Category Archives: Auskunft

Französische Datenschutzbehörde: Empfehlungen für die Bearbeitung von Auskunftsansprüchen nach Art. 15 DSGVO im Arbeitsverhältnis – speziell zu beruflichen E-Mails

Posted on by

Die Geltendmachung von Art. 15 DSGVO hat insbesondere im Bereich des Arbeitsverhältnisses Hochkonjunktur. Vor allem in Situationen, in denen es nicht (mehr) so funktioniert oder ein Kündigungsschutzprozess läuft.

In der Literatur und Rechtsprechung gibt es einige Diskussionen zu der Frage, wie in diesem Fall Art. 15 DSGVO auszulegen und anzuwenden ist.

Die französische Datenschutzbehörde (CNIL) hat nun auf ihrer Webseite (bisher nur auf Französisch) Empfehlungen ausgesprochen und ihre Ansicht dargelegt, wie mit Auskunftsansprüchen im Arbeitsverhältnis umzugehen ist („Das Recht der Arbeitnehmer auf Auskunft zu ihren Daten und beruflichen E-Mails“). Interessant an der Veröffentlichung ist, dass sich die CNIL speziell auch mit der Frage der Herausgabe von beruflichen E-Mails befasst.

Nachfolgend möchte ich einige Aussagen der CNIL darstellen (aus dem Französischen per deepl übersetzt).

Identitätsfeststellung

Der Verantwortliche muss sich über die Identität des Antragstellers vergewissern. Wenn begründete Zweifel an der Identität der Person bestehen, die ihr Recht ausüben möchte, kann der Verantwortliche Informationen anfordern, um die Identität der Person zu verifizieren. Jedoch, so die CNIL, dürfen keine Nachweise verlangt werden, die missbräuchlich, irrelevant und im Verhältnis zum Antrag unverhältnismäßig wären.

Beispiele:

Wenn ein Arbeitnehmer von seinem Arbeitgeber über seine geschäftliche E-Mail oder das Intranet des Unternehmens Auskunft zu den über ihn gespeicherten personenbezogenen Daten und deren Offenlegung verlangt, ist die Vorlage eines Personalausweises oder eines Reisepasses a priori nicht erforderlich, um die Identität des Antragstellers sicherzustellen.

Ein ehemaliger Arbeitnehmer könne seine Identität grundsätzlich z.B. durch die Nennung seiner früheren Mitarbeiter-ID nachweisen.

Das Recht auf Auskunft bezieht sich auf personenbezogene Daten und nicht auf Dokumente

Das Recht auf Auskunft bezieht sich nach Ansicht der CNIL nur auf personenbezogene Daten und nicht auf Dokumente: „Eine Person kann also nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen“. Es steht dem Verantwortlichen jedoch frei, Dokumente statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist.

Beispiel: Wenn eine betroffene Person ihr Recht auf Auskunft zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger …) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich.

Wie antwortet man einem Arbeitnehmer, der Zugang zu dienstlichen E-Mails oder eine Kopie davon erhalten möchte?

Nach Ansicht der CNIL muss der Arbeitgeber im Fall eines Auskunftsersuchens auf Zugang zu dienstlichen E-Mails die Beeinträchtigung der Rechte Dritter durch diese Anfrage bewerten. Er muss also eine Auswahl treffen zwischen Nachrichten, die weitergegeben werden dürfen, und solchen, die nicht weitergegeben werden dürfen.

Die CNIL schlägt vor, dass Arbeitgeber zwischen zwei Situationen unterscheiden, je nachdem, ob der antragstellende Arbeitnehmer 1) der Absender oder der Empfänger der E-Mails ist/war oder 2) nur im Inhalt der E-Mails erwähnt wird. Die CNIL nimmt diese Trennung vor allem mit Blick auf die Ausnahme nach Art. 15 Abs. 4 DSGVO (Beeinträchtigung der Rechte anderer Personen) vor.

Zu 1)

Wenn der Arbeitnehmer bereits Kenntnis von den Informationen in den Nachrichten, auf die sich der Antrag bezieht, hatte oder davon ausgegangen werden kann, dass er davon Kenntnis hat, geht die CNIL davon aus, dass die Weitergabe der E-Mails die Rechte Dritter respektiert und nicht die Ausnahme nach Art. 15 Abs. 4 DSGVO greift.

In diesem Zusammenhang ist die Anonymisierung oder Pseudonymisierung von Daten Dritter zwar empfehlenswert, jedoch nach Ansicht der CNIL keine Vorbedingung für die Übermittlung von E-Mails.

In Ausnahmefällen kann der Zugang zu oder die Weitergabe von E-Mails, die dem Antragsteller schon bekannt sind, jedoch ein Risiko für die Rechte Dritter darstellen, z. B. aufgrund der Art der Daten, die weitergegeben werden könnten. Dann muss der Arbeitgeber zunächst versuchen, Daten, die Dritte betreffen oder ein Geheimnis verletzen, zu löschen, zu anonymisieren oder zu pseudonymisieren, um dem Antrag stattgeben zu können. Wenn sich diese Maßnahmen als unzureichend erweisen, darf der Arbeitgeber den Antrag auf Auskunft verweigern, wobei er seine Entscheidung gegenüber der betroffenen Person begründen und rechtfertigen muss.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Herausgabe von E-Mails mit Informationen, die die nationale Sicherheit oder ein Betriebsgeheimnis verletzen würden, stattzugeben. Diese Argumente können vom Arbeitgeber aber nicht ohne eine Begründung gegenüber dem Antragsteller geltend gemacht werden.

Zu 2)

Wenn ein Arbeitnehmer die Herausgabe von Informationen aus E-Mails, in denen er erwähnt wird, erhalten möchte, muss der Arbeitgeber nach Ansicht der CNIL ein Gleichgewicht zwischen der Befriedigung des Auskunftsrechts des Arbeitnehmers und der Achtung der Rechte und Freiheiten anderer Arbeitnehmer, insbesondere mit Blick auf das Fernmeldegeheimnis, finden.

Die CNIL empfiehlt, in zwei Schritten vorgehen:

Schritt 1: Zunächst vergewissert sich der Arbeitgeber, dass die Mittel, die zur Identifizierung der angeforderten E-Mails eingesetzt werden müssen, nicht zu einem unverhältnismäßigen Eingriff in die Rechte aller Arbeitnehmer der Organisation führen.

Wenn die Identifizierung der E-Mails, auf die sich der Antrag bezieht, den Einsatz besonders einschneidender Mittel voraussetzt, wie z. B. das Scannen sämtlicher E-Mail-Nachrichten der Beschäftigten der Organisation, muss der Antragsteller aufgefordert werden, seinen Antrag zu präzisieren. Wenn er sich dagegen wehrt, kann sich der Arbeitgeber in einer solchen Situation auf die Achtung der Rechte Dritter berufen, um ihm eine positive Antwort zu verweigern.

Wenn die Angaben des Antragstellers es ermöglichen, die angeforderten E-Mails zu identifizieren, ohne das Fernmeldegeheimnis der Arbeitnehmer unverhältnismäßig zu verletzen, muss der für die Verarbeitung Verantwortliche den zweiten Schritt durchführen.

Schritt 2:

Der Verantwortliche untersucht den Inhalt der angeforderten E-Mails und beurteilt das Ausmaß der Beeinträchtigung der Rechte Dritter durch ihre Übermittlung, insbesondere im Hinblick auf das Fernmeldegeheimnis und das Privatleben des Absenders und der Empfänger. Dieser Schritt setzt eine Einzelfallanalyse voraus, da das Ergebnis von der Art der in den E-Mails enthaltenen Informationen abhängt.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Übermittlung von E-Mails stattzugeben, die sich auf eine Disziplinaruntersuchung beziehen und deren Inhalt, selbst wenn er geschwärzt ist, dem Antragsteller die Identifizierung von Personen ermöglichen könnte, von denen er keine Kenntnis haben sollte.

Fazit

Die Empfehlungen der CNIL stellen eine gute Unterstützung und Argumentationshilfe für die Praxis dar. Zwar dürften die Vorgaben der CNIL in der Praxis zu einem gewissen Aufwand auf Seiten der Arbeitgeber führen. Andererseits ist zu beachten, dass man sich im Bereich einer Ausnahme von einem Betroffenenrecht befindet und daher ein gewisser Begründungsaufwand unausweichlich ist. Andere Möglichkeit: man schließt berufliche E-Mails per se vom Anwendungsbereich des Art. 15 DSGVO aus. Auch das ist aber natürlich sehr umstritten.

Finnische Datenschutzbehörde: Protokoll-/Logdaten sind nicht vom Auskunftsanspruch nach Art. 15 DSGVO umfasst

Posted on by

Die finnische Datenschutzbehörde (DSB) veröffentlicht auf ihrer Webseite unter der Rubrik „FAQ“ in englischer Sprache viele interessante und praxisrelevante Antworten auf Fragen, rund um das Verständnis der DSGVO.

Eine schöne Frage und Antwort der Behörde habe ich zum Recht auf Auskunft gefunden.  

Frage: Kann ein Betroffener aufgrund des Auskunftsrechts Anspruch auf die Protokolldaten (Logdaten) haben?

Antwort der Behörde: Nach der gängigen Entscheidungspraxis der DSB stehen Benutzerprotokolldaten im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten einer betroffenen Person und betreffen nicht die betroffene Person selbst. Vielmehr können Benutzerprotokolldaten z.B. die Mitarbeiter betreffen, die die Daten der Person verarbeitet haben. Art. 15 DSGVO sieht das Recht der betroffenen Person auf Auskunft über die sie betreffenden Daten vor.

Hieraus schließt die DSB: Da sich die Protokolldaten auf die Zugriffsverwaltung und nicht auf die betroffene Person beziehen, über die sie gesammelt werden, hat diese Person nach Auffassung der Aufsichtsbehörde aufgrund dieses Auskunftsrechts keinen Anspruch auf die Protokolldaten.

Diese Ansicht der DSB dürfte für Unternehmen in der Praxis besonders interessant sein. In Deutschland kann sich dasselbe Ergebnis auf Grundlage von § 34 Abs. 1 Nr. 2 lit. b BDSG ergeben, wenn die dort benannten Voraussetzungen erfüllt sind. Hierzu zählt etwa, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die finnische DSB scheint eher pauschal die Logdaten, welche beim Zugriff auf personenbezogene Daten entstehen, vom Umfang des Auskunftsanspruchs auszuschließen.

Schwedische Datenschutzbehörde: Ausübung von DSGVO-Betroffenenrechten per Tweet?

Posted on by

Die schwedische Datenschutzbehörde hat im Rahmen des Kohärenzverfahrens am 10.9.2021 eine Entscheidung (PDF) zu der durchaus praxisrelevanten Frage getroffen, ob Unternehmen Betroffenenanfragen bzw. die Ausübung von Betroffenenrechten der DSGVO per Tweets auf Twitter sicherstellen müssen.

Sachverhalt

Der Betroffene erwarb ein Produkt des Verantwortlichen. Im Nachgang erhielt der Betroffene drei werbliche SMS. Eine Abmeldung von dem SMS-Versand war wohl nur über den Versand einer SMS an eine ausländische Nummer möglich. Dies wollte der Betroffene jedoch nicht und wandte sich per Tweet an den Account des Unternehmens auf Twitter an den Verantwortlichen (wohl mit einer Bitte um Löschung seiner Daten). Er erhielt hierauf zunächst keine Antwort, jedoch eine weitere SMS. Daraufhin beschwerte er sich erneut per Tweet bei dem Unternehmen und forderte die Löschung seiner Daten. Auf den letzten Tweet antwortete das Unternehmen und bot ihm an, seine Daten aus der Datenbank zu löschen. Am Ende nahm das Unternehmen diese Löschung auch vor.

Entscheidung

Die interessante Frage war hier, ob die Tweets an den Account des Verantwortlichen auf Twitter als Ausübung eines Betroffenenrechts angesehen werden konnten (etwa mit der Folge des Laufs der Fristen nach Art. 12 Abs. 3 DSGVO).

Die schwedische, als federführende Aufsichtsbehörde, äußert sich in der veröffentlichten Entscheidung nicht ausdrücklich zu dieser Frage. Jedoch lässt die Begründung der Behörde erkennen, dass sie wohl nicht davon ausgeht, dass diese Anfragen per Tweet als Betroffenenanfragen im Sinne der DSGVO zu verstehen waren.

Die Aufsichtsbehörde stellt „fest, dass der Beschwerdeführer einen informellen Weg zur Kontaktaufnahme mit dem Unternehmen genutzt hat (durch einen Tweet auf Twitter).“ (inoffizielle Übersetzung)

Diese Einschätzung lässt eine gewisse Tendenz erkennen, die Tweets nicht als Ausübung eines Betroffenenrechts zu verstehen. Wobei man sicherlich anmerken muss, dass die DSGVO keinen „formellen“ Weg für Betroffenenanfragen vorsieht. Art. 12 Abs. 2 DSGVO verpflichtet den Verantwortliche dazu, dass er der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtert.

Die Aufsichtsbehörde begründet weiter, dass es ist verständlich sei, dass der Beschwerdeführer keine Gebühr zahlen wollte, um gegen die Marketing-SMS Einspruch zu erheben.

aber gleichzeitig ist es auch verständlich, dass das Unternehmen nicht direkt über Twitter eine formelle Antwort gegeben hat“. (inoffizielle Übersetzung)

Die schwedische Behörde geht davon aus, dass es höchstwahrscheinlich andere Möglichkeiten gab, mit dem Unternehmen in Kontakt zu treten (z. B. per E-Mail), als per SMS. Auch diese Begründung spricht meines Erachtens eher dafür, dass die Aufsichtsbehörde von dem Betroffenen verlangt, einen förmlicheren Weg bei der Ausübung seiner Rechte zu gehen.

Letztlich schloss die Aufsichtsbehörde das Verfahren ohne eine aufsichtsbehördliche Maßnahme ab.

Finnische Datenschutzbehörde: Gesprächsaufzeichnungen sind nach Art. 15 Abs. 3 DSGVO herauszugeben

Posted on by

Die finnische Datenschutzbehörde entschied (PDF) am 24. Juni 2021 in einem Kohärenzverfahren zu Fragen des Auskunftsanspruchs in Bezug auf Aufzeichnungen von Telefongesprächen. Die Datenschutzbehörde sieht den Verantwortlichen in der Pflicht, auch solche Aufzeichnungen im Rahmen des Art. 15 Abs. 3 DSGVO herauszugeben.

Sachverhalt

Der Fall basiert auf einer Beschwerde eines Betroffenen. Von ihm wurden durch das Unternehmen Telefongespräche wurden aufgezeichnet, die er mit dem Kundenservice des Unternehmens führt. Darauf enthalten waren sowohl die Stimme des Betroffenen, als auch anderer Person (wohl Mitarbeiter des Unternehmens). Der Betroffene verlangte Auskunft nach Art. 15 DSGVO. Das Unternehmen hab ihm (verspätet) jedoch nur Dokumente heraus und nicht die Aufzeichnungen der Telefongespräche.

Die Finnische Behörde prüfte Verstöße gegen Art. 12 Abs. 1 und 3 sowie Art. 15 Abs. 3 DSGVO. Das Verfahren endete in einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Verspätete Auskunftserteilung

Insgesamt geht die Behörde von einem Verstoß gegen Art. 12 Abs. 3 und gegen Art. 12 Abs. 1, Art 15 Abs. 3 DSGVO aus.

Ursprünglich wurde im November 2018 Auskunft geltend gemacht und teilweise im August 2020 erfüllt Dies jedoch nicht in Bezug auf Gesprächsaufzeichnungen. Die Behörde stellt diesbezüglich einen Verstoß gegen Art. 12 Abs. 3 DSGVO fest, da das Unternehmen die Auskunft nicht innerhalb der gesetzlichen Frist (maximal 3 Monate) erteilte.

Keine Herausgabe der Gesprächsaufzeichnungen

Der Verantwortliche stellt die Aufzeichnungen von Telefongespräche mit dem Betroffenen im Rahmen der Auskunft nicht zur Verfügung. Zur Begründung führte das Unternehmen Art. 15 Abs. 4 DSGVO und die Rechte von anderen Personen an, die ebenfalls auf den Aufzeichnungen zu hören sind.

Die Aufsichtsbehörde stellt zunächst fest, dass die Stimme einer Person ein personenbezogenes Datum im Sinne der DSGVO ist. Daher geht die Behörde davon aus, dass sich das Recht auf Auskunft im Grundsatz auch auf aufgezeichnete Telefongespräche bezieht.

Interessant ist die Ansicht der Behörde zur Ausnahme vom Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO. Nach Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie gemäß Abs. 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das Unternehmen hatte hier Rechte anderer Personen, die ebenfalls auf den Aufzeichnungen zu hören sind, als einschränkende Ausnahme vorgebracht. Im konkreten Fall lies dies die Behörde jedoch nicht geltend. Denn nach Ansicht der Behörden sind keine Rechte anderer Personen beeinträchtigt, wenn diese anderen Personen die Telefonaufzeichnungen im Rahmen der Ausübung ihrer beruflichen Tätigkeit vornehmen.

Es ging hier also wohl um Mitarbeiter im Kundenservice des Verantwortlichen, die auf der Aufzeichnung des Telefongesprächs zu hören waren. Nach Auffassung der Datenschutzbehörde stelle dies aber keinen Fall dar, in dem die Rechte dieser Mitarbeiter beeinträchtigt würden, wenn die Aufzeichnungen der Telefongespräche an den Betroffenen herausgegeben werden. Die Aufsichtsbehörde scheint hierbei an den beruflichen Kontext der Aufzeichnung der Stimme der Mitarbeiter anzuknüpfen und darauf eine fehlende Beeinträchtigung abzuleiten.

Zudem begründet die Behörde ihre Ansicht, dass die Ausnahme nach Art. 15 Abs. 4 DSGVO nicht greift, damit, dass im Fall von aufgezeichneten Telefongesprächen immer auch personenbezogene Daten anderer Personen (der Gesprächsteilnehmer) vorhanden sind. Würde man hier die Ausnahme gelten lassen, würde quasi die Ausnahme zur Regel.

Vorliegend bot das Unternehmen dem Betroffenen an, dass er vor Ort die Aufzeichnung des Telefongesprächs anhören konnte. Die Aufsichtsbehörde lies diese Alternative mit Blick auf die Vorgaben nach Art. 12 Abs. 1 DSGVO und Art. 15 Abs. 3 DSGVO nicht ausreichen. Danach sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn der Betroffene den Antrag elektronisch stellt und nichts anderes angibt.

Die Aufsichtsbehörde gesteht dem Verantwortlichen zwar als Alternative zu, dass er dem Betroffenen ein Anhören der Aufzeichnung direkt vor Ort anbietet. Jedoch, so die Behörde, kann dies nicht die einzige Form der Zurverfügungstellung der Aufzeichnungen sein, wenn der Betroffene diese Form nicht wünscht.

Da die Aufzeichnungen mittlerweile gelöscht wurden, konnte die Behörde den Verantwortlichen nicht zur Herausgabe der Aufzeichnungen verpflichten. Es erging eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Datenschutzbehörde: „Woher haben Sie meine E-Mail-Adresse“? – Kein Antrag auf volle Auskunft nach Art. 15 DSGVO

Posted on by

Die dänische Datenschutzbehörde hat eine interessante Entscheidung zur Beantwortung von Auskunftsanfragen (oder eben keinen solchen Anfragen) nach Art. 15 DSGVO getroffen (Entscheidung vom 21.6.2021, PDF, Englisch)

Sachverhalt

Der Beschwerdeführer hatte einen Newsletter des betroffenen Unternehmens (Pixojet) erhalten. Am selben Tag bat er Pixojet, ihm mitzuteilen, woher Pixojet seine E-Mail-Adresse erhalten hatte. Pixojet teilte ihm mit, dass er sich für den Newsletter von Pixojet angemeldet habe und dass Pixojet sein Abonnement wieder löschen kann. Der Beschwerdeführer ging jedoch davon aus, dass er sich nie für den Newsletter angemeldet habe, und bat dann um Auskunft darüber, wann er den Newsletter abonniert habe und von welcher Quelle. 

Pixojet antwortete hierauf nicht direkt. Erst nach erneuter Nachfrage, woher Pixojet seine Informationen hatte antwortete ein Mitarbeiter des Kundendienstes, dass er sich nicht sicher ist, dass es aber nach einer manuellen Registrierung durch den Beschwerdeführer aussehe.

Der Beschwerdeführer ging weiter davon aus, dass er sich nie für den Newsletter angemeldet hatte. Er ging von einem Verstoß gegen die DSGVO aus. Sowohl, wie die Daten zu Pixojet gelangten /ggfs. über eine Drittquelle) als auch hinsichtlich der Antwort von Pixojet auf seinen Auskunftsantrag nach Art. 15 DSGVO.

Entscheidung

Die dänische Datenschutzbehörde verweist zunächst allgemein auf den Auskunftsanspruch nach Art. 15 DSGVO. Danach habe die betroffenen Personen in der Regel das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten ob personenbezogene Daten über die betroffene Person verarbeitet werden und gegebenenfalls, Auskunft über die personenbezogenen Daten und eine Reihe weiterer Informationen.

Nach Art. 15 Abs. 1 lit. g) DSGVO habe die betroffene Person das Recht, alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten zu erhalten, wenn diese nicht bei der betroffenen Person erhoben wurden. 

Die Datenschutzbehörde hat die Beschwerde so verstanden, dass die betroffene Person hier der Meinung ist, Pixojet habe ihm keine Auskunft entsprechend den Vorgaben des Art. 15 DSGVO gewährt. 

Dies sieht die Aufsichtsbehörde jedoch nicht so und geht davon aus, dass kein Verstoß vorliegt. Grund: die Fragen des betroffenen stellten schon keinen Auskunftsantrag nach Art. 15 DSGVO dar.

Die dänische Datenschutzbehörde sieht laut ihrer Begründung keinen Anhaltspunkt, die Einschätzung des Unternehmens, dass die Anfragen des Beschwerdeführers nicht als Antrag auf uneingeschränkte Auskunft gemäß Art. 15 DSGVO zu verstehen sind, zu beanstanden. 

Die Behörde geht also davon aus, dass die oben dargestellten Fragen des Betroffenen keine Ausübung des vollständigen Auskunftsanspruchs nach Art. 15 DSGVO darstellen. Damit treffen das Unternehmen natürlich auch nicht alle Pflichten des Art. 15 DSGVO.

Aus der Begründung (inoffiziell übersetzt): „Die dänische Datenschutzbehörde hat dabei den Schwerpunkt auf den Wortlaut der Anfragen des Beschwerdeführers gelegt, der angibt, dass er konkret wissen möchte, wo Pixojet seine E-Mail-Adresse hatte.

Die Behörde geht also wohl nur von einer sehr begrenzten Ausübung des Auskunftsanspruchs aus; konkret in Bezug auf die Herkunft der Daten. Die dänische Datenschutzbehörde stellt dann fest, dass Pixojet den Beschwerdeführer darüber informiert hat, dass die Informationen über ihn wahrscheinlich aus einem manuellen Eintrag in den Newsletter von Pixojet auf der Website des Unternehmens stammen. Dies war aus Sicht der Behörde ausreichend, da das Unternehmen über keine weiteren Informationen verfügte.

Fazit

Die Entscheidung ist unter zwei Gesichtspunkten praxisrelevant.

Zum einen löst eine konkrete Nachfrage von Betroffenen nicht direkt die volle Verpflichtungskaskade des Art. 15 DSGVO aus. Fraglich ist freilich, ab wann dann von einer vollumfänglichen Ausübung auszugehen ist., Wohl ziemlich sicher, wenn eine Person deutlich macht, dass sie umfassend Auskunft nach Art. 15 DSGVO begehrt.

Zum anderen ist die Auskunftspflicht des Art. 15 Abs. 1 lit. g) DSGVO erfüllt, wenn das Unternehmen seinem Kenntnisstand entsprechend informiert, woher die Daten stammen. Eine weiter Aufklärungs- oder Nachforschungspflicht ist hiervon nicht umfasst.

OLG München: Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO ist weit auszulegen

Posted on by

Das OLG München hat mit Urteil vom 4.10.2021 (Az 3 U 2906/20) eine praxisrelevante Entscheidung zur Geltendmachung und zum Umfang des Anspruchs auf Herausgabe von Kopien personenbezogener Daten nach Art. 15 Abs. 3 DSGVO gefällt. Das OLG legt den Begriff „personenbezogene Daten“ weit aus und sieht in Art. 15 Abs. 3 DSGVO einen eigenständigen Anspruch, neben jenem auf Auskunft nach Art. 15 Abs. 1 DSGVO.

Sachverhalt

In der Vorinstanz verurteilte das Landgericht München I die Beklagten dazu, der Klägerin Kopien aller personenbezogenen Daten – insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen – auszuhändigen. Vorgerichtlich forderte die Klägerin die Beklagten nach Art. 15 Abs. 3 DSGVO zur Überlassung von Kopien aller bei den Beklagten vorhandenen personenbezogenen Daten der Klägerin auf. Die Beklagten übersandten eine Auskunft der einzelnen bei ihnen gespeicherten Daten der Klägerin, Kopien wurden jedoch nicht überlassen.

Die Beklagten legten gegen dieses Urteil Berufung ein. Die Beklagten gehen u.a. davon aus, dass die Klageerweiterung bezüglich des Anspruchs aus Art. 15 Abs. 3 DSGVO bereits unzulässig war. Auch sei der Antrag in der gestellten Form zu unbestimmt.

Entscheidung

Das OLG wies die Berufung als unbegründet zurück.

Interessant ist zunächst die Ansicht des OLG zur Bestimmtheit des Klageantrags. Wie erinnern und an die Entscheidung des BAG (2 AZR 342/20).

Vorliegend hat das OLG keine Bedenken hinsichtlich der Bestimmtheit des Klageantrages. Dieser lautete wie folgt:
Die Beklagten werden verurteilt, der Klägerin Kopien der von den Beklagten verarbeiteten personenbezogenen Daten der Klägerin betreffend die Datenkategorien Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen im Zeitraum vom 01.01.1997 bis ein 31.03.2018 zu überlassen.“

Das OLG begründet, dass für die Klägerin als Gläubigerin eines Anspruchs aus Art. 15 Abs. 3 DSGVO im Regelfall nicht ersichtlich sein wird, welche Unterlagen sich bei dem Auskunftsverpflichteten befinden.

Damit ist jedoch eine Konkretisierung der einzelnen herauszugebenden Schriftstücke nicht möglich“.

Nach Ansicht des OLG begegnet der Antrag (der noch minimal klargestellt wurde) im Hinblick auf die Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO keinen Bedenken.

Sodann geht das OLG davon aus, dass das Landgericht die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilte.

Das OLG geht von einem weiten Verständnis des Begriffs „personenbezogene Daten“ aus.

Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten“.

In dieser Entscheidung wurden personenbezogenen Daten „insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen“ aufgezählt. Diese Dokumente sieht das OLG insgesamt als personenbezogene Daten an.

Das OLG begründet seine Ansicht u.a. damit, dass sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen lasse. Schreiben und E-Mails der Klägerin an die Beklagten seien

grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen“.

Dies ist meines Erachtens eine relevante Ansicht des OLG. Nicht allein die in einem Dokument enthaltenen Daten sind personenbezogen, sondern das sie umschließende Dokument. Die Daten „infizieren“ quasi das Dokument mit dem Personenbezug.

Zuletzt geht das OLG noch auf den in der Literatur und Rechtsprechung geführten Streit ein, ob aus Art. 15 Abs. 3 D-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folge.

Zum Teil werde ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DSGVO einen eigenständigen Herausgabeanspruch.

Das OLG positioniert sich wie folgt:

Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche,…

Zudem erläutert das OLG, dass der Gegenstand dieses Anspruchs sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen richte, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO enthalten ist.

Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen

Das OLG scheint also die Ansicht zu vertreten, dass tatsächlich eine eins zu eins Kopie der Dokumente herauszugeben ist. Wie oben beschrieben, wird dies in Literatur und Rechtsprechung kontrovers diskutiert. Anders sah dies etwa das LAG Baden-Württemberg (Urt. v. 17.3.2021, Az 21 Sa 43/20):

besteht aus Sicht der erkennenden Kammer kein Anspruch der von der Datenverarbeitung betroffenen Person gegen den Verantwortlichen auf den Abdruck/Ausdruck/die elektronische Datei in der Form, in der die entsprechenden Daten der betroffenen Person beim Verantwortlichen verarbeitet worden sind.“

Nach Ansicht des OLG sei aber ein notwendiger Schutz des Schuldners durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DSGVO gewährleistet. Leider geht das OLG dann aber nicht weiter darauf ein, was und wie konkret der Verantwortliche vortragen muss, um sich auf diese Aufnahme berufen zu können. Zum Teil werden in der Rechtsprechung hier ja hohe Anforderungen an die Darlegung und Begründung gestellt.

Finanzgericht: Auskunftsrecht nach Art. 15 Abs. 1 DSGVO ist nicht mit einem Akteneinsichtsrecht identisch

Posted on by

Das Finanzgericht Baden-Württemberg (FG) hatte sich mit der Frage des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO und dessen Geltendmachung zum Zweck der Akteneinsicht zu befassen. Im Ergebnis lehnt das FG mit Urteil vom 26.7.2021 (Az. 10 K 3159/20) einen solchen Anspruch ab.

Sachverhalt

Vor dem FG streitig war, ob dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO ein Anspruch auf Akteneinsicht in die Handakten im Rahmen einer Betriebsprüfung zusteht. Der Kläger ist selbstständiger Apotheker und der Beklagte führte eine Betriebsprüfung bei diesem durch. In diesem Zuge kam es zu Besprechungen zwischen der Steuerberaterin des Klägers und der Betriebsprüferin wegen angeblicher fehlender Ordnungsmäßigkeit der Buchführung. Der Kläger begehrte Akteneinsicht im laufenden Verfahren, welche jedoch abgelehnt wurde. Am Ende lief es darauf hinaus, dass der Kläger durch seinen Prozessbevollmächtigten Klage beim Finanzgericht Baden-Württemberg einreichte. Zur Begründung führt er aus, die Klage richte sich gegen die Ablehnung der Akteneinsicht in die Handakte der Betriebsprüfung. Aus Art. 15 Abs. 1 DSGVO folge ein gebundener Anspruch auf Übersendung der Akten an den Prozessbevollmächtigten des Klägers, der nicht zeitlich eingeschränkt sei und damit auch im laufenden Betriebsprüfungsverfahren bestehe.

Entscheidung

Das FG geht davon aus, dass ein gebundener Anspruch auf Akteneinsicht nicht durch das Recht auf Auskunft über personenbezogene Daten nach Art. 15 Abs. 1 DSGVO begründet wird und lehnte die Klage als unbegründet hab.

Nach Ansicht des FG ist die DSGVO jedenfalls bei einer Betriebsprüfung, die sich neben anderen Steuerarten auch auf die Umsatzsteuer erstreckt, insgesamt anwendbar.

Danach geht das FG etwas ausführlicher als andere Gerichte in Entscheidungen zu Art. 15 DSGVO zunächst auf den Sinn und Zweck des Auskunftsanspruchs ein.

Regelungsziel der DSGVO ist der in Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union (GRC) und Art. 16 Abs. 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gewährleistete Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten. Bereits auf der Ebene der Grundrechtecharta ist das Recht jeder Person verankert, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken (Art. 8 Abs. 2 Satz 2 GRC).

Die Betroffenenrechte der DSGVO wurzeln in der Erwägung des europäischen Normgebers, dass der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können muss. Natürliche Personen sollen daher grundsätzlich die Kontrolle über ihre eigenen Daten besitzen (Erwägungsgrund 7 Satz 2 zur DSGVO)

Das FG macht in seiner Begründung also zunächst deutlich, wie wichtig die Betroffenenrechte und gerade das Auskunftsrecht sind.

Das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO und das Recht auf Erhalt einer Kopie gemäß Absatz 3 der Vorschrift erweisen sich damit als elementare subjektive Datenschutzrechte, da erst die Kenntnis darüber, ob und in welchem Umfang ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person in die Lage versetzt, weitere Rechte auszuüben

Weiter geht das FG davon aus, dass die frühere Rechtsprechung des EuGH zur Datenschutz-Richtlinie auf die Auslegung des Art. 15 DSGVO anwendbar ist. Denn der europäische Gesetzgeber wolle mit der DSGVO an die Ziele und Grundsätze der Datenschutzrichtlinie anknüpfen. Daher biete die in der Rechtsprechung vorgenommene Charakterisierung des Auskunftsanspruchs aus Art. 12 Buchst. a Datenschutz-Richtlinie auch Hinweise auf das Verständnis des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO.

Aber das Auskunftsrecht diene nach der Rechtsprechung des EuGH nicht der Schaffung eines Zugangs zu Verwaltungsdokumenten, weil dies nicht die Zielrichtung des europäischen Datenschutzrechts ist (EuGH-Urteil vom 17. Juli 2014, C-141/12, Rn. 46).

Zudem stellt das FG fest, dass die Erfüllung des Anspruchs („Ob“ der Auskunftserteilung) nach Art. 15 Abs. 1 DSGVO nicht im Ermessen der Finanzbehörde stehe. Das „Wie“ der Auskunftserteilung werde durch Art. 15 Abs. 1 Halbsatz 2 DSGVO jedoch nicht geregelt, so dass hieraus allein kein Akteneinsichtsrecht abgeleitet werden könne.

Das FG arbeitet dann nach und nach Argumente dafür heraus, was den Auskunftsanspruch nach Art. 15 DSGVO von einem Akteneinsichtsrecht unterscheidet.

Einem vollumfassenden Akteneinsichtsanspruch bei der Finanzbehörde sei etwa schon aus sprachlichen Gründen zu widersprechen,

da sich Art. 15 DSGVO dem Wortlaut nach nur auf bestimmte personenbezogene Daten bezieht und nicht auf eine allgemeine Einsicht in die Akten

Zudem sei das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO auch nicht mit einem Akteneinsichtsrecht identisch. Das Akteneinsichtsrecht beruhe vornehmlich auf dem Grundsatz des rechtlichen Gehörs (Art. 103 Abs. 1 Grundgesetz) und soll den Anspruchsteller in die Lage versetzen, die Grundlagen einer Verwaltungsentscheidung nachzuvollziehen.

Und weiter: „Ein Akteneinsichtsrecht geht stets über ein bloßes Auskunftsrecht hinsichtlich der verarbeiteten personenbezogenen Daten hinaus; so ergeben sich aus einer Akteneinsicht regelmäßig auch rechtliche Stellungnahmen, Entscheidungsentwürfe und Berechnungen der Amtsträger, Dienstanweisungen oder Ermittlungsergebnisse, die schon dem Grunde nach nicht unter den Schutzbereich der DSGVO und des § 32c AO fallen.“

Das FG stellt hier meines Erachtens zurecht die verschiedenen Zielrichtungen und Zweck der beiden Ansprüche bzw. Rechte gegenüber. Ein datenschutzrechtlicher Anspruch kann auch ohne Akteneinsicht erfüllt werden, indem dem Betroffenen im Fall der Verarbeitung personenbezogener Daten die konkreten Daten sowie die Einzelangaben i.S. von Art. 15 Abs. 1 Halbsatz 2 DSGVO mitgeteilt werden. Diese Aussage des FG ist für die geführte Diskussion um die Reichweite des Art. 15 (sowohl Abs. 1 als auch Abs. 3) relevant.

Nach Ansicht des FG enthält die DSGVO keine Regelung über die Gewährung von Akteneinsicht, sondern lediglich über punktuelle datenschutzrechtliche Auskunftsrechte wie z.B. über die Zwecke der Verarbeitung, die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen sowie falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Zuletzt hält das FG die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung der Form der Auskunftserteilung i.S. des Art. 15 Abs. 1 DSGVO für nicht geboten.

Fazit

Die Entscheidung des FG ist meiner Ansicht nach deswegen interessant, weil das Gericht sehr wohl die Bedeutung der Betroffenenrechte und des Auskunftsrechts erkennt und herausarbeitet. Dann jedoch diesen Anspruch in seiner Zielrichtung und seinem Umfang klar von einem Akteneinsichtsrecht abgrenzt und es damit ablehnt, auf Grundlage von Art. 15 Abs. 1 und 3 DSGVO komplette Akteninhalte (in denen sich auch personenbezogene Daten des Betroffenen befinden) herauszugeben.

Landgericht: Auskunftsanspruch nach Art. 15 DSGVO wegen Rechtsmissbrauch abgelehnt

Posted on by

Das Landgericht (LG) Wuppertal hat mit Urteil vom 29.7.2021 (Az. 4 O 409/20) eine interessante Entscheidung in einer heiß diskutierten Frage rund um die Geltendmachung von Auskunftsansprüchen gefällt. In seiner Entscheidung geht das LG zum einen davon aus, dass einem Auskunftsbegehren nach Art. 15 DSGVO der Einwand des Rechtsmissbrauchs nach § 242 BGB entgegengehalten werden kann. Zudem legt das LG im konkreten Fall die Voraussetzungen dar, wann ein solcher Missbrauch vorliegt.

Sachverhalt

In dem Verfahren wendet sich der Kläger gegen vermeintliche und tatsächliche Prämienerhöhungen seiner bei der beklagten Versicherung unterhaltenen privaten Kranken- und Pflegeversicherung. Der Kläger fordert die beklagte Versicherung unter anderem auf, ihm Auskunft über alle Beitragsanpassungen zu erteilen, die die Beklagte in dem zwischen den Parteien geschlossenen Vertrag in den Jahren 2014, 2015, 2016 vorgenommen hat und hierzu geeignete Unterlagen zur Verfügung zu stellen, um etwaige weitere Ansprüche beziffern zu können. Er wollte etwa Unterlagen übergeben bekommen, die Angaben zur Höhe der Beitragserhöhungen für die Jahre 2014, 2015, 2016, unter Benennung der jeweiligen Tarife im Versicherungsverhältnis der Klägerseite, enthalten. Er bezog sich dabei auch auf ihm als Kläger in der Vergangenheit übersandte Unterlagen, wie etwa dem übermittelten Informationen in Form von Anschreiben und Nachträgen zum Versicherungsschein der Jahre 2014, 2015, 2016.

Der Kläger stützt sein Auskunftsbegehren auf mehrere Anspruchsgrundlagen, unter anderem auch auf Art. 15 DSGVO.

Entscheidung

Das LG wies die Auskunftsbegehren als unbegründet ab. Dem Kläger stehe keine Anspruchsgrundlage zur Seite, aufgrund derer die Beklagte zur Informationserteilung verpflichtet wäre.

Spannend ist hier natürlich die Begründung des LG zum geltend gemachten Auskunftsanspruch nach Art. 15 DSGVO. Denn wie wir aus der Vergangenheit wissen, wird dieser Anspruch (auch von der Rechtsprechung) per se sehr weit ausgelegt.

Das Gericht lehnt einen Auskunftsanspruch des Klägers basierend auf Art. 15 DSGVO jedoch ab.

„Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen“.

Das ist in dieser Deutlichkeit meines Erachtens eine ziemliche Überraschung (auch wenn ich das Ergebnis für richtig halte). Denn in der Vergangenheit gab es wenige Entscheidungen, die sich mit der Frage des Missbrauchs befassten. Und wenn ja, wurde dieser Einwand zumeist abgelehnt (vgl. etwa LG Köln, Urt. v. 11.11.2020 – 23 O 172/19). Es gab aber vereinzelt auch Entscheidungen, die eine zweckfremde Ausübung des Auskunftsanspruchs ablehnten (vgl. mein Beitrag zur Entscheidung des LSG NRW vom 17.6.2021).

Das LG erläutert hier zunächst, dass es sich bei dem Einwand des Rechtsmissbrauchs um einen das gesamte Rechtsleben durchziehenden Grundsatz handele, der als nationale Ausformung auch im Rahmen des Art. 15 DSGVO Geltung beanspruche. Diese Ansicht wird man, das muss man zugestehen, wohl zumindest diskutieren können. Es stehen sich hier die unmittelbar anwendbare DSGVO und nationales Zivilrecht gegenüber. Fraglich ist, ob zB die DSGVO abschließend Missbrauchssituationen erfasst und regelt? Das LG scheint dies nicht so zu sehen.

Nach diesem Grundsatz des Rechtsmissbrauchs ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat. Nach Ansicht des LG liegen genau diese beiden Aspekte hier kumulativ vor und

verdichten sich zu einem treuwidrigen Verhalten“.

Wichtig in diesem Fall ist der klare Wille des Klägers, auf den das LG seine Begründung stützt. Denn nach dem Willen des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen.

Und hierzu stellt das LG meines Erachtens zurecht fest:

Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck“.

Nach ErwG 63 DSGVO, diene das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO.

Dies ist vorliegend jedoch eindeutig nicht der Fall.

Der Kläger hat keines der vorgenannten Interessen, dies nicht einmal als Reflex. Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz“.

Diesen letzten Satz finde ich in seiner bildlichen Sprache passend. Auch aus eigener Erfahrung kann ich sagen, dass in der Praxis Auskünfte nach Art. 15 DSGVO geltend gemacht werden, bei denen jedem Beteiligten völlig klar ist, dass es dem Betroffenen überhaupt nicht um den „Datenschutz“ geht, sondern der Anspruch nur ein Vehikel zur Verbesserung der eigenen Position darstellt.

Das LG begründet weiter:

Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunabhängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden (vgl. Erwägungsgrund 63 DSGVO).

Fazit

Das Urteil des LG ist meines Erachtens bemerkenswert, wenn auch sicher streitbar. Für die Praxis ist es relevant, da hier ein Landgericht den Einwand des Missbrauchs gegen einen Auskunftsanspruch begründet ablehnt.

Landessozialgericht NRW zur zweckfremden Ausübung und zum beschränkten Umfang des Auskunftsrechts nach Art. 15 DSGVO

Posted on by

In dem Verfahren vor dem Landessozialgericht (Beschl. v. 17.6.2021, L 15 U 144/21 B ER) ging es um eine Beschwerde im Sozialrecht, die inhaltlich jedoch Schnittmengen zum Datenschutzrecht aufweist. Der Antragsteller (und gleichzeitig Betroffener nach DSGVO) legte Beschwerde gegen eine Entscheidung des Sozialgerichts Dortmund ein. Dieses hatte seinen Antrag, im Wege einer einstweiligen Anordnung seinen in einem weiteren Verfahren gestellten Anträgen zu entsprechen abgelehnt. Mit diesen Anträgen sollte die Antragsgegnerin im Wege einer einstweiligen Anordnung verpflichtet werden, ihm die ihn betreffende Verwaltungsakte betreffend die Anerkennung und Folgen eines Arbeitsunfalls (betrieblich veranlasste Impfung mit anschließendem Guillain-Barré-Syndrom) mit dem Aktenzeichen 15 S 11 2010 012489 ab Seite 4658 in Kopie sowie vollständig in einer auf CD-ROM gespeicherten elektronischen Version kostenlos zur Verfügung zu stellen. Man ahnt bereits: es geht (auch) um einen Auskunftsanspruch nach Art. 15 DSGVO.

Das Landessozialgericht (LSG) wies die Beschwerde als unbegründet.

Das LSG begründet seine Ablehnung vor allem sozialverfahrensrechtlich. Der Antrag auf Erlass der einstweiligen Anordnung ist bereits gemäß § 56a Satz 1 SGG unzulässig. Nach § 56a Satz 1 SGG können Rechtsbehelfe gegen behördliche Verfahrenshandlungen (hier: die Herausgabe von Unterlagen) nur gleichzeitig mit den gegen die Sachentscheidung zulässigen Rechtsbehelfen geltend gemacht werden. Zu diesen Verfahrenshandlungen, die danach nicht selbständig angegriffen werden können, gehört nach Ansicht des LSG auch die Verweigerung oder Beschränkung von Akteneinsicht, namentlich auch die Verweigerung der Übersendung von kostenlosen Kopien der Verwaltungsakte.

Aus datenschutzrechtlicher Sicht interessant ist die ergänzende Begründung des LSG zu Art. 15 DSGVO. Der Antragsteller hatte den Auskunftsanspruch wohl zusätzlich auf Art. 15 Abs. 3 DSGVO gestützt. Dies stellt eine Parallele zu Verfahren in anderen Rechtsgebieten dar, wie etwa im Arbeits- oder Medizinrecht, in denen Betroffene vermehrt Anträge auf Einsichtnahme oder Übersendung von Dokumenten zusätzlich auf Art. 15 Abs. 3 DSGVO stützten.

Nach Ansicht des LSG scheidet die Anwendung von § 56a Satz 1 SGG auch nicht deshalb aus, weil der Antragsteller sein Begehren zusätzlich auf datenschutzrechtliche Vorschriften stützt. Das LSG entscheidet (hier noch) nicht zur Reichweite von Art. 15 Abs. 3 DSGVO („Unabhängig davon, ob die vom Antragsteller als Anspruchsgrundlage genannte Vorschrift des Art 15 Abs. 3 Datenschutzgrundverordnung (DSGVO) inhaltlich sein Begehren stützt“), sondern lehnt die Anwendung von Art. 15 Abs. 3 DSGVO bereits aus einem anderen Grund, nämlich den Motiven des Antragstellers, ab.

Das LSG begründet dies wie folgt: „verfolgt der Antragsteller nach seinem gesamten Vorbringen im vorliegenden Verfahren wie auch im Hauptsachverfahren S 79 U 884/18 allein das Ziel, durch die begehrte kostenlose Zurverfügungstellung der Kopie der streitgegenständlichen Verwaltungsakte in Papierform sowie in einer auf Datenträger gespeicherten Version seine verfahrensrechtlichen Rechte u.a. in den Verfahren S 79 U 911/16 und S 79 U 275/17 zu sichern und die seiner Auffassung nach bestehenden Ansprüche auf Heilbehandlung und Verletztenrente effektiver verfolgen zu können. Um die Wahrung seines Rechts auf informationelle Selbstbestimmung geht es ihm offensichlich nicht, zumal ihm auch bekannt ist, über welche seiner personenbezogenen Daten die Antragsgegnerin verfügt. § 56a Satz 1 SGG ist dementsprechend nach seinem Sinn und Zweck einschlägig“.

Das LSG geht mithin davon aus, dass der geltend gemachte Anspruch auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO gegenüber § 56a S. 1 SGG nicht vorrangig gilt, weil der Antragsteller diesen Anspruch vorliegend gerade nicht geltend macht, um Zugang zu seinen personenbezogenen Daten zu erhalten bzw. darauf basierend weitere Betroffenenrechte geltend zu machen (vgl. ErwG 63 DSGVO). Der Antragsteller möchte Art. 15 Abs. 3 DSGVO dazu nutzen („allein das Ziel“) durch die begehrte kostenlose Zurverfügungstellung der Kopie der Verwaltungsakte in Papierform sowie in einer auf Datenträger gespeicherten Version seine verfahrensrechtlichen Rechte zu sichern und die seiner Auffassung nach bestehenden Ansprüche auf Heilbehandlung und Verletztenrente effektiver zu verfolgen.

Diese Begründung des LSG ist deshalb interessant, weil sie, abstrahiert betrachtet, auch in anderen Rechtsgebieten Anwendung finden könnte. Wird etwa ein Antrag nach Art. 15 Abs. 3 DSGVO offensichtlich allein deshalb gestellt, um schuld- oder haftungsrechtliche Ansprüche im Bereich des Arbeits- oder Medizinrechts zu verfolgen, könnte die Begründung des LSG dazu führen, diese Ansprüche abzulehnen. Erforderlich ist aber wohl nach Ansicht des LSG, dass absolut klar ist, dass der Anspruch nicht aus Datenschutzgesichtspunkten geltend gemacht wird. Zudem lässt sich darüber diskutieren, auf welcher Norm der DSGVO der Ausschluss begründet werden könnte. Evtl. mag man hier mit Art. 12 Abs. 5 DSGVO („offenkundig unbegründeten“) argumentieren.

In dem letzten de lege data Newsletter 6/2021 habe ich einen Beitrag zu dem Thema „Kennt die DSGVO eine „missbräuchliche“ Ausübung von Betroffenenrechten?“ veröffentlicht, der etwas tiefer in diese Frage einsteigt.

Zudem lehnt das LSG im vorliegenden Verfahren einen Anspruch aus Art. 15 Abs. 3 DSGVO aber auch inhaltlich ab.

Art. 15 Abs. 3 DSGVO beziehe sich ausschließlich auf personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

Darum geht es dem Antragsteller jedoch nicht, denn ihm sind sämtliche Informationen, die sich auf ihn beziehen und die Gegenstand der Verarbeitung der Antragsgegnerin im Sinne von Art. 4 Nr. 2 DSGVO sind, bereits bekannt. Ziel seines Begehrens ist ausweislich seines Vorbringens im Schriftsatz vom 20.03.2021 vielmehr, die genaue Struktur und die Seitenzahlen der streitgegenständlichen Verwaltungsakte zu erfahren, damit er etwaige Bezugnahmen der Antragsgegnerin auf einzelne Seiten der Verwaltungsakte in den anhängigen Klageverfahren nachvollziehen kann“.

Das LSG begründet hier also im Tatbestand des Art. 15 Abs. 3 DSGVO, dass es dem Betroffenen ganz eindeutig (weil er es selbst so begründet) nicht um personenbezogene Daten geht. In diesem Fall war sicher besonders, dass der Antragsteller diese Begründung (außerhalb des Datenschutzes) auch och selbst explizit lieferte. Nach Ansicht des LSG richtet sich aber Art. 15 DSGVO eben gerade allein auf einen Zugang zu personenbezogenen Daten.

Danach folgen einige sehr praxisrelevante Ansichten des LSG, die in der Literatur bzw. von anderen Gerichten natürlich auch (schon) anders beurteilt werden, meines Erachtens derzeit absolut vertretbar sind.

Erstens:Die Ansprüche aus Art. 15 Abs. 1 und 3 DSGVO erstrecken sich jedoch nicht auf rein interne Verwaltungsvorgänge, rechtliche Bewertungen und Analysen, sondern sollen sicherstellen, dass die Betroffenen den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen können. Sie dienen allein dem Schutz des Rechts auf informationelle Selbstbestimmung und nicht wie die aus § 25 SGB X und § 120 SGG folgenden Akteneinsichtsrechte dazu, rechtliches Gehör oder „Waffengleichheit“ in einem gerichtlichen Verfahren zu gewährleisten“.

Zweitens:Art. 15 DSGVO begründet dementsprechend keinen Anspruch der betroffenen Person auf Kopien aller sie betreffenden Schriftstücke, Dateien oder Akten selbst, sondern lediglich auf eine aggregierte Auskunft bzw. zusammenfassende Übersicht über in Schriftstücken oder Dateien enthaltene bzw. gespeicherte oder verarbeitete aussagekräftige einzelne konkrete personenbezogene Daten der betroffenen Person bzw. eine Kopie dieser Daten“. Das LSG tendiert damit zu einer stark am Sinn und Zweck des Art. 15 Abs. 3 DSGVO orientierten Auslegung. Meines Erachtens ist dies der richtige Weg. Natürlich wird es aber auch Ansichten geben, die bereits den Sinn und Zweck weiter verstehen, als das LSG.

Wann können Verantwortliche sich weigern, einer Anfrage der betroffenen Person nachzukommen?

Posted on by

Nach Art. 12 Abs. 5 DSGVO muss der Verantwortliche grundsätzlich „Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34“ unentgeltlich zur Verfügung stellen. Also insbesondere auch den Auskunftsanspruch nach Art. 15 DSGVO per se unentgeltlich erfüllen. Hiervon macht die DSGVO jedoch zwei Ausnahmen.

Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Datenschutzbehörde des Vereinigten Königreichs (ICO) hat auf ihrer Webseite einige interessante Aussagen dazu veröffentlicht, wann ihrer Ansicht nach ein Antrag eines Betroffenen als „offensichtlich unbegründet“ bewertet werden kann.

Die kann der Fall sein, wenn:

  • die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft auszuüben. Zum Beispiel stellt eine Person einen Antrag, bietet dann aber an, ihn im Gegenzug für irgendeine Form von Vorteil für die Organisation zurückzuziehen; oder
  • der Antrag in böswilliger Absicht gestellt wird und dazu dient, eine Organisation zu schikanieren, ohne einen anderen Zweck als die Störung zu verfolgen.

Gerade die zuerst genannte Fallgruppe kommt meiner Erfahrung nach in der Praxis durchaus öfter vor, insbesondere in streitigen Verfahren im Arbeitsrecht wird ein Auskunftsantrag durchaus verwendet, um auf der Gegenseite für Aufwand zu sorgen und um auf Fehler zu hoffen. Wenn dann aber z. B. ein monetärer Vergleich angeboten wird, wird der Antrag zurückgenommen.

Die ICO geht davon aus, dass die zweite Fallgruppe zum Beispiel vorliegen kann, wenn die betroffene Person:

  • in der Anfrage selbst oder in anderen Mitteilungen ausdrücklich erklärt, dass sie beabsichtigt, eine Störung zu verursachen;
  • unbegründete Anschuldigungen gegen die Organisation oder bestimmte Mitarbeiter erhebt, die eindeutig durch Böswilligkeit veranlasst sind;
  • auf einen bestimmten Mitarbeiter abzielt, gegen den sie einen persönlichen Groll hegt; oder
  • systematisch verschiedene Anfragen an die Organisation als Teil einer Kampagne sendet, z. B. einmal pro Woche, mit der Absicht, Störungen zu verursachen.

Die Datenschutzbehörde weist zurecht darauf hin, dass diese Fallgruppen und Beispiele natürlich stets im Einzelfall geprüft werden müssen. Organisationen müssen eine Anfrage in dem Kontext betrachten, in dem sie gestellt wird. Wenn die Person wirklich ihre Rechte wahrnehmen möchte, ist es unwahrscheinlich, dass die Anfrage offensichtlich unbegründet ist.

Zuletzt weist die ICO noch darauf hin, dass aggressive oder beleidigende Ausdrücke zwar nicht akzeptabel sind, aber die Verwendung solcher Ausdrücke eine Anfrage nicht unbedingt offensichtlich unbegründet macht.