Die juristische Aufarbeitung des sogenannten Dieselskandals bei Volkswagen (VW) ist auch fast ein Jahrzehnt nach dem Bekanntwerden der Manipulationen an Abgaswerten nicht abgeschlossen. Nun hat sich das Verwaltungsgericht (VG) Hannover am 05.06.2025 (10 A 4017/23) damit befasst, ob beim VW-Abgasskandal der Datenschutz und die mit ihm einhergehenden Verpflichtungen eingehalten wurden. Im Zentrum standen dabei fünf Verwarnungen, die der Landesdatenschutzbeauftragte (LfD) Niedersachsen gegen Volkswagen ausgesprochen hatte. Diese richteten sich gegen die Art und Weise, wie das Unternehmen personenbezogene Daten von Mitarbeitenden im Rahmen seiner Zusammenarbeit mit US-Behörden und einem externen Monitor verarbeitet hatte.
Datenschutzrechtliche Lage bei Volkswagen
Der Autohersteller stand in der Vergangenheit nicht nur wegen der Manipulation von Abgaswerten in der Kritik. Auch aus datenschutzrechtlicher Sicht hat das Unternehmen keine reine Weste. So verhängte der LfD Niedersachsen bereits 2022 ein mehr als eine Million hohes Bußgeld im Zusammenhang mit Datenschutzverstößen wegen Forschungsfahrten für Fahrassistenzsysteme. Mittlerweile arbeitet der Großkonzern in diesem Bereich eng mit den Datenschutzbehörden zusammen.
Doch es gibt noch weitere datenschutzrechtliche Vorwürfe der LfD Niedersachsen im Zusammenhang mit dem Abgasskandal. Damals soll VW aufgrund der US-Untersuchungen über 65.000 Dokumente weitergegeben haben. Konkret beschuldigte die Datenschutzaufsicht VW nun, bei der Weitergabe von personenbezogenen Daten an externe Stellen nicht alle datenschutzrechtlichen Vorgaben eingehalten zu haben. Im Rahmen der Aufarbeitung des Skandals hatte der Konzern umfangreiche Dokumente an die US-Umweltschutzbehörde (EPA) sowie an einen vom US-Justizministerium eingesetzten Aufseher übermittelt. Aus Sicht der Aufsichtsbehörde geschah dies in mehreren Punkten unter Missachtung der Vorgaben der Datenschutzgrundverordnung (DSGVO).
Deshalb sprach die Behörde 2023 fünf Verwarnungen aus. Zwei betrafen unzureichende Transparenz gegenüber den betroffenen Mitarbeitenden. Eine weitere beanstandete die fehlende Dokumentation im Zusammenhang mit der Datenweitergabe.
VG Hannover: Drei Punkte bestätigt
Das VG Hannover bestätigte in seiner Entscheidung laut einer Pressemitteilung nun drei der fünf Verwarnungen. Ein wesentlicher Kritikpunkt war, dass VW seine Mitarbeitenden nicht hinreichend über die Verarbeitung ihrer personenbezogenen Daten sowohl durch den Aufseher als auch durch den EPA-Auditor informiert habe. Insbesondere fehlten Informationen über die Übermittlung an die verschiedenen ausländischen Stellen. Das die Daten pseudonymisiert wurden, ändere nichts an deren Personenbezug. Auch habe es durch die Weitergabe eine Zweckänderung im Verhältnis zur ursprünglichen Datenverarbeitung gegeben, über die hätte unterrichtet werden müssen. Die Information im Intranet stellten keine direkte Ansprache der betroffenen dar und seien außerdem zu pauschal.
Ein zweiter datenschutzrechtlicher Schwachpunkt lag nach Ansicht der Richter in der unzureichenden Dokumentation der Datenweitergabe an den Prüfer der EPA. Konkret fehle es an einem Verarbeitungsverzeichnis von Beginn an. Insbesondere bedürfe es eines separaten Verzeichnisses für die Auditierung, sodass das für die Monitorship nicht ausreiche.
Wo Volkswagen obsiegte: Berechtigtes Interesse und Sicherheit
In zwei Punkten hatte die Klage von Volkswagen hingegen Erfolg. So erkannte das Gericht das von Volkswagen geltend gemachte berechtigte Interesse an der Offenlegung von 22 Mitarbeitendaten an. Die erforderliche Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO sei nachvollziehbar erfolgt. Insbesondere sei „das Risiko, dass Personen auf der Liste zum Ziel strafrechtlicher Ermittlungen in den USA bzw. bereits bestehende Ermittlungsverfahren auf sie ausgedehnt werden könnten, zutreffend als gering bewertet“ worden.
Auch die eingesetzte E-Mail-Verschlüsselung hielt das Gericht für ausreichend. Konkret ging es um den sogenannten „Fast Lane Prozess“ bei dem VW an den Aufseher pseudonymisierte Daten von betroffenen Beschäftigten übermittelt hatte. Hier meint das Gericht, dass keine Ende-zu-Ende-Verschlüsselung erforderlich gewesen sei. Das ergebe sich daraus, dass die Daten gerade nicht „besonders schutzbedürftig“ seien, insbesondere wegen des Fehlens von Klarnamen. Auch gäbe es kein hohes Angriffsrisiko für die Informationen.
Fazit
Die Entscheidung ist noch nicht rechtskräftig. Das Urteil des VG Hannover zum Datenschutz beim VW-Abgasskandal ist aber schon jetzt ein weiteres Beispiel dafür, dass datenschutzrechtliche Vorgaben auch in Krisensituationen und bei externen Untersuchungen nicht außer Acht gelassen werden dürfen. Verantwortliche müssen interne Aufarbeitung und externe Transparenz mit datenschutzrechtlicher Sorgfalt verzahnen. Unternehmen, die externe Monitorships oder Audits umsetzen, sollten bereits im Vorfeld klare datenschutzrechtliche Prozesse etablieren. Das gilt insbesondere im Hinblick auf Information, Rechtsgrundlage, Dokumentation und Schutzmaßnahmen.
