v51.0.0(akte-28): dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen

Mandantin: Mietinteressentin Kira Drozdowski (Geschädigte), aber auch Defense-Akte für Vermietercheck-App-Anbieter Essen. Massenhaftes Scannen von Personalausweisen, SCHUFA-Selbstauskunft, Gehaltsnachweisen, Bonitätsabfragen. DSGVO Art. 5/6/9/22 (automated decision making), TTDSG, BDSG, LDI NRW Bußgeldverfahren. Aktenstücke: 22 MD + 3 DOCX + 2 XLSX + 5 EML + 2 PDF + 3 JPG. Gesamt-PDF 834 KB.
2026-06-09 10:03:19 +00:00 · 2026-05-30 17:48:49 +00:00
parent df43610010
commit 4ab81d504a
39 changed files with 6441 additions and 0 deletions
@@ -1,5 +1,19 @@
 # Datenschutzrecht-Plugin

+
+<!-- BEGIN plugin-testakten-section (autogen) -->
+## Demonstrations-Akten
+
+Folgende anonymisierte Akte demonstriert dieses Plugin im laufenden Mandatsbetrieb. Das Gesamt-PDF ist sofort im Browser lesbar. Das Akten-ZIP enthaelt saemtliche Originaldateien (Markdown-Aktenstuecke, Tabellen, E-Mails, PDFs, DOCX, XLSX, Bildanlagen) im Originalordnerlayout.
+
+| Akte | Lesen | Herunterladen |
+| --- | --- | --- |
+| **DSGVO-Massenscanning Mietinteressenten — VermieterCheck Solutions GmbH (Essen)** (`dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen`) | [Gesamt-PDF lesen](../testakten/dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen/gesamt-pdf/dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen_gesamt.pdf) | [Akten-ZIP herunterladen](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen.zip) |
+
+Die ZIP-URLs sind stabil und zeigen immer auf die aktuelle Version. Eine vollstaendige Aktenuebersicht steht in [`testakten/README.md`](../testakten/README.md).
+
+<!-- END plugin-testakten-section (autogen) -->
+
 Datenschutzrechtliche Arbeitsabläufe für Kanzleien und Datenschutzbeauftragte: AVV-Prüfung, Betroffenenauskunft, Datenschutz-Folgenabschätzung, Drittlandstransfer-Prüfung, US-Transfer mit DPF/SCC/TIA, Behördenpaket, regulatorische Lückenanalyse und Richtlinien-Monitoring. Vollständig ausgerichtet auf DSGVO, BDSG, TDDDG und KUG. Entwickelt für deutsche und EU-ansässige Verantwortliche und Auftragsverarbeiter.

 **Jede Ausgabe ist ein Entwurf zur anwaltlichen Prüfung – zitiert, gekennzeichnet und freigabepflichtig, keine abschließende Rechtsauskunft.** Das Plugin übernimmt die Arbeit: es liest Dokumente, wendet Ihr Praxisprofil an, findet Schwachstellen und verfasst Memos. Der Anwalt prüft, verifiziert und entscheidet. Zitate sind nach Herkunft gekennzeichnet (Modellwissen vs. abgerufen). Mandatsgeheimnisschutz (§ 43a Abs. 2 BRAO, § 203 StGB) wird konservativ gehandhabt. Folgenreiche Maßnahmen – Übermittlung an Aufsichtsbehörden, Versand von Betroffenenschreiben, Vertragsunterzeichnung – werden erst nach ausdrücklicher Bestätigung durchgeführt.
@@ -0,0 +1,114 @@
+# 01 — Mandatsuebernahme und Vollmacht
+
+**Aktenzeichen:** DSB-NW-44/26 / 18 Mass 4/26 / 4 O 244/26 / 12 Js 11.422/26
+**Mandantin:** VermieterCheck Solutions GmbH, Ruhrallee 188, 45136 Essen
+**Kanzlei:** Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH, Koenigsallee 92c, 40212 Duesseldorf
+**Federfuehrender Anwalt:** RA Dr. Cornelius Specht (Fachanwalt Datenschutzrecht)
+**Datum:** 14. Januar 2026
+
+---
+
+## 1. Mandatsbeschreibung
+
+Die Kanzlei Specht, Beckenbauer & Drosselberg (nachfolgend „SBD") uebernimmt die umfassende rechtliche Vertretung der VermieterCheck Solutions GmbH (nachfolgend „Mandantin") in saemtlichen datenschutzrechtlichen, ordnungswidrigkeitsrechtlichen und strafrechtlichen Verfahren, die aus dem Betrieb der SaaS-Plattform und des KI-Profiling-Moduls „ProspectScore Pro" erwachsen.
+
+### 1.1 Mandatsumfang
+
+Das Mandat erstreckt sich auf folgende Verfahrens- und Beratungskomplexe:
+
+| Lfd. Nr. | Komplex | Status |
+|----------|---------|--------|
+| M-1 | Aufsichtsverfahren LDI NRW (Art. 58 DSGVO), AZ DSB-NW-44/26 | Laufend |
+| M-2 | Massenverfahren VDuG, LG Essen 18 Mass 4/26 (8.200 Betroffene) | Laufend |
+| M-3 | Einzelklage Dr. Tannenbruck, LG Essen 4 O 244/26 | Laufend |
+| M-4 | Strafverfahren § 42 BDSG, StA Essen 12 Js 11.422/26 | Laufend |
+| M-5 | Drittlandsuebermittlung Sundara Tech (Art. 44 ff. DSGVO) | Beratend |
+| M-6 | DSFA-Nachholung (Art. 35 DSGVO) | Beratend |
+| M-7 | Datenpanne CVE-2026-0188 / Art. 33 DSGVO Meldung | Beratend |
+| M-8 | Auskunftsersuchen Drostermann, Kaltenbach (Art. 15 DSGVO) | Beratend |
+
+### 1.2 Interessenkollisionspruefung
+
+Gemaess § 43a Abs. 4 BRAO sowie § 3 BORA wurde eine Konfliktkontrolle durchgefuehrt. Keine Interessenkollision festgestellt. Die Kanzlei SBD vertritt keine Parteien, die im vorliegenden Verfahrenskomplex als Anspruchsgegner oder Anzeigeerstatter auftreten.
+
+---
+
+## 2. Vollmacht
+
+### 2.1 Prozessvollmacht (§ 80 ZPO)
+
+Die Mandantin, vertreten durch Geschaeftsfuehrer Karl-Heinz Schimmelpfennig-Drosthager, erteilt hiermit der Kanzlei Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH — sowie saemtlichen dort taetigen Rechtsanwaelten und Rechtsanwaeltinnen — unwiderrufliche Prozessvollmacht mit dem Recht zur Unterbevollmaechtigung gemaess § 80 ZPO fuer alle anhangigen und kuenftig entstehenden Verfahren im Zusammenhang mit dem vorliegenden Mandat.
+
+Die Vollmacht umfasst insbesondere:
+- Entgegennahme und Abgabe saemtlicher Erklaerungen gegenueber Behoerden, Gerichten und Dritten
+- Abschluss von Vergleichen und Abgabe von Verzichtserklaerungen
+- Einlegung und Ruecknahme von Rechtsmitteln
+- Erhebung von Klagen, Einreichung von Schriftsaetzen
+- Beantragung einstweiliger Rechtsschutzanordnungen
+- Entgegennahme von Zustellungen (§ 172 ZPO)
+
+### 2.2 Verwaltungsrechtliche Vollmacht
+
+Fuer das Aufsichtsverfahren vor der LDI NRW (AZ DSB-NW-44/26) wird gesondert Vollmacht gemaess § 14 VwVfG NRW erteilt. Die Vollmacht berechtigt zur Akteneinsicht nach § 29 VwVfG NRW, zur Abgabe von Stellungnahmen gemaess Art. 58 Abs. 1 DSGVO sowie zur Erhebung von Rechtsmitteln gegen behordliche Anordnungen.
+
+### 2.3 Strafprozessuale Vollmacht
+
+Im Strafverfahren StA Essen 12 Js 11.422/26 wird Wahlverteidigervollmacht gemaess § 137 StPO erteilt. RA Dr. Cornelius Specht ist als Pflichtverteidiger bevollmaechtigt, saemtliche Verfahrenshandlungen im Namen des Beschuldigten Karl-Heinz Schimmelpfennig-Drosthager vorzunehmen.
+
+---
+
+## 3. Retainer und Honorarvereinbarung
+
+Die Parteien haben folgende Honorarvereinbarung getroffen:
+
+- **Beratungsmandat (M-5 bis M-8):** Stundenhonorar RA Dr. Specht 380 EUR/h netto; Paralegal 120 EUR/h netto
+- **Prozessmandate (M-1 bis M-4):** Pauschalhonorar-Retainer zzgl. Erfolgsbeteiligung nach BORA-konformer Vereinbarung
+- **Auslagen:** Reisekosten, Gerichtsgebuehren, Gutachterkosten nach Aufwand
+
+Die Mandantin hat einen Kostenvorschuss von 85.000 EUR netto zzgl. USt. geleistet (Buchungsdatum 14.01.2026).
+
+---
+
+## 4. Erstinstruktionen
+
+### 4.1 Sofortmassnahmen
+
+RA Dr. Specht hat folgende Sofortmassnahmen angeordnet:
+
+1. **Einfrieren der Datenverarbeitung** im ProspectScore-Pro-Modul bis zur Klaerung der Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO-Konformitaetspruefung)
+2. **Preservation Hold** saemtlicher Protokolldaten, Log-Files und Datenbankdumps (Sicherung fuer Beweiszwecke)
+3. **Kommunikationsstop** — keine direkten Gespraeche der Mandantin mit LDI NRW ohne anwaltliche Begleitung
+4. **Incident Response** — Beauftragung externer Forensik (SecureProof GmbH, Bochum) zur Analyse CVE-2026-0188
+5. **HinSchG-Meldekanal** — Interne Meldestelle per sofort aktivieren und dokumentieren
+
+### 4.2 Fristenkalender (initial)
+
+| Frist | Datum | Verfahren |
+|-------|-------|-----------|
+| Stellungnahme LDI NRW Art. 58 | 28.02.2026 | DSB-NW-44/26 |
+| Klageerwiderung VDuG | 15.03.2026 | 18 Mass 4/26 |
+| Auskunft Art. 15 Tannenbruck | 10.02.2026 | 4 O 244/26 |
+| Einlassung StA Essen | 05.03.2026 | 12 Js 11.422/26 |
+| DSFA-Entwurf intern | 28.01.2026 | intern M-6 |
+
+---
+
+## 5. Rechtliche Ersteinschaetzung
+
+Die Gesamtlage der Mandantin ist als **kritisch** einzustufen. Folgende Risikopositionen bestehen kumulativ:
+
+1. **Bussgeldrisko LDI NRW** — Bei Feststellung eines schwerwiegenden Verstosses gegen Art. 6, Art. 22 und Art. 35 DSGVO droht ein Bussgeld bis 20.000.000 EUR oder 4% des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Bei einem geschaetzten Jahresumsatz von ca. 4 Mio. EUR liegt die 4%-Grenze bei 160.000 EUR; massgeblich ist der hoehere Betrag, mithin 20 Mio. EUR.
+2. **Haftungsrisiko Sammelklage** — 8.200 Betroffene x 1.500 EUR = 12.300.000 EUR (Gesamtforderung). Nach BGH VI ZR 10/24 kann auch bei fehlender konkreter Schadensbeschreibung immaterieller Schaden geltend gemacht werden, sofern ein kontrollierter Datenverlust nachgewiesen ist.
+3. **Strafbarkeitsrisiko § 42 BDSG** — Freiheitsstrafe bis 3 Jahre oder Geldstrafe; Beschuldigter ist GF Schimmelpfennig-Drosthager persoenlich.
+
+Die Kanzlei SBD empfiehlt eine umfassende Compliance-Offensive (DSFA-Nachholung, AVV-Sanierung, Meldung der Datenpanne) zur Strafmilderung im Bussgeldbescheid-Verfahren (Art. 83 Abs. 2 lit. f DSGVO: Kooperationsbereitschaft als Milderungsgrund).
+
+---
+
+## Quellen
+
+- DSGVO Art. 6, 22, 33, 35, 44, 58, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- BDSG § 42 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- BRAO § 43a Abs. 4 — [dejure.org/gesetze/BRAO](https://dejure.org/gesetze/BRAO)
+- ZPO § 80, § 172 — [dejure.org/gesetze/ZPO](https://dejure.org/gesetze/ZPO)
+- BGH, Urt. v. 18.11.2024 — VI ZR 10/24 — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
@@ -0,0 +1,123 @@
+# 02 — Sachverhaltserfassung und Erstberatung
+
+**Aktenzeichen:** DSB-NW-44/26
+**Datum:** 14.–15. Januar 2026
+**Bearbeiter:** RA Dr. Cornelius Specht, RAin Miriam Beckenbauer
+
+---
+
+## 1. Hintergrund der Mandantin
+
+### 1.1 Unternehmensdarstellung
+
+Die VermieterCheck Solutions GmbH (nachfolgend „VCS") wurde 2019 in Essen gegruendet und betreibt eine B2B-SaaS-Plattform, ueber die Privatvermieter Bonitaetsauskuenfte ueber Mietinteressenten einholen koennen. Zum Stichdatum 14.01.2026 sind 12.400 Privatvermieter angeschlossen. Die Daten der Mietinteressenten werden durch das proprietaere KI-Profiling-Modul „ProspectScore Pro" verarbeitet.
+
+**Verarbeitete Datenkategorien (lt. Erstauskunft GF):**
+- Bonitaetsauskunft (Schufa-Score, Negativmerkmale)
+- Voreigentum / fruehere Mietverhaeltnisse
+- Beruf und Einkommenssituation
+- Familienstatus und Haushaltsgroesse
+- Automatisch ermittelter Risiko-Score (0–100) durch ProspectScore Pro
+
+### 1.2 Technische Systemarchitektur
+
+Das Modul ProspectScore Pro ist als Microservice in einer AWS-Infrastruktur (Frankfurt, eu-central-1) betrieben. Die Entwicklung und der Second-Level-Support erfolgen durch den indischen Dienstleister Sundara Tech Pvt. Ltd. (Bengaluru, Karnataka). Nach Aussage des DevOps-Leiters (Herr Tarkan Bilgic) besteht seit Oktober 2022 ein Datenaustausch mit Sundara Tech ohne abgeschlossene Standarddatenschutzklauseln (SCC) gemaess Art. 46 Abs. 2 lit. c DSGVO.
+
+### 1.3 Betriebsdauer und Verarbeitungsumfang
+
+ProspectScore Pro wurde laut Mandantin im Maerz 2023 in den Produktivbetrieb uebernommen. Bis Januar 2026 wurden die personenbezogenen Daten von ca. 142.300 Mietinteressenten verarbeitet. Davon haben schriftlich Einwilligung erteilt: nach Angaben der Mandantin ca. 88.000 Personen; bei den verbleibenden ca. 54.300 Personen fehlen nachweisbare Einwilligungserklaerungen.
+
+---
+
+## 2. Chronologie der Ereignisse
+
+| Datum | Ereignis |
+|-------|----------|
+| Mrz 2023 | Produktivbetrieb ProspectScore Pro startet |
+| Okt 2022 | Beginn Datentransfer an Sundara Tech Pvt. Ltd. ohne SCC |
+| 08. Nov 2025 | Anonyme HinSchG-Meldung bei interner Meldestelle (unbearbeitet) |
+| 17. Nov 2025 | Penetrationstest-Bericht SecureProof GmbH: SQL-Injection CVE-2026-0188 identifiziert |
+| 22. Nov 2025 | Erstbestaetigter Datenleak: 142.300 Datensaetze exfiltriert |
+| 29. Nov 2025 | 72h-Frist gemaess Art. 33 DSGVO laeuft ab — keine Meldung bei LDI NRW |
+| 03. Dez 2025 | LDI NRW erhaelt anonymen Hinweis; leitet Vorpruefung ein |
+| 12. Dez 2025 | LDI NRW eroeffnet formales Aufsichtsverfahren, AZ DSB-NW-44/26 |
+| 15. Dez 2025 | Sammelklage VDuG eingereicht: LG Essen 18 Mass 4/26 |
+| 22. Dez 2025 | Einzelklage Tannenbruck: LG Essen 4 O 244/26 |
+| 07. Jan 2026 | StA Essen eroeffnet Ermittlungen § 42 BDSG: 12 Js 11.422/26 |
+| 14. Jan 2026 | Mandatsuebernahme durch SBD |
+
+---
+
+## 3. Erstberatungsgespraeche (Protokoll)
+
+### 3.1 Gespraech mit GF Schimmelpfennig-Drosthager (14.01.2026, 14:00–17:30 Uhr)
+
+**Themen:**
+1. Aufklaerung ueber Zeugnisverweigerungsrecht § 52 StPO im Strafverfahren
+2. Belehrung ueber Schweigerecht § 136 StPO als Beschuldigter
+3. Erlaeuterung der zivilrechtlichen Haftungsrisiken Art. 82 DSGVO
+4. Besprechung des Sachverhalts zur privaten Nutzung der Plattform (Wohnungen Essen-Bredeney)
+
+**Ergebnis:** GF Schimmelpfennig-Drosthager bestreitet vorsaetzliches Handeln, raumt aber ein, die Plattform zur eigenen Mieterauswahl genutzt zu haben. Die strafrechtliche Beurteilung wird gesondert geprueft (s. Akte 15).
+
+### 3.2 Gespraech mit Datenschutzbeauftragter Frau Hannelore Kessler-Brandt (15.01.2026, 09:00–11:00 Uhr)
+
+**Themen:**
+1. Stand der internen DSFA-Dokumentation (Art. 35 DSGVO) — Ergebnis: keine DSFA durchgefuehrt
+2. Verarbeitungsverzeichnis (Art. 30 DSGVO) — Ergebnis: vorhanden, jedoch nicht aktuell
+3. Einwilligungsmanagement — Ergebnis: keine dokumentierten Einwilligungserklaerungen fuer ca. 54.300 Betroffene
+4. Meldepflicht Art. 33 DSGVO — Ergebnis: Versaeumnis bestaetigt, keine interne Eskalation erfolgt
+
+### 3.3 Gespraech mit DevOps-Leiter Herr Tarkan Bilgic (15.01.2026, 11:30–13:00 Uhr)
+
+**Themen:**
+1. Architektur des Datentransfers zu Sundara Tech
+2. API-Authentifizierungsverfahren
+3. CVE-2026-0188 — SQL-Injection in der Suchanfrage-Schnittstelle des Scoring-Backends
+
+**Ergebnis:** Seit Oktober 2022 werden Rohdaten der Mietinteressenten fuer Modelltraining und Support-Zwecke an Sundara Tech uebertragen. Ein AVV-Vertrag existiert seit Dezember 2023 (also nachtraeglich), SCC wurde jedoch nie unterzeichnet.
+
+---
+
+## 4. Einschaetzung des Gesamtrisikos
+
+### 4.1 Risikomatrix (Ersteinschaetzung)
+
+| Risiko | Eintrittswahrscheinlichkeit | Finanzielles Exposure | Prioritaet |
+|--------|----------------------------|-----------------------|------------|
+| LDI-Bussgeld Art. 83 | Hoch (75%) | bis 20.000.000 EUR | KRITISCH |
+| VDuG-Sammelklage Art. 82 | Mittel-Hoch (60%) | bis 12.300.000 EUR | KRITISCH |
+| Strafverfahren § 42 BDSG | Mittel (45%) | Freiheitsstrafe GF | HOCH |
+| Einzelklage Tannenbruck | Mittel (55%) | bis 1.500 EUR + Kosten | MITTEL |
+| Drittlandhaftung Art. 44 | Hoch (70%) | Bussgeld (kumulativ) | HOCH |
+| Reputationsschaden NDR | Sehr hoch (90%) | Umsatzrueckgang | HOCH |
+
+### 4.2 Strategische Empfehlung
+
+Die Kanzlei SBD empfiehlt eine Dreisaeulenstrategie:
+
+**Saeule 1 — Compliance-Offensive:** Sofortige Nachholung der DSFA, Sanierung des AVV mit Sundara Tech, Nachmeldung der Datenpanne an LDI NRW mit Schadensbegrenzungs-Narrative.
+
+**Saeule 2 — Verfahrensverteidigung:** Aktive Vertretung in allen Verfahren mit dem Ziel der Strafminderung (Art. 83 Abs. 2 DSGVO-Milderungsgruende) und Abweisung der Sammelklage mangels individueller Kausalitaet.
+
+**Saeule 3 — Kommunikationsmanagement:** Koordination mit PR-Beratung zur Steuerung der Berichterstattung NDR Panorama; kein oeffentliches Eingestaendnis ohne anwaltliche Freigabe.
+
+---
+
+## 5. Naechste Schritte
+
+1. DSFA-Kickoff-Workshop mit Datenschutzbeauftragter Kessler-Brandt: 20.01.2026
+2. Beauftragung eines unabhaengigen Datenschutz-Gutachters fuer Art. 22 DSGVO: bis 22.01.2026
+3. Anwaltsschreiben an LDI NRW zur Fristverlaengerung: 17.01.2026
+4. Koordination mit Strafverteidiger Dr. Robert Ankermann (StA-Verfahren): 16.01.2026
+5. Pruefung Insolvenzrisiko bei Maximalhaftung: Gespräch Steuerberater Muenster & Partner
+
+---
+
+## Quellen
+
+- DSGVO Art. 6, 22, 30, 33, 35, 44, 46, 82, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- BDSG § 42 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- HinSchG — [dejure.org/gesetze/HinSchG](https://dejure.org/gesetze/HinSchG)
+- StPO §§ 52, 136 — [dejure.org/gesetze/StPO](https://dejure.org/gesetze/StPO)
+- BGH VI ZR 10/24 (DSGVO-Schadensersatz) — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
@@ -0,0 +1,129 @@
+# 03 — DSGVO-Pruefschema: Verarbeitungsgrundlagen Art. 6 DSGVO
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RA Dr. Cornelius Specht
+**Datum:** 16. Januar 2026
+**Betreff:** Rechtmaessigkeitspruefung der Datenverarbeitung durch ProspectScore Pro
+
+---
+
+## 1. Pruefungsgegenstand
+
+Die LDI NRW prueft im Rahmen des Aufsichtsverfahrens DSB-NW-44/26, ob VermieterCheck Solutions GmbH (VCS) die personenbezogenen Daten von Mietinteressenten auf einer rechtmaessigen Grundlage nach Art. 6 Abs. 1 DSGVO verarbeitet hat. Das vorliegende Memorandum analysiert saemtliche in Betracht kommenden Erlaubnistatbestaende und kommt zu einer Bewertung der Verteidigungsposition.
+
+---
+
+## 2. Verarbeitungsvorgaenge im Ueberblick
+
+ProspectScore Pro verarbeitet folgende Datenkategorien:
+
+| Datenkategorie | Herkunft | Sensitivitaet |
+|----------------|----------|---------------|
+| Schufa-Score und Negativmerkmale | Schufa Holding AG (B2B-API) | Hoch |
+| Voreigentum / Miethistorie | Mandantin eigene Abfragen | Mittel |
+| Beruf und Einkommenssituation | Mietinteressent (Selbstauskunft) | Mittel |
+| Familienstatus und Haushaltsgroesse | Mietinteressent (Selbstauskunft) | Mittel |
+| Automatisierter Risiko-Score (0–100) | ProspectScore Pro (KI-Ausgabe) | Sehr hoch |
+
+Die Verarbeitung dient der automatisierten Entscheidungsunterstuetzung fuer Privatvermieter bei der Mietinteressenten-Auswahl.
+
+---
+
+## 3. Pruefschema Art. 6 Abs. 1 DSGVO — Erlaubnistatbestaende
+
+### 3.1 Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
+
+**Tatbestand:** Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten fuer einen oder mehrere bestimmte Zwecke gegeben.
+
+**Pruefungsschritte:**
+
+**Schritt 1 — Freiwilligkeit (Art. 7, ErwGr. 42, 43 DSGVO):**
+Mietinteressenten befinden sich in einer typischen Machtasymmetrie: Sie koennen die Plattform nicht umgehen, wenn Vermieter ausschliesslich ueber VCS Auskuenfte einholen. Nach EDSA-Leitlinien 05/2020 (Consent) ist Freiwilligkeit ausgeschlossen, wenn die Verweigerung der Einwilligung zu einem erheblichen Nachteil fuehrt. Ergebnis: Freiwilligkeit zweifelhaft.
+
+**Schritt 2 — Informiertheit (Art. 13, 14 DSGVO):**
+Die VCS-Datenschutzerklaerung (Version 2.1 vom 01.03.2023) erwaehnt den Betrieb von ProspectScore Pro nicht explizit; das Profiling wird als „Bonitaetsabfrage" bezeichnet, ohne die KI-basierte Scoring-Komponente offenzulegen. Ergebnis: Informiertheit nicht gegeben.
+
+**Schritt 3 — Eindeutigkeit (Art. 7 Abs. 2, ErwGr. 32 DSGVO):**
+Die Einwilligung wird ueber ein Koppelungs-Checkbox-Modell eingeholt (Einwilligung an AGB-Akzeptanz geknuepft). Nach Art. 7 Abs. 4 DSGVO ist eine solche Koppelung unzulaessig. Ergebnis: Eindeutigkeit nicht gegeben.
+
+**Schritt 4 — Widerruflichkeit (Art. 7 Abs. 3 DSGVO):**
+Ein Widerrufsmechanismus ist technisch nicht implementiert. Ergebnis: Widerrufsmechanismus fehlt.
+
+**Gesamtergebnis Art. 6 Abs. 1 lit. a DSGVO:** Einwilligung rechtmaessig nicht erteilt. Die vorhandenen Einwilligungserklaerungen sind nicht DSGVO-konform und daher unwirksam. **Ergebnis: Keine wirksame Einwilligung.**
+
+---
+
+### 3.2 Art. 6 Abs. 1 lit. b DSGVO — Vertragserfuellung
+
+**Tatbestand:** Die Verarbeitung ist fuer die Erfuellung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchfuehrung vorvertraglicher Massnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich.
+
+**Pruefung:**
+Zwischen VCS und den Mietinteressenten besteht kein Vertrag. VCS unterhalt Vertraege mit den Privatvermietern (B2B-SaaS-Abonnement). Die Mietinteressenten sind keine Vertragsparteien. Das EDSA-Leitlinien 02/2019 (Art. 6 Abs. 1 lit. b) stellt klar, dass der Betroffene selbst Vertragspartei sein muss.
+
+**Gesamtergebnis Art. 6 Abs. 1 lit. b DSGVO:** Tatbestand nicht erfullt. **Ergebnis: Nicht anwendbar.**
+
+---
+
+### 3.3 Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung
+
+**Tatbestand:** Die Verarbeitung ist zur Erfuellung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
+
+**Pruefung:**
+Keine rechtliche Verpflichtung zur Erstellung von Bonitaets-Profilen fuer Dritte erkennbar. § 505a BGB (Kreditwuerdigkeitspruefung) gilt nur fuer Kreditinstitute, nicht fuer Vermietungsplattformen.
+
+**Gesamtergebnis Art. 6 Abs. 1 lit. c DSGVO:** Tatbestand nicht erfullt. **Ergebnis: Nicht anwendbar.**
+
+---
+
+### 3.4 Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse
+
+**Tatbestand:** Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, ueberwiegen.
+
+**Dreistufiger Pruefungstest (LIA — Legitimate Interest Assessment):**
+
+**Stufe 1 — Legitimes Interesse:**
+VCS und angeschlossene Vermieter haben ein wirtschaftliches Interesse an Mietausfallpraevention. Das Bundesverwaltungsgericht (BVerwG 6 C 12.18) erkennt Bonitaetspruefungen im Mietrecht als grundsaetzlich legitim an. Ergebnis: Legitimes Interesse besteht.
+
+**Stufe 2 — Erforderlichkeit:**
+Die Erhebung von Familienstatus und Haushaltsinformationen fuer ein Risiko-Scoring ueberschreitet den Umfang einer klassischen Bonitaetspruefung. Weniger einschneidende Mittel (z.B. einfache Schufa-Anfrage ohne KI-Profiling) stehen zur Verfuegung. Ergebnis: Erforderlichkeit teilweise verneint.
+
+**Stufe 3 — Interessenabwaegung:**
+Die automatisierte Profilerstellung (Risiko-Score 0–100) greift erheblich in die Grundrechte der Mietinteressenten ein (Art. 8 GRCh, Recht auf informationelle Selbstbestimmung). Die Betroffenen haben keine Moeglichkeit der Kenntnisnahme oder des Widerspruchs. Ergebnis: Interessen der Betroffenen ueberwiegen.
+
+**Besonderheit Art. 22 DSGVO:** Bei automatisierten Einzelentscheidungen (Scoring als alleinige Grundlage fuer Vermieter-Entscheidung) ist Art. 6 Abs. 1 lit. f DSGVO als alleinige Grundlage in der Regel nicht ausreichend (s. Akte 04).
+
+**Gesamtergebnis Art. 6 Abs. 1 lit. f DSGVO:** Interessenabwaegung faellt zugunsten der Betroffenen aus. **Ergebnis: Nicht ausreichend.**
+
+---
+
+## 4. Gesamtbewertung
+
+| Erlaubnistatbestand | Ergebnis |
+|---------------------|----------|
+| Art. 6 Abs. 1 lit. a (Einwilligung) | Unwirksam — Koppelung, fehlende Informiertheit |
+| Art. 6 Abs. 1 lit. b (Vertrag) | Nicht anwendbar — kein Vertrag mit Betroffenen |
+| Art. 6 Abs. 1 lit. c (Rechtspflicht) | Nicht anwendbar — keine Rechtspflicht |
+| Art. 6 Abs. 1 lit. f (Berechtigtes Interesse) | Nicht ausreichend — LIA negativ |
+
+**Gesamtergebnis:** Die Verarbeitung durch ProspectScore Pro entbehrt einer wirksamen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Dies stellt einen schwerwiegenden Verstoss dar, der eine Ordnungswidrigkeit nach Art. 83 Abs. 5 lit. a DSGVO begruendet.
+
+---
+
+## 5. Verteidigungsstrategie
+
+Angesichts des klaren Befundes empfiehlt RA Dr. Specht folgenden Ansatz gegenueber der LDI NRW:
+
+1. **Einraeumen des Verstosses** gegenueber LDI NRW (Milderungsgrund Art. 83 Abs. 2 lit. f — Kooperationsbereitschaft)
+2. **Nachtraegliche Sanierung:** Einwilligungsmanagement reformieren, Datenschutzerklaerung aktualisieren, OptIn-Mechanismus implementieren
+3. **Argumentation Art. 83 Abs. 2 lit. b:** Schaden fuer Betroffene gering (keine nachgewiesene missbilligende Nutzung des Scores durch Vermieter)
+4. **Beantragung einer angemessenen Frist** zur Implementierung konformer Verarbeitungsgrundlagen vor Verhangung eines Bussgeldescheids
+
+---
+
+## Quellen
+
+- DSGVO Art. 6, 7, 13, 14, 22, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EDSA-Leitlinien 05/2020 zur Einwilligung — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-052020-consent-under-regulation_de)
+- EDSA-Leitlinien 02/2019 zu Art. 6 Abs. 1 lit. b — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-article-61b-gdpr_de)
+- BVerwG, Urt. v. 27.09.2019 — 6 C 12.18 — [openjur.de](https://openjur.de)
+- OLG Hamm, Urt. v. 15.08.2023 — 7 U 19/23 — [openjur.de](https://openjur.de)
@@ -0,0 +1,119 @@
+# 04 — Art. 22 DSGVO: Automatisierte Einzelentscheidung durch ProspectScore Pro
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RA Dr. Cornelius Specht, RA Lars Drosselberg
+**Datum:** 17. Januar 2026
+**Betreff:** Rechtmaessigkeit automatisierter Einzelentscheidungen und Profiling
+
+---
+
+## 1. Regelungsinhalt Art. 22 DSGVO
+
+Art. 22 Abs. 1 DSGVO gewaehrt betroffenen Personen das Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung — einschliesslich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenueber rechtliche Wirkung entfaltet oder sie in aehnlicher Weise erheblich beeintraechtigt.
+
+Art. 22 Abs. 2 DSGVO regelt Ausnahmen: Die automatisierte Entscheidung ist zulaessig, wenn sie (a) fuer den Abschluss oder die Erfuellung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, (b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten zulaessig ist oder (c) mit ausdruecklicher Einwilligung der betroffenen Person erfolgt.
+
+Bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ist Art. 22 Abs. 4 DSGVO zu beachten.
+
+---
+
+## 2. Pruefung: Liegt eine automatisierte Einzelentscheidung vor?
+
+### 2.1 Tatbestandsmerkmal „ausschliesslich automatisiert"
+
+Der EDSA hat in seinen Leitlinien 01/2022 zu automatisierten Einzelentscheidungen (Art. 22 DSGVO) klargestellt, dass eine Entscheidung dann als „ausschliesslich automatisiert" gilt, wenn kein menschlicher Eingriff mit substanziellem Einfluss auf das Ergebnis stattfindet. Ein bloss formales Review (Mensch bestaetigt maschinell vorgeschlagenes Ergebnis ohne eigene Pruefung) genuegt nicht.
+
+**Sachverhalt VCS:**
+- ProspectScore Pro generiert einen Risiko-Score (0–100)
+- Privatvermieter erhalten den Score und eine abgeleitete Empfehlung (GRUEN / GELB / ROT)
+- Laut Aussage von 127 Vermietern (Klaeger im VDuG-Verfahren) haben diese ausschliesslich auf Basis der Ampelfarbe entschieden
+- Interne Nutzungsstatistiken belegen: 94% aller Mietabsagen korrelieren mit ROT-Einstufung
+- Kein Prozess zur menschlichen Ueberpruefung des Scores implementiert
+
+**Ergebnis:** Die Entscheidung ueber die Vermietung basiert faktisch ausschliesslich auf dem automatisierten Score. Das Tatbestandsmerkmal ist erfullt.
+
+### 2.2 Tatbestandsmerkmal „erhebliche Beeintraechtigung"
+
+Die Verweigerung einer Wohnungsanmietung aufgrund des ROT-Scores stellt eine erhebliche Beeintraechtigung im Sinne des Art. 22 Abs. 1 DSGVO dar. Der Europaeische Datenschutzausschuss (EDSA, Leitlinien 01/2022, Rn. 15) nennt als Beispiel ausdruecklich den Ausschluss vom Zugang zu Wohnraum.
+
+**Ergebnis:** Erhebliche Beeintraechtigung liegt vor.
+
+### 2.3 Zwischenergebnis
+
+Der Tatbestand des Art. 22 Abs. 1 DSGVO ist erfullt. Die Verarbeitung ist grundsaetzlich verboten, soweit keine Ausnahme nach Art. 22 Abs. 2 DSGVO greift.
+
+---
+
+## 3. Pruefung der Ausnahmetatbestaende Art. 22 Abs. 2 DSGVO
+
+### 3.1 Art. 22 Abs. 2 lit. a — Vertragserfuellung
+
+Wie bereits in Akte 03 (Art. 6 lit. b) festgestellt: Zwischen VCS und den Mietinteressenten besteht kein Vertrag. **Ergebnis: Nicht einschlaegig.**
+
+### 3.2 Art. 22 Abs. 2 lit. b — Gesetzliche Grundlage
+
+Eine spezialgesetzliche Grundlage, die automatisiertes Profiling fuer Mietbonitaetszwecke erlaubt, existiert im deutschen Recht nicht. § 34 BDSG betrifft Auskunftspflichten, nicht Erlaubnisse fuer automatisiertes Scoring. **Ergebnis: Nicht einschlaegig.**
+
+### 3.3 Art. 22 Abs. 2 lit. c — Einwilligung
+
+Wie in Akte 03 (3.1) festgestellt: Die erteilten Einwilligungen sind wegen Koppelung und mangelnder Informiertheit unwirksam. Zudem war die ausdrueckliche Einwilligung in automatisierte Einzelentscheidungen (Art. 22 Abs. 2 lit. c DSGVO i.V.m. ErwGr. 71) gesondert erforderlich — dies erfolgte nicht. **Ergebnis: Nicht einschlaegig.**
+
+---
+
+## 4. Schutzpflichten bei zulaessiger automatisierter Entscheidung (Art. 22 Abs. 3 DSGVO)
+
+Auch wenn — hypothetisch — eine Ausnahme greifen wuerde, haette VCS folgende Garantien gemaess Art. 22 Abs. 3 DSGVO implementieren muessen:
+
+| Garantie | Status bei VCS |
+|----------|----------------|
+| Recht auf menschliche Ueberpruefung | Nicht implementiert |
+| Recht auf Darlegung des eigenen Standpunkts | Kein Beschwerdemechanismus vorhanden |
+| Recht auf Anfechtung der Entscheidung | Keine Einspruchsmoeglichkeit |
+| Transparente Information (Art. 13 Abs. 2 lit. f DSGVO) | Profiling in Datenschutzerklaerung nicht explizit |
+
+---
+
+## 5. Profiling und besondere Datenkategorien
+
+### 5.1 Familienstatus als Diskriminierungsmerkmal
+
+Der Familienstatus (mit/ohne Kinder) zaehlt nicht zu den besonderen Kategorien nach Art. 9 DSGVO. Jedoch kann das Profiling auf Basis des Familienstatus eine mittelbare Diskriminierung nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) § 19 Abs. 1 Nr. 1 darstellen: Familien mit Kindern koennen systematisch schlechter bewertet werden.
+
+### 5.2 Gesundheitliche Indikatoren im Score
+
+Laut Penetrationstest-Bericht (s. Akte 07) verarbeitete ProspectScore Pro in einer frueheren Modellversion (v2.1 bis v2.4) Daten aus Krankenversicherungsstatusdaten, die im Rahmen der Schufa-Abfrage mitgeliefert wurden. Soweit Gesundheitsdaten (Art. 9 Abs. 1 DSGVO) in den Score eingeflossen sind, gilt Art. 22 Abs. 4 DSGVO: Die ausdrueckliche Einwilligung gemaess Art. 9 Abs. 2 lit. a DSGVO oder ein Rechtfertigungsgrund nach Art. 9 Abs. 2 DSGVO waere zusaetzlich erforderlich. Beides lag nicht vor.
+
+---
+
+## 6. Haftungsfolgen
+
+### 6.1 Ordnungswidrigkeitenrecht
+
+Ein Verstoss gegen Art. 22 DSGVO ist gemaess Art. 83 Abs. 4 DSGVO mit einem Bussgeld bis 10.000.000 EUR oder 2% des weltweiten Jahresumsatzes bedroht. In Kombination mit dem Verstoss gegen Art. 6 DSGVO (Art. 83 Abs. 5 lit. a, bis 20 Mio. EUR) koennen gemaess Art. 83 Abs. 3 DSGVO Geldbussen kumuliert werden, wobei der Hoechstbetrag nicht ueberschritten werden darf.
+
+**Anwendbarer Hoechstbetrag:** 20.000.000 EUR (Art. 83 Abs. 5 DSGVO: hoehere Sanktion).
+
+### 6.2 Zivilrechtliche Haftung
+
+Betroffene, die nachweislich aufgrund eines fehlerhaften ROT-Scores eine Wohnung nicht erhalten haben, koennen gemaess Art. 82 DSGVO Schadensersatz verlangen. Der immaterielle Schaden liegt nach BGH VI ZR 10/24 bereits im Kontrollverlust ueber eigene Daten (s. Akte 11).
+
+---
+
+## 7. Handlungsempfehlungen
+
+1. **Sofortige Abschaltung** des ProspectScore-Pro-Moduls bis zur Erlangung konformer Rechtsgrundlagen
+2. **Implementierung Human-in-the-Loop** (HITL) — obligatorische menschliche Ueberpruefung vor jeder Entscheidungsweitergabe an Vermieter
+3. **Aktualisierung der Datenschutzerklaerung** mit expliziter Information ueber Profiling (Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g DSGVO)
+4. **Einspruchsmechanismus** fuer betroffene Mietinteressenten (Art. 22 Abs. 3 DSGVO)
+5. **DSFA** fuer das KI-Profiling-Modul (Art. 35 DSGVO, s. Akte 05)
+
+---
+
+## Quellen
+
+- DSGVO Art. 9, 13, 14, 22 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EDSA-Leitlinien 01/2022 zu automatisierten Einzelentscheidungen — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-automated-decision_de)
+- BDSG § 34 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- AGG § 19 — [dejure.org/gesetze/AGG](https://dejure.org/gesetze/AGG)
+- BGH VI ZR 10/24 — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
+- OLG Koeln, Urt. v. 14.07.2022 — 20 U 168/21 — [openjur.de](https://openjur.de)
@@ -0,0 +1,135 @@
+# 05 — Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RAin Miriam Beckenbauer, RA Dr. Cornelius Specht
+**Datum:** 20. Januar 2026
+**Betreff:** DSFA-Versaeumnis fuer ProspectScore Pro und Nachholungsplan
+
+---
+
+## 1. Rechtliche Grundlage und Pflicht zur DSFA
+
+Art. 35 Abs. 1 DSGVO verpflichtet den Verantwortlichen, vor der Verarbeitung eine Abschaetzung der Folgen der vorgesehenen Verarbeitungsvorgaenge fuer den Schutz personenbezogener Daten durchzufuehren, wenn eine Verarbeitung voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen zur Folge hat.
+
+### 1.1 Regelbeispiele nach Art. 35 Abs. 3 DSGVO
+
+Art. 35 Abs. 3 DSGVO nennt als typische Hochrisikoverarbeitungen:
+- **lit. a:** Systematische und umfassende Bewertung persoenlicher Aspekte natuerlicher Personen durch automatisierte Verarbeitung einschliesslich Profiling (explizit: Bonitaetsermittlung)
+- **lit. c:** Systematische Ueberwachung oeffentlich zugaenglicher Bereiche (hier nicht einschlaegig)
+
+**Ergebnis:** ProspectScore Pro faellt unmittelbar unter Art. 35 Abs. 3 lit. a DSGVO. Die DSFA-Pflicht war von Beginn an gegeben.
+
+### 1.2 Negativlisten und Positivlisten der LDI NRW
+
+Gemaess Art. 35 Abs. 4 und Abs. 5 DSGVO haben Aufsichtsbehoerden Listen der Verarbeitungen zu erstellen, die einer DSFA beduerftig sind (Muss-Listen) bzw. nicht beduerftig sind (Ausnahmelisten). Die LDI NRW hat in ihrer aktuellen Muss-Liste (Stand Oktober 2025) ausdruecklich „KI-gestuetzte Scoring-Verfahren zur Mietinteressenten-Beurteilung" aufgefuehrt.
+
+---
+
+## 2. DSFA-Checkliste: Ist eine DSFA erforderlich?
+
+| Kriterium (DSK-Standard 2017) | Befund bei VCS | Punkte |
+|-------------------------------|----------------|--------|
+| Bewertung oder Einstufung | Ja (Score 0–100, Ampel) | 1 |
+| Automatisierte Entscheidung mit Rechtswirkung | Ja (Mietabsagen) | 1 |
+| Systematische Ueberwachung | Mittel (kein Tracking, aber Massenverarbeitung) | 0,5 |
+| Sensitive oder hochpersoenliche Daten | Ja (Schufa, Familienstatus) | 1 |
+| Grosse Mengen / Betroffene | Ja (142.300 Datensaetze) | 1 |
+| Verknuepfung verschiedener Datensaetze | Ja (Schufa + Selbstauskunft + Profiling) | 1 |
+| Innovative Technologie | Ja (KI-Modell ohne DSFA-Vorlage) | 1 |
+| Hinderung der Ausuebung von Rechten | Ja (Wohnungszugang) | 1 |
+
+**Gesamtbewertung:** 7,5 von 8 Punkten. Ab 2 Punkten ist eine DSFA erforderlich. **DSFA-Pflicht eindeutig bejaht.**
+
+---
+
+## 3. Dokumentiertes Versaeumnis
+
+### 3.1 Zeitlinie
+
+| Datum | Ereignis |
+|-------|----------|
+| Jan 2023 | Interne Entwicklung ProspectScore Pro (v1.0) |
+| Mrz 2023 | Go-Live Produktivbetrieb — keine DSFA durchgefuehrt |
+| Jun 2023 | Upgrade auf v2.0 (neues ML-Modell) — keine DSFA |
+| Feb 2024 | Upgrade auf v3.0 (erweiterte Datenkategorien) — keine DSFA |
+| Nov 2025 | Erste interne Kenntnis des DSFA-Versaeumnisses (Whistleblower-Meldung) |
+| Jan 2026 | Mandatsuebernahme SBD — DSFA noch immer ausstehend |
+
+### 3.2 Interne Warnsignale
+
+- Datenschutzbeauftragte Frau Kessler-Brandt hat laut eigener Aussage zweimal (Mai 2023, Oktober 2024) intern auf die DSFA-Pflicht hingewiesen — ohne Ergebnis
+- Diese internen Warnhinweise wurden nicht dokumentiert (fehlende Schriftform)
+- Der Geschaeftsfuehrer wurde muendlich informiert und hat die DSFA als „nicht praxisrelevant" abgetan
+
+---
+
+## 4. Inhalt einer nachzuholenden DSFA
+
+Die DSFA muss gemaess Art. 35 Abs. 7 DSGVO mindestens enthalten:
+
+### 4.1 Systematische Beschreibung der Verarbeitungsvorgaenge (Art. 35 Abs. 7 lit. a)
+
+```
+Verarbeitungsvorgang: Automatisiertes Profiling von Mietinteressenten
+Zweck: Risikobeurteilung fuer angeschlossene Privatvermieter
+Datenkategorien: Schufa-Score, Negativmerkmale, Beruf, Einkommen,
+                  Familienstatus, Haushaltsgroesse
+Verarbeitung: ML-Modell ProspectScore Pro v3.0 (Random Forest + Neural Net)
+Empfaenger: Privatvermieter (B2B-Kunden, 12.400+)
+Drittlandtransfer: Sundara Tech Pvt. Ltd. (Bengaluru) — Entwicklung/Support
+Speicherdauer: 24 Monate nach letzter Abfrage
+```
+
+### 4.2 Beurteilung der Notwendigkeit und Verhaeltnismaessigkeit (Art. 35 Abs. 7 lit. b)
+
+Die Erhebung des Familienstatus und der Haushaltsgroesse ist fuer den legitimen Zweck der Bonitaetspruefung nicht erforderlich (Verhaeltnismaessigkeit verletzt). Ausreichend waere: Schufa-Score + Einkommensnachweise. Alle weiteren Datenkategorien sind zu entfernen.
+
+### 4.3 Risikobewertung (Art. 35 Abs. 7 lit. c)
+
+| Risiko | Eintrittswahrscheinlichkeit | Schwere | Gesamtrisiko |
+|--------|----------------------------|---------|-|
+| Fehlerhafte Bonitaetsbewertung fuer Betroffene | Hoch | Hoch | KRITISCH |
+| Diskriminierung aufgrund Familienstatus | Mittel | Hoch | HOCH |
+| Datenleak sensibler Scoring-Daten | Realisiert (CVE-2026-0188) | Sehr hoch | KRITISCH |
+| Drittlandtransfer ohne SCC | Hoch | Hoch | KRITISCH |
+| Nichtbeachtung Widerruf / Loeschung | Mittel | Mittel | MITTEL |
+
+### 4.4 Geplante Massnahmen zur Risikominimierung (Art. 35 Abs. 7 lit. d)
+
+1. Human-in-the-Loop (HITL) Implementierung: Obligatorische menschliche Pruefung
+2. Datenminimierung: Streichung Familienstatus und Haushaltsgroesse
+3. Auftragsverarbeitungsvertrag (AVV) mit SCC fuer Sundara Tech
+4. Technische Sicherheitsmassnahmen: Behebung CVE-2026-0188, End-to-End-Verschluesselung
+5. Betroffenenrechte: Implementierung Auskunfts-, Widerspruchs- und Loeschungsportal
+6. Regelmaeßige Pruefung des ML-Modells auf Diskriminierungseffekte (Bias-Audit)
+
+---
+
+## 5. Konsultationspflicht bei LDI NRW (Art. 36 DSGVO)
+
+Gemaess Art. 36 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, vor Beginn der Verarbeitung die Aufsichtsbehoerde zu konsultieren, wenn aus der DSFA ein hohes Risiko hervorgeht und der Verantwortliche keine geeigneten Massnahmen zur Eindaemmung des Risikos trifft.
+
+Da die DSFA nachtraeglich durchgefuehrt wird und das Risiko als KRITISCH eingestuft wurde, ist eine Vorabkonsultation (Art. 36 DSGVO) bei der LDI NRW obligatorisch. Dies wird gleichzeitig zur Entlastung im Aufsichtsverfahren DSB-NW-44/26 genutzt.
+
+---
+
+## 6. Zeitplan DSFA-Nachholung
+
+| Meilenstein | Verantwortlich | Frist |
+|-------------|----------------|-------|
+| DSFA-Kickoff-Workshop | Dr. Specht + Kessler-Brandt | 20.01.2026 |
+| Technische Beschreibung ProspectScore Pro | DevOps-Leiter Bilgic | 27.01.2026 |
+| Risikobewertung (extern: SecureProof GmbH) | SecureProof GmbH | 31.01.2026 |
+| Entwurf DSFA-Dokument | RAin Beckenbauer | 07.02.2026 |
+| Freigabe durch DSB Kessler-Brandt | DSB Kessler-Brandt | 10.02.2026 |
+| Einreichung bei LDI NRW (Art. 36 DSGVO) | RA Dr. Specht | 14.02.2026 |
+
+---
+
+## Quellen
+
+- DSGVO Art. 35, 36 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- DSK-Kurzpapier Nr. 5 (DSFA) — [datenschutzkonferenz-online.de](https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf)
+- LDI NRW Muss-Liste gemaess Art. 35 Abs. 4 DSGVO — [ldi.nrw.de](https://www.ldi.nrw.de)
+- EDSA-Leitlinien 09/2022 (DSFA) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-092022-personal-data-breach-notification_de)
+- BGH VI ZR 10/24 — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
@@ -0,0 +1,133 @@
+# 06 — Drittlandsuebermittlung Art. 44 ff. DSGVO: Sundara Tech Pvt. Ltd. (Bengaluru)
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RA Lars Drosselberg, RA Dr. Cornelius Specht
+**Datum:** 18. Januar 2026
+**Betreff:** Rechtmaessigkeit der Datenuebermittlung nach Indien ohne SCC
+
+---
+
+## 1. Sachverhaltsdarstellung
+
+### 1.1 Dienstleister Sundara Tech Pvt. Ltd.
+
+- **Firma:** Sundara Tech Pvt. Ltd.
+- **Sitz:** No. 42, 4th Floor, Prestige Tech Park, Sarjapur Road, Bengaluru, Karnataka 560103, Indien
+- **Taetigkeit:** Softwareentwicklung und Second-Level-Support fuer ProspectScore Pro
+- **Vertragsbeziehung:** Entwicklungsvertrag seit Oktober 2022; Auftragsverarbeitungsvertrag (AVV) seit Dezember 2023 (nachtraeglich)
+- **Datenzugang:** Zugriff auf Produktionsdaten fuer Debugging und Modelltraining (Rohdaten der Mietinteressenten)
+
+### 1.2 Art der uebermittelten Daten
+
+| Datenkategorie | Uebermittlungsweg | Verschluesselung |
+|----------------|------------------|-----------------|
+| Mietinteressenten-Rohdaten (Scoring) | API-Call (REST) | TLS 1.2 |
+| ML-Trainings-Datensaetze | S3-Bucket (shared) | Ja (S3-SSE) |
+| Support-Log-Daten mit Personenbezug | VPN-Tunnel | Ja |
+| Staging-Datenbankdump (anonymisiert?) | SFTP | Nein |
+
+Laut Penetrationstest-Bericht (s. Akte 07) enthielt der Staging-Datenbankdump nicht vollstaendig anonymisierte Datensaetze — eine Re-Identifizierung war technisch moeglich.
+
+---
+
+## 2. Rechtsrahmen Drittlanduebermittlung
+
+### 2.1 Grundsatz Art. 44 DSGVO
+
+Gemaess Art. 44 DSGVO darf eine Uebermittlung personenbezogener Daten, die gerade verarbeitet werden oder nach ihrer Uebermittlung in ein Drittland verarbeitet werden sollen, nur erfolgen, wenn der Verantwortliche und der Auftragsverarbeiter die in Kapitel V DSGVO niedergelegten Bedingungen einhalten.
+
+### 2.2 Angemessenheitsbeschluss fuer Indien?
+
+**Stand Januar 2026:** Fuer Indien existiert kein Angemessenheitsbeschluss der Europaeischen Kommission gemaess Art. 45 DSGVO. Das Digital Personal Data Protection Act (DPDPA) Indiens (2023) wurde bislang nicht als gleichwertig mit der DSGVO eingestuft.
+
+Folge: Jede Datenuebermittlung nach Indien bedarf geeigneter Garantien gemaess Art. 46 DSGVO.
+
+### 2.3 Geeignete Garantien Art. 46 DSGVO
+
+Moegliche geeignete Garantien:
+
+| Garantie | Art. 46 Abs. | Status bei VCS |
+|----------|------|---------|
+| Standarddatenschutzklauseln (SCC) — EU-Kommission 2021 | Abs. 2 lit. c | **Nicht abgeschlossen** |
+| Verbindliche interne Datenschutzvorschriften (BCR) | Abs. 2 lit. b | Nicht anwendbar (kein Konzern) |
+| Genehmigter Verhaltenskodex mit Zusatzmassnahmen | Abs. 2 lit. e | Nicht vorhanden |
+| Zertifizierung mit verbindlichen Verpflichtungen | Abs. 2 lit. f | Nicht vorhanden |
+| Ad-hoc-Vertragsklauseln (Genehmigung LDI) | Abs. 3 | Nicht beantragt |
+
+**Ergebnis:** Keine der moeglichen Garantien wurde implementiert. Die Datenuebermittlung an Sundara Tech erfolgte seit Oktober 2022 ohne Rechtsgrundlage nach Kapitel V DSGVO.
+
+---
+
+## 3. Zusaetzliche Anforderungen an SCC (EDSA-Empfehlung 01/2020)
+
+Selbst bei Abschluss von SCC waere nach der Schrems-II-Rechtsprechung (EuGH C-311/18 — Schrems II) eine Transferfolgenabschaetzung (Transfer Impact Assessment, TIA) erforderlich, da das Rechtssystem des Empfaengerlandes (Indien) auf seine Eignung bewertet werden muss.
+
+### 3.1 Rechtslage Indien (TIA-Punkte)
+
+| Pruefkriterium | Bewertung |
+|----------------|-----------|
+| Geheimdienstzugriff auf Daten | Potenziell gegeben (Section 69 IT Act) |
+| Rechtsstaatlichkeit bei Datenschutz | Teilweise (DPDPA 2023, noch nicht vollstaendig in Kraft) |
+| Effektive Rechtsbehelfe | Eingeschraenkt (kein EuGH-Aequivalent) |
+| Unabhaengige Aufsicht | DPBI (Data Protection Board of India) — noch nicht voll operativ |
+
+**Ergebnis TIA:** Erhoehte Risiken; Zusatzmassnahmen erforderlich (End-to-End-Verschluesselung, Pseudonymisierung vor Transfer).
+
+---
+
+## 4. Bewertung des HinSchG-Hinweises
+
+Die anonyme HinSchG-Meldung vom 08.11.2025 thematisiert explizit den fehlenden SCC-Abschluss. Der Hinweisgeber — vermutlich ein ehemaliger DevOps-Mitarbeiter — beschreibt den Sachverhalt detailliert und zutreffend.
+
+**Rechtliche Bewertung der VCS-Reaktion:**
+- Die Meldung wurde laut interner Dokumentation als „nicht pruefrelevant" eingestuft und nicht weitergeleitet
+- Versaeumnis der Bearbeitung einer HinSchG-Meldung stellt eine Pflichtverletzung nach § 14 HinSchG dar
+- Kein Rueckmeldefristversaeumnis nach § 17 HinSchG: Keine Rueckmeldung an Hinweisgeber innerhalb von 3 Monaten
+
+---
+
+## 5. Ordnungswidrigkeitenrechtliche Bewertung
+
+Der Verstoss gegen Art. 44 ff. DSGVO ist gemaess Art. 83 Abs. 5 lit. c DSGVO eine schwerwiegende Ordnungswidrigkeit (Bussgeld bis 20.000.000 EUR oder 4% des weltweiten Jahresumsatzes).
+
+Nach dem EuGH-Urteil C-311/18 (Schrems II, 16.07.2020) und dem darauf basierenden EuGH-Urteil C-645/19 (Facebook Ireland, 15.06.2021) ist die Aufsichtsbehoerde bei Kenntnis eines solchen Verstosses verpflichtet, die Uebermittlung zu untersagen und Sanktionen zu verhaengen.
+
+---
+
+## 6. Sanierungsplan Drittlandtransfer
+
+### Sofortmassnahmen (bis 31.01.2026)
+
+1. **Datentransfer-Stop** — Keine weiteren Datenuebermittlungen an Sundara Tech bis zur SCC-Implementierung
+2. **Loeschung Staging-Datenbankdumps** bei Sundara Tech — nachweislich dokumentiert
+3. **Verschluesselung saemtlicher API-Calls** auf TLS 1.3 angehoben
+
+### Mittelfristige Massnahmen (bis 28.02.2026)
+
+4. **SCC-Abschluss** gemaess EU-Kommissionsbeschluss 2021/914 (Modul 2: Controller-to-Processor)
+5. **Transfer Impact Assessment (TIA)** fuer Indien mit externer Expertise (RA Kanzlei Mehta & Associates, Mumbai)
+6. **Pseudonymisierungsprotokoll** fuer ML-Trainingsdaten vor Weitergabe an Sundara Tech
+7. **Update AVV** — Einbeziehung der SCC-Konformitaetsanforderungen
+
+---
+
+## 7. Stellungnahme gegenueber LDI NRW
+
+Im Rahmen des Aufsichtsverfahrens DSB-NW-44/26 wird VCS folgende Position einnehmen:
+
+- Einraeumen des Verstosses mit Verweis auf Sanierungsplan
+- Begrenzung des Bussgelds durch Hinweis auf:
+  - Freiwillige Offenlegung (Art. 83 Abs. 2 lit. e DSGVO)
+  - Kooperationsbereitschaft (Art. 83 Abs. 2 lit. f DSGVO)
+  - Kein vorsaetzliches Handeln (Art. 83 Abs. 2 lit. b DSGVO — blosse Unkenntnis der SCC-Pflicht)
+  - Umsatz des KMU (Art. 83 Abs. 2 DSGVO — wirtschaftliche Lage)
+
+---
+
+## Quellen
+
+- DSGVO Art. 44, 45, 46, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EuGH C-311/18 (Schrems II), Urt. v. 16.07.2020 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62018CJ0311)
+- EU-Kommissionsbeschluss 2021/914 (SCC) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914)
+- EDSA-Empfehlung 01/2020 (Zusatzmassnahmen) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de)
+- HinSchG §§ 14, 17 — [dejure.org/gesetze/HinSchG](https://dejure.org/gesetze/HinSchG)
@@ -0,0 +1,145 @@
+# 07 — Datenpanne Art. 33/34 DSGVO: SQL-Injection CVE-2026-0188
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RA Dr. Cornelius Specht, Sachverstaendige SecureProof GmbH (Bochum)
+**Datum:** 20. Januar 2026
+**Betreff:** Analyse der Datenschutzverletzung, 72h-Meldepflichtverletzung, Schadensausmass
+
+---
+
+## 1. Technischer Sachverhalt
+
+### 1.1 Schwachstelle CVE-2026-0188
+
+Am 17. November 2025 identifizierte das externe Penetrationstestunternehmen SecureProof GmbH (Bochum) im Rahmen eines vereinbarten Black-Box-Tests eine kritische SQL-Injection-Schwachstelle (CVSS v3.1 Score: 9.8 — Kritisch) im Scoring-Backend von ProspectScore Pro.
+
+**Technische Details:**
+- **CVE-Nummer:** CVE-2026-0188
+- **Komponente:** REST-API Endpoint `/api/v3/prospect/search` (ProspectScore Pro v3.0.4)
+- **Typ:** Blind-Time-Based SQL Injection (PostgreSQL 14.2)
+- **Ausnutzbarkeit:** Remote, keine Authentifizierung erforderlich
+- **Angriffsvektor:** HTTP-Parameter `q` (Suchanfrage) ohne Eingabebereinigung
+
+**Angriffsmuster:**
+```
+GET /api/v3/prospect/search?q=1'%20OR%20'1'%3D'1
+Host: api.vermietercheck.de
+(Beispiel-Payload fuer Demonstration)
+```
+
+### 1.2 Ausnutzung und Datenleak
+
+Die Schwachstelle wurde laut Forensik-Bericht SecureProof (Bericht-Nr. SP-2025-4417) in der Zeit vom 22. November bis 24. November 2025 von einem externen Akteur ausgenutzt:
+
+| Datum | Ereignis |
+|-------|---------|
+| 17.11.2025 | SecureProof identifiziert CVE-2026-0188 |
+| 18.11.2025 | Interner Penetrationstest-Bericht an VCS-Leitung |
+| 22.11.2025 | Erstes Anzeichen externer Ausnutzung in Server-Logs (retrospektiv festgestellt) |
+| 22.-24.11.2025 | Exfiltration von 142.300 Datensaetzen ueber Staging-API |
+| 24.11.2025 | Anomalieerkennung schlaegt an (AWS GuardDuty) |
+| 24.11.2025 | DevOps-Leiter informiert — Patch eingespielt (CVE-2026-0188-Fix) |
+| 25.11.2025 | DevOps-Leiter informiert GF — keine Meldung an LDI NRW |
+| 29.11.2025 | Ablauf der 72h-Meldefrist (Art. 33 Abs. 1 DSGVO) ohne Meldung |
+| 03.12.2025 | LDI NRW erhaelt anonymen Hinweis |
+
+### 1.3 Betroffene Datensaetze
+
+| Datenkategorie | Anzahl betroffene Datensaetze | DSGVO-Sensitivitaet |
+|----------------|-------------------------------|---------------------|
+| Name + Adresse | 142.300 | Personenbezogen |
+| Schufa-Score | 98.400 | Hoch |
+| Negativmerkmale | 41.200 | Hoch |
+| Berufsangabe | 139.100 | Mittel |
+| Familienstatus | 88.700 | Mittel |
+| ProspectScore (0–100) | 142.300 | Sehr hoch |
+| E-Mail-Adresse | 142.300 | Mittel |
+
+---
+
+## 2. Rechtliche Bewertung der Meldepflichtverletzung
+
+### 2.1 Meldepflicht Art. 33 DSGVO
+
+Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, im Falle einer Verletzung des Schutzes personenbezogener Daten unverzueglich — und wenn moeglich binnen 72 Stunden — die zustaendige Aufsichtsbehoerde zu benachrichtigen.
+
+**Fristberechnung:**
+- Zeitpunkt der Kenntniserlangung: 24.11.2025 (DevOps-Leiter informiert GF)
+- 72h-Frist laeuft ab: 27.11.2025 um [Uhrzeit der Kenntniserlangung]
+- Tatsaechliche Meldung: Bis heute (20.01.2026) nicht erfolgt
+
+**Ergebnis:** Versaeumnis der 72h-Meldepflicht. Art. 83 Abs. 4 lit. a DSGVO: Bussgeld bis 10.000.000 EUR.
+
+### 2.2 Benachrichtigungspflicht Betroffene Art. 34 DSGVO
+
+Art. 34 Abs. 1 DSGVO verpflichtet zum Benachrichtigen betroffener Personen, wenn voraussichtlich ein hohes Risiko fuer deren Rechte und Freiheiten besteht. Die Exfiltration von Schufa-Scores und Bonitaetsdaten von 142.300 Personen begrindet eindeutig ein solches Risiko.
+
+**Ergebnis:** Auch die Benachrichtigung der Betroffenen gemaess Art. 34 DSGVO wurde versaeumt.
+
+### 2.3 Kann die verspae tete Meldung noch nachgeholt werden?
+
+Ja. Art. 33 Abs. 1 DSGVO sieht vor: Erfolgt die Benachrichtigung nicht innerhalb von 72 Stunden, so ist ihr eine Begruendung fuer die Verspaetung beizufuegen. Die Kanzlei SBD empfiehlt die sofortige Nachholung der Meldung mit:
+1. Vollstaendiger Schadensdarstellung nach Art. 33 Abs. 3 DSGVO (Kategorien, Anzahl, Massnahmen)
+2. Erklaerung zur Verspaetung (interne Kommunikationsversagen)
+3. Nachweis des Patches und der forensischen Analyse
+4. Angebot direkter Kooperation mit LDI NRW
+
+---
+
+## 3. Inhalt der nachzuholenden Meldung (Art. 33 Abs. 3 DSGVO)
+
+Pflichtinhalte gemaess Art. 33 Abs. 3 DSGVO:
+
+| Inhalt | Angabe |
+|--------|--------|
+| Art der Verletzung | SQL-Injection-basierte Exfiltration (CVE-2026-0188) |
+| Kategorien betroffener Personen | Mietinteressenten |
+| Anzahl betroffener Personen (ungefaehr) | 142.300 |
+| Kategorien betroffener Datensaetze | Bonitaetsdaten, Kontaktdaten, Scoring |
+| Anzahl betroffener Datensaetze (ungefaehr) | 142.300 |
+| Name und Kontaktdaten DSB | Hannelore Kessler-Brandt, dsb@vermietercheck.de |
+| Wahrscheinliche Folgen | Identitaetsdiebstahl, Kreditschaeden, Phishing-Risiko |
+| Massnahmen zur Schadensbegrenzung | Patch eingespielt, API abgeschaltet, Forensik beauftragt |
+
+---
+
+## 4. NIS2-Meldepflicht
+
+Zusaetzlich zur DSGVO-Meldepflicht ist zu pruefen, ob VCS als Anbieter digitaler Dienste der NIS2-Richtlinie (EU 2022/2555) und dem nationalen Umsetzungsgesetz (BSIG-Novelle) unterliegt.
+
+VCS betreibt eine B2B-SaaS-Plattform mit 12.400+ Nutzern. Soweit VCS als wesentlicher oder wichtiger Einrichtung im Sinne des Art. 3 NIS2 qualifiziert wird, besteht eine 24h-Fruehwarnpflicht gegenueber dem BSI (§ 30 BSIG n.F.) und eine 72h-Meldepflicht mit Angabe des Schweregrads.
+
+---
+
+## 5. ISO 27001 und Meldepflicht
+
+VCS hat ISO 27001 beantragt (s. Akte 19). Gemaess ISO 27001:2022 Annex A 5.26 (Response to information security incidents) waren folgende Schritte nach Entdeckung des Vorfalls unmittelbar verpflichtend:
+- Eskalation an Geschaeftsleitung und CISO
+- Dokumentation in einem Incident-Response-Log
+- Benachrichtigung relevanter Behoerden gemaess gesetzlicher Verpflichtung
+
+Kein dieser Schritte wurde dokumentiert. Dies begrindet eine Zertifizierungsrelevante Nicht-Konformitaet (Non-Conformity) und kann zur Suspendierung des ISO-27001-Zertifikats fuehren.
+
+---
+
+## 6. Handlungsempfehlungen
+
+**Sofort (bis 22.01.2026):**
+1. Nachholung der LDI NRW-Meldung Art. 33 DSGVO (koordiniert mit Kanzlei SBD)
+2. Benachrichtigung der 142.300 betroffenen Mietinteressenten Art. 34 DSGVO (Brief + E-Mail)
+3. Einrichtung einer Betroffenen-Hotline und Schadensersatz-Informationsseite
+
+**Mittelfristig (bis 31.01.2026):**
+4. Beauftragung eines BSI-zertifizierten Forensik-Dienstleisters fuer vollstaendige Incident-Analyse
+5. Umsetzung eines formalen Incident-Response-Prozesses nach ISO 27001:2022 Annex A 5.26
+6. Pruefung BSI-Meldepflicht (NIS2) mit Rechtsberatung
+
+---
+
+## Quellen
+
+- DSGVO Art. 33, 34, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- NIS2-Richtlinie (EU) 2022/2555 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555)
+- BSIG (KRITIS-Dachgesetz-Novelle) — [dejure.org/gesetze/BSIG](https://dejure.org/gesetze/BSIG)
+- EDSA-Leitlinien 01/2021 (Datenschutzverletzungen) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_de)
+- ISO/IEC 27001:2022, Annex A 5.26 — [iso.org](https://www.iso.org/standard/82875.html)
@@ -0,0 +1,148 @@
+# 08 — LDI NRW Aufsichtsverfahren Art. 58 DSGVO: Verfahrensstrategie
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RA Dr. Cornelius Specht, RAin Miriam Beckenbauer
+**Datum:** 21. Januar 2026
+**Betreff:** Strategie fuer die Vertretung im Aufsichtsverfahren LDI NRW
+
+---
+
+## 1. Verfahrensgrundlagen
+
+### 1.1 Rechtsstellung der LDI NRW
+
+Die Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ist die gemaess Art. 55 DSGVO i.V.m. § 17 BDSG zustaendige Aufsichtsbehoerde fuer VCS (Unternehmenssitz Essen). Sie ist nach Art. 57 Abs. 1 DSGVO verpflichtet, die Anwendung der DSGVO zu ueberwachen und durchzusetzen.
+
+### 1.2 Befugnisse der LDI NRW (Art. 58 DSGVO)
+
+**Untersuchungsbefugnisse (Art. 58 Abs. 1):**
+- Anordnung der Auskunft (Abs. 1 lit. a)
+- Zugang zu Raeumlichkeiten und Datensystemen (Abs. 1 lit. f)
+- Einsicht in alle Daten (Abs. 1 lit. e)
+
+**Abhilfebefugnisse (Art. 58 Abs. 2):**
+- Verwarnung (lit. a)
+- Verweis (lit. b)
+- Anordnung konformer Verarbeitung (lit. c–g)
+- Anordnung der Loeschung (lit. g)
+- Vorlaeufige oder dauerhafte Beschraenkung oder Untersagung (lit. f)
+- Verhangung eines Bussgeldescheids (lit. i)
+
+**Genehmigungsbefugnisse (Art. 58 Abs. 3):**
+- Stellungnahme zu Verarbeitungsvorgaengen (Art. 36 DSGVO)
+
+---
+
+## 2. Verfahrensstand
+
+| Datum | Massnahme LDI NRW |
+|-------|------------------|
+| 12.12.2025 | Eroeffnung des Aufsichtsverfahrens, Mitteilung an VCS |
+| 15.12.2025 | Anhoerungsschreiben Art. 58 Abs. 1 lit. a DSGVO (s. Akte pdfs/) |
+| 28.02.2026 | Frist Stellungnahme VCS |
+| Offen | LDI NRW-Entscheidung (Bussgeldbescheid / Verwarnung) |
+
+### 2.1 Anhoerungsschreiben LDI NRW
+
+Das Anhoerungsschreiben vom 15.12.2025 (AZ DSB-NW-44/26-01) enthalt folgende Vorwuerfe:
+1. Verarbeitung ohne wirksame Rechtsgrundlage (Art. 6 DSGVO) durch ProspectScore Pro
+2. Einsatz automatisierter Einzelentscheidungen ohne Erlaeubnisgrundlage (Art. 22 DSGVO)
+3. Unterlassung der DSFA (Art. 35 DSGVO)
+4. Drittlandtransfer ohne SCC (Art. 44 ff. DSGVO)
+5. Versaeumte 72h-Meldung der Datenpanne (Art. 33 DSGVO)
+
+Die LDI NRW kueundigte an, ein Bussgeld nach Art. 83 DSGVO zu erwaegen.
+
+---
+
+## 3. Verteidigungsstrategie
+
+### 3.1 Grundprinzip: Kooperative Verteidigung
+
+Die Kanzlei SBD empfiehlt eine kooperative Verteidigungsstrategie, die auf folgende Elemente setzt:
+
+**Element A — Vollstaendige Transparenz:** Offenlegung aller relevanten Sachverhalte gegenueber der LDI NRW, soweit nicht durch das Strafverfahren (StA Essen 12 Js 11.422/26) eine Verpflichtung zur Aussageverweigerung besteht.
+
+**Element B — Kooperationsbereitschaft:** Aktive Mitarbeit bei der Aufklaerung, Bereitsstellung saemtlicher Unterlagen, Terminisierung eines Audittermins mit LDI NRW vor Ort.
+
+**Element C — Sanierungsnachweis:** Dokumentierter Nachweis aller Compliance-Massnahmen (DSFA, SCC, Meldung Art. 33, Betroffenenbenachrichtigung) als Milderungsfaktor Art. 83 Abs. 2 lit. c, f DSGVO.
+
+**Element D — Differenzierung von Vorwuerfen:** Anfechtung der Einzelvorwuerfe hinsichtlich Vorsatz und Schwere; Argument, dass es sich um Fahrlassigkeit handelt (Art. 83 Abs. 2 lit. b DSGVO — Strafmilderung).
+
+### 3.2 Stellungnahme-Struktur (Gliederung Schriftsatz — s. docx/)
+
+1. Einleitung und Verfahrensdarstellung
+2. Sachverhaltsdarstellung (berichtigt und ergaenzt)
+3. Stellungnahme zu jedem einzelnen Vorwurf
+4. Nachweis der Sanierungsmassnahmen
+5. Antrag: Statt Bussgeldbescheid — Verwarnung und Anordnung konformer Verarbeitung
+6. Hilfsantrag: Bussgeldbemessung (s. Akte 09) — Reduktion auf maessiges Mass
+7. Antrag auf muendliche Anhoerung gemaess § 28 VwVfG NRW
+
+### 3.3 Verfahrensrechtliche Rechte der VCS
+
+Im Verwaltungsverfahren der LDI NRW stehen VCS folgende Verfahrensrechte zu:
+
+| Recht | Rechtsgrundlage | Status |
+|-------|----------------|--------|
+| Recht auf Anhoerung | § 28 VwVfG NRW | Wird wahrgenommen |
+| Akteneinsicht | § 29 VwVfG NRW | Beantragt 14.01.2026 |
+| Recht auf anwaltliche Vertretung | BRAO | Vollmacht erteilt |
+| Recht auf muendliche Verhandlung | § 67 VwGO (nach Widerspruch) | Noch nicht beantragt |
+| Widerspruch gegen Bescheid | §§ 68 ff. VwGO | Vorzubehalten |
+| Verwaltungsgerichtsklage | § 42 VwGO | Notfalls |
+
+---
+
+## 4. Milderungsgruende nach Art. 83 Abs. 2 DSGVO
+
+### Relevante Milderungsgruende
+
+| Milderungsgrund | Art. 83 Abs. 2 | Bewertung fuer VCS |
+|-----------------|----------------|-------------------|
+| Keine vorsaetzliche Handlung (Fahrlaessigkeit) | lit. b | Gut argumentierbar |
+| Massnahmen zur Schadensminimierung | lit. c | Mittel (zu spaet) |
+| Verantwortung des Verantwortlichen | lit. d | Negativ (GF gewusst) |
+| Einschlaegige fruehere Verstoesse | lit. e | Keine Vorgeschichte |
+| Kooperation mit Aufsichtsbehoerde | lit. f | Positiv |
+| Kategorien personenbezogener Daten | lit. g | Negativ (Schufa-Daten) |
+| Art der Kenntniserlangung | lit. h | Positiv (interner Hinweis) |
+| Einhalten von Verhaltensregeln | lit. j | Keine BCR/Kodex |
+| Finanzieller Vorteil oder Schaden | lit. k | Kein direkter Vorteil |
+
+**Gesamtbewertung:** 4 positive, 3 negative, 3 neutrale Faktoren. Bussgeldreduktion von maximal moeglich realistisch auf 15-25% des Maximalbetrags angestrebt (s. Akte 09).
+
+---
+
+## 5. Alternativszenario: Widerspruch und Verwaltungsgerichtsklage
+
+Falls die LDI NRW einen Bussgeldbescheid in unverhaeAltnismaessiger Hoehe erlasst, wird folgende Rechtsbehelfs-Strategie verfolgt:
+
+1. **Widerspruch** gemaess §§ 68 ff. VwGO gegen den Bussgeldbescheid (Frist: 1 Monat nach Zustellung)
+2. **Antrag auf aufschiebende Wirkung** gemaess § 80 Abs. 5 VwGO (Vollstreckungsschutz)
+3. **Klage vor VG Duesseldorf** (§ 42 VwGO i.V.m. § 20 Abs. 1 VwGO — zustaendiges Gericht fuer LDI NRW)
+4. **Verfassungsbeschwerde** als letzte Instanz (s. Akte 21) — Verletzung des Verhaeltnismaessigkeitsgrundsatzes Art. 20 Abs. 3 GG, wirtschaftliche Existenz Art. 12 GG
+
+---
+
+## 6. Koordination mit Parallelverfahren
+
+Das Aufsichtsverfahren LDI NRW (DSB-NW-44/26) ist mit den Parallelverfahren abzustimmen:
+
+| Verfahren | Wechselwirkung |
+|-----------|---------------|
+| VDuG-Sammelklage 18 Mass 4/26 | Feststellungen LDI = potenzielle Beweismittel fuer Klaeger |
+| StA Essen 12 Js 11.422/26 | Erklaerungen ggue. LDI duerfen nicht strafprozessual verwertbar sein |
+| LG Essen 4 O 244/26 (Tannenbruck) | Koordination Auskunft Art. 15 mit LDI-Verfahren |
+
+**Massnahme:** Saemtliche Erklaerungen gegenueber LDI NRW werden mit RA Dr. Specht und Strafverteidiger Dr. Ankermann koordiniert und enthalten explizite Verweigerungsvorbehalte fuer strafprozessual relevante Sachverhalte.
+
+---
+
+## Quellen
+
+- DSGVO Art. 55, 57, 58, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- BDSG § 17 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- VwVfG NRW §§ 28, 29 — [dejure.org/gesetze/VwVfG_NW](https://dejure.org/gesetze/VwVfG_NW)
+- VwGO §§ 42, 68, 80 — [dejure.org/gesetze/VwGO](https://dejure.org/gesetze/VwGO)
+- OVG NRW, Beschl. v. 10.03.2023 — 16 B 35/23 (LDI-Verfahren) — [openjur.de](https://openjur.de)
@@ -0,0 +1,125 @@
+# 09 — Bussgeldbemessung nach Art. 83 DSGVO
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RA Dr. Cornelius Specht
+**Datum:** 22. Januar 2026
+**Betreff:** Analyse der Bussgeldbemessung und Minimierungsstrategie
+
+---
+
+## 1. Rechtsrahmen Art. 83 DSGVO
+
+Art. 83 DSGVO sieht ein zweistufiges Sanktionssystem vor:
+
+**Stufe 1 — Art. 83 Abs. 4 DSGVO:** Geldbussen bis 10.000.000 EUR oder bis 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag hoeher ist) fuer Verstoesse gegen Pflichten des Verantwortlichen und des Auftragsverarbeiters (Art. 8, 11, 25–39, 42, 43 DSGVO) sowie gegen Aufsichtsbehoerden-Anordnungen (Art. 58 Abs. 2 DSGVO).
+
+**Stufe 2 — Art. 83 Abs. 5 DSGVO:** Geldbussen bis 20.000.000 EUR oder bis 4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag hoeher ist) fuer Grundsatzverstoesse (Art. 5, 6, 7, 9, 12–22, 44–49, 58 DSGVO).
+
+### 1.1 Anwendbarer Bussgelder-Katalog fuer VCS
+
+| Verstoss | Sanktionsstufe | Bussgeldbetrag-Maximum |
+|----------|---------------|----------------------|
+| Art. 6 — fehlende Verarbeitungsgrundlage | Art. 83 Abs. 5 lit. a | 20.000.000 EUR |
+| Art. 22 — unzulaessige automatisierte Entscheidung | Art. 83 Abs. 5 lit. b | 20.000.000 EUR |
+| Art. 33 — versaeumte Datenpannenmeldung | Art. 83 Abs. 4 lit. a | 10.000.000 EUR |
+| Art. 35 — unterlassene DSFA | Art. 83 Abs. 4 lit. a | 10.000.000 EUR |
+| Art. 44 — Drittlandtransfer ohne SCC | Art. 83 Abs. 5 lit. c | 20.000.000 EUR |
+
+**Kumulationsregel Art. 83 Abs. 3 DSGVO:** Beziehen sich mehrere Verstoesse auf dieselbe oder miteinander verbundene Verarbeitungsvorgaenge, so ist die Geldbusse insgesamt auf den fuer den schwersten Verstoss geltenden Betrag zu begrenzen.
+
+**Massgeblicher Hoechstbetrag:** 20.000.000 EUR (Art. 83 Abs. 5 DSGVO — schwerste Verstoesse).
+
+---
+
+## 2. EDSA-Leitlinien 04/2022: Bussgeldberechnungsmethodik
+
+Der EDSA hat in den Leitlinien 04/2022 zur Berechnung von Geldbussen eine fuenfstufige Methode veroffentlicht:
+
+**Schritt 1 — Identifizierung der Verarbeitungsvorgaenge und sanktionierbaren Verstoesse**
+
+Fuenf Verstoesse identifiziert (s. Tabelle oben). Ausgangspunkt: Schwerwiegendster Verstoss (Art. 5/6 DSGVO).
+
+**Schritt 2 — Ausgangsbetrag anhand der Schwere (Art. 83 Abs. 2 lit. a)**
+
+Gemaess EDSA-Leitlinien 04/2022, Rn. 56:
+
+| Schwere-Kategorie | Ausgangspunkt | Spanne |
+|------|-------|------|
+| Geringfuegig | 0% bis 10% des Maximalbetrags | bis 2.000.000 EUR |
+| Mittelschwer | 10% bis 20% des Maximalbetrags | 2.000.000 bis 4.000.000 EUR |
+| Schwer | 20% bis 100% des Maximalbetrags | 4.000.000 bis 20.000.000 EUR |
+
+Bewertung des Hauptverstosses (Art. 6 DSGVO / Art. 22 DSGVO): **Schwer** (systematisches Massenscanning, 142.300 Betroffene, 3 Jahre).
+
+**Ausgangsbetrag:** Ca. 30% des Maximalbetrags = 6.000.000 EUR (Schaetzung).
+
+**Schritt 3 — Erschwerungsgruende (Art. 83 Abs. 2 lit. a–k)**
+
+| Erschwerungsgrund | Art. 83 Abs. 2 | Anwendbar | Auswirkung |
+|-------------------|----------------|-----------|------------|
+| Vorsatz | lit. b | Unklar (GF-Wissen bei § 42 BDSG) | +10-20% |
+| Dauer des Verstosses | lit. a | Ja (3 Jahre) | +15% |
+| Anzahl Betroffener (142.300) | lit. a | Ja | +10% |
+| Sensitive Datenkategorien (Schufa) | lit. g | Ja | +10% |
+| Versaeumte Meldung Art. 33 | lit. k | Ja | +5% |
+
+**Gesamterhoeung:** Ca. +50% auf Ausgangsbetrag = 9.000.000 EUR.
+
+**Schritt 4 — Milderungsgruende (Art. 83 Abs. 2)**
+
+| Milderungsgrund | Art. 83 Abs. 2 | Anwendbar | Auswirkung |
+|-----------------|----------------|-----------|------------|
+| Erste Verurteilung | lit. e | Ja | -10% |
+| Kooperationsbereitschaft | lit. f | Ja | -15% |
+| KMU (38 MA, ca. 4 Mio. EUR Umsatz) | Beruecksichtigung | Ja | -20% |
+| Nachtraegliche Sanierungsmassnahmen | lit. c | Teilweise | -5% |
+
+**Gesamtreduktion:** -50% auf erhoehten Betrag = 4.500.000 EUR.
+
+**Schritt 5 — Priorisierung und Hoechstbetragscheck**
+
+Endkalkulation: ca. 4.500.000 EUR. Unter 20 Mio. EUR-Grenze. Aber: Wirtschaftliche Tragfaehigkeit pruefen.
+
+**VCS-Kennzahlen:**
+- Jahresumsatz ca. 4.000.000 EUR
+- 4%-Grenze: 160.000 EUR
+- Bussgeld von 4.500.000 EUR entspricht 112% des Jahresumsatzes — existenzbedrohend
+
+**Verhaeltnismaessigkeitspruefung:** Nach EuGH C-807/21 (Deutsche Wohnen, 05.12.2023) muss das Bussgeld wirksam, verhaeltnismaessig und abschreckend sein. Ein Bussgeld, das die wirtschaftliche Existenz des Unternehmens vernichtet, kann im Einzelfall unverhaeAltnismaessig sein.
+
+---
+
+## 3. Argumentation zur Bussgeldminimierung
+
+### 3.1 Hauptargumente
+
+**Argument 1 — Verhaeltnismaessigkeit (Art. 49 GRCh, Art. 20 Abs. 3 GG):**
+Ein Bussgeld von mehr als 1 Mio. EUR bei einem Jahresumsatz von 4 Mio. EUR gefaehrdet die wirtschaftliche Existenz von 38 Mitarbeitern. Das Bundesverfassungsgericht hat in BVerfG 1 BvR 2628/18 (Vereinigungsfreiheit) das Verhaeltnismaessigkeitsprinzip auch bei Unternehmensgeldbussen bestaetigt.
+
+**Argument 2 — EuGH C-807/21 (Deutsche Wohnen):**
+Der EuGH hat klargestellt, dass Organhaftung nur bei individuellem Verschulden des Organs begruendet werden kann. Das unpersoenliche Handeln einer juristischen Person genuegt nicht automatisch fuer die haerteste Sanktionsstufe.
+
+**Argument 3 — Art. 83 Abs. 2 lit. b (keine Absicht):**
+Der Verstoss gegen Art. 6 und Art. 22 DSGVO resultiert aus Rechtsunkenntnis der Geschaeftsfuehrung, nicht aus vorsaetzlicher Umgehung. Die interne Warnung der DSB Kessler-Brandt wurde zwar ignoriert, dies begrundet Fahrlaessigkeit, nicht Vorsatz.
+
+**Argument 4 — Frueher Zeitpunkt (Marktreife KI-Recht):**
+Der Go-Live des Moduls (Maerz 2023) lag vor Veroeffentlichung der finalen EDSA-Leitlinien 01/2022 zur automatisierten Entscheidungsfindung. VCS befand sich in einer Rechtsunklarheit.
+
+### 3.2 Angestrebte Bussgeldbandbreite
+
+| Szenario | Betrag | Voraussetzungen |
+|----------|--------|----------------|
+| Optimum (Verwarnung) | 0 EUR | Vollstaendige Sanierung vor LDI-Entscheidung |
+| Realistisches Minimum | 250.000 EUR | Starke Kooperation, KMU-Abschlag |
+| Wahrscheinliches Bussgeld | 500.000 – 1.500.000 EUR | Standardfall kooperative Verteidigung |
+| Worst Case | 4.000.000 – 5.000.000 EUR | Alle Erschwerungsgruende, kein Entgegenkommen |
+
+---
+
+## Quellen
+
+- DSGVO Art. 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EDSA-Leitlinien 04/2022 (Bussgeldbemessung) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under-gdpr_de)
+- EuGH C-807/21 (Deutsche Wohnen), Urt. v. 05.12.2023 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0807)
+- BVerfG 1 BvR 2628/18 — [bundesverfassungsgericht.de](https://www.bundesverfassungsgericht.de)
+- OLG Duesseldorf, Urt. v. 28.11.2023 — VI-5 Kart 11/19 OWi — [openjur.de](https://openjur.de)
@@ -0,0 +1,119 @@
+# 10 — Sammelklage VDuG: LG Essen 18 Mass 4/26
+
+**Aktenzeichen:** LG Essen 18 Mass 4/26
+**Bearbeiter:** RAin Miriam Beckenbauer, RA Dr. Cornelius Specht
+**Datum:** 23. Januar 2026
+**Betreff:** Analyse und Verteidigungsstrategie Massenverfahren VDuG
+
+---
+
+## 1. Verfahrensgrundlagen VDuG
+
+### 1.1 Das Verbraucherrechtedurchsetzungsgesetz (VDuG)
+
+Das VDuG (Verbraucherrechtedurchsetzungsgesetz) ist am 13. Oktober 2023 in Kraft getreten und setzt die Verbandsklagenrichtlinie (EU) 2020/1828 in deutsches Recht um. Es ermoeooglicht qualifizierten Verbrauchereinrichtungen und Verboenden, Musterfeststellungsklagen und Abschoeepfungsklagen im Namen einer Vielzahl von Verbrauchern zu erheben.
+
+**Anwendbarkeit auf DSGVO-Ansprueche:**
+Das VDuG erfasst nach § 2 VDuG Unterlassungsansprueche, Feststellungsansprueche und Schadensersatzansprueche von Verbrauchern, die aus Rechtsverletzungen entstehen. Datenschutzverletzungen, die zu immateriellen Schaeden nach Art. 82 DSGVO fuehren, sind vom Anwendungsbereich erfasst, soweit die Betroffenen als Verbraucher agieren — was bei Mietinteressenten regelmaessig der Fall ist.
+
+### 1.2 Verfahrensparteien
+
+**Klaeger:** Verbraucherzentrale NRW e.V. (VZ NRW, Duesseldorf), Klaeger als repraesentative Einrichtung nach § 3 VDuG i.V.m. Anlage 1 VDuG, handelnd im Namen von 8.200 angemeldeten Betroffenen.
+
+**Beklagte:** VermieterCheck Solutions GmbH, Ruhrallee 188, 45136 Essen.
+
+**Prozessbevollmaechtigte Beklagte:** Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH, Duesseldorf.
+
+---
+
+## 2. Klagebegehrren und Anspruchsgrundlage
+
+### 2.1 Geltend gemachte Ansprueche
+
+Die Verbraucherzentrale NRW macht geltend:
+1. **Feststellungsklage (§ 15 VDuG):** Feststellung, dass VCS durch den Betrieb von ProspectScore Pro ohne wirksame Einwilligung das Recht der 8.200 Klaeger auf Schutz personenbezogener Daten verletzt hat
+2. **Leistungsklage (Schadensersatz Art. 82 DSGVO):** Immaterieller Schadensersatz je 1.500 EUR pro betroffenem Mietinteressenten
+3. **Unterlassung:** Unterlassung des weiteren Betriebs von ProspectScore Pro ohne DSGVO-konforme Rechtsgrundlage
+
+**Gesamtklagesumme:** 8.200 x 1.500 EUR = 12.300.000 EUR zzgl. Zinsen und Kosten.
+
+### 2.2 Anspruchsgrundlage Art. 82 DSGVO
+
+Art. 82 Abs. 1 DSGVO gewaehrt jeder Person, der wegen eines Verstosses gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.
+
+**Haftungsvoraussetzungen:**
+1. Verstoss gegen DSGVO — von VCS nicht bestreitbar (s. Akten 03, 04)
+2. Schaden (materiell oder immateriell) — s. Akte 11 (Bagatellgrenze)
+3. Kausalzusammenhang — Verbindung Datenverletzung / Schaden umstritten
+
+---
+
+## 3. Verfahrensablauf VDuG-Massenverfahren
+
+### 3.1 Verfahrensstadien
+
+| Stadium | Rechtsgrundlage | Status |
+|---------|----------------|--------|
+| Anmeldung der Betroffenen | § 10 VDuG | Abgeschlossen (8.200 Betroffene) |
+| Eroefffnung Massenverfahren | § 14 VDuG | Eroeffnet 15.12.2025 |
+| Feststellungsurteil | §§ 15-17 VDuG | Ausstehend |
+| Individualurteil (Schadensersatz) | §§ 18-20 VDuG | Nach Feststellungsurteil |
+| Vollstreckung | §§ 21-25 VDuG | Nach Urteil |
+
+### 3.2 Zustaendigkeit LG Essen
+
+Das Landgericht Essen ist sachlich (§ 71 GVG — 5.000 EUR+) und oertlich (§ 12 VDuG — Sitz der Beklagten) zustaendig. Die speziell eingerichtete Kammer fuer Massenverfahren (18. Zivilkammer) ist gemaess Geschaeftsverteilungsplan 2026 zustaendig.
+
+---
+
+## 4. Verteidigungsargumente
+
+### 4.1 Argument 1: Fehlende Aktivlegitimation der VZ NRW
+
+Fuer die Aktivlegitimation nach § 3 VDuG muss die Klaegereinrichtung in der Liste des § 4 VDuG eingetragen sein (Qualifizierte Einrichtungen). Die VZ NRW ist als eingetragene Verbrauchereinrichtung anerkannt — dieses Argument schlaegt fehl.
+
+**Fallback:** Pruefung, ob die geltend gemachten Ansprueche saemtlich von Verbrauchern stammen. Falls Unternehmer unter den 8.200 Anmeldern sind, sind diese aus dem Verfahren auszuscheiden.
+
+### 4.2 Argument 2: Fehlender Schaden — Bagatellgrenze
+
+S. ausfuehrlich Akte 11 (Art. 82 DSGVO Bagatellgrenze).
+
+Kurzfassung: Der EuGH hat in C-300/21 (Oesterreichische Post, 04.05.2023) klargestellt, dass nicht jeder Verstoss gegen die DSGVO automatisch zu einem Schadensersatzanspruch fuehrt. Ein tatsaechlicher Schaden muss vorliegen; bloss abstrakte Angst genuegt grundsaetzlich nicht.
+
+**Verteidigungsargument:** Kein Betroffener der 8.200 Klaeger hat dargelegt, infolge des ProspectScore-Pro-Scorings konkret eine Wohnung nicht bekommen zu haben. Die Sammelklage benoetigt individuelle Kausalitaetsnachweise.
+
+### 4.3 Argument 3: Mitverschulden der Betroffenen
+
+Betroffene, die ihre Einwilligung (wenn auch unwirksam) aktiv erteilt haben und sich dennoch bewerben, tragen ein Mitverschulden (§ 254 BGB analog). Argument: Die faktische Einwilligung begrenzt den Schadensersatz.
+
+### 4.4 Argument 4: Verjaahrung
+
+Art. 82 DSGVO sieht keine eigene Verjaahrungsregelung vor. Nach § 195 BGB gilt die regelmaeßige Verjaahrungsfrist von 3 Jahren. Fuer Mietinteressenten, die vor Januar 2023 bewertet wurden, koennte Verjaahrung eingetreten sein.
+
+**Pruefung:** Kenntnismoment (§ 199 Abs. 1 BGB) — Betroffene hatten vor der oeffentlichen Berichterstattung (Dezember 2025 / Januar 2026) keine Kenntnis. Verjaahrung beginnt 01.01.2026 (Jahr der Kenntnis). Einwand greift nur fuer fruehste Verarbeitungen (vor 01.01.2023).
+
+### 4.5 Argument 5: Mitwirkung an Sanierungsmassnahmen (Schlichtungsangebot)
+
+VCS wird anbieten, einen Schlichtungsfonds von 500.000 EUR einzurichten und Betroffene pauschal mit 60 EUR je Person (= 492.000 EUR gesamt) zu entschaedigen — als Vergleichsangebot vor Feststellungsurteil. Dies reduziert das Gesamtrisiko erheblich und ist PR-wirksam.
+
+---
+
+## 5. Prozesstaktik
+
+| Massnahme | Zeitpunkt | Ziel |
+|-----------|-----------|------|
+| Klageerwiderung einreichen | 15.03.2026 | Setzung Verteidigungspositionen |
+| Antrag auf Vorabentscheidung EuGH | Ggf. nach Klageerwiderung | Klaerung Bagatellgrenze |
+| Vergleichsangebot | Mai 2026 | Verfahrensbeendigung |
+| Sachverstaendigengutachten | Gemaess Beweisbeschluss | Widerlegung Kausalitaet |
+
+---
+
+## Quellen
+
+- VDuG §§ 2, 3, 10, 14, 15, 18 — [dejure.org/gesetze/VDuG](https://dejure.org/gesetze/VDuG)
+- DSGVO Art. 82 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EuGH C-300/21 (Oesterreichische Post), Urt. v. 04.05.2023 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0300)
+- BGH VI ZR 10/24 — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
+- BGB §§ 195, 199, 254 — [dejure.org/gesetze/BGB](https://dejure.org/gesetze/BGB)
+- Verbandsklagenrichtlinie (EU) 2020/1828 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32020L1828)
@@ -0,0 +1,114 @@
+# 11 — Art. 82 DSGVO: Schadensersatz und Bagatellgrenze
+
+**Aktenzeichen:** LG Essen 18 Mass 4/26
+**Bearbeiter:** RA Dr. Cornelius Specht
+**Datum:** 24. Januar 2026
+**Betreff:** Analyse der Schadensersatzpflicht Art. 82 DSGVO und Bagatellgrenzen-Argumentation
+
+---
+
+## 1. Tatbestand Art. 82 DSGVO
+
+Art. 82 Abs. 1 DSGVO: Jede Person, der wegen eines Verstosses gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
+
+Art. 82 Abs. 2 DSGVO: Verantwortliche haften fuer saemtliche Schaeden aus DSGVO-Verstoessen, sofern sie nicht nachweisen, dass sie in keiner Weise fuer den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
+
+---
+
+## 2. Hoeherentwicklung der EuGH-Rechtsprechung
+
+### 2.1 EuGH C-300/21 (Oesterreichische Post, 04.05.2023)
+
+**Leitsatz:** Art. 82 DSGVO setzt einen tatsaechlichen Schaden voraus. Jede Verletzung der DSGVO fuehrt nicht automatisch zu einem Schadensersatzanspruch. Das Schadenserfordernis — auch fuer immaterielle Schaeden — besteht als eigene Haftungsvoraussetzung neben dem Vorliegen eines Verstosses und dem Kausalzusammenhang.
+
+**Konsequenz fuer VCS:** Betroffene muessen darlegen und beweisen, dass ihnen tatsaechlich ein (auch immaterieller) Schaden entstanden ist. Die blosse Tatsache des Datenschutzvestosses genuegt nicht.
+
+### 2.2 EuGH C-456/22 (Gemeinde Ummendorf, 14.12.2023)
+
+**Leitsatz:** Der Begriff des immateriellen Schadens schliesst nicht jede Unzufriedenheit oder jede empfundene Unannehmlichkeit ein. Es muss eine messbare Beeintraechtigung vorliegen.
+
+**Konsequenz fuer VCS:** Pauschale Behauptungen, man fuehle sich unwohl, genuegen nicht.
+
+### 2.3 BGH VI ZR 10/24 (18.11.2024)
+
+**Leitsatz:** Der BGH hat nach dem EuGH-Urteil C-300/21 klargestellt, dass auch der Kontrollverlust ueber eigene Daten einen immateriellen Schaden darstellen kann, wenn die betroffene Person den Verlust der Kontrolle tatsaechlich wahrgenommen hat und nicht lediglich abstrakt behauptet. Die Angst vor Missbrauch kann genuegen, wenn sie nicht nur rein hypothetisch ist.
+
+**Konsequenz fuer VCS:** Bei 142.300 geleakten Datensaetzen (CVE-2026-0188) liegt ein tatsaechlicher Datenverlust vor. Fuer diese Betroffenen ist ein Schaden leichter zu begruenden als fuer reine Profiling-Betroffene ohne Datenpanne.
+
+### 2.4 OLG Hamm, Urt. v. 15.08.2023 — 7 U 19/23
+
+Das OLG Hamm hat in einem vergleichbaren DSGVO-Schadensersatzfall (Kreditscoring) einen Schadensersatz von 2.000 EUR fuer immaterielle Schaeden zugesprochen, wo eine konkrete Ablehnung wegen fehlerhafter Schufa-Eintragung nachgewiesen war.
+
+---
+
+## 3. Analyse der 8.200 Klaeger-Ansprueche
+
+### 3.1 Segmentierung der Klaeger nach Schadenslage
+
+| Segment | Anzahl | Schadenslage | Bewertung |
+|---------|--------|-------------|-----------|
+| A: Wohnungsablehnung nachweislich wegen ROT-Score | Geschaetzt 800 | Stark (direkte Kausalitaet) | Anspruch wahrscheinlich |
+| B: Datenleak-Betroffene (142.300 gesamt, davon Klaeger) | Geschaetzt 2.100 | Mittel (Kontrollverlust belegt) | Anspruch moeglich |
+| C: Profiling-Betroffene ohne Datenleak, mit GRUEN/GELB-Score | Geschaetzt 3.400 | Schwach (kein konkreter Schaden) | Anspruch zweifelhaft |
+| D: Betroffene ohne nachweisliche Auswirkung | Geschaetzt 1.900 | Minimal | Anspruch unwahrscheinlich |
+
+**Verteidigungsansatz:** Differenzierte Auseinandersetzung mit den Segmenten A bis D. Zugestaendnis bei Segment A und B (Vergleichsangebot), Abwehr bei C und D.
+
+### 3.2 Hoehe des immateriellen Schadens
+
+Art. 82 DSGVO enthaelt keine gesetzliche Schadenshoeheproblematik — die Berechnung erfolgt nach nationalen Grundsaetzen. Referenzpunkte:
+
+| Gericht | Fall | Zugesprochener Betrag |
+|---------|------|-----------------------|
+| OLG Hamm 7 U 19/23 | Schufa-Scoring-Fehler | 2.000 EUR |
+| LG Frankfurt 2-27 O 100/21 | Datenleak Facebook | 500–1.000 EUR |
+| LG Duesseldorf 4 O 267/21 | Whatsapp-Datenpanne | 100 EUR |
+| BGH VI ZR 10/24 | Datenleak mit Kontrollverlust | 1.200 EUR |
+
+**Klaegerforderung:** 1.500 EUR — am oberen Ende des realistischen Spektrums fuer reine Profiling-Faelle ohne Datenpanne.
+
+**Gegenargument VCS:** Fuer Segment C und D liegt kein anspruchsbegruendender Schaden vor. Selbst fuer Segment A und B ist 1.500 EUR uebersetzt; realistisch sind 300–800 EUR.
+
+---
+
+## 4. Bagatellgrenzen-Argumentation
+
+### 4.1 Bagatellschwelle nach EuGH und BGH
+
+Der BGH hat in VI ZR 10/24 keine explizite Bagatellgrenze eingefuehrt, aber betont, dass ein minimaler, unbedeutender Schaden nicht ausreicht. Das OLG Stuttgart (2 U 63/21) hat eine Bagatellschwelle von ca. 100 EUR als Untergrenze diskutiert.
+
+### 4.2 VCS-Argumentation
+
+Fuer Betroffene des Segments C (Profiling, GRUEN/GELB-Score, keine Wohnungsablehnung):
+- Kein Datenleak (nicht Teil der 142.300 exfiltrierten Datensaetze)
+- Keine negative Scoring-Auswirkung (GRUEN/GELB = positive/neutrale Bewertung)
+- Keine belegbare Angst oder psychische Belastung vorgetragen
+
+**Argument:** Schadensersatzanspruch scheitert an der Voraussetzung eines tatsaechlichen (nicht bloss behaupteten) immateriellen Schadens.
+
+---
+
+## 5. Haftungsbefreiung Art. 82 Abs. 3 DSGVO
+
+Art. 82 Abs. 3 DSGVO: Verantwortliche koennen sich von der Haftung befreien, wenn sie nachweisen, dass sie in keinerlei Hinsicht fuer den Umstand verantwortlich sind, durch den der Schaden entstanden ist.
+
+**Anwendbarkeit fuer VCS:** Begrenzt. VCS ist als Verantwortlicher direkt fuer den Verstoss verantwortlich. Eine Entlastung kommt allenfalls in Betracht, wenn Sundara Tech als Auftragsverarbeiter den Datenleak verursacht hat (was die Forensik noch nicht klaert).
+
+---
+
+## 6. Gesamtbewertung und Vergleichsstrategie
+
+**Bestes Ergebnis fuer VCS:** Abweisung der Klagen der Segmente C und D (ca. 5.300 Betroffene x 1.500 EUR = 7.950.000 EUR entlastet). Vergleich mit Segmenten A und B bei 600 EUR je Person = 1.740.000 EUR.
+
+**Realistisches Vergleichsangebot:** 500.000 EUR Pauschalbetrag fuer Schlichtungsfonds, verwaltet von der VZ NRW. Verteilung an Betroffene nach Schadensnachweisstufe.
+
+---
+
+## Quellen
+
+- DSGVO Art. 82 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EuGH C-300/21 (Oesterreichische Post) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0300)
+- EuGH C-456/22 (Gemeinde Ummendorf) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0456)
+- BGH VI ZR 10/24 — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
+- OLG Hamm 7 U 19/23 — [openjur.de](https://openjur.de)
+- BGB § 254 — [dejure.org/gesetze/BGB](https://dejure.org/gesetze/BGB)
@@ -0,0 +1,130 @@
+# 12 — Auskunftsersuchen Art. 15 DSGVO: Dr. Susanna Tannenbruck
+
+**Aktenzeichen:** LG Essen 4 O 244/26
+**Bearbeiter:** RAin Miriam Beckenbauer
+**Datum:** 25. Januar 2026
+**Betreff:** Analyse und Strategie Auskunftsersuchen Dr. Tannenbruck
+
+---
+
+## 1. Personenprofil und Bedeutung des Falls
+
+### 1.1 Betroffene Person
+
+**Dr. Susanna Tannenbruck**
+- Beruf: Soziologin (Inhaberin eines Lehrstuhls an der Universitaet Duisburg-Essen, Forschungsschwerpunkt: Algorithmische Diskriminierung im Wohnungsmarkt)
+- Adresse: Gildehofstrasse 18, 45127 Essen (angemietete Wohnung)
+- Status: Klaegeein im Verfahren LG Essen 4 O 244/26 (Einzelklage Schadensersatz Art. 82 DSGVO)
+- Prozessbevollmaechtigte: RAin Prof. Dr. Hannelore Stuermer-Koch, Essen
+
+### 1.2 Besondere Risikobewertung
+
+Dr. Tannenbruck ist als Soziologin, die zu algorithmischer Diskriminierung forscht, eine Hochprofil-Betroffene. Sie hat:
+- Im Marz 2025 eine Wohnung in Essen-Ruettenscheid beworben und eine Absage erhalten
+- Anschliessend erfahren, dass die Absage mit einem ROT-Score in ProspectScore Pro zusammenhing
+- Im Dezember 2025 das Auskunftsersuchen gemaess Art. 15 DSGVO an VCS gestellt
+- Im Januar 2026 Klage erhoben (LG Essen 4 O 244/26) auf: Auskunftserteilung, Schadensersatz 1.500 EUR, Unterlassung weiterer Verarbeitung
+
+**Zusaetzliches Risiko:** Dr. Tannenbruck hat bereits Kontakt zum NDR-Journalisten Felix Kaltenbach (s. Akte 13) aufgenommen. Eine Kooperation beider Personen als Zeugen und Informationsquellen fuer ein NDR-Panorama-Feature droht.
+
+---
+
+## 2. Rechtsrahmen Art. 15 DSGVO
+
+### 2.1 Auskunftsrecht der betroffenen Person
+
+Art. 15 Abs. 1 DSGVO gibt der betroffenen Person das Recht, vom Verantwortlichen eine Bestaetigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Falls ja, hat sie ein Recht auf Auskunft ueber:
+
+| lit. | Inhalt der Auskunft |
+|------|---------------------|
+| a | Verarbeitungszwecke |
+| b | Kategorien verarbeiteter Daten |
+| c | Empfaenger oder Kategorien von Empfaengern |
+| d | Speicherdauer oder Kriterien fuer deren Festlegung |
+| e | Rechte auf Berichtigung, Loeschung, Einschraenkung, Widerspruch |
+| f | Beschwerderecht bei Aufsichtsbehoerde |
+| g | Herkunft der Daten (wenn nicht direkt erhoben) |
+| h | Informationen ueber automatisierte Entscheidungsfindung einschl. Profiling |
+
+Art. 15 Abs. 3 DSGVO gibt zusaetzlich ein Recht auf Kopie der personenbezogenen Daten.
+
+### 2.2 Besondere Relevanz Art. 15 Abs. 1 lit. h (Profiling-Auskunft)
+
+Fuer automatisierte Entscheidungen einschliesslich Profiling gemaess Art. 22 DSGVO muss die Auskunft enthalten:
+- Aussagekraeftige Informationen ueber die involvierte Logik
+- Die Tragweite der Verarbeitung
+- Die angestrebten Auswirkungen einer solchen Verarbeitung fuer die betroffene Person
+
+Dies ist fuer VCS besonders heikel: Die Offenlegung der ProspectScore-Logik (welche Datenpunkte, welche Gewichtung) birgt das Risiko, dass Dr. Tannenbruck die Diskriminierungsmechanismen des Modells wissenschaftlich dokumentiert.
+
+---
+
+## 3. Moeglichkeiten der Einschraenkung nach Art. 15 DSGVO
+
+### 3.1 Ausnahmen und Einschraenkungen
+
+Art. 15 DSGVO sieht keine unmittelbaren Ausnahmen vor, aber ErwGr. 63 DSGVO gibt Hinweise: Das Recht auf Kopie darf die Rechte und Freiheiten anderer Personen nicht beeintraechtigen.
+
+**Moegliche Einschraenkungsgruende fuer VCS:**
+1. **Geschaeftsgeheimnisse (§ 14 GeschGehG):** Die interne Logik des ProspectScore-Algorithmus kann als Geschaeftsgeheimnis qualifizieren. Jedoch: Der konkrete Score und die Datenkategorien der betroffenen Person selbst muessen offenbart werden.
+2. **Sonstiger Personenbezug:** Die Auskunft darf keine Daten Dritter enthalten — ein Ausnahmegrund, der bei ProspectScore Pro kaum greift.
+3. **Missbraeuchliche Auskunft:** Bei nachgewiesener Schikane-Absicht koennte § 242 BGB greifen — hier aber unwahrscheinlich.
+
+**Ergebnis:** VCS muss den Score (78/100 — ROT) und die zugrundeliegenden Datenkategorien offenlegen. Die interne Algorithmuslogik kann als Geschaeftsgeheimnis eingeschraenkt werden, jedoch nur mit expliziter Begruendung.
+
+---
+
+## 4. Fristen und Versaeumnis
+
+### 4.1 Fristberechnung
+
+- Auskunftsersuchen Dr. Tannenbruck: 12. Dezember 2025 (schriftlich per Einschreiben)
+- Regelmaessige Antwortfrist: 1 Monat (Art. 12 Abs. 3 DSGVO) = 12. Januar 2026
+- Verlaengerungsmoeglichkeit: Weitere 2 Monate bei Komplexitaet (Art. 12 Abs. 3 Satz 2 DSGVO) — **Benachrichtigung erforderlich bis 12. Januar 2026**
+- Tatsaechliche Reaktion VCS: Keine Antwort bis 14.01.2026 (Mandatsuebernahme SBD)
+
+**Ergebnis:** Die Frist nach Art. 12 Abs. 3 DSGVO ist bereits abgelaufen. VCS befindet sich im Verzug. Eine Klage auf Auskunftserteilung (§ 15 VwGO analog; zivilrechtlich: § 241 BGB) ist erhoben (LG Essen 4 O 244/26).
+
+### 4.2 Strategische Massnahme
+
+**Sofortige Auskunftserteilung** vor dem naechsten Verhandlungstermin LG Essen ist die einzig sinnvolle Massnahme, um:
+- Die Klagedurchsetzung (Hauptantrag Auskunft) zu neutralisieren
+- Als Kooperationssignal zu wirken
+- Den Schadensersatzanspruch von 1.500 EUR zu minimieren (kein zusaetzlicher Verzugsschaden)
+
+---
+
+## 5. Entwurf: Auskunftsschreiben an Dr. Tannenbruck
+
+**Betreff: Antwort auf Ihr Auskunftsersuchen gemaess Art. 15 DSGVO vom 12.12.2025**
+
+**Zu verarbeiteten Daten:**
+- Name: Dr. Susanna Tannenbruck
+- Adresse: Gildehofstrasse 18, 45127 Essen
+- Bewerbungsdatum: 08.03.2025
+- Objekt-ID (intern): ESS-RUE-2025-0144
+- Verarbeitete Datenkategorien: Name, Adresse, Schufa-Score (714 Punkte), Beruf (Soziologin/Universitaetslehrerin), Familienstatus (ledig, keine Kinder)
+- ProspectScore: 78/100 (Ampel: ROT — Kategorie „Erhoehtes Risiko")
+- Empfaenger: Vermieter H.-D. Krankenhofer, Essen (ueber Plattform-Interface)
+- Speicherdauer: 24 Monate seit letzter Abfrage (bis Maerz 2027)
+- Rechtsgrundlage: (war fehlerhaft — Art. 6 Abs. 1 lit. a DSGVO, Einwilligung unwirksam — Korrektur in Bearbeitung)
+- Datenschutzbeauftragte: Hannelore Kessler-Brandt, dsb@vermietercheck.de, 0201/498820
+- Beschwerderecht: LDI NRW, Kavalleriestrasse 2-4, 40213 Duesseldorf, poststelle@ldi.nrw.de
+- Herkunft: Selbstauskunft Mietinteressentin, Schufa Holding AG (B2B-API)
+- Automatisierte Entscheidung: Ja — Score 78/100 generiert durch ProspectScore Pro v3.0; Ampel ROT bedeutet Risikoklassifikation „Erhoehtes Mietausfallrisiko". Scoring-Faktoren: Schufa-Score (40% Gewichtung), Einkommenssituation (30%), Stabilitaet Anstellungsverhaeltnis (20%), Familienstatus (10%).
+
+---
+
+## 6. Parallelverfahrens-Koordination
+
+Da Dr. Tannenbruck gleichzeitig mit Felix Kaltenbach (NDR) kooperiert, sind saemtliche Auskunftsinhalte mit der PR-Strategie (s. Akte 20) abzustimmen. Keine oeffentlichen Statements ueber den Auskunftsvorgang ohne Freigabe durch RA Dr. Specht.
+
+---
+
+## Quellen
+
+- DSGVO Art. 12, 15, 22 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- Gesetz zum Schutz von Geschaeftsgeheimnissen (GeschGehG) § 14 — [dejure.org/gesetze/GeschGehG](https://dejure.org/gesetze/GeschGehG)
+- BGB §§ 241, 242 — [dejure.org/gesetze/BGB](https://dejure.org/gesetze/BGB)
+- OLG Frankfurt, Urt. v. 02.03.2022 — 6 U 270/20 (Auskunftsrecht DSGVO) — [openjur.de](https://openjur.de)
+- EuGH C-307/22 (FT gg. DW), Urt. v. 26.10.2023 (Kopienrecht Art. 15 Abs. 3 DSGVO) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0307)
@@ -0,0 +1,121 @@
+# 13 — Auskunftsersuchen Art. 15 DSGVO: Drostermann und Kaltenbach
+
+**Aktenzeichen:** intern / kein Gerichtsverfahren (noch)
+**Bearbeiter:** RAin Miriam Beckenbauer
+**Datum:** 26. Januar 2026
+**Betreff:** Hochprofil-Auskunftsersuchen: Autorin Wibke Drostermann und Journalist Felix Kaltenbach
+
+---
+
+## 1. Vorbemerkung: Hochprofil-Betroffene
+
+Neben Dr. Tannenbruck (s. Akte 12) haben zwei weitere Hochrisiko-Betroffene Auskunftsersuchen gemaess Art. 15 DSGVO gestellt, deren Bearbeitung einer gesonderten Analyse bedarf:
+
+1. **Wibke Drostermann** — Sachbuchautorin, Veroeffentlichung eines Buches ueber Diskriminierung im Mietmarkt (erscheint Maerz 2026, Rowohlt-Verlag), mit einem Kapitel ueber VermieterCheck
+2. **Felix Kaltenbach** — Wissenschaftsjournalist, NDR Panorama, recherchiert fuer eine Sendereihe ueber KI-Profiling im deutschen Mietmarkt (Sendetermin geplant Maerz 2026)
+
+Beide Personen repraesentieren ein erhebliches Reputationsrisiko fuer VCS, das ueber das rechtliche Risiko hinausgeht.
+
+---
+
+## 2. Auskunftsersuchen Wibke Drostermann
+
+### 2.1 Sachverhalt
+
+- **Name:** Wibke Drostermann
+- **Beruf:** Freie Sachbuchautorin (Wohnort: Hamburg, Mietinteressentin in Essen fuer eine Zweitwohnung)
+- **Bewerbung:** November 2024, Objekt Essen-Kettwig, Absage wegen ROT-Score (81/100)
+- **Auskunftsersuchen:** 03. Januar 2026 (schriftlich, per Einschreiben)
+- **Frist:** 03. Februar 2026 (1 Monat Art. 12 Abs. 3 DSGVO)
+- **Buchtitel (angekuendigt):** „Sortiert und abgelehnt — Wie Algorithmen entscheiden, wer einziehen darf"
+
+### 2.2 Strategie
+
+**Prioritaet:** Fristkonforme Auskunftserteilung bis spaetestens 01.02.2026.
+
+**Besonderheit:** Da Frau Drostermann ein Buch plant, in dem der Vorfall thematisiert wird, sind bei der Auskunftserteilung keine zusaetzlichen Informationen jenseits des rechtlich Gebotenen zu erteilen. Insbesondere:
+- Keine Stellungnahmen zum Verarbeitungsprozess allgemein
+- Kein Ausdruck von Bedauern, der als Schuldeingestaendnis interpretiert werden kann
+- Rechtlich korrekte, sachliche und vollstaendige Auskunft
+
+**Inhalt der Auskunft (Art. 15 Abs. 1 DSGVO):**
+- Daten: Name, Adresse, Schufa-Score (unvollstaendig — 0 Negativmerkmale, Score 720), Beruf (Autorin/freiberuflich), Haushaltseinkommen (Selbstauskunft ca. 4.200 EUR/Monat)
+- ProspectScore: 81/100 (ROT) — Hauptfaktor: Einkommensunsicherheit bei Selbststaendigkeit
+- Datenschutzbeauftragte, Beschwerderecht, Rechtsgrundlage
+
+**Moeglicher Folgekonflikt:** Frau Drostermann plant moeglicherweise, die Auskunft im Buch abzudrucken. Dies ist grundsaetzlich ihr Recht (Informationsfreiheit Art. 5 GG). VCS kann dies nicht verhindern, aber durch sachliche, rechtlich einwandfreie Auskunft das Reputationsrisiko minimieren.
+
+### 2.3 Recht auf Berichtigung / Loeschung
+
+Frau Drostermann hat gleichzeitig folgende Antraege gestellt:
+- **Art. 16 DSGVO (Berichtigung):** Der ROT-Score sei sachlich falsch — ihr Einkommen sei stabil
+- **Art. 17 DSGVO (Loeschung):** Alle ihre Daten seien zu loeschen, da keine wirksame Rechtsgrundlage
+
+**Bewertung:**
+- Art. 16: Pruefung erforderlich — Wenn der Score auf falschen Angaben beruht (z.B. Einkommen als selbststaendig niedriger bewertet als tatsaechlich), ist Berichtigung vorzunehmen
+- Art. 17: Nach Einraeumen des Verstosses gegen Art. 6 DSGVO muss die Loeschung erfolgen (Art. 17 Abs. 1 lit. d — Daten unrechtmaessig verarbeitet)
+
+---
+
+## 3. Auskunftsersuchen Felix Kaltenbach
+
+### 3.1 Sachverhalt
+
+- **Name:** Felix Kaltenbach
+- **Beruf:** Wissenschaftsjournalist, NDR Panorama (Hamburg)
+- **Funktion:** Bewirbt sich nicht selbst, sondern recherchiert professionell; fragt Auskunft im eigenen Namen als (angeblicher) Mietinteressent ab
+- **Bewerbung:** September 2024, Objekt Essen-Holsterhausen (testweise fuer Recherchezvecke)
+- **Score:** 44/100 (GRUEN) — Herr Kaltenbach selbst erzielt nur einen GRUEN-Score
+- **Auskunftsersuchen:** 05. Januar 2026 (formal per Anwalt, RA Thomas Grimmstein, Hamburg)
+- **Frist:** 05. Februar 2026
+
+### 3.2 Besondere Rechtslage: Journalistische Recherche
+
+Felix Kaltenbach hat im Rahmen eines erklaerten Recherchevorhabens (NDR Panorama) professionell eine Wohnungsbewerbung durchgefuehrt, um das Scoring-System zu testen. Dies wirft spezifische Rechtsfragen auf:
+
+**Frage 1 — Ist Kaltenbach als „Betroffener" legitimiert?**
+Ja. Auch journalistische Bewerbungen begrindet eine Betroffenenstellung nach Art. 4 Nr. 1 DSGVO (seine Daten wurden verarbeitet). Das Motiv spielt keine Rolle.
+
+**Frage 2 — Sind Auskunftsansprueche durch Pressefreiheit erweitert?**
+Nein. Art. 15 DSGVO gewaehrt dieselben Rechte wie anderen Betroffenen. Das Medienprivileg (Art. 85 DSGVO, § 23 MStV) gilt fuer Verarbeitung durch Presseunternehmen, nicht fuer ihre Ansprueche gegen Dritte.
+
+**Frage 3 — Kann VCS die Auskunft wegen des journalistischen Zwecks verweigern?**
+Nein. Eine solche Verweigerung waere rechtswidrig und wuerde die Berichterstattung verschlimmern.
+
+### 3.3 Strategie
+
+**Massnahme 1:** Auskunft fristgerecht erteilen (sachlich, vollstaendig, ohne ueberflussige Erklaerungen).
+
+**Massnahme 2:** Separate PR-Massnahme: Proaktiver Kontakt zu NDR Panorama durch Media-Relations-Experten (nicht RA Dr. Specht) mit Angebot eines Interviews ueber die bereits eingeleiteten Sanierungsmassnahmen.
+
+**Massnahme 3:** Keine rechtlichen Schritte gegen Kaltenbach oder NDR — dies wuerde als Einschuechterungsversuch gewertet und die Berichterstattung eskalieren.
+
+**Massnahme 4:** Vorbereitung einer kurzen, sachlichen Stellungnahme fuer moegliche NDR-Anfrage (Redaktionsschluss vermutlich Maerz 2026).
+
+---
+
+## 4. Vergleichende Auskunftsstrategie
+
+| Person | Frist | Prioritaet | Inhalt | Tonalitaet |
+|--------|-------|------------|--------|------------|
+| Dr. Tannenbruck | Abgelaufen — sofort | KRITISCH | Vollstaendig + Koordination mit LG Essen | Formal, kooperativ |
+| Wibke Drostermann | 03.02.2026 | HOCH | Vollstaendig, sachlich | Neutral, keine Entschuldigungen |
+| Felix Kaltenbach | 05.02.2026 | HOCH | Vollstaendig, sachlich | Neutral + PR-Vorbereitung |
+
+---
+
+## 5. Rechtliche Folgen bei Nichterteilung
+
+Gemaess Art. 83 Abs. 5 lit. b DSGVO ist die Verletzung der Betroffenenrechte (Art. 12–22 DSGVO) mit einem Bussgeld bis 20.000.000 EUR oder 4% des Jahresumsatzes bedroht.
+
+Zusaetzlich: Klage auf Auskunftserteilung (§ 15 DSGVO) — Unterlassungsklage und Schadensersatz Art. 82 DSGVO.
+
+---
+
+## Quellen
+
+- DSGVO Art. 12, 15, 16, 17, 83, 85 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- MStV § 23 (Medienprivileg) — [dejure.org/gesetze/MStV](https://dejure.org/gesetze/MStV)
+- GG Art. 5 (Pressefreiheit) — [dejure.org/gesetze/GG](https://dejure.org/gesetze/GG)
+- EuGH C-307/22 (Kopienrecht Art. 15 Abs. 3 DSGVO) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0307)
+- OLG Frankfurt 6 U 270/20 — [openjur.de](https://openjur.de)
@@ -0,0 +1,118 @@
+# 14 — HinSchG-Meldung und Whistleblower-Strategie
+
+**Aktenzeichen:** DSB-NW-44/26 (verbunden)
+**Bearbeiter:** RA Lars Drosselberg
+**Datum:** 27. Januar 2026
+**Betreff:** Analyse der HinSchG-Meldung und rechtliche Bewertung der Unternehmensstrategie
+
+---
+
+## 1. Sachverhaltsdarstellung
+
+### 1.1 Die anonyme HinSchG-Meldung
+
+Am 08. November 2025 wurde ueber den internen Hinweisgeberkanal der VermieterCheck Solutions GmbH (Whistleblowing-Portal, Software: Speakout GmbH) folgende anonyme Meldung eingereicht:
+
+**Meldungsinhalt (Zusammenfassung durch interne Meldestelle):**
+> „Seit Oktober 2022 werden Produktionsdaten von Mietinteressenten an die indische Firma Sundara Tech Pvt. Ltd. (Bengaluru) uebertragen. Es gibt weder Standarddatenschutzklauseln noch einen korrekten Auftragsverarbeitungsvertrag. Das Management weiss davon. Der DSB hat mehrfach intern gewarnt, ohne Ergebnis."
+
+**Hinweisgeber:** Anonym — aufgrund der Spezifizitaet der Informationen wahrscheinlich ein ehemaliger DevOps-Mitarbeiter (hat Zugriff auf Systemarchitektur gehabt; ausgeschieden ca. Juli 2025).
+
+### 1.2 Reaktion der internen Meldestelle
+
+Die interne Meldestelle (geleitet von Compliance-Officer Frau Patricia Hoelzken-Rabe) hat die Meldung am 12.11.2025 intern als „nicht pruefrelevant" klassifiziert und keine weiteren Massnahmen ergriffen. Eine Rueckmeldung an den Hinweisgeber ist nicht erfolgt.
+
+---
+
+## 2. Rechtsrahmen Hinweisgeberschutzgesetz (HinSchG)
+
+### 2.1 Anwendungsbereich HinSchG
+
+Das HinSchG (Hinweisgeberschutzgesetz, in Kraft seit 02. Juli 2023) setzt die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um. Es gilt fuer Beschaeftigte und ehemalige Beschaeftigte, die Informationen ueber Verstaesse, die gegen EU-Recht (einschliesslich DSGVO) verstossen, melden.
+
+**Sachlicher Anwendungsbereich § 2 HinSchG:**
+§ 2 Abs. 1 Nr. 11 HinSchG: Datenschutzrecht einschliesslich DSGVO ist ausdruecklich erfasst.
+
+**Persoenlicher Anwendungsbereich § 1 HinSchG:**
+Ehemalige Beschaeftigte sind geschuetzt (§ 1 Abs. 1 HinSchG). Anonyme Hinweisgeber koennen Schutz in Anspruch nehmen, soweit ihre Identitaet spaeter bekannt wird (§ 8 Abs. 2 HinSchG).
+
+### 2.2 Pflichten des Unternehmens nach HinSchG
+
+VCS (38 Mitarbeiter) unterliegt gemaess § 12 HinSchG (Unternehmen ab 50 Mitarbeitern) noch nicht der zwingenden Pflicht, ein internes Meldesystem einzurichten. Jedoch:
+
+- Das freiwillig eingerichtete Meldesystem unterliegt den Pflichten des § 17 HinSchG (Rueckmeldung innerhalb von 3 Monaten)
+- Die Nichtbearbeitung einer eingegangenen Meldung kann eine Pflichtverletzung darstellen
+
+**Pruefung § 12 HinSchG:** 38 Mitarbeiter liegt unter der Schwelle von 50. Daher keine Pflicht zur Einrichtung eines Meldesystems — aber das freiwillig eingerichtete System muss regelkonform betrieben werden.
+
+### 2.3 Schutz des Hinweisgebers § 36 HinSchG
+
+§ 36 Abs. 1 HinSchG verbietet Repressalien gegen Hinweisgeber. Repressalien sind alle Massnahmen oder Unterlassungen, die unmittelbar oder mittelbar durch die Meldung veranlasst werden.
+
+**Praktische Konsequenz fuer VCS:** Es darf keine Identifizierung oder Massnahmen gegen den mutmasslichen Hinweisgeber (ehem. DevOps-Mitarbeiter) eingeleitet werden.
+
+---
+
+## 3. Bewertung der Unternehmensreaktion
+
+### 3.1 Versaeumnisse
+
+| Versaeumnis | Rechtsgrundlage | Schwere |
+|-------------|----------------|---------|
+| Keine Bearbeitung der Meldung | § 17 Abs. 1 HinSchG | Mittel |
+| Keine Rueckmeldung an Hinweisgeber | § 17 Abs. 2 HinSchG (3-Monats-Frist) | Mittel |
+| Klassifizierung als „nicht pruefrelevant" ohne Pruefung | § 16 HinSchG (Pruefpflicht) | Hoch |
+| Moegliche Verschleierungsgefahr (interne Meldung ignoriert) | § 27 HinSchG (Beweislast) | Hoch |
+
+### 3.2 Ordnungswidrigkeitspotenzial
+
+§ 40 HinSchG stellt Verstoesse gegen die Pflichten der §§ 12–17 HinSchG als Ordnungswidrigkeiten unter Bussgelder von bis zu 20.000 EUR (§ 40 Abs. 3 HinSchG). Fuer VCS kommen Verstoesse gegen § 17 (Rueckmeldung) in Betracht.
+
+---
+
+## 4. Externe Meldung an LDI NRW
+
+Die LDI NRW fungiert auch als externe Meldestelle nach HinSchG fuer Datenschutzverletzungen (§ 19 HinSchG i.V.m. § 2 Abs. 1 Nr. 11 HinSchG). Der anonyme Hinweis, den die LDI NRW am 03.12.2025 erhalten hat, koennte von demselben Hinweisgeber stammen — was die parallele externe Meldung erklaert.
+
+**Konsequenz:** Die externe Meldung an LDI NRW hat das Aufsichtsverfahren DSB-NW-44/26 mitausgeloest. Dies ist rechtmaessig.
+
+---
+
+## 5. Strategie gegenueber dem mutmasslichen Hinweisgeber
+
+### 5.1 Identifizierungsverbot
+
+VCS darf keine aktiven Massnahmen zur Identifizierung des Hinweisgebers ergreifen. Insbesondere:
+- Kein Abgleich des Meldungsinhalts mit Systemzugriffsprotokollen zur Identifizierung
+- Keine Befragung ehemaliger Mitarbeiter mit dem Ziel der Identifizierung
+- Keine arbeitsrechtlichen oder zivilrechtlichen Schritte gegen identifizierte Verdaechtige ohne abgesicherten Nachweis einer Falschaussage (§ 37 HinSchG)
+
+### 5.2 Meldungsinhalt verwenden
+
+Paradoxerweise dient der Inhalt der HinSchG-Meldung als interner Aufklaerungsanlass: VCS kann und soll die Information nutzen, um die Drittlandsuebermittlung (Art. 44 DSGVO) intern zu untersuchen und zu sanieren. Dies demonstriert der LDI NRW das Vorhandensein eines internen Compliance-Systems.
+
+---
+
+## 6. Moegliche Strafanzeige durch Hinweisgeber (§ 42 BDSG)
+
+Es ist nicht auszuschliessen, dass der Hinweisgeber zusaetzlich eine Strafanzeige nach § 42 BDSG wegen der Drittlandsuebermittlung bei der StA Essen eingereicht hat. Die StA Essen fuehrt bereits ein Verfahren 12 Js 11.422/26 (hauptsaechlich wegen des GF-Verhaltens, s. Akte 15). Eine Ausdehnung auf die institutionelle Drittlandsuebermittlung ist moeglich.
+
+**Koordinationsmassnahme:** Strafverteidiger Dr. Ankermann wird ueber dieses Szenario informiert.
+
+---
+
+## 7. Handlungsempfehlungen
+
+1. **Meldungsbearbeitung nacholen:** Formale Pruefung der Meldung vom 08.11.2025 dokumentieren und rueckwirkend archivieren
+2. **Rueckmeldung:** Anonyme Rueckmeldung ueber das Whistleblowing-Portal (soweit Hinweisgeber-Postfach noch aktiv): Meldung wurde geprueft, Massnahmen eingeleitet
+3. **HinSchG-Compliance-Training:** Schulung der internen Meldestelle (Frau Hoelzken-Rabe) zu HinSchG-Pflichten
+4. **Protokolldaten:** Keine Nutzung von System-Logs zur Identifizierung des Hinweisgebers
+
+---
+
+## Quellen
+
+- HinSchG §§ 1, 2, 8, 12, 16, 17, 19, 36, 37, 40 — [dejure.org/gesetze/HinSchG](https://dejure.org/gesetze/HinSchG)
+- EU-Whistleblower-Richtlinie 2019/1937 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019L1937)
+- BDSG § 42 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- DSGVO Art. 44 ff. — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
@@ -0,0 +1,115 @@
+# 15 — Strafrechtliche Verteidigung: § 42 BDSG
+
+**Aktenzeichen:** StA Essen 12 Js 11.422/26
+**Bearbeiter:** RA Dr. Cornelius Specht (koordiniert mit Strafverteidiger RA Dr. Robert Ankermann)
+**Datum:** 28. Januar 2026
+**Betreff:** Strafverteidigung GF Schimmelpfennig-Drosthager wegen § 42 BDSG
+
+---
+
+## 1. Verfahrensgrundlagen
+
+### 1.1 § 42 BDSG — Straftatbestand
+
+§ 42 BDSG statuiert Straftatbestaende im Bereich des Datenschutzrechts:
+
+**§ 42 Abs. 1 BDSG:**
+Wer wissentlich nicht allgemein zugaengliche personenbezogene Daten einer Person in der Absicht, sich oder einen Dritten zu bereichern oder die betroffene Person zu schaedigen, unbefugt verarbeitet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
+
+**§ 42 Abs. 2 BDSG:**
+Wer die im Abs. 1 bezeichneten Daten gegen Entgelt oder in der Absicht, sich oder Dritten zu bereichern oder Dritte zu schaedigen, unbefugt verarbeitet, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
+
+**Antragsdelikt:** § 42 Abs. 3 BDSG — Die Tat wird bei § 42 Abs. 1 nur auf Antrag verfolgt (Antragsdelikt). Bei § 42 Abs. 2 handelt es sich um ein Offizialdelikt (Strafverfolgung von Amts wegen).
+
+---
+
+## 2. Tatvorwurf im Verfahren 12 Js 11.422/26
+
+### 2.1 Anklagesachverhalt (Zusammenfassung)
+
+Die StA Essen hat folgende Tatvorwuerfe formuliert:
+
+GF Karl-Heinz Schimmelpfennig-Drosthager soll in der Zeit zwischen Maerz 2023 und Dezember 2025 die in der VCS-Datenbank gespeicherten Daten von Mietinteressenten — darunter Bonitaetsauskuenfte, ProspectScores und Kontaktdaten — gezielt fuer eigene Zwecke genutzt haben, um fuer drei Wohnungen in Essen-Bredeney die idealen Mieter auszuwaehlen. Er soll Datenbankabfragen in der Produktionsumgebung persoenlich durchgefuehrt haben (IP-Adresse des GF-Notebooks identifiziert) und auf dieser Grundlage drei Mietinteressenten bevorzugt und andere abgelehnt haben.
+
+**Konkrete Vorwuerfe:**
+1. Direktabfragen der Kundendatenbank aus dem GF-Account (keine Vermittlerrolle — rein persoenliche Eigennutzung)
+2. Auswahl von Mietinteressenten nach ProspectScore und Beruf (Bevorzugung von Beamten und Festangestellten)
+3. Weitergabe der Daten an keine weiteren Personen (kein Dritter profitiert)
+
+### 2.2 Einschlaegiger Tatbestand
+
+**§ 42 Abs. 2 BDSG:** Verarbeitung mit der Absicht, sich zu bereichern. Die Eigennutzung der Plattform zur Auswahl besserer Mieter (wirtschaftlicher Vorteil: niedrigeres Mietausfallrisiko) erfuellt den Begriff der Bereicherungsabsicht.
+
+**Strafrahmen:** Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Als Offizialdelikt wird das Verfahren von Amts wegen gefuehrt.
+
+---
+
+## 3. Verteidigungsstrategie
+
+### 3.1 Bestreiten des Vorsatzes
+
+**Argument A — Fehlende Bereicherungsabsicht:**
+Die Nutzung der eigenen Unternehmensplattform fuer private Wohnungsvermietung begrindet nicht zwingend eine Bereicherungsabsicht im Sinne des § 42 BDSG. Herr Schimmelpfennig-Drosthager hat die Plattform genutzt, die er selbst entwickelt hat. Die Vermietung von Wohnungen ist eine erlaubte private Taetigkeit; die Nutzung einer eigenen Datenbank dafuer stellt subjektiv moeglicherweise keine „unbefugte" Verarbeitung im Sinne des § 42 BDSG dar.
+
+**Argument B — Tatbestandsausschlusskrafte: „Unbefugt":**
+§ 42 BDSG setzt unbefugte Verarbeitung voraus. Schimmelpfennig-Drosthager als Geschaeftsfuehrer und wirtschaftlicher Eigentuemer von VCS hat im weitesten Sinne eine Befugnis, auf die Daten zuzugreifen — jedenfalls aus seiner Sicht. Die Unbefugtheit muss ihm subjektiv bewusst gewesen sein. Dies ist zu bestreiten: Er hat moeglicherweise irrig angenommen, als GF duerfe er die Firmendaten auch privat nutzen.
+
+**Strafrechtlicher Irrtum:** Verbotsirrtum § 17 StGB — Irrtum ueber die Rechtswidrigkeit der Tat. Pruefung: Haette Schimmelpfennig-Drosthager bei zumutbarer Anstrengung die Unbefugtheit erkennen koennen? Als GF ohne juristischen Hintergrund und ohne Datenschutzberatung (DSB hatte nicht ausdruecklich auf § 42 BDSG hingewiesen): Argument fuer einen vermeidbaren Verbotsirrtum mit Strafmilderung.
+
+### 3.2 Bestreiten des Tatbestandsmerkmals „nicht allgemein zugaenglich"
+
+Die Daten in der VCS-Datenbank stammen teilweise aus oeffentlich zugaenglichen Quellen (Beruf, Familienstatus — Selbstauskunft). Nur Schufa-Daten sind klar nicht allgemein zugaenglich. Argument: Fuer Teile der Daten fehlt das Tatbestandsmerkmal.
+
+### 3.3 Prozessuale Massnahmen
+
+| Massnahme | Rechtsgrundlage | Zeitpunkt |
+|-----------|----------------|-----------|
+| Akteneinsicht | § 147 StPO | Sofort (RA Dr. Ankermann) |
+| Schweigrecht Beschuldigter | § 136 StPO | Durchgehend |
+| Antrag auf Aussetzung bei Vorfragen (DSGVO) | § 262 StPO | Ggf. nach Anklageerhebung |
+| Antrag auf Strafbefehl statt Hauptverhandlung | § 407 StPO | Bei Gestaendnis-Strategie |
+| Revision bei Verurteilung | § 333 StPO | Falls erforderlich |
+
+---
+
+## 4. Parallelverfahren und Selbstbelastungsfreiheit
+
+### 4.1 Nemo-tenetur-Grundsatz
+
+Der Beschuldigte Schimmelpfennig-Drosthager darf nicht gezwungen werden, sich im Aufsichtsverfahren (LDI NRW) oder im Zivilverfahren (VDuG) selbst zu belasten. Art. 6 EMRK, Art. 47 GRCh.
+
+**Massnahme:** Saemtliche Erklaerungen gegenueber LDI NRW werden ausschliesslich durch RA Dr. Specht abgegeben, der saemtliche strafprozessual relevanten Informationen zurueckhaelt. Der Beschuldigte persoenlich gibt keine Erklaerungen im Verwaltungsverfahren ab.
+
+### 4.2 Verwertungsverbot
+
+Erklaerungen, die Schimmelpfennig-Drosthager gegenueber der LDI NRW ohne ordnungsgemaeße Belehrung nach § 136 StPO gemacht hat, koennen im Strafverfahren einem Verwertungsverbot unterliegen. Dies ist mit RA Dr. Ankermann zu klaeren.
+
+---
+
+## 5. Sanktionsprognose
+
+| Szenario | Strafe |
+|----------|--------|
+| Gestaendnis + Kooperation + Verbotsirrtum | Geldstrafe 90–120 Tagessaetze |
+| Teilgestaendnis + Milderungsgruende | Bewaahrungsstrafe 1 Jahr auf Bewaehrung |
+| Bestreiten + Verurteilung | Freiheitsstrafe 1–2 Jahre (Bewaehrung bei erstem Taeter) |
+| Freispruch | Unklar — Beweislage ist gegen Angeklagten (IP-Logs) |
+
+**Empfehlung:** Haengt von forensischem Beweisstand ab. Nach Akteneinsicht detaillierte Bewertung.
+
+---
+
+## 6. Zivilrechtliche Absicherung
+
+Fuer den Fall einer Verurteilung nach § 42 BDSG haftet VCS als Unternehmen zivilrechtlich fuer Schaeden der Mietinteressenten, die durch die persoenliche Nutzung des GF entstanden sind (§ 31 BGB — Vertreterhaftung). Diese Haftung laesst sich nicht auf den GF persoenlich abwaelzen, solange er im Rahmen seiner Organstellung handelte.
+
+---
+
+## Quellen
+
+- BDSG § 42 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- StGB § 17 (Verbotsirrtum) — [dejure.org/gesetze/StGB](https://dejure.org/gesetze/StGB)
+- StPO §§ 136, 147, 262, 407 — [dejure.org/gesetze/StPO](https://dejure.org/gesetze/StPO)
+- EMRK Art. 6 — [dejure.org/gesetze/EMRK](https://dejure.org/gesetze/EMRK)
+- BGB § 31 — [dejure.org/gesetze/BGB](https://dejure.org/gesetze/BGB)
+- BGH, Urt. v. 20.02.2018 — 1 StR 436/17 (§ 42 BDSG alt) — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
@@ -0,0 +1,126 @@
+# 16 — Auftragsverarbeitung: AVV Sundara Tech Pvt. Ltd.
+
+**Aktenzeichen:** DSB-NW-44/26 (verbunden)
+**Bearbeiter:** RA Lars Drosselberg, RAin Miriam Beckenbauer
+**Datum:** 29. Januar 2026
+**Betreff:** Analyse des AVV mit Sundara Tech und Sanierungsplan Auftragsverarbeitungsrecht
+
+---
+
+## 1. Rechtsrahmen Auftragsverarbeitung
+
+### 1.1 Art. 28 DSGVO — Auftragsverarbeiter
+
+Art. 28 Abs. 1 DSGVO: Wenn eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt, arbeitet dieser nur mit Auftragsverarbeitern, die hinreichende Garantien dafuer bieten, dass geeignete technische und organisatorische Massnahmen so durchgefuehrt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt.
+
+Art. 28 Abs. 3 DSGVO: Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments, der oder das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.
+
+**Pflichtinhalte des AVV (Art. 28 Abs. 3 lit. a–h DSGVO):**
+- Bindung an Weisungen des Verantwortlichen
+- Vertraulichkeitspflichten
+- Geeignete technische und organisatorische Massnahmen (Art. 32 DSGVO)
+- Regelung ueber Unterauftragsverarbeiter
+- Unterstuetzung bei Betroffenenrechten
+- Loeschung oder Rueckgabe nach Auftragsende
+- Auskunfts- und Kontrollrechte
+- Nachweis der Konformitaet
+
+---
+
+## 2. Analyse des bestehenden AVV mit Sundara Tech
+
+### 2.1 Zeitlinie des AVV-Abschlusses
+
+| Datum | Ereignis |
+|-------|---------|
+| Okt 2022 | Beginn Datentransfer an Sundara Tech — **kein AVV** |
+| Dez 2023 | Abschluss eines AVV (nachtraeglich, auf Initiative von DSB Kessler-Brandt) |
+| Jan 2026 | Analyse AVV durch RA Drosselberg |
+
+**Ergebnis:** Fuer den Zeitraum Oktober 2022 bis Dezember 2023 (14 Monate) erfolgte die Verarbeitung durch Sundara Tech ohne AVV — klarer Verstoss gegen Art. 28 Abs. 3 DSGVO.
+
+### 2.2 Maeengel des AVV (Dezember 2023)
+
+Gemaess Analyse des AVV-Dokuments (Zugang erhalten 15.01.2026) bestehen folgende Maengel:
+
+| AVV-Klausel | Maengel | Bewertung |
+|-------------|---------|-----------|
+| Art. 28 Abs. 3 lit. a (Weisungsbindung) | Nur allgemeine Weisungsbindung; keine Konkretisierung fuer Produktionsdaten | Unzureichend |
+| Art. 28 Abs. 3 lit. b (Vertraulichkeit) | Vertraulichkeitspflicht vorhanden; aber kein Beendigungsprotokoll | Teiweise |
+| Art. 28 Abs. 3 lit. c (TOM Art. 32) | Verweis auf ISO 27001, aber Sundara Tech nicht zertifiziert | Unzureichend |
+| Art. 28 Abs. 3 lit. d (Unterauftragsverarbeiter) | Klausel fehlt — Sundara Tech nutzt AWS Mumbai (Drittland!) | Fehlt |
+| Art. 28 Abs. 3 lit. e (Betroffenenrechte) | Kooperationspflicht vorhanden | Ausreichend |
+| Art. 28 Abs. 3 lit. f (Loeschung) | Kein Loeschungsprotokoll; Fristen unklar | Unzureichend |
+| Art. 28 Abs. 3 lit. g (Nachweise) | Auditrecht vorhanden, aber nie ausgeuebt | Formal ausreichend |
+| Drittlandtransfer (Art. 46 DSGVO) | **SCC fehlt vollstaendig** | Fehlt vollstaendig |
+
+**Gesamtergebnis:** Der AVV ist in sechs von acht relevanten Bereichen unzureichend oder fehlerhaft. Ein vollstaendig sanierter AVV mit SCC ist zu erstellen.
+
+---
+
+## 3. Sanierungsplan AVV
+
+### 3.1 Neuabschluss eines konformen AVV
+
+Es wird empfohlen, den bestehenden AVV vollstaendig zu ersetzen durch:
+
+**Neuer AVV Sundara Tech v2.0 (Zieldokument):**
+1. Praezise Weisungsbindung fuer jeden Verarbeitungsschritt (ML-Training, Support-Zugriff, Entwicklung)
+2. Vollstaendige Vertraulichkeitsverpflichtungen inklusive Beendigungsprotokoll
+3. TOM-Anlage: Spezifische Sicherheitsanforderungen fuer Produktionsdaten (End-to-End-Verschluesselung, Zugangsbeschraenkung, Logging)
+4. Unterauftragsverarbeiter-Regelung: Sundara Tech nutzt AWS Mumbai — eigene Unterauftragsverarbeitervertrag mit AWS India erforderlich
+5. Betroffenenrechte-Prozess: Klarer Workflow fuer Weiterleitung von Auskunftsersuchen und Loeschungsantraegen
+6. Loeschungsprotokoll: Definierte Fristen und Nachweispflichten
+
+**Drittlandabsicherung:**
+7. SCC (Modul 2: Controller-to-Processor) gemaess EU-Kommissionsbeschluss 2021/914
+8. Transfer Impact Assessment (TIA) Indien
+9. Zusatzmassnahmen: Pseudonymisierung aller Trainings-Datensaetze vor Transfer
+
+### 3.2 Zeitplan
+
+| Massnahme | Verantwortlich | Frist |
+|-----------|---------------|-------|
+| Entwurf AVV v2.0 | RA Drosselberg | 10.02.2026 |
+| Abstimmung mit Sundara Tech | VCS Rechtsabteilung | 20.02.2026 |
+| TIA Indien | extern: RA Mehta & Associates | 28.02.2026 |
+| Unterzeichnung AVV v2.0 + SCC | GF VCS + Sundara Tech CEO | 05.03.2026 |
+| Loeschungsbestaetigung alte Daten | Sundara Tech | 10.03.2026 |
+
+---
+
+## 4. Haftung fuer Zeitraum ohne AVV (Okt 2022–Dez 2023)
+
+### 4.1 Haftung VCS gegenueber Betroffenen
+
+Fuer den Zeitraum ohne AVV haftet VCS als Verantwortlicher vollstaendig fuer alle Schaeden, die durch die Verarbeitung bei Sundara Tech entstanden sind. Art. 82 Abs. 2 DSGVO sieht eine verschuldensunabhaengige Haftung vor; VCS kann sich nur durch Nachweis entlasten, dass sie in keinerlei Hinsicht fuer den Schaden verantwortlich sind (Art. 82 Abs. 3 DSGVO) — was angesichts des fehlenden AVV nicht moeglich ist.
+
+### 4.2 Regress gegen Sundara Tech
+
+In dem Zeitraum ohne AVV ist Sundara Tech moeglicherweise als eigenverantwortlicher Verantwortlicher einzustufen (kein AVV = kein Weisungsverhaeltnis). Gesamtschuldnerische Haftung VCS + Sundara Tech gemaess Art. 82 Abs. 4 DSGVO ist moeglich. Der Regressanspruch VCS gegen Sundara Tech (Art. 82 Abs. 5 DSGVO) muss vertraglich gesichert werden.
+
+**Massnahme:** Einbeziehung von Regressklausel in AVV v2.0 fuer den historischen Zeitraum.
+
+---
+
+## 5. Unterauftragsverarbeiter-Kette: AWS Mumbai
+
+### 5.1 Problem
+
+Sundara Tech betreibt seine Entwicklungsinfrastruktur auf AWS Mumbai (ap-south-1 Region). Damit ergibt sich eine weitere Drittlandsuebermittlung (Indien → AWS in Indien — kein EU-Bezug). Da AWS Inc. ein US-Unternehmen ist, koennte auch US-Recht (CLOUD Act) relevant werden.
+
+### 5.2 Loesungsansatz
+
+1. AWS Mumbai als Unterauftragsverarbeiter in den AVV aufnehmen
+2. Pruefung: AWS Datenverarbeitungsnachtrag (AWS DPA) + AWS SCC — AWS stellt diese standardmaessig bereit
+3. Sicherstellung: Keine Speicherung der Produktionsdaten ausserhalb der EU/EWR ohne explizite Genehmigung
+
+---
+
+## Quellen
+
+- DSGVO Art. 28, 32, 44, 46, 82 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EU-Kommissionsbeschluss 2021/914 (SCC Modul 2) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914)
+- EDSA-Leitlinien 07/2020 (Auftragsverarbeiter) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de)
+- US CLOUD Act — [congress.gov](https://www.congress.gov/bill/115th-congress/senate-bill/2383/text)
+- OLG Duesseldorf, Urt. v. 22.03.2022 — I-15 U 2/21 (Auftragsverarbeitungsvertrag) — [openjur.de](https://openjur.de)
@@ -0,0 +1,139 @@
+# 17 — Technisch-Organisatorische Massnahmen (TOM) nach Art. 32 DSGVO
+
+**Aktenzeichen:** DSB-NW-44/26
+**Bearbeiter:** RAin Miriam Beckenbauer, externer IT-Sicherheitsberater SecureProof GmbH
+**Datum:** 30. Januar 2026
+**Betreff:** Bewertung und Sanierung der TOM bei VermieterCheck Solutions GmbH
+
+---
+
+## 1. Rechtsrahmen Art. 32 DSGVO
+
+Art. 32 Abs. 1 DSGVO verpflichtet den Verantwortlichen und den Auftragsverarbeiter, unter Beruecksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstaende und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos geeignete technische und organisatorische Massnahmen zu treffen.
+
+**Regelbeispiele Art. 32 Abs. 1 DSGVO:**
+- lit. a: Pseudonymisierung und Verschluesselung
+- lit. b: Gewaehrleistung von Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit
+- lit. c: Faehigkeit zur raschen Wiederherstellung nach Zwischenfaellen
+- lit. d: Regelmaeßige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit
+
+---
+
+## 2. Ist-Analyse der TOM bei VCS (Stand Oktober 2025)
+
+### 2.1 Infrastruktur-Sicherheit
+
+| TOM-Bereich | Ist-Zustand | Bewertung |
+|-------------|-------------|-----------|
+| Datenverschluesselung (at rest) | AWS S3-SSE (AES-256) | Ausreichend |
+| Datenverschluesselung (in transit) | TLS 1.2 (veraltet: TLS 1.3 Standard) | Unzureichend |
+| Netzwerk-Segmentierung | VPC-Subnetz vorhanden, aber Staging = Produktion | Kritisch unzureichend |
+| Zugangskontrolle | IAM-Rollen, aber GF-Account hat Admin-Vollzugriff | Mangelhaft |
+| Patchmanagement | Keine standardisierte Patch-Strategie | Mangelhaft |
+| SQL-Injection-Schutz | Fehlt (CVE-2026-0188) | Kritisch |
+| Web Application Firewall | Nicht implementiert | Mangelhaft |
+
+### 2.2 Organisatorische Massnahmen
+
+| TOM-Bereich | Ist-Zustand | Bewertung |
+|-------------|-------------|-----------|
+| Datenschutzkonzept | Veraltet (2023, nicht aktuell) | Unzureichend |
+| Schulungen Mitarbeiter | Letzte Schulung 2022 | Mangelhaft |
+| Incident-Response-Plan | Nicht vorhanden | Kritisch |
+| Zutrittskontrolle Serverraeume | Cloud (AWS) — kein physischer Server | Ausreichend |
+| Datensicherung (Backup) | Taeglich, 30 Tage Retention | Ausreichend |
+| Loeschkonzept | Nicht dokumentiert | Mangelhaft |
+| Datenschutz-Folgenabschaetzung | Nicht durchgefuehrt (s. Akte 05) | Kritisch |
+
+### 2.3 Ergebnis Ist-Analyse
+
+Von 14 geprueften TOM-Bereichen sind 4 als „Ausreichend", 5 als „Mangelhaft" und 5 als „Unzureichend/Kritisch" bewertet. Dies entspricht einem erheblichen Sicherheitsdefizit, das die Datenpanne CVE-2026-0188 erst ermoeglichte.
+
+---
+
+## 3. Soll-Konzept: Neue TOM nach Stand der Technik
+
+### 3.1 Technische Massnahmen (Prioritaet HOCH)
+
+**Massnahme 1 — SQL-Injection-Abwehr:**
+- Implementierung Prepared Statements und Parametrisierung in allen Datenbankabfragen
+- Einsatz einer Web Application Firewall (AWS WAF oder Cloudflare Enterprise)
+- Input-Validierung fuer alle API-Endpoints
+- Frist: 31.01.2026 (bereits eingeleitet, Patch fuer CVE-2026-0188 aktiv)
+
+**Massnahme 2 — TLS-Upgrade:**
+- Upgrade aller API-Verbindungen auf TLS 1.3
+- Deaktivierung TLS 1.0 und TLS 1.1
+- Zertifikatspinning fuer kritische API-Verbindungen (Sundara Tech, Schufa-API)
+- Frist: 15.02.2026
+
+**Massnahme 3 — Netzwerk-Segmentierung:**
+- Vollstaendige Trennung Staging- und Produktionsumgebung
+- Keine Echtdaten im Staging (nur synthetische Testdaten)
+- Separates VPC fuer Produktionsdatenbank
+- Frist: 28.02.2026
+
+**Massnahme 4 — Zugangskontrolle:**
+- Entzug Admin-Vollzugriff fuer GF-Account
+- Least-Privilege-Prinzip fuer alle IAM-Rollen
+- Multi-Faktor-Authentifizierung fuer alle Produktionszugaenge
+- Privileged Access Workstation (PAW) fuer Datenbankadministration
+- Frist: 07.02.2026
+
+**Massnahme 5 — Pseudonymisierung:**
+- Pseudonymisierung aller Mietinteressenten-Daten vor Transfer an Sundara Tech
+- Tokenisierung des ProspectScores (Score-Wert uebertragen, Name + Adresse bleiben in EU)
+- Frist: 14.02.2026
+
+### 3.2 Organisatorische Massnahmen (Prioritaet MITTEL)
+
+**Massnahme 6 — Incident-Response-Plan:**
+- Erstellung nach NIST Cybersecurity Framework und BSI IT-Grundschutz
+- Rollen: CISO (Tarkan Bilgic), DSB (Kessler-Brandt), Kommunikationsverantwortlicher
+- Meldeketten: 1h-Eskalation intern, 72h LDI NRW-Meldung
+- Frist: 28.02.2026
+
+**Massnahme 7 — Schulungen:**
+- Jaehrliche DSGVO-Pflichtschulung fuer alle 38 Mitarbeiter
+- Spezialschulung IT-Team zu Secure Coding und OWASP Top 10
+- E-Learning-Plattform: TuVit (DSGVO-konform)
+- Frist: 31.03.2026
+
+**Massnahme 8 — Loeschkonzept:**
+- Definition Loeschfristen pro Datenkategorie (Scoring-Daten: 24 Monate; Kontaktdaten: 36 Monate nach letzter Interaktion)
+- Automatisiertes Loeschprotokoll mit Nachweis
+- Frist: 15.02.2026
+
+---
+
+## 4. Gap-Analyse nach ISO 27001:2022
+
+| ISO-27001-Kontroll | Status | Prioritaet Sanierung |
+|-------------------|--------|---------------------|
+| A 5.3 (Informationssicherheitsrollen) | Nicht vollstaendig | HOCH |
+| A 5.24 (Informationssicherheitsvorfallsplanung) | Fehlt | KRITISCH |
+| A 5.26 (Reaktion auf Sicherheitsvorfaelle) | Fehlt | KRITISCH |
+| A 8.8 (Schwachstellenmanagement) | Fehlt (CVE-2026-0188 zeigt dies) | KRITISCH |
+| A 8.25 (Sichere Entwicklung) | Partiell | HOCH |
+| A 8.9 (Konfigurationsmanagement) | Partiell | MITTEL |
+
+---
+
+## 5. Dokumentation gegenueber LDI NRW
+
+Im Rahmen des Aufsichtsverfahrens DSB-NW-44/26 wird VCS der LDI NRW bis zum 15.03.2026 folgende TOM-Nachweise uebergeben:
+1. Aktualisiertes TOM-Dokument (Soll-Zustand nach Sanierung)
+2. Penetrationstest-Bericht SecureProof GmbH (Neu-Test nach Sanierung)
+3. Schulungsnachweise der Mitarbeiter
+4. AVV-Nachweis mit Sundara Tech inkl. SCC
+5. Nachweis Incident-Response-Plan-Implementierung
+
+---
+
+## Quellen
+
+- DSGVO Art. 32 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- ISO/IEC 27001:2022 — [iso.org](https://www.iso.org/standard/82875.html)
+- BSI IT-Grundschutz-Kompendium 2023 — [bsi.bund.de](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html)
+- OWASP Top 10 (2021) — [owasp.org](https://owasp.org/www-project-top-ten)
+- NIST Cybersecurity Framework 2.0 — [nist.gov](https://www.nist.gov/cyberframework)
@@ -0,0 +1,116 @@
+# 18 — Betroffenenrechte: Widerspruch und Loeschung
+
+**Aktenzeichen:** DSB-NW-44/26 / 18 Mass 4/26
+**Bearbeiter:** RAin Miriam Beckenbauer
+**Datum:** 31. Januar 2026
+**Betreff:** Systematische Bearbeitung von Widerspruchs- und Loeschungsantraegen
+
+---
+
+## 1. Betroffenenrechte im Ueberblick
+
+Die DSGVO gewaehrt betroffenen Personen ein umfassendes Rechtssystem gegenueber Verantwortlichen:
+
+| Recht | Artikel | Status bei VCS |
+|-------|---------|----------------|
+| Auskunftsrecht | Art. 15 | Nicht implementiert (s. Akten 12, 13) |
+| Berichtigungsrecht | Art. 16 | Nicht implementiert |
+| Loeschrecht (Recht auf Vergessenwerden) | Art. 17 | Nicht implementiert |
+| Einschraenkung der Verarbeitung | Art. 18 | Nicht implementiert |
+| Datenuebertragbarkeit | Art. 20 | Nicht implementiert |
+| Widerspruchsrecht | Art. 21 | Nicht implementiert |
+| Widerruf der Einwilligung | Art. 7 Abs. 3 | Nicht implementiert |
+
+Alle sieben Betroffenenrechte sind bei VCS technisch und organisatorisch nicht implementiert — ein schwerwiegendes Compliance-Defizit.
+
+---
+
+## 2. Widerspruchsrecht Art. 21 DSGVO
+
+### 2.1 Widerspruchsrecht bei berechtigtem Interesse (Art. 21 Abs. 1 DSGVO)
+
+Hat VCS sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) als Verarbeitungsgrundlage berufen, haben betroffene Personen das Recht, aus Gruenden, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.
+
+**Rechtsfolge:** VCS muss nach Widerspruch die Verarbeitung einstellen, es sei denn, VCS kann zwingende schutzwuerdige Gruende nachweisen, die die Interessen der betroffenen Person ueberwiegen.
+
+**Praktische Situation:** Da Art. 6 Abs. 1 lit. f DSGVO als Grundlage bereits als unzureichend bewertet wurde (s. Akte 03), waere ein Widerspruch ohnehin zurueckzuweisen — die Verarbeitung darf aus diesem Grunde gar nicht erfolgen.
+
+### 2.2 Widerspruchsrecht bei Profiling (Art. 21 Abs. 2 DSGVO)
+
+Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben oder Profiling fuer Direktwerbung durchzufuehren, so hat die betroffene Person das Recht, jederzeit Widerspruch einzulegen. Nach Widerspruch duermen die Daten fuer diese Zwecke nicht mehr verarbeitet werden.
+
+**Anwendbarkeit:** Profiling durch ProspectScore Pro dient nicht der Direktwerbung, sondern der Mietinteressentenbeurteilung. Art. 21 Abs. 2 DSGVO nicht einschlaegig. Anwendbar ist Art. 21 Abs. 1 DSGVO.
+
+---
+
+## 3. Loeschrecht Art. 17 DSGVO
+
+### 3.1 Loeschgruende
+
+| Loeschgrund | Art. 17 Abs. 1 | Anwendbar bei VCS |
+|-------------|----------------|-------------------|
+| Daten nicht mehr notwendig | lit. a | Nach Abschluss Bewerbung (wenn Vermieter Entscheidung getroffen hat) — Ja |
+| Widerruf der Einwilligung | lit. b | Ja — wenn Einwilligung als Grundlage |
+| Widerspruch Art. 21 Abs. 1 | lit. c | Ja |
+| Rechtswidrige Verarbeitung | lit. d | Ja — nach Feststellung des Art. 6-Verstosses |
+| Rechtspflicht | lit. e | Ggf. bei gesetzl. Loeschpflicht |
+
+**Ergebnis:** Gemaess Art. 17 Abs. 1 lit. d DSGVO sind saemtliche unrechtmaessig verarbeiteten Daten zu loeschen. Da die Verarbeitung ohne wirksame Rechtsgrundlage erfolgte, trifft VCS eine umfassende Loeschpflicht.
+
+### 3.2 Ausnahmen vom Loeschrecht (Art. 17 Abs. 3 DSGVO)
+
+Loeschung ist nicht verpflichtend, soweit die Verarbeitung erforderlich ist:
+- zur Ausuebung des Rechts auf freie Meinungsaesserung und Information (lit. a) — nicht einschlaegig
+- zur Erfuellung einer rechtlichen Verpflichtung (lit. b) — moeglich fuer Aufbewahrungsfristen
+- aus Gruenden des oeffentlichen Interesses (lit. c–d) — nicht einschlaegig
+- fuer die Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen (lit. e) — einschlaegig fuer Verfahrenssicherung (Beweiszwecke im laufenden Verfahren)
+
+**Konsequenz:** Im Rahmen der laufenden Verfahren (LDI NRW, VDuG, LG Essen, StA Essen) ist eine vollstaendige Loeschung bis zum Verfahrensabschluss nicht moeglich (Art. 17 Abs. 3 lit. e DSGVO — Rechtsansprueche). Die Daten sind jedoch einzuschraenken (Art. 18 DSGVO) — nur fuer Verfahrensverteidigung zugreifbar.
+
+---
+
+## 4. Datenuebertragbarkeit Art. 20 DSGVO
+
+Art. 20 DSGVO gewaehrt betroffenen Personen das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten, wenn:
+- die Verarbeitung auf Einwilligung (Art. 6 Abs. 1 lit. a) oder Vertrag (Art. 6 Abs. 1 lit. b) beruht, und
+- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
+
+**Anwendbarkeit fuer VCS:** Da die Einwilligung als unwirksam eingestuft wurde, ist Art. 20 DSGVO einschlaegig — aber die Verarbeitungsgrundlage war unwirksam. Ob Art. 20 DSGVO bei von Anfang an unwirksamer Einwilligung greift, ist rechtlich umstritten. Im Zweifel ist das Portabilitaetsrecht zu gewaehren.
+
+---
+
+## 5. Implementierungsplan Betroffenenrechte
+
+### 5.1 Technische Implementierung (Zieldatum 28.02.2026)
+
+**Online-Portal „Meine Daten" auf vermietercheck.de:**
+- Anmeldung per E-Mail-Verifizierung
+- Auskunft: Anzeige aller gespeicherten Daten (ProspectScore, Datenkategorien, Empfaenger) — JSON-Export
+- Widerspruch: One-Click-Widerspruchsformular mit Eingangsbestaetigung
+- Loeschung: Antrag mit 30-Tage-Bearbeitung und Nachweisprotokoll
+- Datenportabilitaet: Export als JSON/CSV nach Art. 20 DSGVO
+- Widerruf Einwilligung: Dedizierter Button
+
+### 5.2 Prozessimplementierung
+
+- SLA: 1-Monat-Frist Art. 12 Abs. 3 DSGVO fuer Auskunft, Berichtigung, Loeschung
+- Verlaengerungsprozess: Automatische E-Mail an Betroffenen bei Fristverlaengerung
+- Ablehnung: Schriftliche Begruendung mit Hinweis auf Beschwerderecht LDI NRW
+
+---
+
+## 6. Massenbearbeitung (VDuG-Kontext)
+
+Im Rahmen des VDuG-Verfahrens (LG Essen 18 Mass 4/26) ist zu erwarten, dass 8.200 Klaeger Loeschungsantraege stellen. Die technische Kapazitaet fuer die Massenbearbeitung ist sicherzustellen:
+- Batch-Loeschfunktionalitaet in der Datenbank implementieren
+- Loeschdokumentation fuer jede betroffene Person (Zertifikat mit Datum und Datenreferenz)
+- Kapazitaet: mindestens 500 Antraege/Woche bearbeitbar
+
+---
+
+## Quellen
+
+- DSGVO Art. 7, 12, 15, 16, 17, 18, 20, 21 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- EDSA-Leitlinien 05/2019 (Datenuebertragbarkeit) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052019-right-data-portability_de)
+- EuGH C-307/22 (Kopienrecht Art. 15 Abs. 3 DSGVO) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0307)
+- LG Frankfurt, Beschl. v. 18.09.2020 — 2-13 O 131/20 (Widerspruchsrecht Scoring) — [openjur.de](https://openjur.de)
@@ -0,0 +1,126 @@
+# 19 — ISO 27001 / TISAX: Compliance-Gap-Analyse
+
+**Aktenzeichen:** intern (Compliance-Akte)
+**Bearbeiter:** Externe Beratung SecureProof GmbH (Bochum), koordiniert RA Drosselberg
+**Datum:** 01. Februar 2026
+**Betreff:** Gap-Analyse ISO 27001:2022 und TISAX fuer VCS im Kontext der Vorfaelle
+
+---
+
+## 1. Ausgangssituation
+
+VCS befindet sich in einem laufenden ISO-27001-Zertifizierungsprozess (Auditor: TuVit GmbH, Essen, Stage-2-Audit geplant April 2026). Durch die Vorfaelle (CVE-2026-0188, Datenpanne, fehlende TOM) ist dieses Zertifizierungsprojekt gefaehrdet.
+
+TISAX (Trusted Information Security Assessment Exchange) ist fuer VCS relevant, wenn Automobilindustrie-Kunden (Vermieter mit Kfz-Lease-Hintergrund) oder potenzielle Kooperationspartner eine TISAX-Bewertung fordern. Derzeit hat VCS keine TISAX-Anforderung — es wird jedoch als Qualitaetsmerkmal fuer den Markt angestrebt.
+
+---
+
+## 2. ISO 27001:2022 — Gap-Analyse
+
+### 2.1 Kontext der Organisation (Kapitel 4)
+
+| Anforderung | Status | Massnahme |
+|-------------|--------|-----------|
+| 4.1 Verstehen der Organisation | Partiell (SWOT vorhanden, aber veraltet) | Aktualisieren |
+| 4.2 Anforderungen interessierter Parteien | Fehlt (Kunden, Regulatoren nicht systematisch erfasst) | Erstellen |
+| 4.3 ISMS-Anwendungsbereich | Definiert (Cloud: AWS eu-central-1) | Ausreichend |
+| 4.4 ISMS und seine Prozesse | Unvollstaendig (keine vollstaendige Prozessdokumentation) | Ergaenzen |
+
+### 2.2 Fuehrung (Kapitel 5)
+
+| Anforderung | Status | Massnahme |
+|-------------|--------|-----------|
+| 5.1 Fuehrung und Verpflichtung | Nicht dokumentiert (GF hat DSFA ignoriert) | Sicherheitserklarung GF |
+| 5.2 Informationssicherheitspolitik | Vorhanden (2022) | Aktualisieren |
+| 5.3 Rollen und Verantwortlichkeiten | Partiell (kein CISO formell ernannt) | CISO-Ernennung |
+
+### 2.3 Unterstützung (Kapitel 7)
+
+| Anforderung | Status | Massnahme |
+|-------------|--------|-----------|
+| 7.2 Kompetenz | Schulungen nicht dokumentiert | Schulungsnachweise |
+| 7.3 Bewusstsein | Kein Awareness-Programm | Awareness-Kampagne |
+| 7.4 Kommunikation | Interne IS-Kommunikation fehlt | Policy-Kommunikation |
+
+### 2.4 Betrieb (Kapitel 8)
+
+| Anforderung | Status | Massnahme |
+|-------------|--------|-----------|
+| 8.1 Betriebsplanung | Partiell | Ergaenzen |
+| 8.2 Risikobeurteilung | Nicht jaehrlich durchgefuehrt | Jaehrlicher Zyklus |
+| 8.3 Risikobehandlung | Keine dokumentierten Massnahmen zu Risiken | Risikobehandlungsplan |
+
+### 2.5 Leistungsbewertung (Kapitel 9)
+
+| Anforderung | Status | Massnahme |
+|-------------|--------|-----------|
+| 9.1 Ueberwachung und Messung | Fehlt (kein KPI-System fuer IT-Sicherheit) | KPI-Set definieren |
+| 9.2 Internes Audit | Kein internes Audit durchgefuehrt | Audit-Programm |
+| 9.3 Managementbewertung | Fehlt | Jaehrliches Review |
+
+### 2.6 Annex A Kontrollen (Auswahl kritischer Luecken)
+
+| Kontrolle | Beschreibung | Status |
+|-----------|-------------|--------|
+| A 5.23 | Informationssicherheit fuer Cloud-Dienste | Partiell |
+| A 5.24 | Vorfallsmanagement-Planung | **Fehlt** |
+| A 5.26 | Reaktion auf Vorfaelle | **Fehlt** (CVE-2026-0188 zeigt dies) |
+| A 5.30 | IKT-Bereitschaft fuer Betriebskontinuitaet | Fehlt |
+| A 8.8 | Schwachstellenmanagement | **Fehlt** (SQL-Injection nicht erkannt) |
+| A 8.25 | Sicherheit im Entwicklungslebenszyklus | Partiell |
+| A 8.29 | Sicherheitstests in der Entwicklung | Unzureichend (kein SAST/DAST im CI/CD) |
+
+---
+
+## 3. TISAX-Anforderungen (VDA ISA 6.0)
+
+Fuer den Fall einer kuenftigen TISAX-Anforderung:
+
+| TISAX-Assessment-Ziel | Relevanz fuer VCS | Prueftiefe |
+|-----------------------|------------------|------------|
+| Information Security (AL 2) | Hoch (Kundendaten in SaaS-Plattform) | Standard |
+| Prototype Protection (AL 3) | Nicht einschlaegig | - |
+| Data Protection | Hoch (DSGVO-Bezug) | Erweitert |
+
+**Empfehlung:** TISAX-Assessment erst nach vollstaendiger ISO-27001-Zertifizierung anstreben (Synergieeffekte). Zieldatum: Q1 2027.
+
+---
+
+## 4. Auswirkungen auf ISO-Zertifizierungsprojekt
+
+### 4.1 Non-Conformities (Nicht-Konformitaeten)
+
+Aus den identifizierten Luecken ergeben sich folgende Non-Conformities, die im Stage-2-Audit zur Feststellung oder sogar zur Versagung der Zertifizierung fuehren koennen:
+
+| Non-Conformity | Schwere | Zeitrahmen Behebung |
+|----------------|---------|---------------------|
+| Kein Vorfallsmanagementprozess (A 5.24, A 5.26) | Major NC | bis 15.03.2026 |
+| Kein Schwachstellenmanagement (A 8.8) | Major NC | bis 28.02.2026 |
+| Kein internes Audit | Major NC | bis 31.03.2026 |
+| Schulungen nicht dokumentiert (7.2) | Minor NC | bis 15.03.2026 |
+| Kein CISO ernannt | Minor NC | bis 14.02.2026 |
+
+### 4.2 Massnahmen zur Aufrechterhaltung des Zertifizierungsprojekts
+
+1. **Sofort (bis 07.02.2026):** CISO-Ernennung (Tarkan Bilgic als interimistischer CISO)
+2. **Kurzfristig (bis 28.02.2026):** Vorfallsmanagementprozess dokumentiert und implementiert
+3. **Kurzfristig (bis 28.02.2026):** Schwachstellenscan und Patching-Policy
+4. **Mittelfristig (bis 31.03.2026):** Internes Audit durchgefuehrt, Massnahmen dokumentiert
+
+---
+
+## 5. Bedeutung fuer Bussgeldverfahren (LDI NRW)
+
+Der Nachweis einer ISO-27001-Zertifizierung (oder zumindest eines fortgeschrittenen Zertifizierungsprozesses) kann als Milderungsgrund im Bussgeldbescheidsverfahren wirken (Art. 83 Abs. 2 lit. j DSGVO: Einhaltung eines genehmigten Verhaltenskodex oder eines Zertifizierungsmechanismus).
+
+**Empfehlung:** Einreichung eines Statusberichts ueber den ISO-27001-Prozess und die Non-Conformity-Behebung als Anlage zur Stellungnahme an LDI NRW.
+
+---
+
+## Quellen
+
+- ISO/IEC 27001:2022 — [iso.org](https://www.iso.org/standard/82875.html)
+- VDA ISA 6.0 (TISAX-Anforderungskatalog) — [enx.com](https://www.enx.com/de-DE/TISAX)
+- DSGVO Art. 32, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- BSI IT-Grundschutz — [bsi.bund.de](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html)
+- OWASP ASVS 4.0 (Application Security Verification Standard) — [owasp.org](https://owasp.org/www-project-application-security-verification-standard)
@@ -0,0 +1,154 @@
+# 20 — Prozessstrategie und Gesamtkoordination
+
+**Aktenzeichen:** alle VCS-Aktenzeichen
+**Bearbeiter:** RA Dr. Cornelius Specht (federfuehrend)
+**Datum:** 03. Februar 2026
+**Betreff:** Gesamtstrategie und Koordination saemtlicher Verfahren
+
+---
+
+## 1. Verfahrenslandkarte
+
+Die Mandantin VCS befindet sich gleichzeitig in vier Hauptverfahren mit unterschiedlichen Rechtsnatur, Gegner und strategischen Konsequenzen:
+
+```
+VCS-Mandatsstruktur (Stand 03.02.2026)
+
+VERWALTUNGSRECHT          ZIVILRECHT              STRAFRECHT
+─────────────────         ──────────              ──────────
+LDI NRW                   LG Essen                StA Essen
+DSB-NW-44/26              18 Mass 4/26            12 Js 11.422/26
+                          (VDuG-Sammelklage)
+Aufsichtsverfahren        4 O 244/26              § 42 BDSG
+Art. 58 DSGVO             (Tannenbruck)           Beschuldigter: GF
+
+Behoerde: LDI NRW         Klaeger: VZ NRW +       Verfahren: Offizialdel.
+Risiko: Bussgeld          Dr. Tannenbruck         Risiko: Freiheitsstrafe
+bis 20 Mio. EUR           Risiko: 12.300.000 EUR  GF persoenlich
+```
+
+---
+
+## 2. Strategische Leitlinien
+
+### 2.1 Primaerziel: Unternehmenserhalt
+
+Das primaere Ziel der Gesamtstrategie ist der wirtschaftliche Fortbestand von VCS. Ein Bussgeld von mehr als 3-4 Mio. EUR wuerde bei einem Jahresumsatz von ca. 4 Mio. EUR zur Insolvenz fuehren. Daher gilt:
+
+**Goldene Regel:** Jede Massnahme wird zuerst auf ihre Auswirkung auf das Bussgeldbemessungsverfahren geprueft. Kooperation mit LDI NRW hat hoechste Prioritaet.
+
+### 2.2 Sekundaerziel: Schadensminimierung im Zivilrecht
+
+Das Gesamtrisiko der Sammelklage (12.3 Mio. EUR) ist durch Vergleichsstrategie auf unter 1 Mio. EUR zu reduzieren.
+
+### 2.3 Tertiaerziel: Strafverfahren — kein Haftantritt
+
+Fuer den GF Schimmelpfennig-Drosthager ist das Ziel ein Strafbefehl oder Bewaehrungsstrafe, kein Haftantritt.
+
+---
+
+## 3. Verfahrenskoordination
+
+### 3.1 Zeitachse und kritische Pfade
+
+```
+Jan 2026    Feb 2026    Mrz 2026    Apr 2026    Mai 2026
+────────────────────────────────────────────────────────
+                                    
+DSFA Kick-  DSFA        Stellungn.  ISO Audit   Vergleich
+off         fertig      LDI NRW     Stage-2     VDuG?
+|           |           |           |           |
+Auskunft    SCC         Klageerwid. Bussgeld?   Verfahren?
+Tannenbr.   Sundara     VDuG        LDI NRW
+```
+
+**Kritischer Pfad 1 — LDI NRW:**
+Stellungnahme 28.02.2026 → LDI-Pruefung ca. 3 Monate → Bescheid ca. Juni 2026.
+
+**Kritischer Pfad 2 — VDuG:**
+Klageerwiderung 15.03.2026 → Feststellungsurteil ca. 12-18 Monate (komplexes Massenverfahren).
+
+**Kritischer Pfad 3 — StA Essen:**
+Akteneinsicht Feb 2026 → Anklageerhebung? → Hauptverhandlung ca. Herbst 2026.
+
+### 3.2 Informationsfluss-Steuerung
+
+Saemtliche oeffentlichen Kommunikationsakte von VCS werden zentriert durch RA Dr. Specht koordiniert:
+
+| Kommunikationskanal | Verantwortlich | Freigabe durch |
+|---------------------|---------------|----------------|
+| Erklaerungen LDI NRW | RA Dr. Specht | RA Dr. Specht |
+| Schriftsaetze LG Essen | RAin Beckenbauer | RA Dr. Specht |
+| Strafverfahren StA Essen | RA Dr. Ankermann | RA Dr. Ankermann |
+| Presseanfragen NDR/Buch | PR-Beratung (Mediator GmbH) | RA Dr. Specht |
+| Auskunftsersuchen Betroffene | DSB Kessler-Brandt | RA Dr. Specht |
+| Mitarbeiterkommunikation | GF (nach Freigabe) | RA Dr. Specht |
+
+### 3.3 Wechselwirkungen und Risiken
+
+| Massnahme A | Wechselwirkung | Risiko |
+|-------------|----------------|--------|
+| Vollgestaendnis bei LDI NRW | Stiftet Beweise fuer VDuG-Klaeger | HOCH |
+| Laengeres Schweigen bei LDI NRW | Kein Kooperations-Milderungsgrund | HOCH |
+| GF Aussage im Strafverfahren | Selbstbelastung im DSGVO-Verfahren | KRITISCH |
+| Vergleich VDuG | Kann als Schuldanerkenntnis gewertet werden (Formulierung beachten) | MITTEL |
+| NDR-Interview | Falsche Aussagen = neues Risiko | HOCH |
+
+---
+
+## 4. PR-Kommunikationsstrategie
+
+### 4.1 Medienumfeld
+
+- NDR Panorama plant eine Sendung ueber KI-Profiling im Mietmarkt (Felix Kaltenbach)
+- Wibke Drostermann: Buch erscheint Maerz 2026 bei Rowohlt
+- Dr. Tannenbruck: Wissenschaftliche Veroeffentlichung zur algorithmischen Diskriminierung geplant
+
+### 4.2 Kommunikationsprinzipien
+
+**Prinzip 1 — Proaktive Transparenz mit Mass:** Freiwillige Kommunikation ueber bereits eingeleitete Massnahmen, ohne Sachverhalte zu schaffen, die noch Gegenstand laufender Verfahren sind.
+
+**Prinzip 2 — Keine oeffentliche Schuldanerkenntnis:** Formulierungen wie „wir bedauern den Vorfall" statt „wir erkennen den Verstoss an".
+
+**Prinzip 3 — Menschliches Gesicht:** GF Schimmelpfennig-Drosthager kommuniziert persoenlich (nach Freigabe) Sanierungsmassnahmen. Kein Verstecken hinter Unternehmensprosa.
+
+**Prinzip 4 — Kein Angriff auf Journalisten/Betroffene:** Keine oeffentliche Auseinandersetzung mit Kaltenbach, Drostermann oder Tannenbruck.
+
+### 4.3 Geplante PR-Massnahme (Zeitpunkt: nach Einreichung Stellungnahme LDI NRW)
+
+Pressemitteilung: „VermieterCheck staerkt Datenschutz — Umfassende Compliance-Offensive eingeleitet"
+- Massnahmen benennen (DSFA, SCC, Betroffenenportal)
+- Keine konkreten Verfahrensaussagen
+- Freigabe: RA Dr. Specht
+
+---
+
+## 5. Mandatsinterne Koordinationstreffen
+
+| Termin | Thema | Teilnehmer |
+|--------|-------|------------|
+| 05.02.2026 | Gesamtstrategie-Review | SBD-Team + GF VCS + DSB |
+| 12.02.2026 | DSFA-Status | RAin Beckenbauer + Kessler-Brandt |
+| 19.02.2026 | Stellungnahme LDI NRW (Entwurf) | RA Dr. Specht + VCS-GF |
+| 26.02.2026 | Klageerwiderung VDuG (Entwurf) | RAin Beckenbauer + VCS-GF |
+| 05.03.2026 | StA-Koordination | RA Dr. Specht + RA Dr. Ankermann |
+
+---
+
+## 6. Dokumentationspflichten
+
+Im Rahmen der anwaltlichen Sorgfaltspflicht (§ 11 BORA) und fuer Regressabsicherung sind alle Beratungs- und Verfahrenshandlungen vollstaendig zu dokumentieren:
+- Jedes Mandantengespraech: Protokoll (elektronisch, DSGVO-konform verschluesselt)
+- Alle Fristen: Fristenkalender in DATEV Anwalt online
+- Alle Schriftsaetze: Versionsverwaltung mit Git in der Kanzlei-IT
+- Alle Korrespondenzen mit LDI NRW und Gerichten: Beglaubigte Kopien
+
+---
+
+## Quellen
+
+- DSGVO Art. 58, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- VDuG — [dejure.org/gesetze/VDuG](https://dejure.org/gesetze/VDuG)
+- BDSG § 42 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- BORA § 11 (Dokumentationspflichten) — [brak.de](https://www.brak.de)
+- VwGO §§ 42, 68, 80 — [dejure.org/gesetze/VwGO](https://dejure.org/gesetze/VwGO)
@@ -0,0 +1,114 @@
+# 21 — Verfassungsbeschwerde-Skizze gegen Bussgeldbescheid
+
+**Aktenzeichen:** DSB-NW-44/26 (Voraussetzung: Erschoepfung des Rechtswegs)
+**Bearbeiter:** RA Dr. Cornelius Specht
+**Datum:** 05. Februar 2026
+**Betreff:** Verfassungsrechtliche Pruefung eines moeglichen Bussgeldbescheids der LDI NRW
+
+---
+
+## 1. Vorbemerkung
+
+Die vorliegende Skizze prueft prospektiv, ob und unter welchen Voraussetzungen gegen einen Bussgeldbescheid der LDI NRW (DSB-NW-44/26) eine Verfassungsbeschwerde nach Art. 93 Abs. 1 Nr. 4a GG i.V.m. §§ 90 ff. BVerfGG zulassig und begruendet waere. Die Skizze setzt voraus, dass der Rechtsweg (Widerspruch, VG Duesseldorf, OVG NRW, BVerwG) erschoepft ist (§ 90 Abs. 2 BVerfGG).
+
+**Wichtiger Hinweis:** Diese Verfassungsbeschwerde ist ein ultima-ratio-Mittel. Die Kanzlei SBD empfiehlt primaer eine aussergerichtliche Einigung mit LDI NRW oder einen Vergleich auf Widerspruchsebene.
+
+---
+
+## 2. Zulassigkeitsvoraussetzungen
+
+### 2.1 Beschwerdefaehigkeit (§ 90 Abs. 1 BVerfGG)
+
+Eine Verfassungsbeschwerde koennen jede Person geltend machen, die behauptet, durch die oeffentliche Gewalt in einem Grundrecht verletzt zu sein. Juristische Personen des Privatrechts sind beschwerdebefugt, soweit Grundrechte ihrem Wesen nach auf diese anwendbar sind (Art. 19 Abs. 3 GG).
+
+**VCS ist beschwerdefaehig** hinsichtlich:
+- Art. 12 Abs. 1 GG (Berufsfreiheit) — wirtschaftliche Existenz
+- Art. 14 Abs. 1 GG (Eigentumsgarantie) — Vermoegenspositionen
+- Art. 2 Abs. 1 GG i.V.m. Art. 19 Abs. 3 GG (allgemeine Handlungsfreiheit)
+- Art. 103 Abs. 2 GG (Bestimmtheitsgrundsatz bei Sanktionen)
+
+### 2.2 Beschwerdegegenstand
+
+Gegenstand: Hoheitlicher Bussgeldbescheid der LDI NRW als Massnahme oeffentlicher Gewalt.
+
+### 2.3 Beschwerdebefugnis
+
+VCS muss moegliche und gegenwaerige Grundrechtsverletzung behaupten. Bei einem existenzgefaehrdenden Bussgeld ist dies bei einem Jahresumsatz von 4 Mio. EUR ohne weiteres darzulegen.
+
+### 2.4 Rechtswegerschoepfung (§ 90 Abs. 2 BVerfGG)
+
+Erschoepfung erfordert:
+1. Widerspruch gegen Bussgeldbescheid bei LDI NRW (§ 68 VwGO)
+2. Klage vor VG Duesseldorf (§ 42 VwGO)
+3. Berufung vor OVG NRW (§ 124 VwGO)
+4. Revision vor BVerwG (§ 132 VwGO) — soweit zugelassen
+
+---
+
+## 3. Begruendetheit: Potenzielle Grundrechtsverletzungen
+
+### 3.1 Art. 12 Abs. 1 GG — Verletzung der Berufsfreiheit
+
+**Argument:** Art. 12 Abs. 1 GG schuetzt die Berufsausuebung gegenueber staatlichen Einschraenkungen. Ein Bussgeld, das die wirtschaftliche Existenz des Unternehmens gefaehrdet oder vernichtet, stellt einen Eingriff in die Berufsfreiheit dar, der einer Verhaeltnismaessigkeitspruefung standhalten muss.
+
+**Dreistufentest (BVerfGE 7, 377 — Apotheken-Urteil):**
+- Stufe 1 — Berufsausuebungsregeln: Bussgeld als Reaktion auf Berufsausuebung — Eingriff auf Stufe 1
+- Gerechtfertigt durch: Vernuenftige Erwaegungen des Allgemeinwohls (Datenschutz)
+- Verhaeltnismaessigkeit: Ein Bussgeld von 20 Mio. EUR bei einem Jahresumsatz von 4 Mio. EUR ist offensichtlich unverhaeltnismaessig
+
+**Argument:** Bei Art. 83 DSGVO ist der prozentuale Umsatzanteil (4%) die verfassungsrechtlich gebotene Berechnungsregel fuer KMU, nicht der absolute Hoechstbetrag von 20 Mio. EUR. Eine Anwendung des absoluten Hoechstbetrags auf ein KMU ohne spezifische Begruendung verletzt Art. 12 GG.
+
+### 3.2 Art. 103 Abs. 2 GG — Nulla poena sine lege certa
+
+**Argument:** Art. 103 Abs. 2 GG verlangt hinreichende Bestimmtheit der Bussgeldsanktionen. Art. 83 DSGVO ermachtigt die Behoerde zu einem weiten Ermessen (0 bis 20 Mio. EUR oder 0 bis 4%). Dieses weite Ermessen kann — ohne ausdrueckliche Gesetzgebungsakt des deutschen Parlaments — verfassungsrechtlich bedenklich sein.
+
+**Gegenargument (LDI NRW):** Art. 83 DSGVO ist unmittelbar geltendes EU-Recht (EUV Art. 288). Nationale Grundrechte werden durch das Grundgesetz-Konzept des Anwendungsvorrangs des EU-Rechts (Solange-Rechtsprechung, BVerfGE 73, 339) eingeschraenkt.
+
+**Erwiderung VCS:** Die Solange-Doktrin gilt nicht schrankenlos. BVerfG hat in BVerfGE 126, 286 (Honeywell) und BVerfG 2 BvR 1685/14 (PSPP-Urteil) bestaetigt, dass ultra-vires-Handlungen und Verletzung des verfassungsidentitaeren Kerns pruefbar bleiben. Ein Bussgeld, das eine Unternehmen vernichtet, ohne individuellen Vorsatz, tangt als ultra-vires.
+
+### 3.3 Art. 14 Abs. 1 GG — Eigentumsgarantie
+
+**Argument:** Das Unternehmensvermogen und eingerichtete Gewerbebetrieb sind durch Art. 14 GG geschuetzt. Ein vernichtend hohes Bussgeld, das die Ueberschuldung oder Insolvenz bewirkt, stellt eine unverhaeltnismaessige Inhalts- und Schrankenbestimmung dar (BVerfGE 100, 226 — Denkmalschutz).
+
+### 3.4 Unionsrechtliche Dimension: Verhaeltnismaessigkeit (Art. 49 GRCh)
+
+Art. 49 Abs. 3 GRCh: Das Mass der Strafe muss zur Straftat in einem angemessenen Verhaeltnis stehen. Der EuGH hat in C-807/21 (Deutsche Wohnen) die Verhaeltnismaessigkeitspruefung bei DSGVO-Bussgeldern bestaetigt. Ein nationales Gericht (VG Duesseldorf) kann/muss den EuGH um Vorabentscheidung ersuchen, falls Verhaeltnismaessigkeitsfragen unklar sind (Art. 267 AEUV).
+
+---
+
+## 4. Prozessuale Strategie
+
+### 4.1 Primaer: Vorabentscheidungsersuchen EuGH
+
+Beim VG Duesseldorf (oder OVG NRW) wird ein Vorabentscheidungsersuchen gemaess Art. 267 AEUV angestrebt, um folgende Fragen klaeren zu lassen:
+- Darf Art. 83 DSGVO so ausgelegt werden, dass der absolute Betrag (20 Mio. EUR) auch bei KMU mit sehr viel niedrigerem Jahresumsatz angewendet wird?
+- Ist bei fehlender Absicht und vollstaendiger Kooperation ein Bussgeld nahe des Maximalbetrags verhaeltnismaessig (Art. 49 GRCh)?
+
+### 4.2 Sekundaer: Verfassungsbeschwerde BVerfG
+
+Sollte der EuGH-Weg nicht zum Erfolg fuehren, wird Verfassungsbeschwerde eingelegt mit dem Antrag:
+- Den Bussgeldbescheid und die bestaetigenden Gerichtsentscheidungen aufzuheben
+- Festzustellen, dass Art. 83 Abs. 5 DSGVO in seiner Anwendung auf KMU ohne individuelle Verhaeltnismaessigkeitspruefung Art. 12, 14 GG verletzt
+
+---
+
+## 5. Erfolgsaussichten
+
+| Rechtsbehelf | Erfolgswahrscheinlichkeit | Anmerkung |
+|-------------|--------------------------|-----------|
+| Widerspruch + VG Duesseldorf | 30–40% (Reduzierung Bussgeld) | Realistisches Ziel |
+| OVG / BVerwG (Revision) | 15–25% (Grundsaetzliche Klrung) | Langwierig |
+| Vorabentscheidung EuGH | 20–30% (Guenstiges Urteil) | Zeitaufwendig |
+| Verfassungsbeschwerde BVerfG | 5–10% (Zulassung) | Ultima ratio |
+
+---
+
+## Quellen
+
+- GG Art. 12, 14, 19, 103 — [dejure.org/gesetze/GG](https://dejure.org/gesetze/GG)
+- BVerfGG §§ 90 ff. — [dejure.org/gesetze/BVerfGG](https://dejure.org/gesetze/BVerfGG)
+- BVerfGE 7, 377 (Apotheken-Urteil) — [bundesverfassungsgericht.de](https://www.bundesverfassungsgericht.de)
+- BVerfGE 73, 339 (Solange II) — [bundesverfassungsgericht.de](https://www.bundesverfassungsgericht.de)
+- EuGH C-807/21 (Deutsche Wohnen) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0807)
+- GRCh Art. 49 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:12012P/TXT)
+- AEUV Art. 267 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:12016E267)
@@ -0,0 +1,138 @@
+# 22 — Abschlussbericht und Handlungsempfehlungen
+
+**Aktenzeichen:** alle VCS-Aktenzeichen
+**Bearbeiter:** RA Dr. Cornelius Specht (federfuehrend)
+**Datum:** 07. Februar 2026
+**Betreff:** Gesamtabschluss Erstanalyse und Handlungsempfehlungen
+
+---
+
+## 1. Zusammenfassung der Ausgangslage
+
+Die VermieterCheck Solutions GmbH (VCS) sieht sich einer beispiellosen datenschutzrechtlichen Krisensituation gegenueber, die in ihrer Kumulation juristisch als existenzbedrohend einzustufen ist:
+
+| Verfahrens-/Risikokomplex | Finanzielles Risiko | Rechtsnatur |
+|---------------------------|---------------------|-------------|
+| Bussgeldbescheid LDI NRW Art. 83 DSGVO | bis 20.000.000 EUR | Verwaltungsrecht |
+| VDuG-Sammelklage 8.200 Betroffene | 12.300.000 EUR | Zivilrecht |
+| Strafverfahren GF § 42 BDSG | Freiheitsstrafe bis 3 Jahre | Strafrecht |
+| Einzelklage Tannenbruck | 1.500 EUR zzgl. Kosten | Zivilrecht |
+| Reputationsschaden (NDR, Buch) | Unquantifiziert | Geschaeftlich |
+| **Gesamtexposure (theoretisch)** | **> 32.000.000 EUR** | |
+
+Das tatsaechliche Exposure nach erfolgreicher Verteidigung wird auf 1.000.000 bis 5.000.000 EUR geschaetzt (s. Bussgeldbemessung Akte 09, Vergleichsstrategie VDuG Akte 11).
+
+---
+
+## 2. Rechtliche Bewertungen — Kernbefunde
+
+### 2.1 Klare Rechtsverstoesse (nicht bestreitbar)
+
+1. **Art. 6 DSGVO:** Verarbeitung ohne wirksame Rechtsgrundlage — Einwilligung durch Koppelung und Unvollstaendigkeit unwirksam (s. Akte 03)
+2. **Art. 22 DSGVO:** Unzulaessige automatisierte Einzelentscheidung — HITL fehlt, Ausnahmen nicht erfullt (s. Akte 04)
+3. **Art. 35 DSGVO:** DSFA nicht durchgefuehrt trotz offensichtlicher Pflicht (s. Akte 05)
+4. **Art. 44 ff. DSGVO:** Drittlandtransfer an Sundara Tech ohne SCC (s. Akte 06)
+5. **Art. 33 DSGVO:** 72h-Meldepflicht versaeumt (s. Akte 07)
+6. **Art. 28 DSGVO:** AVV mit Sundara Tech fuer 14 Monate nicht vorhanden; bestehendes AVV mangelhaft (s. Akte 16)
+
+### 2.2 Verteidigungspositionen (bestrittig)
+
+1. **Bussgeldbemessung Art. 83:** Verhaeltnismaessigkeitspruefung — KMU-Abschlag, keine Absicht, Kooperation (s. Akte 09)
+2. **Art. 82 Bagatellgrenze:** Kein tatsaechlicher Schaden fuer Segmente C und D (s. Akte 11)
+3. **§ 42 BDSG Vorsatz:** Verbotsirrtum, fehlende Bereicherungsabsicht (s. Akte 15)
+4. **Art. 83 GRCh / VfB:** Verhaeltnismaessigkeitspruefung auf EU-/Verfassungsebene (s. Akte 21)
+
+---
+
+## 3. Priorisierte Handlungsempfehlungen
+
+### Sofortmassnahmen (bis 15.02.2026)
+
+**Prioritaet KRITISCH:**
+
+1. **Datenpanne-Meldung nacholen (Art. 33 DSGVO):** Sofortiger Eingang der Meldung bei LDI NRW mit vollstaendiger Schadensdarstellung. Jeder weitere Tag des Versaeumnisses verschlimmert die Bussgeldbemessung.
+   - Verantwortlich: RA Dr. Specht
+   - Frist: 10.02.2026
+
+2. **Auskunft Dr. Tannenbruck erteilen:** Fristerstreckung bei LG Essen beantragen und Auskunft innerhalb von 7 Tagen erteilen.
+   - Verantwortlich: RAin Beckenbauer + DSB Kessler-Brandt
+   - Frist: 12.02.2026
+
+3. **Datentransfer Sundara Tech stoppen:** Kein weiterer Datentransfer bis SCC unterzeichnet.
+   - Verantwortlich: DevOps-Leiter Bilgic
+   - Frist: Sofort (bereits angeordnet 14.01.2026)
+
+4. **Patching CVE-2026-0188:** Produktiver Patch live und verifiziert durch SecureProof.
+   - Verantwortlich: DevOps-Team
+   - Frist: Bereits eingespielt (24.11.2025); Verifikation 10.02.2026
+
+5. **Betroffenenbenachrichtigung Art. 34 DSGVO:** Brief und E-Mail an 142.300 betroffene Mietinteressenten mit Information ueber Datenpanne.
+   - Verantwortlich: DSB Kessler-Brandt + externe Kommunikationsagentur
+   - Frist: 15.02.2026
+
+### Kurzfristige Massnahmen (bis 28.02.2026)
+
+6. **DSFA fertigstellen (Art. 35 DSGVO):** Vollstaendige DSFA-Dokumentation fuer ProspectScore Pro, anschliessend Vorabkonsultation LDI NRW (Art. 36 DSGVO).
+
+7. **Auskunftsersuchen Drostermann und Kaltenbach beantworten** (Art. 15 DSGVO, Fristen 03.02. und 05.02.2026).
+
+8. **SCC mit Sundara Tech abschliessen:** Modul 2 Controller-to-Processor, inklusive TIA.
+
+9. **Stellungnahme LDI NRW einreichen:** Vollstaendige kooperative Stellungnahme zu DSB-NW-44/26 mit Sanierungsnachweis.
+
+### Mittelfristige Massnahmen (bis 31.03.2026)
+
+10. **HITL-Implementierung:** Human-in-the-Loop fuer ProspectScore Pro, Testphase und Dokumentation.
+
+11. **Betroffenenportal:** Online-Portal fuer Auskunft, Widerspruch, Loeschung, Datenportabilitaet.
+
+12. **Klageerwiderung VDuG:** Schriftsatz LG Essen 18 Mass 4/26 mit vollstaendiger Verteidigungsstrategie und Vergleichsangebot.
+
+13. **Schulungen:** Alle 38 Mitarbeiter DSGVO-Pflichtschulung, IT-Team Secure-Coding.
+
+14. **Loeschkonzept implementieren:** Automatisiertes Loeschprotokoll fuer alle Datenkategorien.
+
+---
+
+## 4. Kostenprognose Rechtsvertretung
+
+| Leistung | Geschaetzte Kosten (netto) |
+|----------|--------------------------|
+| Verwaltungsverfahren LDI NRW | 45.000 – 60.000 EUR |
+| Zivilverfahren VDuG + Tannenbruck | 80.000 – 120.000 EUR |
+| Strafverfahren (RA Dr. Ankermann) | 40.000 – 70.000 EUR |
+| Beratung (DSFA, TOM, SCC) | 30.000 – 50.000 EUR |
+| Externe Gutachter/Forensik | 25.000 – 40.000 EUR |
+| **Gesamt Rechtsvertretungskosten** | **220.000 – 340.000 EUR** |
+
+Der geleistete Kostenvorschuss von 85.000 EUR deckt die ersten 3-4 Monate ab. Eine Nachschussanforderung ist fuer April 2026 geplant.
+
+---
+
+## 5. Abschliessende Prognose
+
+Bei konsequenter Umsetzung der Sofort- und Kurzfristmassnahmen und kooperativer Haltung gegenueber LDI NRW ist folgendes Szenario realistisch:
+
+- **Bussgeld LDI NRW:** 300.000 – 800.000 EUR (statt 20 Mio. EUR Maximum)
+- **VDuG-Vergleich:** 400.000 – 700.000 EUR (statt 12.3 Mio. EUR Klageforderung)
+- **Strafverfahren GF:** Geldstrafe oder Bewaehrungsstrafe (kein Haftantritt)
+- **Reputationsschaden:** Begrenzbar durch PR-Offensive und sichtbare Compliance-Massnahmen
+
+**Gesamtaussicht:** Unternehmenserhalt bei konsequenter Compliance-Offensive wahrscheinlich. Die Kanzlei SBD ist zuversichtlich, die Mandantin durch die Krise zu fuehren.
+
+---
+
+## 6. Sorgfaltspflicht-Hinweis
+
+Dieser Abschlussbericht stellt eine erste Gesamtbewertung des Sachverhalts dar, basierend auf den im Zeitraum 14.-31.01.2026 erhobenen Informationen. Er ersetzt keine spezifische Einzelberatung zu den einzelnen Verfahren (s. Akten 01–21). Die Einschaetzungen koennen sich aufgrund neuer Tatsachen oder veraendeter Rechtslage jederzeit aendern.
+
+---
+
+## Quellen
+
+- DSGVO Art. 6, 22, 28, 33, 34, 35, 44, 82, 83 — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- BDSG § 42 — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- VDuG — [dejure.org/gesetze/VDuG](https://dejure.org/gesetze/VDuG)
+- EuGH C-807/21 (Deutsche Wohnen) — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0807)
+- BGH VI ZR 10/24 — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
+- EDSA-Leitlinien 04/2022 (Bussgeldbemessung) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under-gdpr_de)
@@ -0,0 +1,99 @@
+# Testakte: DSGVO-Massenscanning Mietinteressenten — VermieterCheck Solutions GmbH (Essen)
+
+
+<!-- BEGIN gesamt-pdf-section (autogen) -->
+## Akte komplett herunterladen
+
+Diese Arbeitsakte gibt es in zwei Formaten zum Direkt-Download. Das Gesamt-PDF eignet sich zum Lesen, Ausdrucken und für schnelle Durchsichten. Das Akten-ZIP enthält sämtliche Originaldateien (Markdown-Aktenstücke, Tabellen, E-Mails, Fotos, PDFs, DOCX, XLSX) im Originalordnerlayout für eigene Auswertungen.
+
+| Was | Format | Quelle |
+| --- | --- | --- |
+| Gesamt-PDF (alles in einer Datei, 834 KB) | PDF | [`gesamt-pdf/dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen_gesamt.pdf`](gesamt-pdf/dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen_gesamt.pdf) |
+| Akten-ZIP (alle Einzeldateien) | ZIP | [testakte-dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-dsgvo-massenscanning-mietinteressenten-vermietercheck-app-essen.zip) |
+
+Die ZIP-URL ist stabil und zeigt immer auf die aktuelle Version. Im Akten-ZIP ist das Gesamt-PDF mit enthalten.
+
+<!-- END gesamt-pdf-section (autogen) -->
+
+Demonstrations-Testakte fuer das Plugin `datenschutzrecht`. Alle Personen, Aktenzeichen und Sachverhalte sind fiktiv und dienen ausschliesslich Test- und Demonstrationszwecken.
+
+## Mandantin
+
+**VermieterCheck Solutions GmbH**
+Ruhrallee 188, 45136 Essen
+Geschaeftsfuehrer: Karl-Heinz Schimmelpfennig-Drosthager
+Mitarbeiter: 38
+Geschaeftsmodell: SaaS-Plattform fuer Vermieter-Bonitaetsabfragen (12.400+ angeschlossene Privatvermieter)
+
+## Vertretung
+
+Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH (Duesseldorf)
+Federfuehrend: RA Dr. Cornelius Specht (Datenschutzrecht)
+
+## Aktenzeichen
+
+| Verfahren | Aktenzeichen |
+|-----------|-------------|
+| LDI NRW Aufsichtsverfahren | DSB-NW-44/26 |
+| LG Essen Massenverfahren (VDuG) | 18 Mass 4/26 |
+| LG Essen Einzelklage Tannenbruck | 4 O 244/26 |
+| StA Essen Strafverfahren | 12 Js 11.422/26 |
+
+## Konfliktkomplex
+
+1. **Massenscanning / KI-Profiling** — ProspectScore Pro ohne wirksame Einwilligung (Art. 6 Abs. 1 DSGVO), Art. 22 DSGVO; LDI NRW-Verfahren Art. 58 DSGVO; Bussgelddroher bis 20 Mio. EUR
+2. **Sammelklage VDuG** — 8.200 Betroffene, immaterieller Schadensersatz Art. 82 DSGVO je 1.500 EUR (Gesamt 12,3 Mio. EUR), LG Essen 18 Mass 4/26
+3. **HinSchG-Meldung** — Drittlandsuebermittlung an Sundara Tech Pvt. Ltd. (Bengaluru) ohne Standarddatenschutzklauseln Art. 44 ff. DSGVO
+4. **DSFA-Versaeumnis** — Kein DSFA-Verfahren nach Art. 35 DSGVO fuer Hochrisiko-KI-Profiling
+5. **Auskunftsersuchen Art. 15 DSGVO** — Dr. Susanna Tannenbruck, Wibke Drostermann, Felix Kaltenbach (NDR Panorama)
+6. **Datenpanne Art. 33 DSGVO** — SQL-Injection CVE-2026-0188, 142.300 betroffene Datensaetze, versaeumte 72h-Meldung
+7. **Strafverfahren § 42 BDSG** — GF Schimmelpfennig-Drosthager (private Mieterauswahl Essen-Bredeney), StA Essen 12 Js 11.422/26
+
+## Aktenstuecke
+
+| Nr. | Datei | Inhalt |
+|-----|-------|--------|
+| 01 | `01_mandatsuebernahme-vollmacht.md` | Mandatsuebernahme und Vollmacht |
+| 02 | `02_sachverhaltserfassung-erstberatung.md` | Sachverhaltserfassung Erstberatung |
+| 03 | `03_dsgvo-pruefschema-art6-verarbeitungsgrundlagen.md` | Pruefschema Art. 6 DSGVO Verarbeitungsgrundlagen |
+| 04 | `04_art22-automatisierte-einzelentscheidung-prospectscor.md` | Art. 22 DSGVO Automatisierte Einzelentscheidung |
+| 05 | `05_dsfa-pruefung-art35-hochrisiko-ki.md` | DSFA Art. 35 DSGVO Hochrisiko-KI |
+| 06 | `06_drittlandsuebermittlung-art44-sundara-tech.md` | Drittlandsuebermittlung Art. 44 ff. DSGVO |
+| 07 | `07_datenpanne-art33-sql-injection-cve-2026-0188.md` | Datenpanne Art. 33/34 DSGVO |
+| 08 | `08_ldi-nrw-aufsichtsverfahren-art58-strategie.md` | LDI NRW Aufsichtsverfahren Art. 58 |
+| 09 | `09_bussgeldbemessung-art83-dsgvo.md` | Bussgeldbemessung Art. 83 DSGVO |
+| 10 | `10_sammelklage-vdug-lg-essen-18mass4-26.md` | Sammelklage VDuG LG Essen |
+| 11 | `11_art82-schadensersatz-bagatellgrenze.md` | Art. 82 DSGVO Schadensersatz Bagatellgrenze |
+| 12 | `12_auskunftsersuchen-art15-tannenbruck.md` | Auskunftsersuchen Dr. Tannenbruck |
+| 13 | `13_auskunftsersuchen-art15-drostermann-kaltenbach.md` | Auskunftsersuchen Drostermann / Kaltenbach |
+| 14 | `14_hinschg-meldung-whistleblower-strategie.md` | HinSchG-Meldung Whistleblower |
+| 15 | `15_strafrechtliche-verteidigung-par42-bdsg.md` | Strafverteidigung § 42 BDSG |
+| 16 | `16_auftragsverarbeitung-avv-sundara-tech.md` | Auftragsverarbeitung AVV Sundara Tech |
+| 17 | `17_technisch-organisatorische-massnahmen-tom.md` | Technisch-organisatorische Massnahmen |
+| 18 | `18_betroffenenrechte-widerspruch-loeschung.md` | Betroffenenrechte Widerspruch / Loeschung |
+| 19 | `19_iso27001-tisax-compliance-gap-analyse.md` | ISO 27001 / TISAX Gap-Analyse |
+| 20 | `20_prozessstrategie-gesamtkoordination.md` | Prozessstrategie Gesamtkoordination |
+| 21 | `21_verfassungsbeschwerde-skizze-bussgeldbescheid.md` | Verfassungsbeschwerde-Skizze Bussgeldbescheid |
+| 22 | `22_abschlussbericht-handlungsempfehlungen.md` | Abschlussbericht und Handlungsempfehlungen |
+
+## Anlagen
+
+| Ordner | Inhalt |
+|--------|--------|
+| `docx/` | Schriftsaetze: Stellungnahme LDI NRW, Klageerwiderung VDuG, Verfassungsbeschwerde-Skizze |
+| `xlsx/` | Verarbeitungsverzeichnis VVT Art. 30 DSGVO; Bussgeldbemessungs-Matrix Art. 83 |
+| `eml/` | E-Mails an LDI NRW, Sundara Tech, HinSchG-Meldestelle, Betroffene Tannenbruck |
+| `pdfs/` | LDI-Anhoerungsschreiben (redacted); Penetrationstest-Bericht-Auszug (redacted) |
+| `jpg/` | Architektur-Diagramm ProspectScore Pro; Bussgeld-Bemessungs-Diagramm; DSFA-Workflow |
+
+## Quellen und Rechtsgrundlagen
+
+- Datenschutz-Grundverordnung (DSGVO) — [dejure.org/gesetze/DSGVO](https://dejure.org/gesetze/DSGVO)
+- Bundesdatenschutzgesetz (BDSG) — [dejure.org/gesetze/BDSG](https://dejure.org/gesetze/BDSG)
+- Verbraucherrechtedurchsetzungsgesetz (VDuG) — [dejure.org/gesetze/VDuG](https://dejure.org/gesetze/VDuG)
+- Hinweisgeberschutzgesetz (HinSchG) — [dejure.org/gesetze/HinSchG](https://dejure.org/gesetze/HinSchG)
+- EDSA-Leitlinien 05/2020 (Einwilligung) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-052020-consent-under-regulation_de)
+- EDSA-Leitlinien 03/2022 (Art. 60 DSGVO) — [edpb.europa.eu](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-application-article-60-gdpr_de)
+- BGH, Urt. v. 18.11.2024 — VI ZR 10/24 (Schadensersatz DSGVO) — [bundesgerichtshof.de](https://www.bundesgerichtshof.de)
+- OLG Hamm, Urt. v. 15.08.2023 — 7 U 19/23 — [openjur.de](https://openjur.de)
+- NIS2-Richtlinie (EU) 2022/2555 — [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555)
@@ -0,0 +1,94 @@
+From: dr.specht@specht-beckenbauer-drosselberg.de
+To: poststelle@ldi.nrw.de
+CC: dsb@vermietercheck.de, m.beckenbauer@specht-beckenbauer-drosselberg.de
+Subject: AZ DSB-NW-44/26 - Nachholung Datenpannenmeldung gemaess Art. 33 DSGVO - VermieterCheck Solutions GmbH
+Date: Mon, 10 Feb 2026 09:15:00 +0100
+MIME-Version: 1.0
+Content-Type: text/plain; charset=UTF-8
+Content-Transfer-Encoding: quoted-printable
+Message-ID: <20260210091500.SBD001@specht-beckenbauer-drosselberg.de>
+
+Landesbeauftragte fuer Datenschutz und Informationsfreiheit NRW (LDI NRW)
+z.H. Sachbearbeitung Aufsichtsverfahren DSB-NW-44/26
+Kavalleriestrasse 2-4
+40213 Duesseldorf
+
+Sehr geehrte Damen und Herren,
+
+wir sind als Bevollmaechtigte der VermieterCheck Solutions GmbH (Ruhrallee 188, 45136 Essen, GF
+Karl-Heinz Schimmelpfennig-Drosthager) mandatiert und nehmen Bezug auf das laufende
+Aufsichtsverfahren DSB-NW-44/26.
+
+NACHHOLUNG DATENPANNENMELDUNG GEMAeSS ART. 33 ABS. 1 DSGVO
+
+Wir zeigen hiermit pflichtgemaess die nachfolgende Datenschutzverletzung an und begruenden
+die Verspaetung der Meldung gemaess Art. 33 Abs. 1 Satz 2 DSGVO.
+
+1. DATENPANNENBESCHREIBUNG (Art. 33 Abs. 3 DSGVO)
+
+a) Art der Datenschutzverletzung:
+   SQL-Injection-basierte unbefugte Exfiltration personenbezogener Daten durch einen
+   externen Akteur. Die Schwachstelle CVE-2026-0188 (CVSS v3.1: 9.8) im REST-API-Endpoint
+   /api/v3/prospect/search des Backends von ProspectScore Pro (Version 3.0.4) ermoeglichte
+   eine ungeprueft parametrisierte Datenbankabfrage.
+
+b) Datenkategorien und Datensaetze:
+   - Betroffene Datensaetze: 142.300 Mietinteressenten-Profile
+   - Kategorien: Name, Adresse, E-Mail, Schufa-Score, Negativmerkmale, Beruf,
+     Einkommen (Selbstauskunft), Familienstatus, ProspectScore (0-100)
+   - Sensitivitaet: Hoch (Bonitaetsdaten, finanzielle Informationen)
+
+c) Betroffene Personengruppen:
+   Mietinteressenten, die in der Zeit von Maerz 2023 bis November 2025 ueber die
+   VermieterCheck-Plattform gescreent wurden.
+
+d) Ungefaehre Anzahl betroffener Personen: 142.300
+
+e) Wahrscheinliche Folgen:
+   Identitaetsdiebstahl, Phishing-Angriffe unter Verwendung echter Bonitaetsdaten,
+   Kreditschaeden durch Missbrauch der Negativmerkmale, psychische Belastung der Betroffenen
+   durch Kontrollverlust ueber Finanzdaten.
+
+f) Ergriffene Massnahmen:
+   - Patch CVE-2026-0188 eingespielt am 24.11.2025 (DevOps-Team)
+   - API-Endpoint vorlaeufig deaktiviert
+   - Beauftragung forensische Analyse: SecureProof GmbH, Bochum (Bericht Nr. SP-2025-4417)
+   - Betroffenenbenachrichtigung gemaess Art. 34 DSGVO: Versand 15.02.2026
+   - Datenbankzugang eingeschraenkt (MFA fuer alle Zugangskonten ab 07.02.2026)
+
+g) Name und Kontaktdaten des Datenschutzbeauftragten:
+   Hannelore Kessler-Brandt, DSB VermieterCheck Solutions GmbH
+   dsb@vermietercheck.de | Tel. 0201/498820-15
+
+2. BEGRUENDUNG DER VERSPaeTUNG
+
+Die 72-Stunden-Frist des Art. 33 Abs. 1 DSGVO begann mit Kenntniserlangung am 24.11.2025
+(Eingang GuardDuty-Alert beim DevOps-Leiter, Weiterleitung an GF am selben Tag).
+
+Die Unterlassung der fristgemaessen Meldung resultiert aus einem internen Kommunikationsversagen:
+Der GF wurde zwar informiert, traf jedoch keine Anordnung zur Meldung an die LDI NRW. Der
+Datenschutzbeauftragte wurde nicht eingeschaltet. Dies stellt ein ernstes Organisationsversagen
+dar, das die Mandantin bedauert und das Gegenstand interner Massnahmen ist.
+
+Mit der Mandatsuebername durch unsere Kanzlei am 14.01.2026 wurde die Nachholung der Meldung
+unverzueglich eingeleitet.
+
+3. BEIGEFUEGTE ANLAGEN
+
+- Penetrationstest-Bericht SecureProof GmbH (Auszug, redacted) SP-2025-4417
+- AWS GuardDuty-Alert-Protokoll (anonymisiert)
+- Forensik-Timeline CVE-2026-0188
+- Entwurf Betroffenenbenachrichtigung Art. 34 DSGVO
+
+Wir stehen fuer Rueckfragen und eine muendliche Erlaeuterung jederzeit zur Verfuegung.
+
+Mit freundlichen Gruessen
+
+Dr. Cornelius Specht
+Rechtsanwalt | Fachanwalt fuer Datenschutzrecht
+Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH
+Koenigsallee 92c | 40212 Duesseldorf
+Tel. 0211/49320-10 | Fax 0211/49320-99
+dr.specht@specht-beckenbauer-drosselberg.de
+
+Quellen: DSGVO Art. 33 - https://dejure.org/gesetze/DSGVO | EDSA-Leitlinien 01/2021 (Datenpannenmeldung) - https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_de
@@ -0,0 +1,82 @@
+From: l.drosselberg@specht-beckenbauer-drosselberg.de
+To: legal@sundaratech.in
+CC: ceo@sundaratech.in, dsb@vermietercheck.de, dr.specht@specht-beckenbauer-drosselberg.de
+Subject: URGENT - Data Transfer Suspension & SCC Execution Requirement - VermieterCheck Solutions GmbH / Sundara Tech Pvt. Ltd.
+Date: Fri, 16 Jan 2026 14:30:00 +0100
+MIME-Version: 1.0
+Content-Type: text/plain; charset=UTF-8
+Content-Transfer-Encoding: quoted-printable
+Message-ID: <20260116143000.SBD002@specht-beckenbauer-drosselberg.de>
+
+Sundara Tech Pvt. Ltd.
+Attn.: Legal Department / CEO
+No. 42, 4th Floor, Prestige Tech Park
+Sarjapur Road, Bengaluru, Karnataka 560103
+India
+
+Dear Sir or Madam,
+
+We act as legal counsel for VermieterCheck Solutions GmbH (Germany, hereinafter "VCS") in all
+data protection matters. We write to you with immediate urgency regarding the data processing
+activities conducted by Sundara Tech Pvt. Ltd. (hereinafter "Sundara Tech") on behalf of VCS.
+
+1. IMMEDIATE SUSPENSION OF PERSONAL DATA TRANSFERS
+
+With immediate effect from the date of this letter (16 January 2026), VCS hereby instructs
+Sundara Tech to:
+
+(a) Immediately cease any processing of personal data received from VCS, including but not
+    limited to: tenant applicant profiles, credit scoring data, ProspectScore training datasets,
+    and any production database content.
+
+(b) Immediately cease any transfer of such data to third parties, subprocessors, or cloud
+    infrastructure outside the European Economic Area.
+
+(c) Secure all data currently in your possession and access-restrict it to authorized VCS
+    personnel only.
+
+This instruction is issued pursuant to Clause 7.7 of the Data Processing Agreement (DPA)
+dated December 2023 and Art. 28 Abs. 3 lit. a DSGVO (GDPR).
+
+2. LEGAL BACKGROUND
+
+VCS has determined that the data transfers to Sundara Tech conducted since October 2022 were
+carried out without Standard Contractual Clauses (SCCs) as required under Art. 46 Abs. 2 lit. c
+GDPR and EU Commission Decision 2021/914. The absence of SCCs constitutes a serious violation
+of Chapter V GDPR, which VCS is in the process of remedying.
+
+Furthermore, a data breach (CVE-2026-0188) affecting 142,300 data subjects has been identified,
+and the forensic analysis must determine whether Sundara Tech's infrastructure was involved.
+
+3. REQUEST FOR EXECUTION OF STANDARD CONTRACTUAL CLAUSES
+
+VCS requests that Sundara Tech execute Standard Contractual Clauses (Module 2: Controller to
+Processor) pursuant to EU Commission Decision 2021/914 of 4 June 2021. Our team will provide
+the completed SCC document by 20 February 2026. We request Sundara Tech's countersignature
+by 5 March 2026 at the latest.
+
+4. DATA DELETION REQUEST
+
+Please confirm in writing by 31 January 2026 that all VCS production data and training datasets
+stored on Sundara Tech's systems (including staging environments, backups, and AWS Mumbai
+instances) have been securely deleted, with a deletion log provided as evidence.
+
+5. TRANSFER IMPACT ASSESSMENT (TIA)
+
+Pursuant to the guidance of the European Data Protection Board (EDPB Recommendations 01/2020)
+and the Schrems II ruling (CJEU C-311/18), a Transfer Impact Assessment for India must be
+completed. We will engage Indian counsel (Mehta & Associates, Mumbai) and request Sundara
+Tech's cooperation in providing information about applicable Indian law.
+
+Please acknowledge receipt of this letter within 48 hours and confirm compliance.
+
+Yours faithfully,
+
+Lars Drosselberg, Rechtsanwalt
+Dr. Cornelius Specht, Rechtsanwalt (Fachanwalt Datenschutzrecht)
+Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH
+Koenigsallee 92c | D-40212 Duesseldorf | Germany
+Tel. +49 211 49320-0 | Fax +49 211 49320-99
+l.drosselberg@specht-beckenbauer-drosselberg.de
+
+Sources: GDPR Art. 44, 46 - https://dejure.org/gesetze/DSGVO | EU Commission Decision 2021/914 (SCC) - https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914 | CJEU C-311/18 (Schrems II) - https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62018CJ0311 | EDPB Recommendations 01/2020 - https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de
@@ -0,0 +1,74 @@
+From: meldestelle@vermietercheck.de
+To: anonym-whistleblowing-portal@speakout-service.de
+Subject: Eingangsbestaetigung und Massnahmenankuendigung - Meldung vom 08.11.2025 (anonyme Meldung)
+Date: Mon, 26 Jan 2026 11:00:00 +0100
+MIME-Version: 1.0
+Content-Type: text/plain; charset=UTF-8
+Content-Transfer-Encoding: quoted-printable
+Message-ID: <20260126110000.VCS003@vermietercheck.de>
+X-HinSchG-Meldungsreferenz: SPEAKOUT-VCS-2025-0047
+
+Bitte weiterleiten an: Anonyme Hinweisgeber-ID SPEAKOUT-VCS-2025-0047
+
+--
+
+EINGANGSBESTAETIGUNG UND RUECKMELDUNG
+gemaess § 17 Abs. 2 Hinweisgeberschutzgesetz (HinSchG)
+
+Sehr geehrte/r Hinweisgeber/in,
+
+wir bestaetigen den Eingang Ihrer anonymen Meldung vom 08. November 2025 ueber das interne
+Hinweisgebersystem der VermieterCheck Solutions GmbH (Meldungs-ID: SPEAKOUT-VCS-2025-0047).
+
+Wir moeachten uns zunaechst fuer die verspaetete Rueckmeldung entschuldigen. Die dreimonatige
+Frist des § 17 Abs. 2 HinSchG wurde leider nicht eingehalten, was auf ein internes
+Kommunikationsversagen zurueckzufuehren ist. Wir bedauern dies und haben entsprechende
+Korrekturen in unseren internen Prozessen vorgenommen.
+
+INHALT IHRER MELDUNG (ZUSAMMENFASSUNG)
+
+Ihre Meldung bezog sich auf die Datenuebermittlung von Mietinteressenten-Daten an die Firma
+Sundara Tech Pvt. Ltd. (Bengaluru, Indien) ohne Standarddatenschutzklauseln gemaess Art. 46
+DSGVO sowie das Fehlen eines ordnungsgemaessen Auftragsverarbeitungsvertrags fuer den
+Zeitraum Oktober 2022 bis Dezember 2023.
+
+ERGEBNISSE DER INTERNEN PRUEFUNG
+
+Ihre Meldung wurde einer eingehenden internen Pruefung unter Einbindung externer
+Datenschutz-Rechtsberatung (Kanzlei Specht, Beckenbauer & Drosselberg, Duesseldorf)
+unterzogen. Das Ergebnis der Pruefung: Die in Ihrer Meldung beschriebenen Sachverhalte haben
+sich als zutreffend erwiesen.
+
+EINGELEITETE MASSNAHMEN
+
+Als direkte Folge Ihrer Meldung hat VermieterCheck Solutions GmbH folgende Massnahmen
+eingeleitet:
+
+1. Sofortige Einstellung aller Datentransfers an Sundara Tech (16.01.2026)
+2. Beauftragung der Kanzlei SBD mit der Sanierung der Drittlandsuebermittlung
+3. Abschluss neuer Standarddatenschutzklauseln (SCC Modul 2) in Vorbereitung
+4. Vollstaendige Pruefung und Neufassung des Auftragsverarbeitungsvertrags
+5. Transfer Impact Assessment fuer Indien beauftragt (Mehta & Associates, Mumbai)
+6. Information der LDI NRW im Rahmen des Aufsichtsverfahrens DSB-NW-44/26
+
+Ihre Meldung hat massgeblich dazu beigetragen, einen schwerwiegenden Datenschutzversatz
+aufzudecken und die Einleitung von Korrekturmassnahmen zu beschleunigen.
+
+SCHUTZGARANTIEN
+
+Wir moechten ausdruecklich bestaetigen, dass Ihre Anonymitaet vollstaendig gewahrt ist und
+wird. Es wurden und werden keinerlei Massnahmen ergriffen, um Ihre Identitaet aufzudecken.
+Dies gilt auch fuer etwaige kuenftige Massnahmen gegenueber ehemaligen Mitarbeitern. Jegliche
+Repressalie ist gemaess § 36 HinSchG verboten und wurde intern als Tabu-Zone kommuniziert.
+
+Falls Sie weitere Informationen oder Anmerkungen haben, stehen Ihnen der interne
+Hinweisgeberkanal (SPEAKOUT-Portal) sowie direkt die Datenschutzbeauftragte unter
+dsb@vermietercheck.de zur Verfuegung.
+
+Mit freundlichen Gruessen
+
+Interne Meldestelle VermieterCheck Solutions GmbH
+Vertreten durch: Hannelore Kessler-Brandt (DSB und Meldestellen-Beauftragte)
+Patricia Hoelzken-Rabe (Compliance-Officer)
+
+Rechtliche Grundlagen: HinSchG §§ 16, 17, 36 - https://dejure.org/gesetze/HinSchG | EU-Whistleblower-Richtlinie 2019/1937 - https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019L1937
@@ -0,0 +1,111 @@
+From: dsb@vermietercheck.de
+To: s.tannenbruck@uni-duisburg-essen.de
+CC: prof.stuermerkoch@kanzlei-stuermerkoch-essen.de, m.beckenbauer@specht-beckenbauer-drosselberg.de
+Subject: AZ LG Essen 4 O 244/26 - Auskunft gemaess Art. 15 DSGVO - Dr. Susanna Tannenbruck
+Date: Wed, 11 Feb 2026 14:00:00 +0100
+MIME-Version: 1.0
+Content-Type: text/plain; charset=UTF-8
+Content-Transfer-Encoding: quoted-printable
+Message-ID: <20260211140000.VCS004@vermietercheck.de>
+References: <Tannenbruck-Auskunftsersuchen-20251212@uni-duisburg-essen.de>
+In-Reply-To: <Tannenbruck-Auskunftsersuchen-20251212@uni-duisburg-essen.de>
+
+Sehr geehrte Frau Dr. Tannenbruck,
+
+wir erhalten uns auf Ihr Auskunftsersuchen gemaess Art. 15 DSGVO vom 12. Dezember 2025
+sowie auf das laufende Klageverfahren LG Essen 4 O 244/26. Wir entschuldigen uns ausdruecklich
+fuer die Versaeumung der Monatsfrist nach Art. 12 Abs. 3 DSGVO und erteilen nunmehr die
+vollstaendige Auskunft.
+
+AUSKUNFT GEMAeSS ART. 15 ABS. 1 DSGVO
+
+Verantwortlicher: VermieterCheck Solutions GmbH, Ruhrallee 188, 45136 Essen
+Datenschutzbeauftragte: Hannelore Kessler-Brandt, dsb@vermietercheck.de, Tel. 0201/498820-15
+
+1. Verarbeitete personenbezogene Daten (Art. 15 Abs. 1 lit. b)
+
+Wir verarbeiten / haben folgende Sie betreffende Daten verarbeitet:
+
+   Kategorie              | Wert / Inhalt
+   ---------------------- | -----------------------------------------
+   Familienname           | Tannenbruck
+   Vorname                | Susanna
+   Titel                  | Dr.
+   Adresse                | Gildehofstrasse 18, 45127 Essen
+   E-Mail-Adresse         | s.tannenbruck@uni-duisburg-essen.de
+   Bewerbungsdatum        | 08. Maerz 2025
+   Bewerbungsobjekt-ID    | ESS-RUE-2025-0144
+   Schufa-Score           | 714 Punkte (Score-Datum: 05.03.2025)
+   Negativmerkmale Schufa | Keine
+   Beruf                  | Professorin / Soziologin (Universitaet Duisburg-Essen)
+   Familienstatus         | Ledig
+   Haushaltsmitglieder    | 1
+   ProspectScore          | 78 von 100 (Ampel: ROT)
+   Scoring-Datum          | 08. Maerz 2025
+   Empfaenger des Scores  | Vermieter H.-D. Krankenhofer, Essen (anonymisiert gemaess berechtigtem Interesse)
+
+2. Verarbeitungszwecke (Art. 15 Abs. 1 lit. a)
+   Erstellung eines Bonitaets-Risikoscores zur Unterstuetzung der Mietentscheidung des Vermieters.
+
+3. Empfaenger (Art. 15 Abs. 1 lit. c)
+   - Privatvermieter H.-D. Krankenhofer, Essen (Plattform-Interface, kein weiterer Zugriff Dritter)
+   - Sundara Tech Pvt. Ltd. (Bengaluru, Indien) -- als Auftragsverarbeiter (Support/Entwicklung)
+     HINWEIS: Der Transfer an Sundara Tech erfolgte ohne SCC, was wir als Verstoss einraeumen.
+
+4. Speicherdauer (Art. 15 Abs. 1 lit. d)
+   24 Monate ab letzter Abfrage (also bis Maerz 2027). Auf Ihren Loeschungsantrag (Art. 17
+   DSGVO) werden Ihre Daten nach Abschluss der laufenden Gerichtsverfahren geloescht,
+   spaetestens jedoch nach Verfahrensabschluss (Art. 17 Abs. 3 lit. e DSGVO).
+
+5. Rechte auf Berichtigung, Loeschung, Einschraenkung, Widerspruch (Art. 15 Abs. 1 lit. e)
+   Sie koennen Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18) und
+   Widerspruch (Art. 21) ueber dsb@vermietercheck.de oder unser Betroffenenportal
+   (in Aufbau: meine-daten.vermietercheck.de, verfuegbar ab 28.02.2026) beantragen.
+
+6. Beschwerderecht (Art. 15 Abs. 1 lit. f)
+   Sie haben das Recht, Beschwerde bei der LDI NRW einzulegen:
+   Landesbeauftragte fuer Datenschutz und Informationsfreiheit NRW
+   Kavalleriestrasse 2-4, 40213 Duesseldorf
+   poststelle@ldi.nrw.de | Tel. 0211/38424-0
+
+7. Herkunft der Daten (Art. 15 Abs. 1 lit. g)
+   - Persoenliche Angaben: Selbstauskunft im Mietinteressenten-Formular
+   - Schufa-Daten: Schufa Holding AG, Wiesbaden (B2B-API-Abfrage)
+
+8. Automatisierte Entscheidungsfindung / Profiling (Art. 15 Abs. 1 lit. h)
+   JA -- Es wurde eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO getroffen.
+   
+   Involvierte Logik: ProspectScore Pro v3.0 (KI-Modell, Random Forest + neuronales Netz).
+   Einflussfaktoren und Gewichtungen:
+     - Schufa-Score:                   40% Gewichtung
+     - Stabilitaet Einkommensquelle:   30% Gewichtung (Beruf: Professorin = STABIL)
+     - Einkommenshoehe (Selbstauskunft): 20% Gewichtung
+     - Familienstatus / Haushaltsgroesse: 10% Gewichtung
+   
+   Ihr ProspectScore von 78 (ROT) resultierte trotz hohem Schufa-Score und stabilem Einkommen
+   massgeblich aus dem Einflussfaktor "Familienstatus / Haushaltsgroesse" und einer
+   Fehlklassifizierung des Berufs "Professorin" als "zeitlich befristetes Beschaeftigungsverhaeltnis"
+   durch das Modell (Erkannter Fehler -- wird in Modell v4.0 korrigiert).
+   
+   Tragweite: Die Ampelfarbe ROT wurde dem Vermieter uebermittelt und beeinflusste seine
+   Entscheidung ueber Ihre Bewerbung.
+
+9. Recht auf Kopie (Art. 15 Abs. 3 DSGVO)
+   Eine Kopie Ihrer Daten im JSON-Format liegt dieser E-Mail als Anlage bei.
+
+HINWEIS ZU DEN LAUFENDEN VERFAHREN
+
+Wir bitten um Verstaendnis, dass wir inhaltlich zu den laufenden Gerichtsverfahren (LG Essen
+4 O 244/26) ausschliesslich ueber unsere Prozessbevollmaechtigte kommunizieren.
+
+Mit freundlichen Gruessen
+
+Hannelore Kessler-Brandt
+Datenschutzbeauftragte VermieterCheck Solutions GmbH
+dsb@vermietercheck.de | Tel. 0201/498820-15
+
+Miriam Beckenbauer, Rechtsanwaeltin
+Specht, Beckenbauer & Drosselberg Rechtsanwaltsgesellschaft mbH
+m.beckenbauer@specht-beckenbauer-drosselberg.de
+
+Quellen: DSGVO Art. 12, 15, 22 - https://dejure.org/gesetze/DSGVO | EuGH C-307/22 (FT gg. DW, Kopienrecht Art. 15 Abs. 3) - https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0307 | EDSA-Leitlinien 01/2022 (automat. Einzelentscheidungen) - https://edpb.europa.eu
@@ -0,0 +1,117 @@
+%PDF-1.4
+%“Œ‹ž ReportLab Generated PDF document (opensource)
+1 0 obj
+<<
+/F1 2 0 R /F2 3 0 R
+>>
+endobj
+2 0 obj
+<<
+/BaseFont /Helvetica /Encoding /WinAnsiEncoding /Name /F1 /Subtype /Type1 /Type /Font
+>>
+endobj
+3 0 obj
+<<
+/BaseFont /Helvetica-Bold /Encoding /WinAnsiEncoding /Name /F2 /Subtype /Type1 /Type /Font
+>>
+endobj
+4 0 obj
+<<
+/Contents 12 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 11 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+5 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://dejure.org/gesetze/DSGVO)
+>> /Border [ 0 0 0 ] /Rect [ 251.6341 626.7504 373.0261 636.3504 ] /Subtype /Link /Type /Annot
+>>
+endobj
+6 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://dejure.org/gesetze/VwVfG_NW)
+>> /Border [ 0 0 0 ] /Rect [ 76.86614 614.7504 212.0341 624.3504 ] /Subtype /Link /Type /Annot
+>>
+endobj
+7 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://edpb.europa.eu)
+>> /Border [ 0 0 0 ] /Rect [ 318.1621 614.7504 398.2181 624.3504 ] /Subtype /Link /Type /Annot
+>>
+endobj
+8 0 obj
+<<
+/Annots [ 5 0 R 6 0 R 7 0 R ] /Contents 13 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 11 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 
+  /Trans <<
+
+>> /Type /Page
+>>
+endobj
+9 0 obj
+<<
+/PageMode /UseNone /Pages 11 0 R /Type /Catalog
+>>
+endobj
+10 0 obj
+<<
+/Author (Perplexity Computer) /CreationDate (D:20260530173916+00'00') /Creator (\(unspecified\)) /Keywords () /ModDate (D:20260530173916+00'00') /Producer (ReportLab PDF Library - \(opensource\)) 
+  /Subject (\(unspecified\)) /Title (LDI NRW Anhoerungsschreiben DSB-NW-44/26 \(redacted\)) /Trapped /False
+>>
+endobj
+11 0 obj
+<<
+/Count 2 /Kids [ 4 0 R 8 0 R ] /Type /Pages
+>>
+endobj
+12 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2701
+>>
+stream
+Gatm<=``=W&q9SYka/DKVC[B#G\1:5LLPVi34"pA<+W`RPQaZ!;4rZ!<U4#,%=k?m>&s!uQ5p;AoRX3X^D6t\?W@&S>Q^MQ_8jk9."f,;W(h*<]8"G`d9fDNP4U<b].UM-@uSdM%<*CA>C&;6*7ZE=q?6M$^C/OM>>UJ@lBr$(lUq0:B3+CIe8fr/!F_R<EsdS)W03kr(gVo;0(PD9bG`M!73Nd'70_p`+_:S^/;r[%E;(`qh6/L^jW(F6P\06cLf9^3R>@1R/m=+$1n/.QOW=B4GnGaeOROs85/2]=gE-qJZlmMb/-!IflOItbU"!.m]l],:?)K(Rg*aN'`V++<rGh2>@bRY3iDZ*h,)aj%/Bi/9Ci$R=g(pG'c:`^=aZRhBG%m0&7:$8Tr6Jmp':E^Z>dV]/m?[*dhKS++I/eIK'^j_6,N?N488?K%?osl<2Wsjs^f2E(NJZiL&>9@Fa6+p/Y6qdjgBdF+e-=<$0l/"!2'b[>o$cNf[)`&EkBK>(q?OW^;5&!R[]+6SD_+78rMiYA@p:%k`m-d?8,p;oS=c>-:!Wb@%ubf'?"A2fAJ.3[&$Xr$KVLuRnT4Ut?r-]65COUe*Q&l5:)sE!i`W?qQpf/-c2m(\/oc;Pf/he4(([n[0(\E%G85omh;L42JkhR!AWBgk'Gsj?"u$*^=a#T*g=(")4WWGX(u+aSk)M#S>Rre=Sjs;id<FSLK\6cl''B355&fd!T@3R`U9[et1ao4:,ofdsKAqpHIW&H?^9D*$fj-Fng[5G/F9J+'5V6nsh'"t[gr$MiZ.)l>&2.G@nPmbIb"\FnD7OrZGfq8Ec%bn$+_V#X)Q\(nnaW+>A#fSa';1PYbAWU!qjWN.o^)-lEcjFRfq0pXdl2ecjTjc^]u4nm@)(4[2>X;d+Q)B9UE%*VjA-tX_I\H.]FaB?EuIfZJtT;d5/$ajbnQ_4T:_bahucZ\]T/rn+Ps5F]!>-FG[>oKl>@!)$aIKZ>[XK/"K/!0`\rII<5P!&nK1mP`CVTsj0.^[9E:^VNHd"OO"$e=T3tu;O%WJ,f<N,e3*V9\'hm)Pe1J?,_,?.eWCpNMQ<(Sg>sc,e!k**Wb/:W;>G5N6aH-WPiBi&'nRNXgf>Qo4V'ckoF"%o;J[&_C*8f$r!YD)^oJDU#[f(ca"&:iMh*G#o?I/tjYCo]j1;d>:hoL5kd7jq)k?NlQiGa0pBs's22]1s8GlNc=HU6S8b]0&2e3"LC&Lgh:"X%7&2Z_".6k5najaWQcQa,>'36.)OdPY-SV]S3rDXeta,G[`Y]*qG:i4?)-g][.F'FA(kSr"rTeQbt0b-3%6JO\&)80K9O',7)5n,F2Xk;8(CQsUmuJB1V#78ai\JAC2l.-B<os+^)0$%,OT/b7jk5eMhuJPhp\kud>^N]ZU0$`Eu>(JYr'i)iEJA8Y@ec/O,-N=:^X9X9qFZB0(/.flr8XMMd_RBF>s%98>jSB,9/'`"VjX.%Js*T]_ipe(Png0<p*rpb]Z(1&j2HE"4G_5-A6LGsGY;pc)&m,%`umN?Y5p$if[9ec"P(dhaN/]t'TKej;IHJC9[hBhTp+`RSciZ"pJEQ<O[kpZ4re*2C`l;c:nVV5R9c#jTX6D-%o]#hO_d?3@qU'5]bLugR%M$.uPChF-PJ`/T=((KtP*dZpqQQW&BC>hacTG!]&hq><Y:u?66dt?J4mW#0<WuB7)/17rRLg/D!"MUR_$HK/bI`52"9<;/D)=XgLCZOsKFq6S42N-et2GTE[U!>JHp.N!M#ZWSM<>(TW'c`\YkS]S$W"Nc>GUoPeO3=ZHYZ,g^k&(/RQ'<iS'>R5AC<-X6Y23%lW>bL%=K(qL?9\gfkmP.L&^O0mcr$9C8LV_!<i79P^VNP8NQZ>_b&JuQ`DVYudr_q:s%;lKrnElbO8'dr.l$EUG7O2Yg@@Zif3Vb\X=J*HCU%fXlXfq&bV2emFPN^(LmhML7KJ8i`lG=,.rWhU"S%mu@Zg#r7qL@!>Dh+Zr7d,=[X'64mtjabVN!D8m@a5RgN6sueJ;r/J4'O;Lk%/ei=7XLrcl;DYDYEW:n.m'#a7"oO5W]?a-#$F21296B96VX_REO-<`EWAeQ!_A'+P)$.9Xs16IUJl5HM`O"XZb3Y7^`E/UM:or[O)AfL5"Z$:C&#X>Zb?GL+!!`os*7JUJX#6>_IZdDA(RPG&>)$=[IoaV[E6k=_f5!O;Gu9(h4egSWJqRM;4lZ<jb]+'Tc%Nl]"%6#S&_O2>ej=hpq]!W-nM!MAW\I-N9@:VB$jDUcgs?er%DTm:=2UQh6P<U7ms]?Y9:`*9?&&,#eW7*h5noRDV:.UGXjn:*2o7c8&3(((54<$@DhADolCVlQ&eNX`15<nDYWZSLT1^2!maSEgS4S#d<$;3(t*;!MA$VNoUccPJ&u9I%[VA%,ek+2MYMmZCL9D;4flWm@F9Y-pJNn!4%A9SW*"C)/QMf2.:`H8O0)?=!A#6!gBYZJ0nDV+c<J>\Ul:UM$Et%>pXmF,?0>=I+ERjSfom<<2B8?ld<s/!=AB^5A*C]:,,XEh.uQd!=F^cr&U6SA(1>o,Nh#o.a:f-PJd.#sC]6#lH5rF\l-K/$(3]d.`FJjIp!.L@_n(BBQ=TrY2$m@&?"S<A9Y(`W&A(CHVYge04pZQ9hnTAtAr2BZJdAVpYiF'Ua"2\]eGb5sg=Lp$PoRE:c@')J)V~>endstream
+endobj
+13 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 936
+>>
+stream
+GasamgMY_1&:N^lk)i'9GV<CX4I$Tn[ABi(%XBI&A`>R,1(.6gK7s*kS[B,O;/S.$D=-\[F(W^bJqk/Es0(#S-Sb6g.8U4g##l-7nJF`8laB7N,6LM(.B1)fT?p+uGRh3rHJ9uTR"6<Aiph/Tcta9*FR?-a5diDH1)d%#Ju$OMYfKHc[u%DjZq?ZT&Doa#m'&/4H4=3a:[j55_iP0I//"2%5\MQ*7_N?^AITqdPK@R9A"\99\F]k3Lf7unOML,EA9'\t!:uS*+Ob`[pC9,#I97F6q+>WTnJL;V6G.rZb-ch9SL%jHFK2"H?C<p^7=MpJ0X[o/._X?RC9:lN6)lcsD9PoB6u/kIbVj'7.?i^8B%g<U\Utg_m5Yg\YjarF=/4#`Zg8+G-W_<*(e_XT@B_-dOr[<DB#!Iu"GZ_Fgq:!(gL+UuRHXXjSWi$Qc?ZHO16PQ+RdW5PRZn26p9>rI=p5eDKjj!=F1nU?*\*_t2iV-J-T9lG1;aa+<,NY?5E`XS.$Vj$ElQWH=BBT0G`;4VV&<;@[u5?<d&Ef.cQk1?YhbPPFN%'`MDQ^7lq"-?Tg%sB"fp1g*[%#!fRpGWfO<"u((!"_!='6Hm6#K8&2Ef%9[6hQ:9b!H..IK(penp"9`gIiT5jZb!T,sA+9;\k%pRN`*FNi2$s*>::@g=1=Y';8-_n_5C]BubL4c]"BF&\!!k:Y9RX9D5>skOSdOs&+Gug]r@&\*pQR'`?m@R1=R7kDF:V<fmZ9uFp$hHq[\RFcZLQ4>+Jbu7Q<VUJ%7H?J:d(ZHK$Zs-$P\,5P#8lb,kBQl;.Q!G5Fs,k*i*&Buk;'-?h3S"G03'qjV?Eg,LO,6AX'V@'%Y'67r.Do^_YnT.5`\,."B:rOn+kK]cpkq;TKC.j.WUNN!`/IX9?H$*VpasaW6/qb#qdl7#d+-YdAAu~>endstream
+endobj
+xref
+0 14
+0000000000 65535 f 
+0000000061 00000 n 
+0000000102 00000 n 
+0000000209 00000 n 
+0000000321 00000 n 
+0000000526 00000 n 
+0000000710 00000 n 
+0000000897 00000 n 
+0000001071 00000 n 
+0000001306 00000 n 
+0000001375 00000 n 
+0000001702 00000 n 
+0000001768 00000 n 
+0000004561 00000 n 
+trailer
+<<
+/ID 
+[<339e4cf913d8b8d02047fd5d59eddf80><339e4cf913d8b8d02047fd5d59eddf80>]
+% ReportLab generated PDF document -- digest (opensource)
+
+/Info 10 0 R
+/Root 9 0 R
+/Size 14
+>>
+startxref
+5588
+%%EOF
@@ -0,0 +1,131 @@
+%PDF-1.4
+%“Œ‹ž ReportLab Generated PDF document (opensource)
+1 0 obj
+<<
+/F1 2 0 R /F2 3 0 R /F3 4 0 R
+>>
+endobj
+2 0 obj
+<<
+/BaseFont /Helvetica /Encoding /WinAnsiEncoding /Name /F1 /Subtype /Type1 /Type /Font
+>>
+endobj
+3 0 obj
+<<
+/BaseFont /Helvetica-Bold /Encoding /WinAnsiEncoding /Name /F2 /Subtype /Type1 /Type /Font
+>>
+endobj
+4 0 obj
+<<
+/BaseFont /Courier /Encoding /WinAnsiEncoding /Name /F3 /Subtype /Type1 /Type /Font
+>>
+endobj
+5 0 obj
+<<
+/Contents 14 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 13 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+6 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://dejure.org/gesetze/DSGVO)
+>> /Border [ 0 0 0 ] /Rect [ 189.3621 386.2465 310.7541 395.8465 ] /Subtype /Link /Type /Annot
+>>
+endobj
+7 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://cve.mitre.org)
+>> /Border [ 0 0 0 ] /Rect [ 387.0901 386.2465 457.3381 395.8465 ] /Subtype /Link /Type /Annot
+>>
+endobj
+8 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://owasp.org/www-community/attacks/SQL_Injection)
+>> /Border [ 0 0 0 ] /Rect [ 119.1061 374.2465 320.9541 383.8465 ] /Subtype /Link /Type /Annot
+>>
+endobj
+9 0 obj
+<<
+/A <<
+/S /URI /Type /Action /URI (https://www.bsi.bund.de)
+>> /Border [ 0 0 0 ] /Rect [ 410.1781 374.2465 495.1061 383.8465 ] /Subtype /Link /Type /Annot
+>>
+endobj
+10 0 obj
+<<
+/Annots [ 6 0 R 7 0 R 8 0 R 9 0 R ] /Contents 15 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 13 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 
+  /Trans <<
+
+>> /Type /Page
+>>
+endobj
+11 0 obj
+<<
+/PageMode /UseNone /Pages 13 0 R /Type /Catalog
+>>
+endobj
+12 0 obj
+<<
+/Author (Perplexity Computer) /CreationDate (D:20260530173916+00'00') /Creator (\(unspecified\)) /Keywords () /ModDate (D:20260530173916+00'00') /Producer (ReportLab PDF Library - \(opensource\)) 
+  /Subject (\(unspecified\)) /Title (Penetrationstest-Bericht CVE-2026-0188 Auszug \(redacted\)) /Trapped /False
+>>
+endobj
+13 0 obj
+<<
+/Count 2 /Kids [ 5 0 R 10 0 R ] /Type /Pages
+>>
+endobj
+14 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2712
+>>
+stream
+Gatm<CK'7Q(B)O^d$L`+VoH`>hc+H0"`Qi;H$*S`h-&lm'.\o$IKVm.@<_bK*m'J]5\QggW0#)`mle6CpE`Egr)*9>RLjMtPJ,;,:e(@#Tn[:ns-.d-cKu*Y<na#-=;EcMD-/91/Jmka>*IG2I&E7&8I=b:qj)IT?W!e73Y!AaZQ2E27+F09UQ#hrJ]pn4PI7?bbhY"G<]Rq=ZYW*kPKCooidW3PY<poDr2g\h%GP8;KB?@>-+"RelPc!K7&<5^nOtMl>J9H./Mhq*2(\hY,eM[ba<(ko:5=TPjG#CYS6q8sk::I=#$:fCBK.&BJ_*5p9\"*!Z[(.a]DOe\cB#Y940LWHl=dWW8Di(A5OeKWeR5.^9],<7&pckQ;cc[\f.i*'=N]:'LMaF(W8"?613nC'0;)pdi9eSHFN7qu]<V4B0"l<:VXfKYk@<BgqoXIKK%9eQCkJeY+'6MDAp<;V%1[gTkiU@FoBbC<D@`>d^bT`D'OR`rC?ug!UII`Wb`5=$4HH@t;E<(RI58N9R)Vh=0W7_F9*WqJb_,_]:O'TLY'HU,]]AnIJkq_DSAeJGASE;:Lt,!]=XErug+#,/mWa>MLlh=bh)P7<Zl>VRV82rresLpgfGQ=Y=ig?Z5o`Rbb!G_A&'*.8Kh$*V@`>5kL,g%p1:S=`0S3<#hR+;oM@HU0J()Nl-G4(TYq0*tkAMYh"iF\UGK4NP5%XF\dOeSL0t1qRP\0o-=mc1:41t->f,bf:SXg3Zs8'!;bVct\e6M=F[.[Uk-n;!rWOa^)2+mdnZ9(b$-s.`W,p=q_KEjA-90DDJ=LmKAa&>RV&u6q[3%#s0I5kVGR*P8q.._1V<]R_6dMBJB<2ba9"q2``4X\=qm]2puo827(H,rR=4SK#rUQgsR*gKS'<qWj=e8\k:Tlp;+'H"SN0B=VCl/Fmo0!LHtk0SU&m0Q"b'FetG?^(gWk>=9A%U]:.L*R+O>"5j^1#dJXP,!hsSs5gY(TK?Fl;BM5QLT5OJq?C[OAu2hWcG?f'@n5#o:/<,Cb:>8].Au#14\q/cAD:D(<+N!#h/P?m@M.?;$mErU4>q/.L7(XSHS1TI05H;(G8,?<gK4s]g0r7i=2NM27ll;'\VpmoB_M!<"dN>/>jund[jK7%f!+t_gTrpJ?=>B;q5tk[u%8WRs82]Yn6^#D2<kC\nug.^.o\ri2*m-FJ=R'BK,f'6BN@4(XAp>9ZIo,?U0XTlOgeVXR?rO]gN@')`pPe@S%(8Xi=jkL[ZSB`&ID_[^q#.Fq)%uLm/CXIMiUniV;o<(Hl-rINUAQ#)T7J=%T^[9oW;oKrl:sX5B$0dODlG,!(o#H7kC2rkn"gGZnfg:J'a!_Ms'>;"jP*ncic,-9gMX1='PgKK8TL93,1Fr9-N3)M)aA,^[U\H[#>CWel+M"V6[r!Vgpk"C!_5GioiI9.CY7,FZl742*6h0Du1O7asFOn$@C5p;i%;),BJu!GE3\;&N'eB3'9mS6]';d#3'I3r]Js7b2i*9Cl;@[#g3e$<pPF)c3F<IGm7^=Jn``/FK9\$$`1*6b'7OoHfR@O2,Uc?>fseZ37Z-/;_MI"T<OQ1tY`c6VnJ0%bVr@f*M;Tn1ir,)pTosT*4s[:"[NLaek!jSYpl&BRG2UTo=6?mt13%6Ut6s8Yg_:*@VM()b2*!/[-U*"_!ld5/@MO^A7C?WL)r,nhV>BHo7*65`_6Nm?jYIh:@^HOENH+"P[M;Zphg2RS?!n&lZ)29k#M#f<1c`-i/n3NJ/<E[KrTClV1g?9c6E=$H$b==hQ6m].%Q.Esfg.b3bmAf-'E$#($fqlle(7!;)k3I7&EiH`Oe0#R#fucl-A/Q]";4")1sI-0D?Hr+)M><9!N6,*eE+$71(n31L8`\e.."=O$/\2s4U'I2_XaCk1c>q"jBMUcMF3_a;fsWlhnQ=LScWM#k?mksa.kV;Wmkh75D^"j9EMP*&.u^+$T2SLTsl*[IK6-PEZ=\Q#e[gH9.,mL!=%VMd]](NV3VlY5TV;/2S;WLYW&]fhVI_*kZ_:`7N3_87Tj:*`\?[gSO*;52JS4TRE>[]YmJM:<bNc+/X8,s`peA\$^IarHdGZRi(u`YU%8d%E37bG1e,EAGH'<Ib`,it=u2A!I5oMl/-m^R.6AUGPsJ.,jAR$6C\1k2d'F4C_']@.[Bd\kFg+FlYD\]0OllW'P9'2tt%uHC/*AC(,!fXW2f_N_Y(2GHAPu<OR86qj.TL[hW(BELW&%ksHZ^%._4rU1+l-(t<kfZN./4s3+)2S[pT]kd+t3Wk".Eb.L.nL3hGkTFtQM_ea[VFXPQ?me9iGjj%/@C.%40Kaa6$3;38ehY-]u^X6DUr<q(,7ehb2Ei:(:?fV?cn#Z*NFUYf1GchJ;?to)LVu'U%S6f^Z8Sh)(N5Zs:O(9jeepS,!r3?0`M"BArWjk@FaMetd+&u=gXJ3ok3..f4OBE==,RdLWK(GP_YY%quqS+*nB1IDc0I0T7g)?_8>qbup(p0k"*::s5kU-ahbpND0DX(mJa/dfNe9U<TL8fp$l'<p=Kt*#-M0cq8;oKjgiWiRc!#kc!`e!21C#q1@(SXEWZRYV=+GtXna&S4V7of@-6P=tthL4IZ[]'Ajdn%Yea/4"'$^P@G-a###,-B!X).]GEJ$BX.RgS_AW0?X),T!s1qYpl'`=298hVa'Pa:pB`oC$)IPAo1,O6lcdQI-r:~>endstream
+endobj
+15 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 1961
+>>
+stream
+GatU3>?BQM%"@A@kV9I;`&#.!(*GlNV%'iA4=iXB9JT0J^8,8.Zp"BXX77c:)TV44$+Un$,AAE_4q.Z1?aTTu70)Kl%'M'U#2TE[:3>th^t:aEG![^TAJ3`SW=G4[$$AoHf:c:u`+""D)JGn1g>GDr7^^_oopNa/NiM..%1FR^AMb2c9fY<EDRar:j$e+qIsiAFN\8!7,s3kn60RJ>*mZjVRID"G>V)%WRE*LS&#TQ5Grf1*4StOdi85>:R#-?ON1Y^r"Pt*i6Q3Q.1ENG,`m8B+md(EjgYFk"@?d0f;Q$o_6<1q3)%^E5\jh6a.LN01DCh.5!mSQk(oe&QmTFL2]Kr+,<],Zk3h'gfEuM]>(bT0,"G^%eS0D@B8jFo.-;YT#W7oZUIOl/fEGJK)1j)cl;Ui%ZW/LgJI--WJe&*](@h@BLN9s73qTC8*`RR6i]EB,;BWZ)PJB[d#ruJGmpX,$]]S/EFDdfa&qE`cm%987Yg/bnSl3u.7*X6E(+f:qP2>AMdXUZRMY_j>>\?f2Ln.g/5#jKK%^@ZE/&Jep<LE3X2<5[@g<is9EM;IJ0<g9SQ7UqL_"K[XYAZ>q%S;Vb<@hZf,8JGV&k;%TO6)k]!%El7?8/:o%OE=MgVBSU`I$U$pH5O;e.&/n1qN&:qLh_u#%EHpua/B(6`e]n6H0%O^(gq#45Kct6er?<".mM7(dT.s/D.</BWP\WUUn4nr(?"l<*Sl#^-WJeYE:lt7_j$'9M7YOF;4BPFD,cGMJ"ClupYr%RQ;-`WHp=/5>GIX`@2m(dV:n0cLJbs@cdsP_J5+M1U2=+tO!2#e88SaaSU[[l?jkDVLna:F#TmiEZa7a+>-V16J5<Sgd+\VLWWh,%7^SKW?0en<C12b%YX5/oc,8+NAnsfTW\!5U6S6(-,ERX$:";Qt[O)mQ+Mb4i!(eohclKp.;D8J5O=t_P)kgF]T?;%XPaj<uDP.X[8*^=cKh.%^'skqu9U]s;d.L]!^%A1#8lUP]Hk!bt?FP0,2gD7U'X::m'crQb&H8ltE%6Hm*'PuLe8+EQT;Jm.ME3f1VGZ?GP7@L`"R5qr])tRqOFn;%9brT,JgH1DZjo+ir=!<W9J9'C?i,H$E>1_`OFe0u)#Q)K0jL;#UW8)XQ^rQ"hUmjZ*c?A%lP98ZYJ]FVF:@U5,E14>0UO#O-8Aa/JoB"7UlNj9$hpEsLJrFh"RH\X17Csa]WY!`]oP?q54uKm+obe#KoZnEpV@#*(uW>8rRQ:bW>&I9O$6q09SND-KH[W=NkDY#4Mg&[jrRI8%.JTl"#eJtAPgi<>4P1Jp39_S`X[UNd6jk9E3qsg?B&?TF&CF/NcIu./#1cKa^nWOcZ2eAU:1siA\-]gcI1Fbo>VmKnl\6PO,Z5A^#:8daMW$Q).$PtdpUG<+RX"GV*7W0&);XXfV['`'5SoW-J0*06W$FZ>L>XN2NiK?D$9_=gBdKZ[Lqj>m+-K"*%A9hN-(b=BFPHq-j*c!!;/]4_<RI\%-grc"KQ;BNd2r/>F>bbYTq8)P+bf`kaGNuUWW[M'2=K"SIVTE"$d):_90NMp=-2^/H:n*me1V3QYE5/9Xi)TY]it<Ga`WG\A9r?=]i>Smb7(S)5"%j!3aRj<o]I+dfSV#*6-m@AI"WDO^J8rb3S]>pUU'ePtL(Ae9*u(%f7JX-!\[!YG7hQH1k1.Y_D"K!dbN?^NPV[9lMq7]9KXN=7e>-2Lo^mOXQ6#)#tNb>K2<Zeb#S?\fnh-Sl0,6@;qQSac:"1ggFP914k5R%ZbkF^V\`'\V./lCn7.,LNEHZ$Vh>>*+DV&Km?cK.,[V>_(W=n100db9LZqbrhtt4$R\f5Q$-K-q:#;`SUu4?FMYd=IR<1]oQn_VZLQCdZ'W^IUWi3WRE%VeA*@Qn5C6.\W:B=Gdjt>UG:,*7P\Y*<F0$1ZJYVAT.!\JgJj_IDF1t]tE:OMjG@f\~>endstream
+endobj
+xref
+0 16
+0000000000 65535 f 
+0000000061 00000 n 
+0000000112 00000 n 
+0000000219 00000 n 
+0000000331 00000 n 
+0000000436 00000 n 
+0000000641 00000 n 
+0000000825 00000 n 
+0000000998 00000 n 
+0000001203 00000 n 
+0000001378 00000 n 
+0000001620 00000 n 
+0000001690 00000 n 
+0000002022 00000 n 
+0000002089 00000 n 
+0000004893 00000 n 
+trailer
+<<
+/ID 
+[<1b6415229a6978a736207e50eab19217><1b6415229a6978a736207e50eab19217>]
+% ReportLab generated PDF document -- digest (opensource)
+
+/Info 12 0 R
+/Root 11 0 R
+/Size 16
+>>
+startxref
+6946
+%%EOF