In einem aktuellen Urteil vom 15.03.2024 (Az. VI ZR 330/21) beschäftigte sich der BGH mit der Frage, was mit dem Begriff Kopie der personenbezogenen Daten gemeint ist.

Zum Sachverhalt

Die Beklagte war seit geraumer Zeit als Finanzberaterin für die Klägerin tätig. Sie beriet die Klägerin über Kapitalanlagen und Versicherungen. Im Jahr 2019 forderte die Klägerin die Beklagte auf, ihr Kopien gemäß Art. 15 Abs. 3 DS-GVO von sämtlichen bei ihr befindenden personenbezogenen Daten zu geben. Hierzu gehörten vor allem Telefonnotizen, Aktenvermerke, Protokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen.

Die Klage ging über mehrere Instanzen, die den Anspruch der Klägerin als gerechtfertigt ansahen. Der BGH jedoch war in diesem Fall allerdings zum Teil anderer Auffassung und stellte fest, dass zwischen gewissen Daten differenziert werden muss.

Im Einzelnen

Der BGH kam zu dem Ergebnis, dass der Anspruch der Klägerin bezüglich Schreiben und E-Mails begründet ist. Hierzu stellt der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 vorsieht. Auf dieser Grundlage hat die Klägerin ausschließlich Anspruch auf den Erhalt von Kopien der von ihr verfassten und bei der Beklagten vorhandenen Schreiben und E-Mails.

Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.

Unter diesen Aspekten stellt der BGH fest und bestätigt die Auffassung des Berufungsgerichts, dass Schreiben und E-Mails der betroffenen Person an den Verantwortlichen als personenbezogene Daten einzustufen sind.

Nach den obigen Ausführungen stellen Schreiben und E-Mails, die der Beklagten vorlagen, zwar personenbezogene Daten dar, weshalb die Klägerin im Ergebnis auch einen Anspruch auf den Erhalt einer Kopie hat. Dennoch handelt es sich entgegen der Auffassung des Berufungsgerichts bei Schreiben und E-Mails der Beklagten, Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und Zeichnungsunterlagen für Kapitalanlagen nicht zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten.

Es ist denkbar, dass interne Vermerke wie Telefonnotizen oder Gesprächsprotokolle die Äußerungen der Klägerin in persönlichen Gesprächen festhalten sollen, Informationen zur Klägerin enthalten. Hiervon kann jedoch nicht in jedem Fall ausgegangen werden. Aus diesem Grund ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass sämtliche von ihr geforderten Dokumente als Kopie überlassen werden müssen. Dies ist nur in bestimmten Ausnahmefällen möglich.

Fazit

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit dem Urteil vom Urteil vom 22. Juni 2023 in der Rs. C‑579/21 befasste sich der Europäische Gerichtshof (EuGH) mit der Reichweite von datenschutzrechtlichen Auskunftsansprüchen. Genauer ging es um die Frage, ob Betroffene das Recht haben, im Rahmen ihres Auskunftsanspruchs Kenntnis über die Identität der Beschäftigten zu erhalten, die auf die personenbezogenen Daten zugegriffen haben. Hintergrund war eine Klage eines ehemaligen Beschäftigten und zugleich Kunde einer finnischen Bank. Der Kläger fand heraus, dass auch nach seinem Ausscheiden Beschäftigte auf personenbezogene Daten von ihm zugegriffen haben. Daraufhin verlangt der Kläger detaillierte Auskunft nach Art 15 Abs. 1 DS-GVO und verlangte zudem die Nennung der Beschäftigten, welche auf seine Daten zugegriffen haben.

Zur Anwendbarkeit der DS-GVO

Da es sich in dem vorliegenden Sachverhalt um einen recht alten Fall handelt, in dem personenbezogene Daten betroffen sind, welche Jahre vor Inkrafttreten der DS-GVO erhoben wurden, befasste sich das Gericht zunächst mit der Frage, ob Betroffenenrechte auch bei Datenverarbeitungen geltend gemacht werden können, die vor Inkrafttreten der DS-GVO geschehen sind. Das Gericht kam (kurz gesagt) zu dem Ergebnis, dass Auskunftsansprüche auch personenbezogene Daten umfassen, die noch vor Inkrafttreten der DS-GVO erhoben wurden.

Darf ich wissen, wer Zugriff auf meine Daten hatte?

Gemäß Art. 15 Abs. 1 DS-GVO haben Betroffene das Recht, von dem Verantwortlichen informiert zu werden, ob sie personenbezogene Daten von dem Betroffenen verarbeiten. Wenn dem so ist, dürfen Betroffene Auskunft über die verarbeiteten personenbezogenen Daten verlangen. Das Auskunftsrecht erstreckt sich dabei unter anderem auf Informationen zu den Verarbeitungszwecken sowie zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden oder noch offengelegt werden.

Allerdings liegt der Schwerpunkt in dem Sachverhalt nicht darin, dem Betroffenen eine vollständige Auskunft nach Art. 15 DS-GVO auszustellen, sondern beruht auf der Tatsache, dass der Betroffene von dem Unternehmen verlangt hat, ihm die Identitäten der Personen, die Zugriff auf seine Daten hatten, mitzuteilen. In diesem Kontext rückt die Frage nach der Definition des Empfängers der personenbezogenen Daten in den Vordergrund. Insbesondere bedurfte es einer näheren Klärung, ob Beschäftigte der verantwortlichen Stelle als Empfänger im Sinne des Art. 4 Nr. 9 DS-GVO zu klassifizieren sind und somit im Rahmen der Auskunftserteilung konkret genannt werden müssen.

Zur Beantwortung der Frage verweist das Gericht auf die Legaldefinition des Empfängers gemäß Art. 4 Nr. 9 DS-GVO. Demnach handelt es sich bei einem Empfänger um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“ Das Gericht verneinte nach eingehender Prüfung hierauf basierend, dass Beschäftigte des Verantwortlichen Empfänger darstellten – zumindest soweit diese personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeiten (vgl. Art. 29 DS-GVO).

Das Gericht kam somit zu dem Ergebnis, dass vom Auskunftsrecht lediglich nähere Informationen zur Verarbeitung der personenbezogenen Daten, wie zum Beispiel Zeitpunkt und Zweck jeweiliger Abfragen umfasst sind. Informationen über die Identität der Beschäftigten des Verantwortlichen, die personenbezogene Daten ausschließlich nach dessen Weisung verarbeiten, können dagegen im Wege eines geltendgemachten Auskunftsanspruchs nur unter bestimmten Voraussetzungen – keinesfall standardmäßig – offengelegt werden. Dies bedarf einer Prüfung im Einzelfall.

Tipp für die Praxis

Derartige Fallkonstellationen sind in der Praxis nicht selten. Sobald Betroffene herausfinden, dass eine Person womöglich unzulässigerweise auf die eigenen personenbezogenen Daten zugegriffen hat, liegt die Geltendmachung des Rechts auf Auskunft oftmals nahe. Aus diesem Grund sollten Verantwortliche stets die Reichweite von datenschutzrechtlichen Auskunftsansprüchen kennen, um so womöglich auch die Identität beschäftigter Personen zu schützen. Unternehmen sind gut beraten, bei der Beurteilung und Beantwortung von Betroffenenanfragen den Datenschutzbeauftragten zu konsultieren.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WORUM GEHT ES BEI EINEM AUSKUNFTSANSPRUCH?

Die gesetzgeberische Intention hinter der Stärkung der Betroffenenrechte im Kapitel III der DS-GVO ist klar: Schaffung von Transparenz und mithin die Wahrung des Grundsatzes gemäß Art. 5 Abs. 1 lit. a) DS-GVO. Der Auskunftsanspruch ist – soweit auch unstreitig – dem Grunde nach dazu angelegt, die Überprüfung der Rechtmäßigkeit einer Datenverarbeitung durchzuführen und somit letztlich auch der Ausübung des Rechts auf informationelle Selbstbestimmung nachzukommen. In Der Praxis wird der Auskunftsanspruch – insbesondere im arbeitsrechtlichen Prozess – als taktisches Mittel verwendet, um „Druck“ auf die Gegenseite auszuüben und/oder einen Überblick über vorhandene Datenbestände zu erlangen, um unter Umständen Folgeansprüche vorzubereiten.

Neben dem „reinen“ Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO, wohnt dem Art. 15 Abs. 3 DS-GVO zudem das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, inne. Darüber hinaus kann das Recht auf Auskunft zur Vorbereitung der Geltendmachung weiterer Betroffenenrechte, beispielsweise des Rechtes auf Berichtigung gemäß Art. 16 DS-GVO oder des Rechtes auf Löschung gemäß Art. 17 DS-GVO dienen.

Allerdings ergeben sich abseits zahlreicher juristischer Streitigkeiten rund um die Reichweite des Anspruchs für Verantwortliche bei der Umsetzung in der Praxis einige inhaltliche sowie prozessuale Herausforderungen, welche im Folgenden näher beleuchtet werden sollen.

WELCHE SCHWIERIGKEITEN BESTEHEN IM RAHMEN EINES AUFKUNFTERSUCHENS?

Bei der Betrachtung des Art. 15 DS-GVO entsteht regelmäßig Diskussionsbedarf, insbesondere in Bezug auf die Fragen:
– Müssen dem Antragsteller auch Daten zur Verfügung gestellt werden, welche ihm bereits vorliegen?
– Muss der Anspruch auf Erhalt einer Kopie gesondert geltend gemacht werden?
– Welchen Umfang entfaltet das Recht auf Erhalt einer Kopie?
– Wann kann der Anspruch auf Erhalt der Kopie beschränkt werden?
– Wann gilt ein Auskunftsbegehren als unverhältnismäßig?

Das Hauptaugenmerk soll nun auf die praktische Umsetzung gelegt werden. Für die Bearbeitung von Auskunftsersuchen genügt insoweit nicht, wenn sich der Blick des Anwenders nur auf Art. 15 DS-GVO richtet. Vielmehr ist eine Gesamtschau mit den Normen aus Art. 4, Art. 11 und Art. 12 DS-GVO notwendig. Außerdem finden sich weitere Bestimmungen – insbesondere zu Ausnahmetatbeständen – im Bundesdatenschutzgesetz (BDSG).

WIE LÄUFT EIN AUSKUNFTSPROZESS AB?

Den Stein des Anstoßes bei einem Auskunftsprozess bildet der Antrag des Betroffenen, vgl. Art. 12 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche ist gemäß Art. 12 Abs. 1 DS-GVO dazu angehalten die Betroffenen bei der Wahrnehmung ihrer Rechte zu unterstützen. Eingehen können Betroffenenanfragen auf allen denkbaren Kommunikationskanälen der verantwortlichen Stelle. Unter Umständen ist eine Auslegung der Anfrage notwendig, insbesondere wenn der Betroffene sich nicht ausdrücklich auf Art. 15 DS-GVO beruft – was er selbstverständlich nicht muss. Es genügt insoweit ein formloser Antrag, welcher keiner Begründung bedarf. Damit Verantwortliche weiterführende Datenschutzverstöße vermeiden können, empfiehlt sich strengstens die Identität des Antragstellers zu überprüfen. Über das exakte Vorgehen haben wir bereits berichtet. Es ist dem Antragsteller ebenfalls unbenommen in zwei Stufen vorzugehen:
– zunächst kann die betroffene Person eine Bestätigung verlangen, ob bei dem Verantwortlichen sie betreffende personenbezogene Daten verarbeitet werden;
– um bejahendenfalls auf einer zweiten Stufe um Auskunft über diese personenbezogenen Daten sowie die Informationen des Art. 15 Abs. 1 lit. a) bis h) DS-GVO zu verlangen.

Verarbeitet der Verantwortliche große Mengen an Informationen, besteht nach Erwägungsgrund (ErwG) 63 S. 7 DS-GVO die Möglichkeit, dass er vom Betroffenen verlangen kann, dass dieser seine Anfrage derart präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht.

Um auf Auskunftsersuchen beziehungsweise allgemein Betroffenenanfragen fristgerecht (unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DS-GVO) empfiehlt sich die Implementierung eines Melde- und Bearbeitungsprozesses, beispielsweise durch eine interne Anweisung, Richtlinie oder Policy zum Umgang mit Betroffenenanfragen.  Ein solche Prozess kann folgende Etappen umfassen:
– Antragseingang und gegebenenfalls Auslegung des Betroffenenbegehren,
– Eingang dokumentieren und Frist für die Beantwortung notieren,
– Eingangsbestätigung an den Antragsteller senden (vgl. Art. 5 Abs. 2 DS-GVO),
– Identitätsprüfung durchführen,
– Vorliegen von Beschränkungen prüfen (vgl. Art. 15 Abs. 4 DS-GVO, §§ 29, 34 BDSG etc.),
– Datenbestände prüfen,
– gegebenenfalls Fristverlängerung begründen (vgl. Art. 12 Abs. 3 Satz 2 DS-GVO),
– Form der Beantwortung einhalten (schriftlich/elektronisch, jedenfalls identischer Kommunikationsweg),
– Auskunft oder Negativauskunft erteilen (aufgrund fehlenden Identitätsnachweises, dem Vorliegen von Beschränkungen, kein Vorliegen von Datenbeständen etc.),
– Kopie der personenbezogenen Daten zur Verfügung stellen,
– Ausgang der Antwort dokumentieren und Frist streichen,
– gesetzliche Aufbewahrungsfrist von Betroffenenanfragen einhalten (Art. 83 und Art. 5 DS-GVO, § 41 BDSG, § 31 Gesetz über Ordnungswidrigkeiten (OWiG)).

Nicht nur aus Gründen zur Erfüllung der Rechenschaftspflicht und im Sinne eines funktionierenden Managementsystems empfiehlt sich die Initiierung und Fortschreibung eines solchen Prozesses. Vielmehr kann ein vorgeschriebener Ablauf bei den Anwendern – also den Beschäftigten der verantwortlichen Stelle – für Sicherheit im Umgang mit Betroffenenanfragen sorgen.

WELCHE KONSEQUENZEN DROHEN BEI FEHLERHAFTEN AUSKUNFTSPROZESSEN?

Die Folgen von unterbliebenen beziehungsweise verspätet erteilten Auskünften liegen auf der Hand: Es besteht das Risiko eines Gesetzesverstoßes, welcher durch eine Aufsichtsbehörde geahndet werden kann, beispielsweise im Rahmen der Sanktionierung von Art. 83 DS-GVO. Daneben steht den Betroffenen die Möglichkeit der Geltendmachung eines Schadenersatzanspruches gemäß Art. 82 DS-GVO zu, wobei es hier aber zentral auf die Nachweisbarkeit eines konkreten Schadens ankommen wird.

FAZIT

Unabdingbar für die (fristgerechte) Bearbeitung von Betroffenenanfragen ist die Etablierung entsprechender Prozesse mitsamt Dokumentation der konkreten Einzelfälle. Hilfestellungen zum Umgang mit Anfragen Betroffener in der Praxis finden sich unter anderem beim Bayrischen Landesamt für Datenschutzaufsicht sowie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.