Category Archives: Auskunft

Landesarbeitsgericht: Frist zur Beantwortung von Auskunftsersuchen beträgt einen Monat – auch wenn der Betroffene (oder sein Anwalt) eine kürzere Frist setzen

Posted on by

In der Praxis werden Auskunftsansprüche nach Art. 15 DSGVO oft mit einer Fristsetzung durch Betroffene verbunden. So wird etwa gefordert, die Auskunft innerhalb von ein oder zwei Wochen zur Verfügung zu stellen.

Das Landesarbeitsgericht (LAG) Baden-Württemberg (Urteil vom 28.7.2023, 9 Sa 73/21) hatte sich in einer Entscheidung mit der Frage zu befassen, ob Betroffene einen Anspruch auf Erfüllung des Auskunftsrechts innerhalb der von ihnen (oder ihrem Rechtsanwalt) gesetzten Frist haben. Auch wenn diese von den gesetzlichen Vorgaben abweicht.

Sachverhalt

Der Kläger des Verfahrens stand bei der Beklagten in einem Ausbildungsverhältnis. Ihm wurde eine Abmahnung erteilt. Mit E-Mail vom 25.03.2020 wandte sich der Prozessbevollmächtigte des Klägers an die Beklagten und verlangte u.a. bis zum 03.04.2020 Auskunft über die personenbezogenen Daten des Klägers gem. Art. 15 DSGVO sowie Übermittlung der Personalakte des Klägers.

Entscheidung

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Das LAG musste prüfen, wie sich die kurze Fristsetzung (9 Tage) zu der gesetzlichen Vorgabe des Art. 12 Abs. 3 DSGVO verhält.

Das Gericht geht davon aus, dass die Setzung einer kürzeren Frist, als jener in Art. 12 Abs. 3 DSGVO, irrelevant ist.

Nach Ansicht des LAG sind die Fristen für die Auskunftserteilung gesetzlich geregelt.

„Setzt der Auskunftsberechtigte eine zu kurze Frist, kann das nichts daran ändern, dass die Frist nach Art. 12 Abs. 3 DSGVO gilt.“

Verantwortliche haben also grundsätzlich die gesetzlich vorgesehene Zeit, um die Auskunft zu erteilen. Natürlich darf in der Praxis aber nicht unbeachtet bleiben, dass due Auskunft grundsätzlich „unverzüglich“ zu erteilen ist. Die Auskunft kann also auch vor Ablauf der Monatsfrist erteilt werden, wenn dies möglich ist.

Das Gericht führt weiter aus:

„Vor Ablauf dieser Frist braucht der Verantwortliche, hier die Beklagten zu eins und zu zwei die Ansprüche nicht erfüllen.“

Verantwortliche müssen nach Ansicht des LAG also auf eine zu kurze Fristsetzung nicht reagieren, sondern sind an die gesetzlichen Vorgaben gebunden.

Zudem geht das LAG aber auch davon aus, dass eine zu kurz gesetzte Frist den Auskunftsanspruch nicht gegenstandlos macht. Dieser ist weiterhin zu erfüllen – nur eben innerhalb der gesetzlichen Frist.

Folgt man den Erwägungen des LAG, sollten sich Verantwortliche in der Praxis also bei Fristsetzungen durch Betroffene oder ihre Vertreter nicht unter Druck setzen. Es gelten die gesetzlichen Vorgaben. So hatte etwa in der Vergangenheit auch das BayLDA in seinem Tätigkeitsbericht 2019 (S. 26) festgestellt:

„„Unverzüglich“ bedeutet nicht, dass eine Reaktion auf die Anfrage sofort zu erfolgen hat, sondern dass die Anfrage „ohne schuldhaftes Zögern“ zu bearbeiten ist.“

Sollte etwa innerhalb der Monatsfrist eine Beschwerde bei der Aufsichtsbehörde eingereicht werden, geht das BayLDA davon aus, dass es nicht tätig werden kann – da die Monatsfrist noch nicht abgelaufen ist.

BayLDA: Frist zur Auskunftserteilung beginnt auch, wenn Anfrage beim Auftragsverarbeiter eingeht

Posted on by

In seinem aktuellen Tätigkeitsbericht 2022 (PDF) geht des BayLDA auf ein praxisrelevantes Thema bei der Erfüllung von Betroffenenrechten ein. Es geht, unter anderem, um die Frage, ob die in Art. 12 Abs. 3 DSGVO vorgesehene Monatsfrist bereits dann beginnt, wenn ein Betroffener eine Auskunftsanfrage nach Art. 15 DSGVO nicht an den Verantwortlichen, sondern dessen Auftragsverarbeiter richtet (S. 28).

Bsp: Der Betroffen sieht in den Datenschutzhinweisen eines Online-Shops, dass der Betreiber einen Hosting-Anbieter als Auftragsverarbeiter angibt. Der Betroffene und Kunde des Shops richtet nun einen Auskunftsanspruch in Bezug auf seine Kundendaten nicht an den Shop-Betreiber, sondern den Hosting-Anbieter.

Pflichten des Auftragsverarbeiters

Das BayLDA stellt zunächst fest, dass in dem Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 lit. e) DSGVO vorzusehen ist, dass der Verantwortliche nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt wird, seiner Pflicht zur Beantwortung von Ersuchen gem. Art. 12 ff. DS-GVO, somit auch eines Auskunftsersuchens nachzukommen.

Achtung. Hiervon zu unterscheiden ist die Situation, dass ein Verantwortlicher einen Dienstleister als Auftragsverarbeiter konkret für die Bearbeitung von Betroffenenanfragen einsetzt. Dies ist möglich, jedoch muss auch hier der Prozess sauber implementiert und geprüft werden, wie ein Bußgeld in Höhe von 50.000 EUR durch das LDA Brandenburg aus der Vergangenheit zeigt (Tätigkeitsbericht 2019, S. 29, PDF). Dort wurde unter anderem gegen Art. 12 DSGVO verstoßen, da die Korrespondenz im Rahmen der Auskunftserteilung unter dem Logo des Dienstleisters durchgeführt wurde und das Unternehmen die Betroffenen nach Antragstellung zur Auskunftserteilung zunächst nur in englischer Sprache kontaktierte.

Zurück zum Fall des BayLDA. Die Aufsichtsbehörde verlangt, wenn Betroffenenanfragen bei dem Auftragsverarbeiter eingehen, dass

z.B. Auskunftsersuchen bezüglich der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich an den Verantwortlichen weitergeleitet werden“.

Fristbeginn bereits bei Eingang beim Auftragsverarbeiter

Jedoch geht das BayLDA noch einen Schritt weiter. Hinsichtlich der in Art. 12 Abs. 3 DSGVO geregelten Frist von einem Monat zur Beantwortung der Auskunftsanfrage vertritt die Aufsichtsbehörde:

Geht also das Ersuchen beim Auftragsverarbeiter ein, bewirkt dies den Fristbeginn beim Verantwortlichen, nachdem diesen das Handeln des Auftragsverarbeiters insoweit zuzurechnen ist.“

Im Ergebnis bedeutet dies, dass sich der Verantwortliche die Tatsache des Eingangs des Auskunftsersuchens beim Auftragsverarbeiter wie ein Eingang bei sich zurechnen lassen muss. Für die Praxis kann dies dazuführen, dass der Verantwortliche faktisch noch gar nichts weiß, dass eine Auskunftsanfrage gestellt wurde. Wenn der Auftragsverarbeiter sich 1-2 Wochen mit der Weiterleitung Zeit lässt, hat der Verantwortliche entsprechend weniger Zeit zur Beantwortung. Will sich ein Verantwortlicher in diesem Fall darauf berufen, dass der Auftragsverarbeiter nicht ordentlich gearbeitet habe, ist dies aber ebenso ein Risiko. Denn nach Art. 28 Abs. 1 DSGVO muss der Verantwortliche seine Auftragsverarbeiter ordentlich auswählen und nur solche einsetzen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die DSGVO eingehalten wird.

Kritik an der Ansicht des BayLDA

Meines Erachtens muss man die Auffassung des BayLDA hier nicht zwingend teilen.

Zum einen könnte man recht schlicht auf die Vorgaben und den Wortlaut des Art. 12 Abs. 3 DSGVO abstellen. Dort wird nur der „Verantwortliche“ adressiert, nicht aber der Auftragsverarbeiter. Andererseits verstehe ich auch die Auffassung des BayLDA, dass es den Auftragsverarbeiter quasi in der rechtlichen Sphäre des Verantwortlichen sieht.

Gegen die Ansicht des BayLDA spricht aber aus meiner Sicht insbesondere ein vergelichender Blick auf die ähnliche Situation, wenn bei dem Auftragsverarbeiter eine potentielle Datenschutzverletzung passiert.

Die DSGVO sieht für diesen Fall in Art. 33 Abs. 2 DSGVO gerade keinen Fristenlauf der 72 Stunden vor. Sondern verpflichtet den Auftragsverarbeiter vielmehr „nur“, die mögliche Datenschutzverletzung unverzüglich an den Verantwortlichen zu melden. Diese Regelung wäre aber überflüssig, wenn der Verantwortliche sich die Kenntnis des Auftragsverarbeiters zurechnen lassen müsste und die 72 Stunden schon zu laufen beginnen, wenn der der Auftragsverarbeiter Kenntnis hat. Der Gesetzgeber scheint also gerade nicht automatisch von einer Zurechnung des Wissens oder der Kenntnis an den Verantwortlichen auszugehen.

Auch die europäischen Datenschutzbehörden gehen ausdrücklich für Art. 33 DSGVO davon aus, dass Fristen gerade noch nicht beginnen, wenn nur der Auftragsverarbeiter Kenntnis einer potentiellen Verletzung hat.

In den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250rev.01) heißt es (S. 15):

Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat.“

Die Kenntnis des Verantwortlichen wird klar an den Zeitpunkt der Meldung vom Auftragsverarbeiter an den Verantwortlichen geknüpft.

Und auch in seinen Guidelines 9/2022 on personal data breach notification under GDPR (PDF) geht der EDSA davon aus (S. 14):

The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has informed it of the breach.”

Und auch in den Leitlinien des EDSA zu Art. 15 DSGVO (PDF) wird klar auf den Eingang beim Verantwortlichen abgestellt (S. 50):

„The time limit starts when the controller has received an Art. 15 request, meaning when the request reaches the controller through one of its official channels“

Folgen für die Praxis

Folgt man der Ansicht des BayLDA, ist in der Praxis eine enge Kontrolle und strenge Vorgaben an die eigenen Auftragsverarbeiter absolut geboten. Jeder weiß, wie schnell die Frist von einem Monat abläuft. Wenn der Auftragsverarbeiter hier eher gemütlich unterwegs ist, kann dies im schlimmsten Fall dazu führen, dass man als Verantwortlicher gegen die DSGVO verstößt. Eventuell sollte man dieses Risiko auch in Verträgen mit den Auftragsverarbeitern adressieren (Ersatzpflicht bei verspäteter Weiterleitung).

Wie beschrieben, gibt es aber aus meiner Sicht auch valide Argumente, der Ansicht des BayLDA nicht zu folgen. Zumindest Verantwortliche in Bayern sollten hier aber natürlich wissen, dass ihre Aufsichtsbehörde dies im Streitfall ggfs. anders sieht und eine entsprechend valide Argumentation vorweisen.

Verwaltungsgericht Berlin: Anforderungen an die Identifizierung bei Auskunftsanfragen – Mitwirkungsobliegenheit des Betroffenen

Posted on by

Im Rahmen eines Verfahrens zur Bewilligung von Prozesskostenhilfe hat sich das Verwaltungsgericht (VG) Berlin mit der Frage befasst, wann Verantwortliche einen Antrag auf Auskunft nach Art. 15 DSGVO wegen begründeter Zweifel an der Identität der anfragenden Person ablehnen und mehr Informationen anfordern können (Beschl. v. 24.4.2023, Az. VG 1 K 227/22).

Sachverhalt

Ein Betroffener war mit einem ablehnenden Bescheid der Berliner Datenschutzbehörde gegen ihn nicht zufrieden und klagte dagegen. Die Behörde hatte keine Verstöße gegen die DSGVO durch eine Auskunftei erkannt. Inhaltlich ging es vorab um die Beschwerde des Betroffenen gegen eine nicht gewährte Auskunft nach Art. 15 DSGVO durch eine Auskunftei. Diese hatte die Auskunft wegen begründeter Zweifel verweigert und zur Identifizierung mehr Daten angefordert (Art. 12 Abs. 6 DSGVO), jedoch nicht erhalten.

Entscheidung

Das VG lehnte den Antrag auf Bewilligung von Prozesskostenhilfe ab. Es sah für den Betroffenen in dem Vorgehen gegen die Entscheidung der Datenschutzbehörde keine Erfolgsaussichten. Dies deshalb, weil das Verhalten der Auskunftei in Bezug auf die Verweigerung der Auskunft und Anforderung weiterer Daten zur Identifizierung zulässig war.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag nach Art. 15 DSGVO stellt.

Das VG äußert sich dazu, wann man seiner Ansicht nach von „Zweifeln“ ausgehen darf.

Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist.“

Wichtig: pauschale Zurückweisungen sind nach Ansicht des VG nicht möglich. Der Verantwortliche hat seine Zweifel vielmehr einzelfallbezogen darzulegen.

Für Verantwortliche in der Praxis relevant ist die Feststellung des VG dazu, wie sich der Betroffene in einer solchen Situation zu verhalten hat.

Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften.“

Im konkreten Fall prüfte das VG dann, ob die Auskunftei hier von Zweifeln ausgehen und wegen dieser Unsicherheit die Auskunft zunächst verweigern durfte. Hierbei werden durch das Gericht einige sicher auch für andere Verantwortliche relevante Kriterien herausgearbeitet.

Zu berücksichtigen sind:

  • Die Sensibilität der abgefragten Informationen. Denn Wirtschaftsauskunfteien speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen.
  • Zweifelsfreie Identifikation des Antragstellers nicht möglich, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab.

Zuletzt stellte sich noch die Frage, ob das Unternehmen zur Identifikation das Geburtsdatum und gegebenenfalls frühere Anschriften abfragen durfte. Das VG geht davon aus, dass die Anforderung dieser Merkmale zulässig war.

„Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt“.

Zudem stand die Abfrage des Geburtsdatums zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten.

Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage … reagiert“.

Dänische Datenschutzbehörde: Auskunftsrecht bei Videospielen – Chats, Serverlogs und Anti-Cheat-Informationen

Posted on by

In ihrer Entscheidung vom 29. August 2022 (die im Rahmen des One Stop Shop Verfahrens gefasst wurde) befasst sich die dänische Datenschutzbehörde (Datatilsynet) mit dem Auskunftsrecht nach Art. 15 DSGVO im Zusammenhang mit Videospielen. Nach Prüfung des Falles beschloss die Datenschutzbehörde, das Unternehmen zu verwarnen, weil es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chatnachrichten im Spiel gemäß Art. 15 Abs. 3 DSGVO bereitgestellt hatte.

Sachverhalt

Nachdem der Beschwerdeführer (Nutzer eines Videospiels des Unternehmens) Auskunft nach Art. 15 DSGVO beantragt hatte, verweigerte ihm das Unternehmen die Herausgabe von Daten über Spielwiederholungen (1), Anti-Cheat-Informationen (2), Serverprotokolle (3) und In-Game-Chat-Nachrichten (4), da diese Daten Geschäftsgeheimnisse des Unternehmens darstellen. Es ging hier also um vier verschiedene Arten von Daten, die der Betroffene verlangte, aber nicht erhielt.

Nachdem er sich erneut an das Unternehmen gewandt hatte, ohne zusätzliche Informationen zu erhalten, beschwerte sich die betroffene Person bei der Aufsichtsbehörde.

Die Entscheidung der Behörde

Die Datenschutzbehörde stellte fest, dass das Unternehmen gegen Art. 15 Abs. 3 DSGVO verstoßen hat, indem es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chat-Nachrichten (4) im Spiel zur Verfügung gestellt hat.

Nach Auffassung der Behörde konnte sich das Unternehmen hinsichtlich dieser Daten auf keine Ausnahme nach Art. 15 Abs. 4 DSGV stützen. Zudem betont die Behörde, dass der Beschwerdeführer bereits Kenntnis vom Inhalt der Nachrichten hat.

Bei den anderen oben benannten Datenkategorien geht die Aufsichtsbehörde aber zum Teil durchaus von dem Eingreifen der Ausnahmeregelung aus.

Der Verantwortliche musste keine anderen Chatnachrichten (4) zur Verfügung stellen, da das Unternehmen durch die Bereitstellung dieser Nachrichten wahrscheinlich Informationen über andere Personen preisgeben würde (z. B. wenn sie von anderen Chatteilnehmern erwähnt werden). Die Behörde sah von Art. 15 Abs. 3 DSGVO also nur solche Chats / Nachrichten umfasst, die vom Betroffenen selbst kamen oder an ihn gerichtet waren.

Ein Erwägungsgrund hierbei ist, dass die Spielteilnehmer ein gewisses Maß an Privatsphäre in Bezug auf die im Eifer des Gefechts verschickten Nachrichten innerhalb des Spiels erwarten. 

In Bezug auf andere Informationen über Anti-Cheat-Maßnahmen (2) vertrat die Datenschutzbehörde die Auffassung, dass das Unternehmen nach speziellen Vorgaben im dänischen Datenschutzgesetz das Recht hat, diese Informationen nicht weiterzugeben. Dort ist geregelt, dass u.a. Art. 15 DSGVO nicht greift, wenn das Interesse der betroffenen Person an dieser Information von wesentlichen Erwägungen anderer privater Interessen überwogen werden. Die Behörde argumentiert, dass eine Offenlegung aufzeigen kann, wie Spieler im Spiel betrügen können, und die zugrunde liegende Logik offenbart, was möglicherweise nicht nur Auswirkungen auf das Unternehmen, sondern auch auf andere Spieler haben könnte.

Was die Spielwiederholungsdaten (1) und die Serverprotokolle (3) betrifft, so hat das Unternehmen erklärt, dass die Informationen nur für einen begrenzten Zeitraum gespeichert werden und bereits gelöscht wurden, bevor das Unternehmen den Antrag auf Auskunft erhalten hat. Die Datenschutzbehörde sah keinen Grund, diese Tatsache weiter zu untersuchen oder zu bestreiten.

DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“

Posted on by

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen interessanten Fall (Entscheidung auf Englisch, PDF) zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden. Zudem geht sie in ihrer Entscheidung auf die Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenanfragen ein.

Sachverhalt

Der Betroffene kaufte auf ebay einen Artikel bei dem Unternehmen Asus. Im Rahmen des Kaufs gab der Betroffene die E-Mail-Adresse ebay@levaria.de an. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com an die beim Kauf angegebene Adresse ebay@levaria.de, in der der Asus Online Shop als Absender angegeben war. Dort wurde der Betroffene gebeten, das Kauferlebnis bei Asus auf Trustpilot zu bewerten.

Daraufhin kontaktierte der Betroffene Trustpilot direkt, jedoch von einer anderen E-Mail-Adresse (service@levaria.de) und bat um Auskunft über die von Trustpilot möglicherweise verarbeiteten personenbezogenen Daten. Die Anfrage enthielt neben der E-Mail-Adresse auch den Namen und die Adresse. Trustpilot antwortete und teilte mit, dass Trustpilot keinen aktiven Nutzer für die E-Mail service@levaria.de ausfindig machen konnte und daher keine Daten über ihn verarbeitet.

Danach erhielt der Betroffene erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops an ebay@levaria.de, in der er erneut gebeten wurden, den Einkauf bei Asus zu bewerten. Hierauf beschwerte sich der Betroffene zunächst bei der bayerischen Behörde (BayLDA), die die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiterleitete.

Entscheidung

Die dänische Behörde ist die für Trustpilot zuständige Aufsichtsbehörde in der EU. Für die Behörde ging es um die Frage, ob Trustpilot nach Art. 15 DSGVO verpflichtet war, Auskunft zu erteilen und wenn ja, ob dies hier richtig erfolgte.

Trustpilot als Verantwortlicher?

Die dänische Behörde hebt in ihrer Begründung hervor, dass allein der Verantwortliche nach Art. 15 DSGVO verpflichtet ist, die Auskunft an Betroffene zu erteilen.

Es liegt daher in der Verantwortung des für die Verarbeitung Verantwortlichen, dass ein Antrag einer betroffenen Person auf Auskunft gemäß Artikel 15 der DSGVO bearbeitet wird“.

Im konkreten Fall gab Trustpilot an, in Bezug auf den Versand von Einladungs-E-Mails als Auftragsverarbeiter zu agieren. Dies beruhe u.a. darauf, dass Unternehmen, wie z.B. der Asus Online Shop, entscheiden, ob sie die Einladungssoftware von Trustpilot nutzen wollen oder nicht, ebenso wie die Unternehmen entscheiden, ob und wann Einladungen über die Einladungssoftware von Trustpilot verschickt werden.

Damit war aus Sicht der Aufsichtsbehörde die Frage beantwortet, ob Trustpilot verpflichtet war, im eigenen Namen die Auskunft zu erfüllen.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Identifikation des Betroffenen durch den Auftragsverarbeiter?

Zwar war Trustpilot also selbst nicht nach der DSGVO verpflichtet, die Auskunft zu erfüllen. Jedoch ist der Auftragsverarbeiter nach Art. 28 Abs. 3 e) DSGVO in dem AV-Vertrag darauf zu verpflichten, den Verantwortlichen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Es stelle sich also noch die Frage, ob Trustpilot hier dieser Unterstützungspflicht ausreichend nachkam.

Nach Ansicht der dänischen Aufsichtsbehörde hat Trustpilot in dem Verfahren ausführlich dargelegt, dass es bei der ersten und zweiten Kontaktaufnahme des Betroffenen mit Trustpilot eine Suche über die E-Mail service@levaria.de durchgeführt hat und dass Trustpilot die betroffene Person auf dieser Grundlage nicht identifizieren konnte, da Trustpilot die E-Mail service@levaria.de nicht registriert hatte.

Denn Trustpilot verarbeitete nur die mit der E-Mail-Adresse ebay@levaria.de (jene, die bei dem Kauf verwendet wurde) verbundenen Informationen als Auftragsverarbeiter für den Asus Online Shop. Da diese E-Mail-Adresse aber im Zusammenhang mit der Auskunftsanfrage nicht verwendet wurde, konnte Trustpilot in seinen Systemen keine Daten finden.

ABER: der Betroffene hatte ja im Rahmen seiner Anfrage u.a. auch seinen Namen und die postalische Adresse angegeben.

Die dänische Datenschutzbehörde kritisiert vor diesem Hintergrund, dass Trustpilot keine einheitliche Praxis bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die die betroffene Person im Zusammenhang mit ihrer Anfrage übermittelt, umgesetzt hatte. Nach dem Namen und der Adresse konnte Trustpilot anscheinend nicht suchen und einen Abgleich durchführen.

So hätte Trustpilot die Möglichkeit der Identifizierung der betroffenen Person und könnte, in seiner Rolle als Auftragsverarbeiter, den für die Verarbeitung Verantwortlichen in dem vereinbarten Umfang unterstützen. Die dänische Behörde gab dies jedoch nur als Hinweis an Trustpilot und stellte das Verfahren ein.

Fazit

Die Aufsichtsbehörde scheint also zu empfehlen, dass Trustpilot zusätzliche Daten als Auftragsverarbeiter erhält (Name und Adresse), die zwar für die eigene Leistung (Versand der E-Mail) nicht erforderlich sind, jedoch im Rahmen der Betroffenenanfragen relevant werden können. Diese Ansicht mag man im Hinblick auf die Erleichterung von Betroffenenanfragen unterstützen. Gleichzeitig ist der Verantwortliche (für den Trustpilot hier als Auftragsverarbeiter ja auch bei Betroffenenanfragen unterstützen muss) aber nach Art. 11 DSGVO gerade nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur für den Zweck, um Betroffenenrechte zu erfüllen.

Man wird hier wohl die Besonderheit beachten müssen, dass die erforderlichen Daten (Name und Adresse) aber natürlich schon bei dem Verantwortlichen vorhanden sind. Eventuell wäre es hier eine Option gewesen, dass Trustpilot die Anfrage des Betroffenen (auch mit der eigentlich unbekannten E-Mail-Adresse) direkt an Asus weiterleitet.

Generalanwalt am EuGH: Mitarbeiter sind keine „Empfänger“ – zum Umfang des Auskunftsanspruchs

Posted on by

Am 15. Dezember 2022 hat Generalanwalt (GA) Sanchez-Bordona seine Schlussanträge in dem Verfahren C-579/21 vorgelegt. Es geht um einige interessante Fragen hinsichtlich des Umfangs des Auskunftsrechts nach Art. 15 DSGVO. Daneben wird auch kurz auf die Rolle von Mitarbeitern nach der DSGVO bei einem Verantwortlichen eingegangen.

Sachverhalt

In dem Verfahren geht es um einen Betroffenen, der davon Kenntnis erlangte, dass seine personenbezogenen Daten als Kunde des Verantwortlichen abgefragt worden waren. Während dieser Zeit war der Betroffene nicht nur Kunde, sondern auch beim Verantwortlichen beschäftigt.

Der Betroffene forderte den Verantwortlichen auf, ihn über die Identität derjenigen bei ihm Beschäftigten, die im genannten Zeitraum Zugang zu seinen Daten hatten, sowie über den Zweck der Datenverarbeitung zu informieren. Diesen Anspruch begründete er mit Art. 15 DSGVO und damit, dass er mittlerweile von dem Verantwortlichen gekündigt worden war und u. a. die Gründe für seine Kündigung klären wollte.

Der Verantwortliche weigerte sich Auskunft über die Namen der bei Beschäftigten zu erteilen, die personenbezogene Daten des Betroffenen verarbeitet hatten. Nach seiner Ansicht gilt das Recht aus Art. 15 DSGVO nicht für interne Verzeichnisse oder Tagesprotokolle, aus denen hervorgeht, welche Beschäftigten zu welchem Zeitpunkt Zugang zu dem die Kundendaten enthaltenden Datenverarbeitungssystem hatten.

Unterschied zwischen „personenbezogenen Daten“ und „Informationen“

Zunächst befasst sich der GA generell mit der Struktur und dem Inhalt des Art. 15 DSGVO. Er weist darauf hin, dass die Bestimmung zwischen „personenbezogenen Daten“ zum einen und „Informationen“ im Sinne von Abs. 1 Buchst. a bis h zum anderen klar unterscheide. Hieraus folgert er, dass „Informationen“ keine personenbezogenen Daten sind.

Die Informationen, die der betroffenen Person nach Art. 15 Abs. 1 Buchst. a bis h DSGVO zur Verfügung zu stellen sind, dürfen daher nicht mit den personenbezogenen Daten der betroffenen Person im Sinne von Art. 4 Abs. 1 DSGVO verwechselt werden.“

Der Zweck der Erteilung der Informationen liegt in dem Hinweis auf bestimmte Rechte der betroffenen Person oder insbesondere auf Aspekte, die mit der durchgeführten Verarbeitung zusammenhängen, wie z. B. auf ihren Zweck (d. h. den Grund der Verarbeitung) und ihren Gegenstand (die Kategorien der verarbeiteten Daten).

Aus diesem Grund, so der GA, hat der Betroffene im vorliegenden Fall auch keinen Anspruch auf seine personenbezogenen Daten über das Merkmal der „Informationen“, auch wenn nach den Informationen nach Art. 15 Abs. 1 lit. c DSGVO Empfänger zu benennen sind und hierunter eventuell (siehe dazu sogleich) Angaben dazu fallen, welche Mitarbeiter auf Daten des Betroffenen zugegriffen haben.

Der Betroffene hat einen Anspruch auf die „Informationen“ nach Abs. 1, aber nicht, weil diese Informationen an sich „personenbezogene Daten“ darstellten, sondern aufgrund der ausdrücklichen Vorgabe in Art. 15 Abs. 1 DSGVO.

Mitarbeiter als „Empfänger“ im Sinne der DSGVO?

Sodann widmet sich der GA der Frage, ob Mitarbeiter des Verantwortlichen, die mit personenbezogenen Daten umgehen, als „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO zu benennen sind.

Das vorlegende Gericht möchte wissen, ob der Betroffene, selbst wenn es sich nicht um seine personenbezogenen Daten handelt, im Licht von Art. 15 Abs. 1 lit. a und c DSGVO berechtigt ist, Auskunft über die beim Verantwortlichen Beschäftigten, die seine personenbezogenen Daten verarbeitet haben, zu erlangen.

Dem Betroffenen geht es hier gerade um die Identität der Beschäftigten, die seine Kundendaten abgefragt haben, sowie um den Zeitpunkt der Verarbeitung und den Verarbeitungszweck.

Der GA betrachtet zunächst die Definition des „Empfängers“ nach Art. 4 Nr. 9 DSGVO. Dies ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine extensive Auslegung, wonach auch Mitarbeiter hierunter fallen, lehnt der GA ausdrücklich ab.

Er vertritt die Ansicht,

dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen.“

Wenn die Beschäftigten unter der unmittelbaren Verantwortung des Verantwortlichen tätig werden, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten. Diese Hinweis des GA ist wichtig, da er danach auch die Situation betrachtet, in der Beschäftigte gerade nicht innerhalb ihrer Weisungen agieren.

Offenlegung gegenüber Behörde

Seinen Standpunkt begründet der GA unter anderem auch mit dem Zweck des Art. 15 DSGVO. Dieser liegt vor allem darin, die Rechtmäßigkeit des Umgangs mit den Daten zu prüfen. Hierfür ist aber, soweit Beschäftigte innerhalb ihrer festgelegten Aufgaben agieren, nicht erforderlich, diese Beschäftigten zu benennen. Denn sie sind in diesem Fall nicht die Verantwortlichen, sondern ihr Arbeitgeber.

Der GA weist zudem darauf hin, dass von dem Anspruch nach Art. 15 DSGVO die Situation zu unterscheiden ist,

dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.“

Über die Prüfmöglichkeit der Aufsichtsbehörden ist der Betroffene also abgesichert und nach Ansicht des GA bedarf es daher keiner Benennung von Mitarbeitern schon im Rahmen des Art. 15 DSGVO.

Sollte der Betroffene, basierend auf den Angaben nach einem Auskunftsbegehren nach Art. 15 DSGVO, noch Zweifel an der Rechtmäßigkeit der Datenverarbeitung haben, kann er (wie u.a. auch die Kommission in der mündlichen Verhandlung hervorgehoben hat), an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO).

Der Betroffene ist

jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.“

Für diese Ansicht spricht zudem Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.

Ausnahme: Mitarbeiterexzess

Wie oben angemerkt, macht der GA aber auch eine Ausnahme von dem Grundsatz, dass Mitarbeiter nicht als Empfänger zu benennen sind. Es könne vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt.

In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.“

Dies sind also jene Fälle, in denen Mitarbeiter eigenmächtig und außerhalb ihrer vertraglich festgelegten Tätigkeiten auf Daten zugreifen oder mit diesen umgehen. Oft werden diese Situationen auch als sog. Mitarbeiterexzess bezeichnet.

Der GA ist der Ansicht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann,

da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Hiermit bestätigt der GA zudem, dass Mitarbeiter zu eigenen Verantwortlichen nach der DSGVO werden können, wenn sie sich über ihre arbeitsvertraglich festgelegten Aufgaben hinwegsetzen. Mit allen möglichen Konsequenzen, wie etwa die Erfüllung der DSGVO-Pflichten, dem Risiko eines Bußgeldes gegen sie selbst nach Art. 83 DSGVO oder Schadenersatzansprüche von Betroffenen nach Art. 82 DSGVO.

Fazit

Sollte der EuGH den Argumenten des GA folgen, wird damit höchstgerichtlich bestätigt, dass Mitarbeiter innerhalb eines Verantwortlicheren nicht als „Empfänger“ nach der DSGVO gelten und daher etwa nicht im Rahmen einer Auskunft nach Art. 15 DSGVO zu nennen sind.

Generalanwalt am EuGH: Kopie-Begriff nach Art. 15 Abs. 3 DSGVO bezieht sich nicht per se auf Dokumente – wann sind Daten „verständlich“?

Posted on by

Heute hat Generalanwalt (GA) Pitruzella seine Schlussanträge in der Rechtssache C‑487/21 veröffentlicht. Die Ausführungen des GA sind sehr praxisrelevant, da es um den Inhalt und Umfang des Anspruchs auf eine Kopie personenbezogener Daten nach Art. 15 Abs. 3 DSGVO geht.

Vielleicht direkt vorab: der GA vertritt eine eher einschränkende Auslegung des Kopie-Begriffs (allein auf die personenbezogenen Daten), eröffnet jedoch die Möglichkeit einer Herausgabe von (Teilen von) Dokumenten, in denen die personenbezogenen Daten enthalten sind.

Zudem bleibt der GA eher vage bei der entscheidenden Frage: was sind, gerade in Bezug auf Daten in Dokumenten, eigentlich die „personenbezogenen Daten“? Denn der GA ist deutlich: es ist eine Kopie der „personenbezogenen Daten“ herauszugeben. Wenn man nun ein 20 seitiges PDF-Dokument als Ganzes als personenbezogenes Datum ansehen würde, weil auf S. 3 und S. 16 der Name einer Person steht, müsste man das ganze Dokument als „personenbezogenes Datum“ herausgeben. Dieser Streit dürfte in der Praxis vorerst weiter bestehen.

Begutachtete Vorlagefragen

Im Hauptteil der Schlussanträge befasst sich der GA mit der Frage nach der genauen Bedeutung des Begriffs „Kopie“ in Art. 15 Abs. 3 DSGVO. Zudem soll geklärt werden, welche Tragweite das der betroffenen Person durch diese Bestimmung verliehene Recht hat. Insbesondere, ob diese Bestimmung das Recht auf Erhalt einer Kopie auch der Dokumente – oder von Auszügen aus Datenbanken –, in denen die personenbezogenen Daten verarbeitet werden, verleiht oder ob sie sich darauf beschränkt, das bloße Recht auf Erhalt einer originalgetreuen Reproduktion der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu gewähren.

Begründung des GA

Der GA nimmt eine aus meiner Sicht sehr schöne rechtliche Analyse des Art. 15 Abs. 3 DSGVO anhand von Wortlaut, Kontext und den Zielen, die mit der DSGVO verfolgt werden, vor.

Analyse des Wortlauts

Der GA betrachtet drei verschiedene Begriffe: den Begriff „Kopie“, den Begriff „personenbezogene Daten“ und den Begriff „Gegenstand der Verarbeitung“.

Die DSGVO sieht keine spezifische Definition des Begriffs „Kopie“ vor. Aus rein terminologischer Sicht bezeichne der Ausdruck „Kopie“ im gewöhnlichen Sprachgebrauch die originalgetreue Reproduktion oder Abschrift. Klar ist, dass die Kopie, die der für die Verarbeitung Verantwortliche der betroffenen Person zur Verfügung stellen muss, die Kopie der „personenbezogenen Daten“ ist, die Gegenstand der Verarbeitung sind.

Für den Begriff „personenbezogene Daten“ verweist der GA auf die Rechtsprechung des EuGH und dortige Beispiele. Die Tragweite des Begriffs „personenbezogene Daten“, ist sehr weit. Mit der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung dieses Begriffs komme das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen. Es genügt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.

Nach Ansicht des GA bedeutet dies, dass dieser Begriff und damit das Recht auf Auskunft über diese Daten und auf Erhalt einer Kopie dieser Daten nicht ausschließlich auf Daten beschränkt ist, die von einem Verantwortlichen erhoben, aufbewahrt und verarbeitet werden, sondern auch die weiteren Daten zu umfassen hat, die von diesem Verantwortlichen nach der Verarbeitung möglicherweise erzeugt werden, wenn auch sie Gegenstand der Verarbeitung sind.

Wenn also nach der Verarbeitung einer Reihe personenbezogener Daten neue, aus dieser Verarbeitung resultierende Informationen über eine identifizierte oder identifizierbare Person erzeugt werden, die als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO eingestuft werden können,

müsste das in Art. 15 Abs. 1 bzw. Abs. 3 Satz 1 DSGVO vorgesehene Recht auf Auskunft zu den personenbezogenen Daten und auf Erhalt einer Kopie daher meines Erachtens auch diese erzeugten Daten umfassen, wenn diese Daten selbst Gegenstand der Verarbeitung sind.“

Was drittens den Begriff „Gegenstand der Verarbeitung“ betrifft, verweist der GA auf die Definition der „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Aus der weiten Bedeutung des Begriffs ergebe sich, dass Art. 15 Abs. 3 S. 1 DSGVO der betroffenen Person das Recht verleiht, eine Kopie ihrer personenbezogenen Daten zu erhalten, die Gegenstand eines Vorgangs sind, der als „Verarbeitung“ eingestuft werden kann.

Aber, und hier kommt zum ersten Mal die engere Auffassung zum Ausdruck: „verleiht diese Bestimmung als solche jedoch kein Recht, andere als die in Art. 15 Abs. 1 DSGVO genannten spezifischen Informationen über die Verarbeitung der personenbezogenen Daten selbst zu erhalten“.

Als Ergebnis der Wortlautauslegung stellt der GA fest, dass die „Kopie der personenbezogenen Daten“ eine getreue Wiedergabe dieser Daten sein muss. Dies bedeutet, dass je nach Art der verarbeiteten Daten und der Art der Verarbeitung eine Kopie dieser Daten verschiedene Formate wie Papierform, Audio- oder Videoaufzeichnungen, elektronisches Format oder andere Formate aufweisen kann.

Wichtig ist, dass die Kopie dieser Daten wortgetreu ist und es der betroffenen Person ermöglicht, volle Kenntnis von allen Daten zu erlangen, die Gegenstand der Verarbeitung sind. Eine etwaige Zusammenstellung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, muss diese Daten originalgetreu und verständlich wiedergeben und im Übrigen den Inhalt der zu übermittelnden Daten nicht beeinflussen.“

Umfasst sind alle personenbezogenen Daten und damit nicht nur der erhobenen Daten, sondern auch vom Verantwortlichen erzeugte personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

Aber: Art. 15 Abs. 3 DSGVO bezieht sich ausschließlich auf Kopien der personenbezogenen Daten.

Daher, so der GA, „kann sie zum einen kein Recht auf Zugang zu Informationen begründen, die nicht als solche eingestuft werden können, und verleiht zum anderen nicht – zwangsläufig – ein Recht auf Erhalt von Kopien von Dokumenten oder anderen Trägern, die personenbezogene Daten enthalten“.

Diese Feststellung ist meines Erachtens relevant:

  • die Kopie kann sich nur auf personenbezogene Daten beziehen (Hinweis: hier kann man weiter streiten, wann diese vorliegen)
  • der GA scheint davon auszugehen, dass ein Dokument nicht als solches direkt zum personenbezogenen Datum wird, nur weil in dem Dokument ein solches Datum enthalten ist. Ansonsten würde der zweite Halbsatz der Begründung oben keinen Sinn machen („die personenbezogene Daten enthalten“).

Systematische und teleologische Analyse

Sodann geht der GA in die systematische und teleologische Analyse über.

Abs. 1 des Art. 15 DSGVO sehe vor, dass die betroffene Person das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in den Buchst. a bis h angeführten Informationen.

Diese Bestimmung konkretisiere somit das Recht auf Auskunft über personenbezogene Daten und damit zusammenhängende Informationen, indem sie den genauen Gegenstand und den Anwendungsbereich des Auskunftsrechts festlegt.

Art. 15 Abs. 3 DSGVO, so der GA, regele die Modalitäten der Ausübung dieses Rechts,

indem er u. a. die Form festlegt, in der der für die Verarbeitung Verantwortliche die personenbezogenen Daten der betroffenen Person zur Verfügung zu stellen hat, nämlich in Form einer Kopie und damit einer getreuen Wiedergabe der Daten.“

Für den GA ist klar, dass Abs. 3 kein eigenständiger Anspruch des Betroffenen ist. Art. 15 Abs. 3 DSGVO definiere nicht den Gegenstand und den Anwendungsbereich des durch Abs. 1 konkretisierten Rechts auf Auskunft. Daher könne Abs. 3 diesen Anspruch auch nicht ändern oder erweitern.

Art. 15 Abs. 3 DSGVO könne daher

kein eigenständiges Recht der betroffenen Person darauf begründen“, „Informationen zu erhalten, die über die in Abs. 1 der Bestimmung genannten hinausgehen“.

Der GA fasst dann in Rz. 52 seine vorläufigen Ergebnisse zusammen:

  • dass Art. 15 Abs. 3 S.1 DSGVO keinen eigenständigen Anspruch auf Erhalt von Kopien von Dokumenten oder anderen Trägern, die personenbezogene Daten enthalten, verleiht.
  • dass diese Bestimmung der betroffenen Person kein Recht verleiht, andere als die in Art. 15 Abs. 1 DSGVO genannten Informationen über die Verarbeitung personenbezogener Daten, wie z. B. Informationen zu den für die Verarbeitung personenbezogener Daten verwendeten Kriterien, Modellen, internen (berechnungs- oder sonstigen) Regeln oder Verfahren, zu erhalten.

Danach öffnet der GA in der weiteren Begründung jedoch doch die Tür einen Spalt weit dafür, über Abs. 3 eventuell Dokumente oder Teile von Dokumenten, in denen Daten enthalten sind, zu erhalten. Er stützt sich hierbei jedoch nicht allein auf Art. 15 Abs. 3 DSGVO, sondern auf die Vorgaben zu den Betroffenenrechten in Art. 12 DSGVO.

Art. 15 Abs. 3 S. 1 DSGVO ist im Licht der anderen Bestimmungen der DSGVO auszulegen. Hier ist u. a. Art. 12 Abs. 1 DSGVO relevant. Danach muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle u. a. in Art. 15 DSGVO genannten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch erfolgt, es sei denn, die betroffene Person verlangt, dass diese mündlich erteilt werden.

Das Ziel: die betroffene Person soll in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen.

Und aus dem Erfordernis der Verständlichkeit der in Art. 15 Abs. 1 lit.. a bis h DSGVO angeführten Daten und Informationen folgert der GA,

dass nicht ausgeschlossen ist, dass es in bestimmten Fällen, um der betroffenen Person die gänzliche Verständlichkeit der an sie übermittelten Informationen zu gewährleisten, erforderlich ist, dieser Passagen von Dokumenten oder vollständige Dokumente oder Auszüge aus Datenbanken zu übermitteln.“

Das bedeutet: im Einzelfall muss der Verantwortliche eventuell dennoch Dokumente oder Teile von Dokumenten herausgeben, damit Betroffene die an sie übermittelten personenbezogenen Daten und deren Verwendung verstehen.

Es geht dem GA hier ersichtlich um den Kontext der Datenverarbeitung und wohl nicht um eine Festlegung, ob die Dokumente an sich personenbezogene Daten sind (dann müsste man sie ja ohnehin herausgeben).

Die Begründung und vorgeschlagene Vorgehensweise des GA, dürfte in der Praxis natürlich erneut zu Diskussionen und Unsicherheiten führen. Der GA verweist darauf, dass die Analyse der Notwendigkeit, Dokumente oder Auszüge zur Verfügung zu stellen, um die Verständlichkeit der übermittelten Informationen zu gewährleisten,

zwangsläufig von Fall zu Fall anhand der Art der Daten, die Gegenstand des Antrags sind, und des Antrags selbst vorgenommen werden“.

Zwar, so der GA, kann es in bestimmten Fällen für ein umfassendes Verständnis der in Rede stehenden personenbezogenen Daten erforderlich sein, den Kontext zu kennen, in dem diese Daten verarbeitet werden.

Diese Erwägung ist jedoch nicht geeignet, der betroffenen Person auf der Grundlage der in Rede stehenden Bestimmung ein allgemeines Recht auf Zugang zu Kopien von Dokumenten oder Auszügen aus Datenbanken zu verleihen“.

Systematisch führt der GA auch noch an, dass eine Auslegung von Art. 15 Abs. 3 S. 1 DSGVO dahin, dass diese Bestimmung kein allgemeines Recht auf Zugang zu Kopien von Dokumenten oder Auszügen aus Datenbanken gewährt, sofern dies nicht erforderlich ist, um die Verständlichkeit der übermittelten Daten und Informationen zu gewährleisten, auch dadurch bestätigt wird, dass das Recht auf Zugang zu Dokumenten, insbesondere zu Verwaltungsdokumenten, ausdrücklich durch andere Unionsrechtsakte oder nationale Rechtsakte geregelt wird, die andere Ziele haben als diejenigen, die den Schutz personenbezogener Daten sicherstellen.

Fazit

Als Ergebnis fasst der GA daher unter anderem zusammen:
diese Bestimmung der betroffenen Person kein allgemeines Recht verleiht auf teilweise oder vollständige Kopie des Dokuments, das die personenbezogenen Daten der betroffenen Person enthält, oder, wenn die personenbezogenen Daten in einer Datenbank verarbeitet werden, auf einen Auszug aus dieser Datenbank“.

Zum einen wird man nun sehen und warten müssen, ob und inwieweit sich der EuGH den Argumenten anschließt. Sollte die Begründung des GA so übernommen werden, dürften sich in der Praxis dennoch weiter Fragen stellen.

Insbesondere, wann ein Dokument oder zB eine Datenbank als Ganzes als personenbezogene Datum anzusehen ist. Ob es also eine Art „Infektion“ des Datums auf das ganze Dokument gibt.

Zum anderen wird in der Praxis die Frage aufkommen, wann den herauszugebende Daten eventuell nicht „verständlich“ sind und damit die Anforderungen nach Art. 12 Abs. 1 DSGVO noch nicht erfüllt sind.

Wer ist hier nachweispflichtig? Muss der Verantwortliche erahnen, dass Betroffene die Daten nicht verstehen? Sollte dies der Fall sein, bedeutet dies natürlich eine Unsicherheit für den Verantwortlichen und im schlimmsten Fall die Umkehrung der Ausnahme (Herausgabe ganzer Dokumente) zur Regel. Denn will der Verantwortliche auf Nummer sicher gehen, müsste er stets das ganze Dokument herausgeben.

Oder muss der Betroffene nachweisen, dass die Daten nicht „verständlich“ sind? Die mangelnde Fähigkeit des Verständnisses der Daten ist schließlich eine Eigenschaft, die allein in seiner Sphäre als Anspruchsteller liegt.

LAG Hessen: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO ist nicht vermögensrechtlicher Natur – Kopieanspruch nach Abs. 3 aber schon

Posted on by

Das LAG Hessen hatte sich in einer Entscheidung (Beschl. v. 11.11.2022, Az. 12 Ta 417/22) zum Gebührenstreitwert eines arbeitsgerichtlichen Verfahrens auch mit der Frage zu befassen, ob der Auskunftsanspruch nach Art. 15 DSGVO vermögensrechtlicher Natur ist – ob er also (auch) wirtschaftlichen Zwecken dient. 

Die Entscheidung des LAG ist unter zwei Aspekten für die Praxis relevant: zum einen für eine mögliche Heranziehung der Begründung im Zuge von klar unbegründeten (bzw. missbräuchlichen) Ansprüchen, wenn diese wegen wirtschaftlicher Motive geltend gemacht werden. Zum anderen für gerichtliche Auseinandersetzungen zu Art. 15 DSGVO und die Frage, welcher Streitwert für solche Ansprüche anzusetzen ist.

Zwei Ansprüche oder einer?

Das LAG trennt Art. 15 DSGVO (meines Erachtens diskutabel) in zwei verschiedene Ansprüche auf. 

Der Antrag auf Auskunft nach Art. 15 Abs. 1 DSGVO sei nicht vermögensrechtlicher Natur. Also wenn man so will, der „normale“ Auskunftsanspruch. Dieser Anspruch diene keinen wirtschaftlichen Interessen des Betroffenen. Das LAG hält (im Grundsatz) einen Gegenstandswert von 500 EUR für angemessen. Jedoch verdoppelt das LAG hier diesen Wert auf 1.000 EUR, da der Auskunftsanspruch auch Informationen über den Gesundheitszustand des Mitarbeiters betreffen könnte, die für den Streit relevant seien. 

Der weitere Antrag auf Erhalt einer Kopie der personenbezogenen Daten, Art. 15 Abs. 3 DSGVO, sei dann aber nach Ansicht des LAG doch als vermögensrechtliche Streitigkeit zu bewerten. Denn die „Zurverfügungstellung der Daten“ sei nicht anders zu bewerten, als ein Herausgabeverlangen bezüglich Arbeitspapieren. 

Andere Ansicht vertretbar

Meines Erachtens ist die Ansicht des LAG zumindest diskutabel und eine andere Auffassung gut vertretbar. Zum einen lässt sich bereits fragen, warum Abs. 1 und Abs. 3 des Art. 15 DSGVO zwei getrennt voneinander existierende Ansprüche sein sollen. Abs. 3 erfasst keine weiteren oder andere Daten und Informationen als jene des Abs. 1. Denn Abs. 3 bezieht sich auch „nur“ auf die personenbezogenen Daten (wie in Abs. 1 bereits genannt). Daher geht etwa auch der EDSA in seinen Leitlinien 01/2022 davon aus, dass Betroffene kein Recht auf Erhalt von Dokumentenkopien haben, in denen personenbezogene Daten enthalten sind (“This, however, does not mean that the data subject always has the right to obtain a copy of the documents containing the personal data, but an unaltered copy of the personal data being processed in these documents”). Zudem würde ich der Ansicht des LAG, dass Abs. 3 ein Anspruch auf Herausgabe von Arbeitspapieren darstellt, nicht folgen. Abs. 3 ist meines Erachtens kein Anspruch auf Dokumenten- oder Kopienherausgabe von Unterlagen, sondern eine besondere Form des Auskunftsanspruchs. Hierfür kann man etwa anführen, dass in der DSGVO an anderer Stelle durchaus auf Dokumente oder Unterlagen an sich abgestellt wird (etwa in Art. 70 Abs. 1 s) „alle erforderlichen Unterlagen, darunter den Schriftwechsel…“ oder ErwG 63 „Daten in ihren Patientenakten“ (man beachte hier auch das „in“)), aber nicht in Art. 15 Abs. 3 DSGVO. Auch der EDSA geht in seinen Leitlinien davon aus, dass Abs. 3 kein zusätzliches, eigenes Recht darstellt („The obligation to provide a copy is not to be understood as an additional right of the data subject, but as modality of providing access to the data“).

Zum anderen kann man sicherlich auch eine andere Auffassung zu der Frage vertreten, ob Abs. 3 vermögensrechtlicher Natur ist. Hiergegen spricht meines Erachtens allein schon ErwG 63 DSGVO, der vorgibt, dass der Zweck des Recht ist, „um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“.

Norwegische Datenschutzbehörde: DSGVO-Auskunftsersuchen an den CEO musste nicht beantwortet werden

Posted on by

Mit Entscheidung (PDF) vom 10. Mai 2022 hat die norwegische Datenschutzbehörde („Datatilsynet“) entschieden, dass ein für die Verarbeitung Verantwortlicher (in diesem Fall die Zalaris ASA) nicht gegen Art. 12 Abs. 5 und 15 DSGVO verstoßen hat, weil ein per E-Mail an den Geschäftsführer gerichtetes Auskunftsersuchen unbeantwortet blieb.

Der Beschwerdeführer (eine betroffene Person mit Wohnsitz in Deutschland, die früher bei der deutschen Tochtergesellschaft des für die Verarbeitung Verantwortlichen beschäftigt war) schrieb an den Geschäftsführer des Unternehmens, um sein Auskunftsrecht nach Art. 15 DSGVO geltend zu machen. Er erhielt keine Antwort, reichte bei Datatilsynet eine Beschwerde gegen Zalaris ein und versuchte es bei einer anderen „DSGVO“-Adresse. Aber auch diese Anfrage blieb unbeantwortet.

Ich möchte mich auf die Argumentation von Datatilsynet in Bezug auf die erste, an den CEO gerichtete E-Mail konzentrieren.

Der für die Verarbeitung Verantwortliche räumte ein, dass er auf die Auskunftsersuchen des Beschwerdeführers nicht reagiert hat. Zalaris machte jedoch geltend, dass dies darauf zurückzuführen sei, dass die erste Anfrage direkt an den CEO des Unternehmens gerichtet war (die zweite landete im Spam-Ordner des E-Mail-Posteingangs des Unternehmens).

Datatilsynet argumentiert, dass der erste Antrag auf Zugang nicht beantwortet werden musste.

… unserer Ansicht nach kann Zalaris nicht viel vorgeworfen werden. Wie der Europäische Datenschutzausschuss (EDPB) festgestellt hat: Der für die Verarbeitung Verantwortliche ist […] nicht verpflichtet, einer Anfrage nachzukommen, die an die E-Mail-Adresse eines Mitarbeiters des für die Verarbeitung Verantwortlichen gerichtet ist, der nicht mit der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen befasst sein darf […]. Solche Anträge gelten nicht als wirksam, wenn der für die Verarbeitung Verantwortliche der betroffenen Person eindeutig einen geeigneten Kommunikationskanal zur Verfügung gestellt hat.

Darüber hinaus enthielt die auf der Website von Zalaris verfügbare Datenschutzerklärung eine spezielle E-Mail-Adresse, die für Datenschutzanfragen zu verwenden war. In diesem Fall war es legitim, von den betroffenen Personen (einschließlich dem Beschwerdeführer) zu erwarten, dass sie Auskunftsersuchen über einen solchen Kommunikationskanal und nicht direkt an den CEO richten.

Vom CEO eines Unternehmens von der Größe von Zalaris kann nicht erwartet werden, dass er direkt an der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen beteiligt ist. Daher hat Zalaris unseres Erachtens nicht gegen Artikel 12 Absatz 2 und Artikel 15 DSGVO verstoßen, indem es nicht auf die E-Mail geantwortet hat, die der Beschwerdeführer direkt geschickt hatte…„.

Die Behörde fügt noch eine weitere Ansicht hinzu: Es sei darauf hingewiesen, dass – im Gegensatz zu den Argumenten des Beschwerdeführers – in Fällen, in denen personenbezogene Daten von einem Unternehmen verarbeitet werden (das über die Mittel und Zwecke der Verarbeitung entscheidet), das Unternehmen als solches als „für die Verarbeitung Verantwortlicher“ gilt, und nicht sein Geschäftsführer.

Diese Auslegung (die aus meiner Sicht absolut korrekt ist) ist relevant, weil wir in Deutschland ja durchaus auch andere Ansichten hierzu kennen.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Posted on by

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.