Postmortaler Datenschutz – Gilt die DSGVO auch nach dem Tod?

Der postmortale Datenschutz ist ein Thema, das im digitalen Zeitalter zunehmend an Bedeutung gewinnt. Immer mehr persönliche Daten bleiben nach dem Tod einer Person in Datenbanken, medizinischen Dokumentationen oder Online-Diensten gespeichert. Viele Angehörige gehen deshalb davon aus, dass sie nach dem Tod eines Menschen automatisch dessen Datenschutzrechte wahrnehmen können. Doch genau hier setzt eine aktuelle Entscheidung des OVG Koblenz an.

Das Gericht stellte klar, dass die Datenschutz-Grundverordnung (DSGVO) grundsätzlich nur lebende natürliche Personen schützt. Ein zentrales Betroffenenrecht der Verordnung ist das Beschwerderecht nach Art. 77 DSGVO, mit dem sich Betroffene an eine Datenschutzaufsichtsbehörde wenden können. Dieses Recht ist jedoch eng an die Person gebunden, deren Daten verarbeitet werden.

Die Entscheidung macht deutlich, dass postmortaler Datenschutz nach der DSGVO nur sehr eingeschränkt existiert. Insbesondere stellt sich die Frage, ob Erben oder Angehörige Datenschutzrechte verstorbener Personen geltend machen können – und genau diese Frage war Gegenstand des Verfahrens vor dem Oberverwaltungsgericht.

Postmortaler Datenschutz und das Urteil des OVG Koblenz

Der aktuelle Streitfall, der die Diskussion um postmortalen Datenschutz neu belebt hat, wurde vom Oberverwaltungsgericht Koblenz entschieden. Ausgangspunkt war die Beschwerde einer Witwe, die den Umgang mit medizinischen Daten ihrer verstorbenen Ehefrau überprüfen lassen wollte. Nach dem Tod der Patientin stellte sich heraus, dass personenbezogene Gesundheitsdaten im Zusammenhang mit einer genetischen Analyse an einen beratenden Onkologen übermittelt worden waren.

Die Witwe vermutete einen möglichen Datenschutzverstoß und wandte sich daher an die zuständige Datenschutzaufsichtsbehörde. Diese sah jedoch keine Verletzung der DSGVO und stellte das Verfahren ein. Daraufhin erhob die Witwe Klage mit dem Ziel, eine erneute Prüfung ihrer Beschwerde zu erreichen.

Das Verfahren verdeutlicht die praktische Relevanz des postmortalen Datenschutzes. Gerade im medizinischen Bereich entstehen besonders sensible personenbezogene Daten, etwa genetische oder gesundheitliche Informationen. Die Klägerin argumentierte daher, dass sie als Alleinerbin berechtigt sei, die Datenschutzrechte ihrer verstorbenen Ehefrau wahrzunehmen.

Das Gericht musste folglich klären, ob das datenschutzrechtliche Beschwerderecht nach Art. 77 DSGVO vererbbar ist oder ob es sich um ein höchstpersönliches Recht handelt, das mit dem Tod der betroffenen Person endet.

Warum die DSGVO nur lebende Personen schützt

Erwägungsgrund 27 DSGVO

Die zentrale Begründung des Gerichts betrifft den Anwendungsbereich der Datenschutz-Grundverordnung. Nach Auffassung des OVG Koblenz ist der postmortale Datenschutz im europäischen Datenschutzrecht nur sehr begrenzt vorgesehen, weil die DSGVO in erster Linie den Schutz lebender natürlicher Personen bezweckt.

Bereits der Titel der Verordnung – „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ – zeigt, dass der Gesetzgeber den Datenschutz als individuelles Schutzrecht ausgestaltet hat. Auch mehrere Erwägungsgründe der DSGVO stellen klar, dass die Verordnung nicht für personenbezogene Daten verstorbener Personen gilt. Besonders deutlich wird dies in Erwägungsgrund 27, der ausdrücklich festhält, dass die DSGVO keine Anwendung auf Daten Verstorbener findet.

Recht auf informationelle Selbstbestimmung

Das Gericht leitete daraus ab, dass der postmortale Datenschutz nicht zum Kernbereich der DSGVO gehört. Stattdessen steht das Recht auf informationelle Selbstbestimmung im Mittelpunkt. Dieses Recht ermöglicht es jeder Person, selbst zu entscheiden, wie ihre persönlichen Daten verwendet werden.

Da dieses Selbstbestimmungsrecht eng mit der persönlichen Handlungsfähigkeit verbunden ist, endet es nach der juristischen Logik der DSGVO grundsätzlich mit dem Tod der betroffenen Person.

Zentrale Gründe für diese Auslegung

• Datenschutz schützt primär lebende natürliche Personen
• Grundlage ist das Recht auf informationelle Selbstbestimmung
• Die DSGVO erwähnt den postmortalen Datenschutz nicht ausdrücklich
• Erwägungsgrund 27 schließt Daten Verstorbener grundsätzlich aus

Warum das Beschwerderecht nach Art. 77 DSGVO nicht vererbbar ist

Höchstpersönliche Datenschutzrechte

Ein zentraler Punkt der Entscheidung betrifft die Frage, ob Erben datenschutzrechtliche Ansprüche eines Verstorbenen übernehmen können. Das OVG Koblenz stellte hierzu klar, dass das Beschwerderecht nach Art. 77 DSGVO ein höchstpersönliches Recht darstellt. Damit ist es untrennbar mit der Person verbunden, deren Daten verarbeitet werden.

Im konkreten Fall argumentierte die Klägerin, sie sei als Alleinerbin ihrer verstorbenen Ehefrau berechtigt, deren Datenschutzrechte wahrzunehmen. Schließlich gehe nach § 1922 BGB mit dem Tod einer Person deren Vermögen und damit auch bestehende Rechtspositionen auf die Erben über. Das Gericht folgte dieser Argumentation jedoch nicht.

Der entscheidende Punkt: Das datenschutzrechtliche Beschwerderecht gehört nicht zu den vererbbaren Rechtspositionen, weil es unmittelbar an die persönliche Betroffenheit anknüpft. Nur die Person, deren Daten verarbeitet werden, kann beurteilen, ob sie sich durch diese Verarbeitung in ihren Rechten verletzt fühlt.

Argumentation des Gerichts

Nach Auffassung des Gerichts spricht insbesondere Folgendes gegen eine Vererblichkeit:

• Das Beschwerderecht setzt eine eigene Betroffenheit voraus
• Es dient der Durchsetzung individueller Datenschutzrechte
• Der Verstorbene kann kein autonomes Kontrollinteresse mehr ausüben
• Das Recht ist deshalb höchstpersönlicher Natur

Damit endet nach der Entscheidung auch der postmortale Datenschutz im Rahmen der DSGVO in vielen Fällen bereits mit dem Tod der betroffenen Person.

Postmortaler Datenschutz und der digitale Nachlass

Im Verfahren vor dem OVG Koblenz spielte auch der Begriff des digitalen Nachlasses eine wichtige Rolle. In der Praxis gehen viele Angehörige davon aus, dass sämtliche digitalen Daten einer verstorbenen Person automatisch Teil der Erbmasse werden. Dazu zählen etwa E-Mail-Konten, Social-Media-Profile, Cloud-Speicher oder medizinische Dokumentationen. Doch gerade beim postmortalen Datenschutz zeigt sich, dass diese Annahme nur teilweise zutrifft.

Der digitale Nachlass betrifft in erster Linie den Zugang zu bestehenden Daten und Nutzerkonten. Erben können beispielsweise Zugang zu Online-Konten verlangen oder gespeicherte Inhalte einsehen. Daraus folgt jedoch nicht automatisch ein Recht, die Rechtmäßigkeit früherer Datenverarbeitungen nach der DSGVO überprüfen zu lassen.

Das Gericht betonte daher, dass der digitale Nachlass und der postmortale Datenschutz zwei unterschiedliche Rechtsbereiche sind. Während das Erbrecht den Übergang bestimmter Rechtspositionen regelt, setzt das Datenschutzrecht eine persönliche Betroffenheit voraus.

Wichtige Unterschiede zwischen digitalem Nachlass und postmortalem Datenschutz

• Digitaler Nachlass: betrifft den Zugang zu Konten und gespeicherten Daten
• Postmortaler Datenschutz: betrifft die Durchsetzung von Datenschutzrechten
• Erben können häufig Zugriff auf Daten erhalten, aber nicht automatisch Datenschutzrechte ausüben
• Datenschutzrechte bleiben eng an die betroffene Person gebunden

Damit verdeutlicht das Urteil, dass der postmortale Datenschutz nach der DSGVO deutlich enger ausgestaltet ist, als viele Betroffene vermuten.

Postmortaler Datenschutz im deutschen Recht

Obwohl die DSGVO den postmortalen Datenschutz nur begrenzt berücksichtigt, bedeutet dies nicht, dass personenbezogene Daten Verstorbener vollständig schutzlos sind. Das OVG Koblenz betonte ausdrücklich, dass es im deutschen Recht durchaus spezielle Regelungen zum postmortalen Datenschutz gibt. Diese gelten allerdings nur in bestimmten Bereichen und nicht umfassend.

Der europäische Gesetzgeber hat den Mitgliedstaaten bewusst die Möglichkeit eingeräumt, eigene Vorschriften für den postmortalen Datenschutz zu schaffen. Deutschland hat davon teilweise Gebrauch gemacht, allerdings nur in einzelnen Fachgesetzen.

Typische Beispiele für solche Regelungen sind:

• Steuerrecht: § 2a Abs. 5 AO schützt Daten Verstorbener im Bereich der Steuerverwaltung
• Sozialrecht: § 35 SGB I enthält Vorschriften zum Umgang mit Sozialdaten nach dem Tod
• Strafrecht: § 203 StGB schützt weiterhin bestimmte Privatgeheimnisse
• Recht am eigenen Bild: § 22 Kunsturhebergesetz kann auch nach dem Tod relevant sein

Diese Vorschriften zeigen, dass der postmortale Datenschutz im deutschen Recht zwar existiert, jedoch kein einheitliches und umfassendes Schutzsystem bildet. Stattdessen handelt es sich um punktuelle Regelungen für besonders sensible Bereiche.

Für Angehörige bedeutet das: Der Schutz personenbezogener Daten Verstorbener hängt häufig davon ab, in welchem rechtlichen Kontext die Daten verarbeitet werden.

Praxisfolgen des OVG Koblenz Urteils

Die Entscheidung des OVG Koblenz zeigt deutlich, welche praktischen Grenzen der postmortale Datenschutz nach der DSGVO hat. Für Angehörige, Erben und auch für Unternehmen bedeutet das Urteil vor allem mehr Klarheit darüber, welche Datenschutzrechte nach dem Tod einer Person noch bestehen – und welche nicht.

Insbesondere im Gesundheitsbereich, bei Online-Diensten oder bei digitalen Konten entstehen häufig Situationen, in denen Angehörige Auskunft über den Umgang mit personenbezogenen Daten verlangen möchten. Das Urteil macht jedoch deutlich, dass solche Ansprüche nicht automatisch aus der DSGVO folgen. Das Beschwerderecht nach Art. 77 DSGVO steht grundsätzlich nur der betroffenen Person selbst zu.

Für die Praxis lassen sich daraus mehrere wichtige Konsequenzen ableiten:

• Angehörige können nicht automatisch Datenschutzbeschwerden für Verstorbene einreichen
• Unternehmen müssen DSGVO-Beschwerden von Erben nicht zwingend bearbeiten
• Der postmortale Datenschutz hängt häufig von anderen Rechtsgrundlagen ab
• Zivilrechtliche Ansprüche oder das postmortale Persönlichkeitsrecht können weiterhin relevant sein

Gleichzeitig zeigt das Urteil, dass der Umgang mit personenbezogenen Daten nach dem Tod weiterhin rechtliche Fragen aufwirft. Gerade in einer zunehmend digitalisierten Gesellschaft gewinnt der postmortale Datenschutz daher weiter an Bedeutung.

Postmortaler Datenschutz und die Grenzen der DSGVO-Betroffenenrechte

Das Urteil des OVG Koblenz verdeutlicht auch die systematischen Grenzen der DSGVO-Betroffenenrechte. Die Datenschutz-Grundverordnung enthält eine Reihe von Rechten, mit denen Betroffene die Verarbeitung ihrer personenbezogenen Daten kontrollieren können. Dazu gehören beispielsweise das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO).

All diese Rechte setzen jedoch voraus, dass eine betroffene Person im Sinne der DSGVO existiert. Genau an diesem Punkt zeigt sich die Grenze für den postmortalen Datenschutz. Nach der Systematik der Verordnung ist eine betroffene Person ausschließlich eine identifizierte oder identifizierbare lebende natürliche Person. Mit dem Tod endet daher grundsätzlich auch die Möglichkeit, diese Rechte auszuüben.

Für die Praxis bedeutet das, dass zentrale Betroffenenrechte nicht mehr durchgesetzt werden können, sobald die betroffene Person verstorben ist.

Typische Betroffenenrechte der DSGVO sind unter anderem:

• Art. 15 DSGVO: Recht auf Auskunft über gespeicherte Daten
• Art. 16 DSGVO: Recht auf Berichtigung unrichtiger Daten
• Art. 17 DSGVO: Recht auf Löschung („Recht auf Vergessenwerden“)
• Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung
• Art. 77 DSGVO: Recht auf Beschwerde bei einer Aufsichtsbehörde

Da diese Rechte an die betroffene Person gebunden sind, zeigt sich erneut, dass der postmortale Datenschutz innerhalb der DSGVO nur sehr begrenzt ausgestaltet ist.

Fazit zum postmortalen Datenschutz

Die Entscheidung des OVG Koblenz verdeutlicht, dass der postmortale Datenschutz im europäischen Datenschutzrecht bislang nur eine untergeordnete Rolle spielt. Die DSGVO ist in erster Linie darauf ausgerichtet, die Rechte lebender Personen zu schützen. Datenschutzrechte wie das Beschwerderecht nach Art. 77 DSGVO sind deshalb eng mit der betroffenen Person verbunden und enden grundsätzlich mit deren Tod.

Für Erben und Angehörige bedeutet dies, dass sie nicht automatisch die datenschutzrechtlichen Ansprüche verstorbener Personen übernehmen können. Auch wenn personenbezogene Daten weiterhin verarbeitet werden, lässt sich eine mögliche Rechtsverletzung häufig nicht über das Beschwerdesystem der DSGVO verfolgen.

Gleichzeitig zeigt die Entscheidung aber auch, dass personenbezogene Daten Verstorbener nicht vollständig schutzlos sind. In bestimmten Bereichen greifen weiterhin zivilrechtliche Ansprüche oder spezialgesetzliche Regelungen.

Die Diskussion um den postmortalen Datenschutz dürfte daher in Zukunft weiter an Bedeutung gewinnen. Angesichts wachsender digitaler Datenmengen stellt sich zunehmend die Frage, ob der Gesetzgeber langfristig klarere und umfassendere Regelungen für den Datenschutz nach dem Tod schaffen sollte.

Fragen zum postmortalen Datenschutz?

Unsere spezialisierten Rechtsanwälte für IT-, Datenschutz- und Erbrecht unterstützen Sie dabei, Fragen zum postmortalen Datenschutz und digitalen Nachlass rechtssicher zu klären – jetzt Beratung anfordern oder unverbindlich Kontakt mit uns aufnehmen!