berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht

Die Reichweite des Auskunftsanspruchs – der BGH hat geurteilt

Zahlreiche Unternehmen sind mittlerweile in der Datenschutz-Realität angekommen. Gemeint ist der Kontakt mit betroffenen Personen, die ihre Rechte aus den Artikeln 12 bis 21 der DSGVO wahrnehmen. Zu den einzelnen Betroffenenrechten hatten wir in der Vergangenheit eine ganze Artikelserie veröffentlicht. Am bekanntesten und gleichzeitig auch am häufigsten wahrgenommen ist vermutlich das Auskunftsrecht aus Art. 15, dicht gefolgt von den Rechten auf Löschung und Widerspruch.

In diesem Artikel möchten wir noch einmal auf das Auskunftsrecht eingehen. Dieses Recht ist eines der wenigen Betroffenenrechte, die vollkommen bedingungslos sind. Das bedeutet, dass weder die betroffene Person, noch der Verantwortliche, noch die Verarbeitung an sich oder die Daten eine Voraussetzung erfüllen müssen, damit das Recht in Anspruch genommen werden kann. Mit anderen Worten es gibt keine Möglichkeit für die Verantwortlichen, die Auskunft zu verweigern, sofern diese nicht offenkundig exzessiv wiederholt gefordert wird und damit begründet ein Missbrauch des Auskunftsrechts unterstellt werden kann.

Kann eine Auskunft im Umfang eingeschränkt werden?

Integraler Bestandteil einer Auskunft ist eine Kopie der beim Verantwortlichen verarbeiteten personenbezogenen Daten über die betroffene Person. Diese Datenkopie wird in Art. 15 DSGVO grundsätzlich nicht eingeschränkt. Es gibt allerdings an unterschiedlichen Stellen Möglichkeiten für die Verantwortlichen, gegebenenfalls den Umfang einzuschränken. Wir gehen in der folgenden kurzen Aufstellung nur auf die „üblichen“ Einschränkungsmöglichkeiten ein und lassen Themen wie Forschungs- oder Statistikzwecke (§ 27 BDSG) und Archivzwecke im öffentlichen Interesse (§ 28 BDSG) der Übersichtlichkeit halber einmal außer Acht.

Präzisierung durch die betroffene Person

Erwägungsgrund (ErwG) 63 Satz 7 zur DSGVO sieht vor:

Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

Unklar und noch nicht höchstrichterlich entschieden ist jedoch, ob im Zweifelsfall diese Präzisierung auch in der Forderung „Ich will alles!“ bestehen kann. Es ist also gut möglich, dass diese Einschränkung dem Verantwortlichen nicht in allen (eventuell sogar nur in eher seltenen) Fällen weiterhilft.

Geheimhaltungsinteresse (auch von Dritten)

Gut versteckt in § 29 Abs. 1 Satz 2 BDSG wird den Verantwortlichen zugestanden, die Auskunft einzuschränken,

[…] soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Zu den hier gemeinten Informationen zählen beispielsweise interne Abstimmungen, welche sich auf die betroffene Person beziehen und die strategische Informationen umfassen, welche sich auf ein noch laufendes Verfahren mit der oder gegen die betroffene Person beziehen. In den meisten Fällen wird diese Regelung allerdings eher zu Teilschwärzungen führen als zum Ausschluss vollständiger Dokumente.

Unverhältnismäßiger Aufwand

Und dann wäre da noch der immer wieder gerne „gezogene“ unverhältnismäßig hohe Aufwand bei der Zusammenstellung der Datenkopie aus § 34 Abs. 1 BDSG. Hierüber könnten wir seitenweise schreiben, möchten unsere Leser*innen allerdings auch nicht langweilen. Daher kurz zusammengefasst: Zum einen wird gerne überlesen, dass es nicht nur um den Aufwand geht. Die Daten, welche gegebenenfalls nicht beauskunftet werden müssen, müssen entweder ausschließlich gespeichert werden, weil sie Aufbewahrungspflichten unterliegen oder sie müssen ausschließlich der Datenschutzkontrolle oder der Datensicherung dienen. Darüber hinaus kann selbst bei einer sehr großen Zahl an Daten, die über eine große Zahl unterschiedlicher Systeme hinweg verarbeitet werden, nicht allein aufgrund dieses Umfangs von einem unverhältnismäßig hohen Aufwand ausgegangen werden. Das hätte letztlich zur Folge, dass man das Auskunftsrecht einfach dadurch umgehen könnte, dass man immer eine sehr große Menge an Daten über die betroffenen Personen verarbeitet. Gerade bei großen Datenmengen ist der Sinn des Auskunftsrechts aber umso mehr gegeben.

Der unverhältnismäßig hohe Aufwand wird also nur in den seltensten Fällen asl Argument für eine Einschränkung der zu erteilenden Auskünfte dienen.

Was lag dem BGH zur Entscheidung vor?

Kommen wir nach dieser etwas längeren Einleitung zum eigentlichen Thema. Es ging um einen Rechtsstreit zwischen einem Versicherungsnehmer einer Lebensversicherung und dem Versicherungsunternehmen. Im Rahmen dieses Rechtsstreits machte der Versicherungsnehmer sein Recht auf Auskunft geltend. Dieses erfolgte zuerst (im Jahr 2016, also vor Geltung des DSGVO) auf Basis des § 34 BDSG-aF. Da das Verfahren über mehrere Instanzen lief, wurde der Auskunftsanspruch im späteren Verlauf auf Art. 15 DSGVO gestützt.

Der Versicherer war der Ansicht, dass die erteilte Auskunft vollständig sei, während der Kläger dies anders sah. Insbesondere rügte der Kläger, dass

weitergehende Auskünfte hinsichtlich der gesamten noch nicht mitgeteilten Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos und etwaig erteilter Zweitschriften und Nachträge zum Versicherungsschein, sowie Datenauskünfte bezüglich sämtlicher Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis

in der erteilten Auskunft fehlten. Die Vorinstanzen hatten diese Rüge bei der Urteilsfindung nicht berücksichtigt und den Auskunftsanspruch für vollständig erfüllt befunden.

Was hat der BGH entschieden?

Der Bundesgerichtshof (BGH) urteilte anders als die Vorinstanzen und hob die Entscheidung in Bezug auf den Auskunftsanspruch auf. In seiner Urteilsbegründung schreibt er sehr deutlich:

Nach dieser Definition [Art. 4 Nr. 1 Halbsatz 1 DSGVO, Anm. d. Autors] und der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt

Die Aussage ist also sehr deutlich: Dem Auskunftsanspruch nach Art. 15 DSGVO unterliegen sämtliche bei einem Verantwortlichen verarbeiteten personenbezogenen Daten. Dies gilt unabhängig davon, ob diese der betroffenen Person bereits bekannt sind, ob es sich um interne Vermerke handelt oder ob die betroffene Person auf anderem Wege an diese Information gelangt ist oder gelangen könnte.

Unter Berücksichtigung des sachlichen Anwendungsbereichs der DSGVO (Art. 2 DSGVO) erstreckt sich der Auskunftsanspruch somit auch auf sämtliche irgendwie strukturiert abgelegten papierhaft vorliegenden Daten. Der handschriftliche Text auf einem Post-It innerhalb einer Akte wäre damit zu beauskunften.

Fazit

Damit wurde unsere bisherige Beratungspraxis sozusagen vom BGH „abgesegnet“. Der Auskunftsanspruch umfasst sämtliche Informationen, die zu einer Person vorliegen. Daten, die in Backups enthalten sind, können aller Voraussicht nach (hierzu gibt es unseres Wissens noch keine Gerichtsurteile) von der Auskunft ausgenommen werden, sofern darüber informiert wird, dass sie existieren (Ausnahme des § 34 Abs. 1 Nr. 2 BDSG). Ebenso können Stellen, deren Offenbarung die Rechte Dritter beeinträchtigen würden oder an deren Geheimhaltung andere (zum Beispiel strategische) Interessen bestehen geschwärzt werden. Ansonsten gibt es aber nahezu keine Möglichkeit, den Inhalt der Datenkopie einzuschränken, sofern die betroffene Person dies nicht in Form der von ErwG 63 vorgesehenen Spezifizierung vorgibt.

Ohne eine Übersicht über die genutzten Systeme inklusive der eingesetzten Auftragsverarbeiter und ohne etablierte Prozesse für die Erfüllung des Auskunftsanspruchs haben die Verantwortlichen keine Chance, dem geforderten Umfang in der durch Art. 12 Abs. 3 DSGVO vorgegebenen Frist vollständig und korrekt nachzukommen.

Der Auskunftsanspruch wird seit einiger Zeit auch in arbeitsrechtlichen Prozessen immer häufiger von Arbeitnehmer*innen als Mittel genutzt, um Druck beim Arbeitgeber zu erzeugen. In Verbindung mit den in Art. 82 Abs. 5 DSGVO definierten Bußgeldern und der in letzter Zeit ebenfalls immer häufiger in Anspruch genommenen Möglichkeit, Schadenersatz für einen immateriellen Schaden zu fordern, ist der Auskunftsanspruch nicht nur ein sinnvolles Instrument der DSGVO, damit sich die betroffenen Personen für Transparenz verschaffen können, sondern auch eine gefährliche Waffe.

Sind in Ihrem Unternehmen funktionierende Prozesse für die Erfüllung der Betroffenenrechte implementiert? Melden Sie sich bei uns, wir unterstützen Sie dabei!


Diesen Beitrag teilen

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.