde eines Drittstaates, um laufende Rechtsstreitigkeiten wegen der Diesel-Thematik in den USA mit der EPA zu beenden und zukünftig weiterhin an öffentlichen Ausschreibungen in den USA teilnehmen zu können. Deshalb handelte es sich bei der EPA-Auditierung auch nicht um eine reine Untersuchung, Prüfung, Konzernrevision oder eine Compliance-Maßnahme, sondern stellte eine Maßnahme eigener Art dar. Denn ihre Durchführung sollte - wie beispielsweise aus der EPA-Datenschutzerklärung hervorgeht - hauptsächlich dazu dienen, die Einhaltung der von der Klägerin freiwillig mit der EPA eingegangenen Verwaltungsvereinbarung zu gewährleisten. Dass die EPA-Auditierung selbst keine (reine) Compliance-Maßnahme war, ist daran erkennbar, dass der EPA-Auditor eine Vielzahl von Aufgaben hatte. Neben der Überwachung der Einhaltung der Verwaltungsvereinbarung zählten zu seinen Hauptaufgaben die Überprüfung und Bewertung der internen Compliance-, Berichts- und Kontrollsysteme sowie der zu deren Stärkung ergriffenen bzw. zu ergreifenden Maßnahmen. Zudem war er verpflichtet, gegenüber der US-Regierung über die Umsetzung der Bedingungen der Verwaltungsvereinbarung der Klägerin zu berichten. Die unterschiedlichen Aufgaben verdeutlichen, dass die EPA-Auditierung keine (übliche) Compliance-Maßnahme darstellt, sondern vielmehr dazu diente, unter anderem das vorhandene Compliancesystem zu überprüfen, zu bewerten und zu stärken. Zudem wurden jedoch auch andere Bereiche wie das Berichts- und Kontrollsystem überprüft, bewertet und gestärkt sowie die Einhaltung der Verwaltungsvereinbarung überwacht. Dass die Klägerin selbst davon ausgegangen ist, dass die Datenverarbeitungen, zu denen es im Monitorship kommen würde, nicht auf die in der universellen Datenschutzerklärung genannten Zwecke zu stützen seien, zeigt sich darin, dass sie eine zusätzliche Datenschutzerklärung, die ausschließlich die EPA-Auditierung betraf, erstellte. Wäre die Klägerin davon ausgegangen, dass die Datenverarbeitungen in der EPA-Auditierung unter die in der universellen Datenschutzerklärung genannten Zwecke fallen, hätte es der EPA-Datenschutzerklärung nicht bedurft. Hierfür spricht auch, dass die Klägerin im Hinblick auf das Monitorship, das in Teilen ähnlich gelagert war wie die EPA-Auditierung, ebenfalls eine zusätzliche Datenschutzerklärung, die speziell auf das Monitorship zugeschnitten war, angefertigt hat.
cc.
Die Klägerin hat gegen Art. 13 Abs. 3 DSGVO verstoßen, weil sie es unterlassen hat, die von der Datenweiterverarbeitung Betroffenen vor der Übermittlung der personenbezogenen Daten an den EPA-Auditor hierüber zu informieren.
Ihrer Informationspflicht aus Art. 13 Abs. 3 DSGVO ist die Klägerin insbesondere nicht durch Veröffentlichung der Mitteilung vom 28. August 2019 im Intranet nachgekommen. Die Mitteilung enthält lediglich allgemein gehaltene Informationen zur EPA-Auditierung. So werden beispielsweise die Hintergründe, weshalb eine zusätzliche Verwaltungsvereinbarung mit der Umweltbehörde geschlossen wurde, sowie das grundsätzliche Ziel der Auditierung genannt und es wird in pauschaler Weise darauf hingewiesen, dass alle Mitarbeiter verpflichtet seien, die Verwaltungsvereinbarung einzuhalten. Zudem wird in der Mitteilung angekündigt, dass über die Details der Verwaltungsvereinbarung und die daraus entstehenden Verpflichtungen für Führungskräfte und die Belegschaft weiter informiert werde.
Ohne Erfolg wendet die Klägerin ein, dass sie ihrer Informationspflicht deshalb durch die Veröffentlichung der Mitteilung vom 28. August 2019 ausreichend nachgekommen sei, weil diese im Zusammenspiel mit den im Rahmen des Monitorships zur Verfügung gestellten Informationen zu sehen sei. Dies ist nicht überzeugend, da die Behauptung im Widerspruch zum sonstigen Verhalten der Klägerin steht. Denn in der Mitteilung vom 28. August 2019 hat sie ausdrücklich darauf hingewiesen, dass die Verwaltungsvereinbarung, die die Durchführung der EPA-Auditierung vorsehe, getrennt von den schon bestehenden Vergleichen aus dem Jahr 2017 zu sehen sei und keinen Einfluss auf das laufende Monitorship habe. Dadurch erzeugt die Klägerin den unmissverständlichen Eindruck, dass die Informationen bezüglich des Monitorships gerade keine Bedeutung und Relevanz für die EPA-Auditierung hätten, da das Monitorship und die EPA-Auditierung getrennt voneinander zu betrachten seien und sich nicht gegenseitig beeinflussen würden.
Ungeachtet dessen stellt das bloße Einstellen der Mitteilung ohne weiteren Hinweis, wofür beispielsweise eine E-Mail an die Betroffenen in Betracht kommt, keine für Art. 13 Abs. 3 DSGVO erforderliche aktive Unterrichtung (vgl. I. 2. a. bb. (2)) dar.
Die Klägerin ist ihrer Informationspflicht aus Art. 13 Abs. 3 DSGVO auch nicht dadurch nachgekommen, dass sie allen von der Datenübermittlung Betroffenen per E-Mail die EPA-Datenschutzerklärung zugeschickt hat. Denn ausweislich des Wortlauts des Art. 13 Abs. 3 DSGVO muss die Information den betroffenen Personen vor der Weiterverarbeitung mitgeteilt werden. Die Betroffenen sollen durch die Information in der Lage sein, Einwände vor der Weiterverarbeitung erheben zu können (vgl. Bäcker in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, DSGVO, Art. 13 Rn. 78; Franck in Gola/Heckmann, DSGVO BDSG, 3. Aufl. 2022, DSGVO, Art. 13 Rn. 39). Die Klägerin hat die EPA-Datenschutzerklärung erst am 15. August 2022 an alle Beschäftigten versendet. Die EPA-Auditierung begann jedoch bereits drei Jahre zuvor. Erste Dokumente wurden im März 2020 übersandt, bis Ende September 2020 wurden dem EPA-Auditor schon mehr als 680 Dokumente zur Verfügung gestellt. Die bereits erwähnte pseudonymisierte Liste der Beschäftigten "at AB. SE, AC." wurde dem EPA-Auditor im August 2021 übermittelt.
Die Pflicht zur Information nach Art. 13 Abs. 3 DSGVO ist vorliegend auch nicht gemäß Art. 13 Abs. 4 DSGVO entfallen, weil die Betroffenen - wie die Klägerin behauptet - wegen der Informationen aus dem Monitorship auch hinsichtlich der Weiterverarbeitung ihrer Daten im Rahmen der EPA-Auditierung ausreichend informiert gewesen seien. Zum einen haben die Informationen zum Monitorship den Anforderungen des Art. 13 Abs. 3 DSGVO nicht entsprochen (vgl. I. 2. a. bb. (2)). Zum anderen ist das erkennende Gericht nicht zu der Einschätzung gelangt, dass die Beschäftigten davon hätten ausgehen können, dass die Informationen zum Monitorship auf die EPA-Auditierung übertragbar seien. Denn, wie bereits ausgeführt, hat die Klägerin in ihrer Mitteilung vom 28. August 2019 ausdrücklich darauf hingewiesen, dass die EPA-Auditierung getrennt von dem Monitorship zu betrachten sei und keinen Einfluss darauf habe. Zudem spricht das Verhalten der Klägerin, dass sie den von der Datenübermittlung im Rahmen der EPA-Auditierung Betroffenen eine für die EPA-Auditierung gesondert erstellte Datenschutzerklärung übersandt hat, dafür, dass auch die Klägerin nicht davon ausgegangen ist, dass die bisherigen (auch im Rahmen des Monitorships) vorhandenen Informationen für die EPA-Auditierung ausreichend seien.
Ebenso wenig sind die Tatbestände des § 32 Abs. 1 Nr. 4 und 5 BDSG einschlägig. Denn es ist nicht erkennbar, dass eine ordnungsgemäße Information nach Art. 13 Abs. 3 DSGVO die Erfüllung der gegenüber dem EPA-Auditor bestehenden Kooperationspflichten beeinträchtigt oder die vertrauliche Übermittlung von Daten an öffentliche Stellen gefährdet hätte. Die von der Klägerin diesbezüglich vorgebrachten Behauptungen, die identisch zu ihrem Vorbringen im Rahmen des Monitorships sind, können auch hier nicht überzeugen. Denn es ist zum einen nicht ansatzweise ersichtlich, weshalb eine vollständige Information nach Art. 13 Abs. 3 DSGVO zu einer "Informationsflut" führen sollte. Zum anderen ist unklar, weshalb die jeweiligen Beschäftigten nach Erhalt der vollständigen Information dazu neigen sollten, diese der Öffentlichkeit oder der Presse preiszugeben. Insoweit wird auf die Ausführungen unter I. 2. a. bb. (3) verwiesen.
dd.
Der Beklagte hat sein Ermessen auch ordnungsgemäß ausgeübt. Er hat insbesondere überzeugend ausgeführt, dass die Verwarnung angesichts der im Rahmen der Stichproben ermittelten Feststellungen und mangels schwerwiegender Informationspflichtverstöße die geeignete, erforderliche und angemessene Abhilfemaßnahme darstelle. Ferner hat er plausibel dargelegt, weshalb er sich im Ergebnis für den ausschließlichen Erlass der Verwarnung und gegen die Verhängung eines Bußgeldes sowie einer Abhilfemaßnahme nach Art. 58 Abs. 2 Buchst. d DSGVO entschieden hat.
c.
Darüber hinaus ist auch die unter dem Buchstaben E ergangene Verwarnung materiell rechtmäßig, denn die Klägerin hat nicht bereits zu Beginn der EPA-Auditierung ein Verarbeitungsverzeichnis im Sinne des Art. 30 Abs. 1 DSGVO geführt (aa.) und der Beklagte hat sein Ermessen fehlerfrei ausgeübt (bb.).
aa.
Die Klägerin hat gegen Art. 30 Abs. 1 DSGVO verstoßen, da sie nicht schon zu Beginn der EPA-Auditierung ein Verarbeitungsverzeichnis geführt hat.
Nach Art. 30 Abs. 1 S. 1 DSGVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Art. 30 Abs. 1 S. 2 DSGVO konkretisiert, welche Angaben das Verzeichnis zu enthalten hat. Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis schriftlich zu führen, wobei auch das elektronische Format gewählt werden kann.
Vorliegend stellen die Datenverarbeitungen, die im Rahmen der EPA-Auditierung erfolgt sind, eine Verarbeitungstätigkeit dar. Zwar wird der Begriff der Verarbeitungstätigkeit von der DSGVO selbst nicht legal definiert. Er wird allerdings an mehreren Stellen in der Verordnung genannt. Dabei wird er häufig in Kontexten verwendet, wenn es um mehrere gleichartige Verarbeitungen oder um eine Kategorie der Verarbeitung geht (Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO, Art. 30 Rn. 17; Spoerr in Wolff/Brink/v. Ungern-Sternberg, Datenschutzrecht, 52. Edition 1. Mai 2025, DSGVO, Art. 30 Rn. 6). Zudem ist er gekennzeichnet durch eine gewisse zeitliche Kontinuität, da eine punktuelle Verarbeitung personenbezogener Daten nicht als "Tätigkeit" bezeichnet werden würde (Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO, Art. 30 Rn. 17). Diesen Maßstab zugrunde gelegt, ist eine Verarbeitungstätigkeit gegeben, da es während der Dauer der EPA-Auditierung zu einer Vielzahl von gleichartigen Datenverarbeitungen gekommen ist, weil die Klägerin in diesem Zeitraum personenbezogene Daten von mindestens 234 Beschäftigten an den EPA-Auditor übersandt hat.
Art. 30 Abs. 1 S. 1 DSGVO beschränkt die Pflicht, ein Verarbeitungsverzeichnis zu führen, nicht auf einen bestimmten Zeitpunkt, sondern verlangt, dass der Verantwortliche die Grundsätze aus Art. 5 Abs. 1 DSGVO - zu denen auch die Transparenz gehört - (jederzeit) nachweisen kann (Hartung in Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, DSGVO, Art. 30 Rn. 31; Martini in Paal/Pauly, DSGVO BDSG, 3. Auflage 2021, DSGVO, Art. 30 Rn. 5d). Aus dem Sinn und Zweck der Norm und dem Erwägungsgrund 82 der DSGVO geht außerdem hervor, dass der Verantwortliche der Aufsichtsbehörde jederzeit auf Verlangen ein Verzeichnis vorlegen können muss, sodass diese sich einen ersten Eindruck darüber verschaffen kann, ob der Verantwortliche die Pflichten nach der Verordnung einhält (vgl. Bertermann in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Auflage 2024, DSGVO, Art. 30 Rn. 2). Eine explizite Aktualisierungspflicht ist gesetzlich zwar nicht vorgesehen, jedoch ist angesichts des Sinnes und Zweckes des Verarbeitungsverzeichnisses davon auszugehen, dass nur ein solches, welches die tatsächliche, nicht überholte Sachlage widerspiegelt, den Anforderungen des Art. 30 Abs. 1 S. 1 DSGVO gerecht werden kann. Daraus folgt, dass bereits bei Aufnahme der konkreten Verarbeitungstätigkeiten ein neues Verarbeitungsverzeichnis zu erstellen oder ein bestehendes Verarbeitungsverzeichnis zu ergänzen ist, sodass es die aktuelle Sachlage bei Beginn der Verarbeitungstätigkeiten wiedergibt. Es ist sodann fortlaufend zu pflegen und nach Bedarf zu aktualisieren.
Vorliegend erstellte die Klägerin erst am 15. Dezember 2021 ein Verarbeitungsverzeichnis für die EPA-Auditierung. In den Monaten zuvor, insbesondere seit den ersten Übermittlungen von Dokumenten mit personenbezogenen Daten von Beschäftigten im März 2020 wurde ein solches Verarbeitungsverzeichnis nicht geführt, was den Verstoß gegen Art. 30 Abs. 1 S. 1 DSGVO begründet.
Anders als die Klägerin meint, ist sie ihrer Verpflichtung aus Art. 30 Abs. 1 DSGVO nicht dadurch nachgekommen, dass sie im Februar 2020 ein Verarbeitungsverzeichnis für das Monitorship erstellt hat. Zwar ist der Klägerin zuzustimmen, dass das Verarbeitungsverzeichnis der zuständigen Aufsichtsbehörde vor allem einen Überblick über die Datenverarbeitungen verschaffen soll. Allerdings führt dies nicht dazu, dass der Beklagte hinsichtlich der Verarbeitungstätigkeiten, die im Rahmen der EPA-Auditierung durchgeführt wurden, auf das für das Monitorship am 14. Februar 2020 erstellte Verarbeitungsverzeichnis verwiesen werden konnte. Denn die Verarbeitungstätigkeiten, die im Rahmen des Monitorships und der EPA-Auditierung durchgeführt worden sind, sind nicht deckungsgleich. Dies gilt insbesondere für die von Art. 30 Abs. 1 S. 2 DSGVO vorgeschriebenen Pflichtangaben.
Art. 30 Abs. 1 S. 2 DSGVO legt fest, welche Angaben das Verarbeitungsverzeichnis enthalten muss. Dabei sind die zu tätigenden Angaben möglichst eindeutig, präzise und aussagekräftig zu beschreiben. Dies gilt insbesondere für die gemäß Art. 30 Abs. 1 S. 2 Buchst. b DSGVO anzugebenden Zwecke der Verarbeitung, da der Verarbeitungszweck typischerweise das Risikopotenzial einer Verarbeitung bestimmt (vgl. Martini in Paal/Pauly, DSGVO BDSG, 3. Auflage 2021, DSGVO, Art. 30 Rn. 8a; Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO, Art. 30 Rn. 22 f.).
Vorliegend findet sich im Verarbeitungsverzeichnis, das im Februar 2020 im Rahmen des Monitorships angefertigt wurde, kein Hinweis dafür, dass es auch für die Verarbeitungstätigkeiten im Rahmen der EPA-Auditierung gelten soll. Insbesondere wird der Begriff "EPA-Auditierung" im Verzeichnis nicht verwendet. Darüber hinaus sprechen der Name und der Zweck des Verarbeitungsverzeichnisses dafür, dass es ausschließlich für das Monitorship gelten soll. Denn im Namen und im Zweck wird lediglich das Monitorship genannt. Da die EPA-Auditierung im Februar 2020 bereits lief, ist bei lebensnaher Betrachtung davon auszugehen, dass die Klägerin, hätte sie mit diesem Verzeichnis auch die Verarbeitungstätigkeiten der EPA-Auditierung erfassen wollen, zumindest die EPA-Auditierung im Namen des Verzeichnisses oder an anderer Stelle genannt hätte. Ferner sind auch keine Anhaltspunkte dafür ersichtlich, dass die Klägerin das im Rahmen des Monitorships angefertigte Verarbeitungsverzeichnis um die Verarbeitungstätigkeiten der EPA-Auditierung ergänzt hat. Außerdem überzeugt die Behauptung der Klägerin, das Verarbeitungsverzeichnis habe inhaltlich auch die Kooperation mit dem EPA-Auditor abgedeckt, deshalb nicht, weil sie in ihrer Mitteilung vom 28. August 2019 angegeben hat, dass die Verwaltungsvereinbarung mit der EPA getrennt von den schon bestehenden Vergleichen mit den US-Behörden aus dem Jahr 2017 zu sehen sei und keinen Einfluss auf das laufende Monitorship habe.
Darüber hinaus ergibt sich bereits bei einem überblicksartigen Vergleich der Verarbeitungsverzeichnisse vom 14. Februar 2020 und vom 15. Dezember 2021, dass diese nicht - auch nicht nahezu, wie die Klägerin meint - deckungsgleich sind. Zunächst divergieren die in den jeweiligen Verarbeitungsverzeichnissen aufgeführten Zwecke deutlich. Das Verarbeitungsverzeichnis aus 2021 beschreibt den Zweck der Verarbeitungstätigkeiten als "Erfüllung der Verpflichtungen aus dem EPA Administrative Agreement". Im Verarbeitungsverzeichnis aus dem Jahr 2020 wird der Zweck mit der "Verteidigung von Rechtsansprüchen durch die Koordination von Monitoranfragen inkl. Bereitstellung von angefragten Informationen" angegeben. Aus diesen eindeutig und präzise formulierten Zwecken geht hervor, dass die Verarbeitungstätigkeiten anlässlich unterschiedlicher Vereinbarungen ausgeführt worden sind. Des Weiteren unterscheiden sich die Angaben der Kategorien betroffener Personen und der diesbezüglichen Kategorien personenbezogener Daten im Sinne des Art. 30 Abs. 1 S. 2 Buchst. d DSGVO, denn im Verarbeitungsverzeichnis aus 2021 sind zusätzlich die Kategorien "Kunden" und "Sonstige Geschäftspartner" sowie weitere Kategorien von personenbezogenen Daten aufgeführt, welche sich im Verarbeitungsverzeichnis aus 2020 nicht wiederfinden. Zudem werden im für die EPA-Auditierung erstellten Verarbeitungsverzeichnis Empfänger in Drittländern genannt, die im Verarbeitungsverzeichnis für das Monitorship fehlen wie beispielsweise AD. (AE.) und AF. (AG.). Ferner sind die genannten Drittländer, an die personenbezogene Daten übermittelt wurden, nicht deckungsgleich, da das Verarbeitungsverzeichnis aus dem Jahr 2021 auch den Staat AG. aufführt. Außerdem unterscheiden sich die technischen und organisatorischen Maßnahmen im Sinne des Art. 30 Abs. 1 fS. 2 Buchst. g DSGVO. Gegen die Deckungsgleichheit spricht ferner, dass laut den Verarbeitungsverzeichnissen die Anzahl der vom Monitorship betroffenen Personen (10.000 bis 100.000) deutlich von der Anzahl der von der EPA-Auditierung betroffenen Personen (1.000 bis 10.000) abweicht.
Anders als die Klägerin meint, ist sie ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO auch nicht dadurch nachgekommen, dass sie die Verarbeitungen außerhalb eines Verarbeitungsverzeichnisses dokumentiert habe. Wie bereits dargestellt, folgt aus Art. 30 Abs. 1 S. 1 DSGVO, der eine Konkretisierung des Art. 5 Abs. 2 DSGVO darstellt, dass bei Aufnahme der konkreten Verarbeitungstätigkeiten ein neues Verarbeitungsverzeichnis zu erstellen oder ein bestehendes Verarbeitungsverzeichnis zu ergänzen ist. Eine anderweitige Dokumentation, die nicht mit einem Verarbeitungsverzeichnis vergleichbar ist, weil sie beispielsweise nicht die Angaben, die in Art. 30 Abs. 1 S. 2 DSGVO aufgezählt werden, enthält, erfüllt nicht die Anforderungen des Art. 30 Abs. 1 S. 1 DSGVO. Die Klägerin hat nicht substantiiert dargelegt, dass sie ein einem Verarbeitungsverzeichnis vergleichbares Dokument mit den von Art. 30 DSGVO festgelegten Angaben geführt hat.
bb.
Ermessensfehler sind nicht ersichtlich. Insbesondere ist rechtlich nicht zu beanstanden, dass der Beklagte sein Entschließungsermessen dahingehend ausgeübt hat, dass er sich, obwohl zum Zeitpunkt seiner Entscheidung ein für die Verarbeitungstätigkeiten im Rahmen der EPA-Auditierung erstelltes Verarbeitungsverzeichnis vorlag, für eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO entschieden hat. Denn er hat sich mit dem Absehen von einer Abhilfemaßnahme auseinandergesetzt und seine Entscheidung damit begründet, dass ein Absehen für ihn deshalb nicht in Betracht gekommen sei, weil die Klägerin nach wie vor die Meinung vertreten habe, dass sie sich nicht rechtswidrig verhalten habe. Dem steht die in der mündlichen Verhandlung getätigte Behauptung der Klägerin, sie hätte nie bestritten, dass ein für die EPA-Auditierung gesondertes Verarbeitungsverzeichnis zu erstellen sei, nicht entgegen. Denn selbst im Klageverfahren hat die Klägerin ausweislich ihrer schriftsätzlichen Äußerungen die Auffassung vertreten, dass die Erstellung eines gesonderten Verarbeitungsverzeichnisses für die Datenverarbeitungen anlässlich der EPA-Auditierung nicht notwendig gewesen sei.
Der Beklagte hat auch sein Auswahlermessen, die Verwarnung als mildeste Abhilfemaßnahme zu wählen, fehlerfrei ausgeübt.
3.
Die Kostengrundentscheidung ist rechtswidrig, soweit sie sich auf die unter den Buchstaben A und C ausgesprochenen Verwarnungen bezieht. Kosten für eine Amtshandlung können nur dann gemäß § 1 NVwKostG erhoben werden, wenn die Amtshandlung, zu der Anlass gegeben wurde, rechtmäßig erfolgt ist. Dies ergibt sich aus § 11 Abs. 1 NVwKostG, wonach die Kosten zu erlassen sind, wenn die Behörde die Sache unrichtig behandelt hat. Unrichtig im Sinne dieser Bestimmung ist jedes Verwaltungshandeln, das von der Rechtsordnung nicht gedeckt ist (VG Göttingen, Urteil vom 25. Oktober 2019 - 2 A 516/17 -, juris Rn. 37). Hier liegt eine unrichtige Behandlung hinsichtlich der unter den Buchstaben A und C erlassenen Verwarnungen vor, denn diese Verwarnungen sind rechtswidrig (vgl. I. 1.).
II.
Die Kostenentscheidung folgt aus § 155 Abs. 1 S. 1 VwGO. Die Kosten waren verhältnismäßig zu teilen, da beide Beteiligte teilweise obsiegt haben und teilweise unterlegen sind. Hinsichtlich der Kostenquote wurde berücksichtigt, dass den unter den Buchstaben A und B ausgesprochenen Verwarnungen nach Einschätzung des Gerichts ein höheres Gewicht zukommt als den Verwarnungen, die unter den Buchstaben C und D ergangen sind. Der unter dem Buchstaben E erlassenen Verwarnung wird das geringste Gewicht beigemessen.
Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO in Verbindung mit § 709 S. 2 ZPO sowie § 708 Nr. 11 und § 711 S. 1 und 2 ZPO.
Hinweis:
Hinweis: Das Dokument wurde redaktionell aufgearbeitet und unterliegt in dieser Form einem besonderen urheberrechtlichen Schutz. Eine Nutzung über die Vertragsbedingungen der Nutzungsvereinbarung hinaus - insbesondere eine gewerbliche Weiterverarbeitung außerhalb der Grenzen der Vertragsbedingungen - ist nicht gestattet.