Wie weit reicht das Auskunftsrecht der DSGVO? Landgericht Köln: Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung.

Über die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO herrscht in der Praxis weiterhin Unsicherheit. Dies insbesondere auch deshalb, weil der Wortlaut der entscheidenden Norm, Art. 15 Abs. 1 DSGVO, bestimmt, dass die betroffene Person „ein Recht auf Auskunft über diese personenbezogenen Daten“ hat. Mit „diesen personenbezogenen Daten“ referenziert das Gesetz auf den ersten Halbsatz des Art. 15 Abs. 1 DSGVO, in dem es heißt: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden“. Das Auskunftsrecht umfasst im Grunde also zunächst eine natürliche Person betreffende personenbezogene Daten. Das ist sehr weit. Jedoch sieht aber auch Art. 15 Abs. 4 DSGVO Ausnahmen von dem Recht auf Auskunft vor.

Sind von dem Recht auf Auskunft oder Erhalt einer Kopie (Art. 15 Abs. 3 DSGVO) also z.B. auch sämtliche E-Mails oder interne Vermerke umfasst, die personenbezogene Daten des Betroffenen enthalten? In einer jüngeren Entscheidung hatte sich auch das LG Köln mit der Frage zu befassen, wie weit der Auskunftsanspruch reicht (Teilurteil v. 18.03.201926 O 25/18).

Sachverhalt

In dem Fall klagte eine Person, die bei der Beklagten, einem Versicherungsunternehmen, zwei Lebensversicherungsverträge unterhält. Unter anderem ging es auch um einen geltend gemachten Auskunftsanspruch gegen die Versicherung (noch nach § 34 BDSG alter Fassung). Die Klägerin war bis zuletzt der Ansicht, dass ihr keine vollständige Datenauskunft erteilt wurde. Während des Prozesses hat das Unternehmen wiederholt entsprechende Auskünfte erteilt.

Entscheidung

Nach Ansicht des LG Köln steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen nach Art. 15 Abs. 1 DSGVO zu. Die Information müsse u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten.

Sodann geht das Gericht auf die entscheidende Frage ein, was den konkret „personenbezogene Daten“ sind, die vom Anspruch auf Auskunft erfasst werden. Hierzu verweist das Gericht auf die Definition in Art. 4 Nr. 1 DSGVO. Zudem erfordert der Auskunftsanspruch, dass diese Daten „verarbeitet“ werden. Eine „Verarbeitung von Daten“ stellt nach Art. 4 Nr. 2 DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar.

Hieraus folgert das Gericht:

Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw.

Das LG macht hier jedoch nicht halt. Nach Ansicht des LG Köln

stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar.

Diese Auslegung der DSGVO wird man meines Erachtens jedoch auch angreifen können. Das Gericht verweist wohl u.a. auf ErwG 63 DSGVO. In diesem heißt es zum Auskunftsrecht:

Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Anders als das LG andeutet, wird in ErwG 63 DSGVO gerade nicht Bezug auf Unterlagen an sich genommen, sondern vielmehr auf Daten in diesen Unterlagen: „Daten in ihren Patientenakten“ (Hervorhebung durch mich). ErwG 63 DSGVO referenziert beispielhaft auf Diagnosen, Untersuchungsergebnisse oder Befunde. Jedoch gerade nicht auf die Dokumente, in denen diese enthalten sind.

In seiner weiteren Begründung schränkt das LG dann sogleich diesen weiten Anwendungsbereich des Auskunftsrechts auch wieder ein.

Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann … . Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.

Meines Erachtens widerspricht sich das LG hier in seiner Begründung auch selbst. Zunächst geht es davon aus, dass Gutachten herauszugeben sind, geht jedoch danach davon aus, dass „rechtliche Bewertungen oder Analysen“ nicht umfasst sind. Interessant ist hier auch die Ansicht des LG, dass das Auskunftsrecht solche Dokumente nicht umfasst, „die dem Betroffenen bereits bekannt sind“. Diese Auffassung kann insbesondere im Rahmen von Auskunftsersuchen in Arbeitsverhältnissen relevant werden, wenn etwa ein Anspruch auf Herausgabe der E-Mails geltend gemacht würde. Denn man kann, mit Blick auf die Entscheidung des LG, dann sicher vertreten, dass diese Vorgänge bzw. Dokumente der betroffenen Person bereist bekannt sind.

Das Gericht begründet seine Entscheidung weiter:

Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DSGVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.

Hier macht das LG interessante Ausführungen dazu, was unter der „Kopie“ nach Art. 15 Abs. 3 DSGVO zu verstehen ist. Es geht hierbei gerade nicht um eine Kopie von Unterlagen und Dokumenten, die personenbezogene Daten enthalten, sondern um eine Kopie der personenbezogenen Daten selbst. Diese Kopie kann aber meines Erachtens auch in einer von den Dokumenten unabhängigen Form übergeben werden.

Vorliegend hatte das Unternehmen verschiedene Auskünfte und Informationen erteilt und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Da weiterer substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, nicht erfolgte, lehnte das LG hier den Antrag auf Auskunftserteilung ab.

Dies wird sicherlich nicht die letzte Entscheidung zum Recht auf Auskunft bzw. Erhalt einer Kopie nach Art. 15 DSGVO sein. Datenverarbeitende Stellen sollten sich einerseits bewusst sein, dass dieses Recht sehr umfassend personenbezogene Daten betrifft, andererseits aber auch nicht dazu dient, Belege von jeglichen Unterlagen und Dokumenten zu erhalten, die irgendwo den Namen einer Person aufführen.

OVG NRW: Dienst- und Lebensalter von Richtern unterfällt dem Datenschutzrecht

Im Rahmen der Prüfung eines Antrags auf Gewährung von Prozesskostenhilfe für einen Informationsanspruch nach § 4 Abs. 1 IFG NRW hat sich das OVG Nordrhein-Westfalen mit dem Begriff des „personenbezogenen Datums“ befasst (Beschl. v. 6.2.2019 – 15 E 1026/18).

Konkret ging es um einen geltend gemachten Informationsanspruch aus § 4 Abs. 1 IFG NRW hinsichtlich der Offenlegung des Dienst- und Lebensalters der Mitglieder des 10. Familiensenats eines Oberlandesgerichts (wohl Köln). Nach Ansicht des OVG liegt hier der Ausschlussgrund gemäß § 9 Abs. 1 IFG NRW vor.

Nach § 9 Abs. 1 IFG NRW ist der Antrag auf Informationszugang abzulehnen, soweit durch das Bekanntwerden der Information personenbezogene Daten offenbart werden, es sei denn, ein Ausnahmetatbestand nach den § 9 Abs. 1 lit. a) bis e) IFG NRW liegt vor.

Das OVH verweist darauf, dass der Begriff der personenbezogenen Daten in § 9 Abs. 1 Hs. 1 IFG NRW dem im Datenschutzrecht verwendeten Begriff in Art. 4 Nr. 1 DSGVO zu entnehmen ist. Danach sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Erfasst sind alle Informationen, die über die Bezugsperson etwas aussagen, unabhängig davon, welchen Lebensbereich sie betreffen. Der Terminus der personenbezogenen Daten ist damit außerordentlich weit zu verstehen.

Das OVG interpretiert den Begriff also sehr weit, was auf einer Linie mit der Rechtsprechung des EuGH oder auch den Ansichten der Datenschutzbehörden liegt. Danach stellt das OVG klar, dass der Schutz personenbezogener Daten nicht nur im privaten Bereich anwendbar ist.

Er gilt auch für Mitarbeiter von Behörden und Gerichten, die in Wahrnehmung öffentlich-rechtlicher Aufgaben und somit in ihrer Eigenschaft als Amtswalter tätig werden. Auch insoweit bleiben sie Träger von Grundrechten wie demjenigen auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.

Nach Auffassung des OVG stellen die begehrten Informationen, die Verhinderungszeiten ebenso wie im Handbuch der Justiz womöglich nicht veröffentlichte Dienst- und Lebensalter von Mitgliedern des 10. Familiensenats, personenbezogene Daten dar.

Das Dienst- und Lebensalter ist eine Information, die sich naturgemäß individuell auf eine bestimmte Person bezieht. Entsprechendes gilt für die streitbefangenen Verhinderungszeiten. Diese können … etwa auf Urlaub oder Krankheit beruhen und geben damit Aufschluss über persönliche Verhältnisse der betreffenden Person.

Die Aussagen des OVG beziehen sich hier zwar auf einen konkreten Sachverhalt, sind meines Erachtens aber durchaus auf andere Bereiche, zum Beispiel Mitarbeiterdaten, übertragbar. Auch dort können Informationen zu Verhinderungszeiten verarbeitet werden. Des Weiteren stellt das OVG klar, dass der Personenbezug nicht dadurch entfällt, dass die Frage nach den Verhinderungszeiten negativ beantworten werden würde, wenn keine Verhinderung vorgelegen hat. Denn auch diese Information würde sich auf ein identifiziertes oder identifizierbares Mitglied des 10. Familiensenats beziehen und über dieses etwas aussagen.

Behörde verweigert gerichtliche Aktenvorlage mit Verweis auf die DSGVO – und scheitert.

Der VGH Baden-Württemberg hat im Februar 2019 eine interessante Entscheidung, u.a. zur Frage der Anwendbarkeit der DSGVO im justiziellen Bereich, getroffen (Beschl. v. 15.02.2019 – 1 S 188/19). Erforderlich war der Beschluss, da sich eine Behörde weigerte, einem Verwaltungsgericht Akten zur Entscheidungsfindung vorzulegen. Der angebliche Grund: die DSGVO.

Nach ErwG 20 DSGVO gilt die DSGVO „unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden“. Auch Gerichte müssen sich daher natürlich an datenschutzrechtliche Vorgaben halten. Doch in seinem Beschluss macht der VGH nun deutlich, dass die Einhaltung der DSGVO nicht gleichzeitig im Konflikt mit der richterlichen Tätigkeit steht, wie dies von der Behörde im konkreten Fall wohl angeführt wurde.

Sachverhalt

Der VGH hat über eine Beschwerde gegen einen sog. Hängebeschluss im einstweiligen Rechtsschutz zentschieden. Kleiner Exkurs ins Verwaltungsrecht:

Ein Hängebeschluss ist eine Zwischenverfügung des Gerichts in einem Eilrechtsverfahren, um den Ist-Status für den Antragsteller zu sichern, bis das Gericht final entscheidet. Es handelt sich aber nicht um eine instanzabschließende Sachentscheidung. Ob ein solcher Hängebeschluss überhaupt angegriffen werden kann und wenn ja, mit welchem Rechtsmittel, ist umstritten. Das sieht man zB sehr schön daran, dass der hier entscheidende 1. Senat am VGH die Beschwerde gegen den Hängebeschluss zulässt, der 11. Senat des VGH dies aber jüngst noch abgelehnt hat (Beschl. v. 15.3.2018 – 11 S 2094/17). Ein solcher Hängebeschluss des VG Sigmaringen war hier der Beschwerdegegenstand.

Vorliegend hat Verwaltungsgericht der Behörde als Antragsgegnerin mit dem angefochtenen Beschluss im Wege eines Hängebeschlusses bis zu einer Entscheidung des Verwaltungsgerichts über den Eilantrag untersagt, Bauplätze in einem Baugebiet zu vergeben und notarielle Kaufverträge abzuschließen. Die Behörde

hatte sich trotz mehrfacher Aufforderungen des Verwaltungsgerichts, die vollständigen Akten im Original vorzulegen, wiederholt unter Verstoß gegen ihre Pflichten aus § 99 Abs. 1 S. 1 VwGO geweigert, Verwaltungsvorgänge zu dem Auswahlverfahren und zu den zugrundeliegenden Sitzungen des Gemeinderats vorzulegen. Durch dieses offensichtlich rechtswidrige Verhalten der Antragsgegnerin war das Verwaltungsgericht nicht in der Lage, die Erfolgsaussichten des Eilrechtsantrags zu prüfen.

Entscheidung

Der VGH hat unmissverständlich klar gemacht, dass es nicht der Behörde obliegt, selbst zu entscheiden, welche Dokumente und Akten für das Verfahren eventuell relevant sein mögen.

Die Entscheidung darüber, welche Urkunden und Akten vorzulegen sind, steht im Rahmen des § 86 Abs. 1 VwGO im Ermessen des Gerichts; ihm allein und nicht der Behörde kommt nach § 86 Abs. 1 VwGO auch die Beurteilung zu, welche Urkunden und Akten für seine Entscheidung erheblich sein können.

Ursprünglich hatte die Behörde gegen das Aktenvorlageverlangen des Verwaltungsgerichts Bedenken aus dem „Datenschutzrecht“ vorgetragen. Der VGH befindet hierzu, dass solche Bedenken nicht bestehen.

Einem Herausgabeverlangen nach § 99 Abs. 1 S. 1 VwGO kann insbesondere nicht „die DSGVO“ (Schriftsatz vom 14.01.2019, S. 14) entgegengehalten werden.

Der VGH verweist darauf, dass die DSGVO grundsätzlich auch für die Tätigkeiten der Gerichte gelte. Sie steht aber einer Datenerhebung durch das Verwaltungsgericht in der Gestalt einer Verfügung zur Aktenvorlage nicht entgegen.

Danach befasst sich der VGH mit den verschiedenen in Betracht kommenden Rechtsgrundlagen. Hierzu verweist er allgemein zunächst auf die Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Nach Ansicht des VGH sind für die Tätigkeit der Gerichte sowohl der Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) als auch Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde) einschlägig.

Die Voraussetzungen beider Tatbestände sind erfüllt, wenn die Gerichte Daten bei den Beteiligten eines gerichtlichen Verfahrens zum Zweck der Rechtspflege erheben und die Daten zu diesem Zweck verwenden.

Der VGH verweist hierzu insbesondere auf die gesetzliche Pflicht der Verwaltungsgerichte, den Sachverhalt von Amts wegen zu ermitteln und dabei die Beteiligten heranzuziehen (§ 86 Abs. 1 S. 1 VwGO). Zudem widmet sich der VGH der Frage, ob auch die Behörde befugt ist, personenbezogene Daten an das Gericht zu übermitteln. Diese Datenübermittlung ist zur Erfüllung einer rechtlichen Verpflichtung, nämlich jener aus § 99 Abs. 1 S. 1 VwGO, erforderlich und kann daher auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Auch geht der VGH auf die Frage ein, ob § 99 VwGO als nationale Vorschrift mit den Vorgaben der DSGVO im Einklang steht. Hierbei befasst sich das Gericht jedoch nicht mit den Vorgaben des Art. 6 Abs. 2 und 3 DSGVO und den dort aufgestellten Anforderungen an Rechtsgrundlagen im nationalstaatlichen Recht. Vielmehr geht der VGH anscheinend davon aus, dass § 99 VwGO eine die Rechte der Betroffenen beschränkende Vorschrift im Sinne des Art. 23 DSGVO darstellt. Zumindest geht das Gericht nur hierauf ein.

Gemäß Art. 23 Abs. 1 Buchst. f DS-GVO können insbesondere zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt, unter anderem die Pflichten und Rechte gemäß den Art. 12 bis 22 DS-GVO beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt.

Und nach Ansicht des VGH enthalten solche Regelungen zum Schutz von Gerichtsverfahren und zur Datenverarbeitung durch die Gerichte insbesondere die nationalen Vorschriften über das Verfahrensrecht der Gerichte betreffend die Datenerhebung zum Zweck der Rechtsprechung.