Liebe Abonnentinnen und Abonnenten,

Aktuelle Beiträge im Blog

Aktuelle Nachrichten

Praxisthemen

Missbrauch? Sinn und Zweck des Auskunftsanspruchs

Auskunftsansprüche nach Art. 15 DSGVO sind in der Praxis wohl das meist genutzte Betroffenenrecht. Der Zweck des Auskunftsrechts ist nach ErwG 63 DSGVO, dass Betroffene sich einer Verarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Der Auskunftsanspruch dient also vor allem auch als Grundlage zur Ausübung weiterer Betroffenenrechte.

Viele von Ihnen werden bereits in einer Situation gewesen sein, in der Sie mit einem solchen Auskunftsbegehren konfrontiert sind und es mehr als offensichtlich ist, dass der Anspruch nicht um des Datenschutzes Willen geltend gemacht wird.

In solchen Situationen stellt sich für Unternehmen bzw. datenverarbeitende Stellen durchaus die Frage, ob auf ein derartiges Begehren wirklich zu antworten ist. Oder ist nicht bereits die Geltendmachung des Auskunftsanspruchs rechtsmissbräuchlich, wenn der Zweck der konkreten Ausübung dieses Rechts offensichtlich nur dazu dient, bei einem Unternehmen Mehraufwand zu erzeugen oder dieses „auszuforschen“?

Einige interessante Aussagen zu dieser Thematik finden sich in einem relativ aktuellen Urteil des BVerwG (Urteil vom 16.09.2020, Az. 6 C 10.19). Dort ging es um Auskunftsansprüche des Insolvenzverwalters gegen ein Finanzamt. Der Insolvenzverwalter verlangte einen Auszug aus dem Steuerkonto eines Insolvenzschuldners, über dessen Vermögen er zum Verwalter bestellt wurde. Das Finanzamt und auch das BVerwG lehnten dies ab. Das BVerwG begründet in seinem Urteil u.a.:

„Der Auskunftsanspruch dient lediglich dem Schutz ideeller Interessen der betroffenen Person, den vom Kläger reklamierten Vermögensbezug weist er nicht auf“.

Das Gericht begründet auch mit diesem Argument, dass der Anspruch nicht besteht. Dieser Verweis auf den Zweck des Auskunftsrechts, dem nach Ansicht des BVerwG gerade kein vermögensrechtlicher Gehalt innewohnt, kann für Unternehmen sicherlich auch allgemein bei offensichtlich unbegründeten Anfragen auf Auskunft ein zusätzliches Argument darstellen.

Ganz ähnlich hatte sich in der Vergangenheit bereits das BayLDA in seinem Tätigkeitsbericht 2019, S. 27 (PDF) positioniert: „Mit dem Recht auf Auskunft sollen ausschließlich Datenschutzziele verfolgt werden. Dieses Recht soll nicht zur Sammlung von Beweisen für andere bestehende Konflikte dienen“.

Brexitdeal: was gilt nun und (wann) kommt ein Angemessenheitsbeschluss?

Whitepaper nur gegen Newsletteranmeldung – Datenschutzbehörde Sachsen: kein Verstoß gegen das Kopplungsverbot

Die Datenschutzbehörde aus Sachsen hat kurz vor Weihnachten ihren neuen Tätigkeitsbericht vorgestellt (PDF). Unter anderem berichtet die Behörde dort auch von einer Beschwerde, in der ein Verstoß gegen das sog. Kopplungsverbot der DSGVO (welches in dieser Pauschalität natürlich nicht existiert) moniert wurde (ab S. 62 ff.).

In dem beschriebenen Fall ging es um ein Webportal, das den „kostenlosen“ Download einer Art Checkliste ermöglicht, wofür im Gegenzug die Zusendung eines Werbe-Newsletters hingenommen werden sollte. Das Dokument wollte der Beschwerdeführer beziehen, nicht jedoch den Newsletter. Der Beschwerdeführer ging von der Nichtigkeit einer nicht freiwilligen Einwilligung zum Erhalt des Newsletters aus.

Der sächsische Datenschutzbeauftragte sah hier jedoch keinen Verstoß gegen die DSGVO. Die Begründung der Behörde im Bericht ist meines Erachtens nicht ganz vollständig, aber für Unternehmen in der Praxis natürlich dennoch sehr relevant.

Die Behörde betrachtet den Sachverhalt rein aus der „Vertragsbrille“, also auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Sie scheint also davon auszugehen, dass hier gar keine Einwilligung eingeholt wurde (oder werden musste), sondern die Angabe der E-Mail-Adresse für den Newsletter die vertragliche Gegenleistung für die Checkliste darstellt. Allgemein führt die Behörde aus: „dass, wer einen Vertrag schließt, nicht mehr gänzlich frei darin ist, damit einhergehende erforderliche Datenverarbeitung jederzeit beenden zu können, leuchtet dabei bereits nach allgemeinem Rechtsgefühl ein.“ Ein entgegenstehender Wille des Betroffenen werde von der Rechtsordnung als rechtlich irrelevant angesehen.

Im konkreten Fall hatte der Portalbetreiber die Verbindlichkeit der Bestellung mit einem betitelten Button „Ja ich möchte in den Newsletter aufgenommen werden“ nach Ansicht der Behörde hergestellt. Hieraus folgert die Behörde: „Die Annahme eines Werbe-Newsletters ließ sich daher nicht anders als eine mit dem Vertragsschluss geschuldete Gegenleistung verstehen“.

Die Behörde scheint also davon auszugehen, dass die für den Versand des Newsletters erforderliche Verarbeitung für die Vertragsdurchführung erforderlich ist. „Wird die Datenverarbeitung zum Zwecke der Werbung zum integralen Bestandteil des Vertrages gemacht, wird das Kopplungsverbot nicht berührt“. Leider konkretisiert die Behörde nicht, wo sie hier den Vertrag sieht und welche Art dieser hat (Download und Nutzung der Checkliste?).

Der beschriebene Fall ist meines Erachtens natürlich auch für andere Konstellationen relevant, in denen Dienstleistungen oder Produkte im Gegenzug gegen eine werbliche Nutzung von Daten bereitgestellt werden sollen. Insbesondere auch vor dem Hintergrund, dass der EDSA in seinen Guidelines zum Merkmal der "Erforderlichkeit" im Rahmen des Art. 6 Abs. 1 lit. b DSGVO eine viel strengere (also engere) Ansicht vertritt, als hier die Datenschutzbehörde.

Aktuelle Rechtsprechung

Datenschutzrechtliche Zulässigkeit von Corona-Schnelltests

Das LG Mannheim hat mit Urteil vom 9.12.2020 (Az. 14 O 207/20 Kart) u.a. zu der Frage entschieden, ob die Datenverarbeitung im Rahmen eines Corona-Schnelltests gegen das Datenschutzrecht verstoßen würde. In dem Verfahren ging es um die Fortsetzung der Fußball Regionalliga Südwest und ein damit verbundenes Hygienekonzept. Dieses seht auch Corona-Schnelltests der Spieler kurz vor Partien vor.

Nach Ansicht des Landgerichts verstößt die mit den Corona-Schnelltests zusammenhängende Verarbeitung von (Gesundheits-)Daten der Getesteten nicht gegen die DSGVO. Die Datenverarbeitung diene der Beurteilung der Arbeitsfähigkeit der (zumindest geringfügig, auf 450 EUR-Basis beschäftigten) Fußballspieler. Rechtsgrundlage ist nach Ansicht des LG Art. 9 Abs. 2 lit. h DSGVO (iVm Art. 9 Abs. 4 DSGVO, § 22 Abs. 1 Nr. 1b BDSG). Das LG scheint hier also auf die Erforderlichkeit zur Durchführung des Arbeitsverhältnisses und die Beurteilung der Arbeitsfähigkeit der Fußballspieler abzustellen.

Diese Ansicht dürfte vor allem für Unternehmen relevant sein, die ihre Mitarbeiter testen möchten bzw. müssen, um den Betrieb aufrechtzuhalten und damit das Arbeitsverhältnis durchführen.