Es ist eine Entscheidung, von welcher man mit Fug und recht behaupten kann, dass die Datenschutzwelt auf sie gewartet hat: Es ist die Brillen Rottler Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache C-526/24. Das wird zunächst vermutlich nur Wenigen etwas sagen. Im Kern dreht sich die Entscheidung um die für die Praxis bedeutende Frage nach dem Missbrauchseinwand des Art. 12 Abs. 5 DS-GVO bei der Geltendmachung von Auskunftsansprüchen nach Art. 15 DS-GVO. Zur praktischen Umsetzung von Art. 15 DS-GVO praktischer Umsetzung haben wir bereits berichtet. Heute wollen wir nun das aktuelle Urteil zum Missbrauchseinwand näher beleuchten.

Ein Blick ins Gesetz und so…

Blicken wir doch zunächst einmal ins Gesetz. Art. 12 Abs. 5 DS-GVO lautet:

„Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
2. sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“

Das Gesetz zeigt uns eine Reihe unbestimmter Rechtsbegriffe: „offenkundig unbegründet“, „exzessiv“ oder aber „häufige Wiederholungen“. Kurzum: Verantwortliche haben zwar grundsätzlich die Möglichkeit einem Antrag Betroffener Personen entgegenzutreten, bisher waren die Konturen für diesen Einwand jedoch weitestgehend ungeklärt. Bisher…

Nun zu dem Eugh-Urteil

Worum geht es eigentlich. Aus dem Sachverhalt:

Im März 2023 abonnierte eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete die betroffene Person einen Auskunftsantrag nach Art. 15 DS-GVO an Brillen Rottler. Diese wiesen den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich i.S.v. Art. 12 Abs. 5 UAbs. 1 Satz 2 DS-GVO hielten. Der „Betroffene verfolgte“ seinen Auskunftsantrag weiter und machte darüber hinaus Schadenersatz in Höhe von 1.000€ nach Art. 82 DS-GVO geltend.

In der Folge klagte Brillen Rottler dann vor dem AG Arnsberg auf Feststellung, dass dem „Betroffenen“ kein Anspruch aus Art. 82 DS-GVO zustehe. Gestützt wurde der Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass der „Betroffene“ Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der Datenschutz-Grundverordnung zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.

Das AG Arnsberg wandte sich in der Folge mit diversen Vorlagefragen an den EuGH.

Was hat denn der Eugh nun entschieden?

Zunächst stellt der EuGH klar: „Was […] die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden.“

Und weiter: „Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […] Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.“

Bemerkenswert ist zudem folgender Hinweis: „Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […] In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.“

Damit aber nicht genug: „Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt. […] Da der Begriff „exzessive Anträge“, wie sich aus Rz. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen (…) hoch sein.“

Der EuGH fordert für den Missbrauchseinwand zweit grundlegende Voraussetzungen:

Ein objektives sowie ein subjektives Element: „Was […] die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rz. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.“

Fazit

Diese letzte Klarstellung dürfte in vielen Praxiskonstellationen – wohl allen voran im Beschäftigtendatenschutz – eine gewichtige Weichenstellung sein. Es kann sich aus den Umständen des Einzelfalls ergeben, dass ein Missbrauch seitens des Betroffenen vorliegt. Insbesondere in bereits vorangetriebenen Streitigkeiten dürfte dies Relevanz entfalten, wenn zum Auskunftsanspruch gegriffen wird. Für die Einstufung möglicher objektiver Missbrauchskriterien verweist der EuGH zudem auf Erwägungsgrund 63 Satz 1 der DS-GVO in welchem die ursprünglichen Zwecke des Auskunftsanspruchs niedergelegt sind: „Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“

Klar ist allerdings auch, dass ein einfaches Berufen auf den Missbrauchseinwand seitens der Verantwortlichen nicht ausreichend sein wird. Vielmehr bedarf es der vertieften Darlegung der objektiven wie subjektiven Missbrauchskriterien.

Der Ball für die Entscheidung, ob im konkreten Fall ein Rechtsmissbrauch vorlag, liegt nun wieder beim AG Arnsberg, welches die Entscheidung unter Berücksichtigung des Urteils des EuGH treffen muss.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute erreichen wir beim Spaziergang mit Artikel 15 einen echten „Aussichtspunkt“. Von hier aus erhalten Betroffene einen Überblick, welche Daten der Verantwortliche verarbeitet und in welcher Weise. Das Auskunftsrecht ist ein Kernbereich des Datenschutzes: Nur wer weiß, wo und wie die eigenen Daten verarbeitet werden, kann das informationelle Selbstbestimmungsrecht überhaupt sinnvoll nutzen.

Allerdings wird gerade das Auskunftsrecht – wie Datenschutzbeauftragten nur allzu gut bekannt ist – in der Praxis oft als „Folterinstrument“ gegen die Verantwortlichen für ganz andere Zwecke benutzt; typisches Auskunftsverlangen: Arbeitnehmer gegen Arbeitgeber im Kündigungsschutzprozess. Wahrscheinlich muss das als Begleiterscheinung in Kauf genommen werden, wenn wirksamer Datenschutz stattfinden soll.

Absätze 1 und 2

Was die Auskunft beinhaltet, klären die Absätze 1 und 2. Absatz 2 hätte ohne Weiteres auch als Buchstabe i) in den ersten Absatz hineingepasst.

Absatz 3

Nach Absatz 3 hat der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen. Wegen der heute allgemein verfügbaren Kopier- und Scantechnik sind die Sätze 2 und 3 recht unwichtig. Heiß diskutiert wird hingegen die Frage, was genau kopiert werden muss. Beispiel: Frau X beantragt eine Baugenehmigung und erhält nach längerem Hin und Her einen ablehnenden Bescheid. Ergibt sich aus Art. 15 Abs. 3 Satz 1 DS-GVO ein Anspruch auf Kopie der gesamten Genehmigungsakte bei der Bauverwaltung? – Informationsfreiheits- und Transparenzgesetze bleiben unbeachtet; wir spazieren ja nur durch die DS-GVO.

Der Europäische Gerichtshof (EuGH) hat am 04.05.2023 (Rs. C-487/21 – wir bereichteten) und anschließend noch mehrfach (z. B. Urteile vom 22.06.2023, Rs. C-579/21 – wir berichteten – und vom 26.10.2023, Rs. C-307/22) über die Bestimmung nachgedacht. Echte Klarheit besteht aber weiterhin nicht. Unproblematisch ist natürlich, dass die Kopie alle Bereiche umfasst, in denen personenbezogene Daten des Betroffenen selbst abgehandelt werden, Beispiel Personalakte: Stammdatenblatt mit Namen, Anschrift, Geburtsdatum, … . Ziemlich sicher ist auch, dass keine Daten mitkopiert werden müssen, die nicht personenbezogen sind, Beispiel: In der Personalakte eines Vertriebsmitarbeiters sind – zufällig oder absichtlich – Vertriebsprospekte des Unternehmens abgeheftet, in denen der Vertriebsmitarbeiter gar nicht genannt wird.

Mindestens ein (ungelöster) Teilaspekt des Problems besteht darin, dass man Unterlagen ihren Personenbezug nicht immer ansieht und sich der Personenbezug auch aus dem Kontext ergeben kann. Weiterentwicklung des letzten Beispiels: Der Vertriebsmitarbeiter hat die in seiner Personalakte befindliche Broschüre mitgestaltet und sie ist besonders gut oder schlecht gelungen, deshalb in der Personalakte abgeheftet. Personenbezug? Für die Praxis dürfte sich empfehlen, im Zweifel Personenbezug anzunehmen und die Kopie entsprechend zu erweitern.

Absatz 4

Absatz 4 nennt eine Ausnahme vom Anspruch auf Kopie. Das Hauptproblem dieses Absatzes betrifft – nicht die teils mühselige Teilschwärzung von Kopien, sondern – die Frage, ob sich Absatz 4 wirklich nur auf Absatz 3, also die Kopien bezieht oder ob nicht auch das Auskunftsrecht nach Absatz 1  und 2 eingeschränkt werden muss, wenn Rechte Dritter betroffen sind.

Der Bundesgerichtshof (BGH) hat in einer lesenswerten Entscheidung von 22.02.2022 (VI ZR 14/21) die Frage ausführlich behandelt und es (Rn. 15) „sehr naheliegend“ gefunden, „dass das Auskunftsrecht aus Art. 15 Abs. 1 DS-GVO schon aufgrund einer der Datenschutz-Grundverordnung immanenten Beschränkung die Rechte oder Freiheiten anderer Personen nicht beeinträchtigen darf“. Die Rechtsfrage wurde nicht dem EuGH vorgelegt, weil der Bundesgerichtshof letztlich keine überwiegenden Dritt-Interessen angenommen hat, die Frage also nicht entscheidungserheblich wurde.

Es wäre tatsächlich seltsam, wenn ausgerechnet die DS-GVO dazu zwingen würde, personenbezogene Daten Dritter (natürlicher Person) unbegrenzt nach Art. 15 Abs. 1 DS-GVO heraus zu geben. Deshalb spricht viel für die Einschränkung des Auskunftsrechts insgesamt – nicht nur des Anspruchs auf Kopie – durch die Rechte Dritter (zumindest bei natürlichen Personen). Ob man dies mit einer erweiterten (analogen) Anwendung von Art. 15 Abs. 4 DS-GVO begründet oder – wie der BGH wohl vorzieht – mit „immanenten Grenzen“ des Art. 15 Abs. 1 DS-GVO, werden vielleicht Spaziergänger nach uns klären.

Grundsätzliche Anforderungen

Denken wir stattdessen beim Weitergehen noch über die typischen Schritte eines Verantwortlichen nach, sobald ein Auskunftsersuchen eingeht:

• Jeder Verantwortliche sollte dafür sorgen, dass Auskunftsersuchen, egal bei wem sie eintreffen und egal in welcher Form – telefonisch, per E-Mail, … – sofort und nicht erst innerhalb eines Monats dem zuständigen und entsprechend instruierten Bearbeiter weitergeleitet werden.

• Dieser Ansprechpartner beachtet die Monatsfrist als Höchstfrist, nicht als generell verfügbaren Zeitraum; die Auskunft ist ja unverzüglich, also möglichst schnell zu erteilen. Zuerst wird geprüft, ob die anfragende Person sicher identifiziert werden kann und welcher Kommunikationsweg für die Antwort offensteht. Die Identität des Anfragenden muss also kontrolliert werden. Ansonsten wird aus der Antwort an die falsche Person schnell eine Datenschutzverletzung. Art. 12 Abs. 6 DS-GVO und Erwägungsgrund 64 geben dafür Hinweise. Beispiel: Wird durch – angeblich – Herrn Müller bei einem Onlineshop ein Auskunftsersuchen per E-Mail eingereicht mit einer E-Mail-Adresse, die Herr Müller gegenüber dem Onlineshop bisher nie genutzt hat, empfiehlt sich die Rückfrage unter der bisher bekannten, beim Unternehmen gespeicherten E-Mail-Adresse, ob die Auskunftsanfrage wirklich vom Betroffenen stammt.

• Ist die Identität zweifelsfrei geklärt, wird zusammengestellt, ob und welche personenbezogenen Daten für den Anfragenden beim Verantwortlichen vorliegen. Gibt es gar keine entsprechenden Daten, ist eine Negativauskunft zu erteilen („… dürfen wir Ihnen mitteilen, dass abgesehen von Ihrer Anfrage keinerlei Daten zu Ihrer Person bei uns verarbeitet werden …“).

• Auskunft und Kopie können auf sicherem Weg auch elektronisch erfolgen. Bei elektronischem Antrag ist dies in Art. 15 Abs. 3 Satz 3 DS-GVO sowie Art. 12 Abs. 3 Satz 4 DS-GVO sogar vorgeschrieben.

• Gelegentlich wird diskutiert, wie lange die Daten zum Auskunftsvorgang gespeichert werden müssen und dürfen. Wegen der in Deutschland anwendbaren Verjährungsfrist für Schadenersatzansprüche bei vermeintlicher Verletzung der Auskunftspflichten von drei Kalenderjahren, wird eine Speicherung bis zum Schluss des dritten vollen Kalenderjahres nach Auskunftserteilung zulässig sein.

Alles Gute und auf Wiedersehen bei Artikel 16!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Urteil vom 15.03.2024 (Az. VI ZR 330/21) beschäftigte sich der BGH mit der Frage, was mit dem Begriff Kopie der personenbezogenen Daten gemeint ist.

Zum Sachverhalt

Die Beklagte war seit geraumer Zeit als Finanzberaterin für die Klägerin tätig. Sie beriet die Klägerin über Kapitalanlagen und Versicherungen. Im Jahr 2019 forderte die Klägerin die Beklagte auf, ihr Kopien gemäß Art. 15 Abs. 3 DS-GVO von sämtlichen bei ihr befindenden personenbezogenen Daten zu geben. Hierzu gehörten vor allem Telefonnotizen, Aktenvermerke, Protokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen.

Die Klage ging über mehrere Instanzen, die den Anspruch der Klägerin als gerechtfertigt ansahen. Der BGH jedoch war in diesem Fall allerdings zum Teil anderer Auffassung und stellte fest, dass zwischen gewissen Daten differenziert werden muss.

Im Einzelnen

Der BGH kam zu dem Ergebnis, dass der Anspruch der Klägerin bezüglich Schreiben und E-Mails begründet ist. Hierzu stellt der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 vorsieht. Auf dieser Grundlage hat die Klägerin ausschließlich Anspruch auf den Erhalt von Kopien der von ihr verfassten und bei der Beklagten vorhandenen Schreiben und E-Mails.

Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.

Unter diesen Aspekten stellt der BGH fest und bestätigt die Auffassung des Berufungsgerichts, dass Schreiben und E-Mails der betroffenen Person an den Verantwortlichen als personenbezogene Daten einzustufen sind.

Nach den obigen Ausführungen stellen Schreiben und E-Mails, die der Beklagten vorlagen, zwar personenbezogene Daten dar, weshalb die Klägerin im Ergebnis auch einen Anspruch auf den Erhalt einer Kopie hat. Dennoch handelt es sich entgegen der Auffassung des Berufungsgerichts bei Schreiben und E-Mails der Beklagten, Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und Zeichnungsunterlagen für Kapitalanlagen nicht zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten.

Es ist denkbar, dass interne Vermerke wie Telefonnotizen oder Gesprächsprotokolle die Äußerungen der Klägerin in persönlichen Gesprächen festhalten sollen, Informationen zur Klägerin enthalten. Hiervon kann jedoch nicht in jedem Fall ausgegangen werden. Aus diesem Grund ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass sämtliche von ihr geforderten Dokumente als Kopie überlassen werden müssen. Dies ist nur in bestimmten Ausnahmefällen möglich.

Fazit

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit dem Urteil vom 04.05.2023 (Rs. C‑487/21) beschäftigte sich der Europäische Gerichtshof (EuGH) mit der Frage nach den genauen Anforderungen an eine Kopie im Rahmen des Auskunftsanspruchs gemäß Art. 15 Abs. 3 DS-GVO. Lange Zeit haben Datenschützende darüber diskutiert, was genau unter dem Begriff „Kopie“ gemeint ist und was die genauen Anforderungen an eine Kopie der personenbezogenen Daten sind. Es bestanden rechtliche Unsicherheiten, ob Betroffenen eine exakte Kopie der verarbeiteten personenbezogenen Daten bereitzustellen ist – was häufig mit enormem Aufwand einhergeht – oder ob es ausreicht, Betroffenen die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einer aggregierten Form darzulegen.

Das Verfahren

Zunächst befasste sich das österreichische Bundesverwaltungsgericht mit dieser Frage und legte sie dem EuGH zur Prüfung vor. Im Detail ging es um die umstrittene Frage, ob der Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO streng nach dem Wortlaut des Art. 15 Abs. 3 DS-GVO, eine Kopie der personenbezogenen Daten die, Gegenstand der Verarbeitung sind, dem Betroffenen zur Verfügung stellen muss. 

Der EuGH wies zunächst darauf hin, dass Bestimmungen des Unionsrechts nicht nur anhand ihres Wortlauts entsprechend ihres Sinns nach dem gewöhnlichen Sprachgebrauch ausgelegt werden, sondern auch nach ihrem Kontext und den Zielen, die die jeweilige Regelung verfolgt. Der EuGH stellt in diesem Kontext klar, dass auch wenn die DS-GVO keine Definition des Wortes „Kopie“ vorgibt, der gewöhnliche Sinn des Begriffs zu berücksichtigen ist, welcher eine originalgetreue Reproduktion meint. Aus diesem Grund entspräche eine rein allgemeine Beschreibung der Daten, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition.

Gleichzeitig entschied der EuGH, dass der Begriff der Kopie weit auszulegen ist und folgerte aus der wörtlichen Auslegung, „[…] dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.“ Die Kopie müsste weiterhin sämtliche personenbezogene Daten enthalten, die Verarbeitungsgegenstand sind. Demnach müssen sämtliche personenbezogene Daten angegeben werden, auch die, die sich nicht explizit auf ein Dokument beziehen.

Ergebnis des Urteils

Art. 15 Abs. 3 Satz 1 DS-GVO ist laut Urteil des EuGH dahin auszulegen, dass Betroffene eine Kopie der personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind und somit nicht nur auf ein Dokument verweist. Das bedeutet, dass betroffene Personen das Recht haben, eine originalgetreue und verständliche Reproduktion aller ihrer Daten zu erhalten. In manchen Fällen muss der Verantwortliche sogar den Kontext der Datenverarbeitung erklären, wenn beispielsweise personenbezogene Daten aus anderen Daten generiert werden, oder wenn sie auf freien Feldern beruhen, also einer fehlenden Angabe aus der Informationen über Betroffene hergenommen werden können, „[…] damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.“

Leider kann hier der einfachere Weg, betroffenen Personen lediglich aggregierte Informationen bereitzustellen, nicht gegangen werden. Das Urteil hat nun klargestellt, dass die Geltendmachung eines Auskunftsanspruchs, bzw. dessen Umsetzung auch in Zukunft einen großen Aufwand bedeuten wird. Aus diesem Grund empfehlen wir, Datenbanken und andere Sammlungen von personenbezogenen Daten auf einer Weise zu organisieren, dass sämtliche Informationen schnell entsprechend in einem gängigen Format zusammengeführt werden können. Die ist durch den Einsatz entsprechender technische rund organisatorischer Maßnahmen, wie etwa durch den Einsatz spezieller Datenbanksysteme und dem Verzicht auf jegliche Parallelakten auch grundsätzlich möglich.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die wichtige Entscheidung des Europäischen Gerichtshofs (EuGH) vom 04.05.2023 (Rs. C-300/21) zum „Schmerzensgeld“ (Ersatz immaterieller Schäden) bei Verletzung von Auskunftspflichten nach Art. 15 DS-GVO wurde hier schon besprochen. Bereits einige Wochen zuvor hat das Arbeitsgericht Duisburg (Urt. v. 23.03.2023, Az. 3 Ca 44/23) für verspätete und unvollständige Auskunft EUR 10.000 Schmerzensgeld festgesetzt. Vorab: Das Urteil ist in mehrfacher Hinsicht ein negativer „Ausreißer“. Ein Berufungsverfahren mit deutlicher Reduzierung des „Schmerzensgeldes“ wäre erfreulich. Auf telefonische Nachfrage erhielten wir keine Auskunft, ob Berufung eingelegt wurde – trotz Veröffentlichung des Urteils angeblich aus Datenschutzgründen.

Worum ging es?

Der Kläger des Verfahrens war vor etlichen Jahren für sehr kurze Zeit (einige Tage) „bei der Rechtsvorgängerin der Beklagten am Standort Duisburg beschäftigt“. Er hatte bereits 2020 einmal Auskunft von der Beklagten verlangt und erhalten. Am 01.10.2022 forderte er von der Beklagten erneut Auskunft und Datenkopie (bis 16.10.2022), erinnerte nochmals mit Schreiben vom 21.10.2022 und setzte eine weitere Frist bis 31.10.2022. Am 27.10.2022 übermittelte die Beklagte die Auskunft und eine Kopie noch gespeicherter Daten. Es folgten dann Schreiben vom 04.11. (Kläger), 11.11. (Beklagte), 18.11. (Kläger), 01.12. (Beklagte) und 09. sowie 30.12. (Kläger). Man stritt sich über die Angaben zur Speicherdauer und Datenempfängern sowie über die Vollständigkeit der Datenkopien. Am 07.01.2023 traf die Klage beim Arbeitsgericht ein. Der Kläger forderte Schmerzensgeld von mindestens EUR 2.000.

Die Entscheidung des Gerichts

Das Gericht hatte ungewöhnlicherweise den fünffachen (!) Betrag zugesprochen und den beklagten Arbeitgeber in der Urteilsbegründung geradezu „abgekanzelt“. Der Arbeitgeber hatte unter anderem die EuGH-Entscheidung im Rechtsstreit C-300/21 abwarten wollen. Die wurde vom Arbeitsgericht – nachvollziehbar – abgelehnt.

Zur Erinnerung: Der EuGH hat dann am 04.05.2023 drei Aussagen zum „Schmerzensgeld“ bei Art. 15 DS-GVO getroffen: (1) Ein Schadensersatzanspruch besteht nicht bei jedem Auskunftsfehler. Es muss auch tatsächlich ein Schaden entstanden sein. (2) Jeder Schaden ist zu ersetzen. Es gibt keine „Bagatellgrenze“. (3) Die Höhe des Schmerzensgeldes (Ersatzes für immaterielle Schäden) müssen und dürfen die Gerichte nach nationalen Regeln festlegen, solange sie damit wirksamen Schutz gewährleisten.

Das Arbeitsgericht Duisburg zählt mehrere Fehler und Pflichtverletzungen des verklagten Arbeitgebers auf: Dieser habe sich nicht einen Monat Zeit lassen dürfen, sondern in der vom Kläger gesetzten Zweiwochenfrist reagieren müssen, weil die Auskunft „unverzüglich“ geschuldet sei und die Monatsfrist nur eine Maximalgrenze darstelle. Die Auskunftsforderung sei auch nicht missbräuchlich oder exzessiv: Dass der Kläger nur wenige Tage beschäftigt war, das Arbeitsverhältnis Jahre zurücklag und 2020 bereits eine Auskunft erfolgte, ändere nichts an den Auskunftspflichten. Die Auskünfte zur Speicherdauer und zu den Datenempfängern hätte der Arbeitgeber sofort geben können und müssen; seine Nachfragen dazu seien unnötig gewesen.

Rechtliche Wertung

All dies ist zunächst nachvollziehbar. Bei dem angemessenen Auskunftszeitraum (zwei Wochen oder ein Monat im konkreten Fall) und beim „Rückfrage-Verbot“ sind die Positionen des Arbeitsgerichts allerdings „grenzwertig“ streng. Auch die DS-GVO sieht ja Rückfragen z.B. in Erwägungsgrund 63 Satz 7 ausdrücklich vor. Und Verantwortliche genügen ihren datenschutzrechtlichen Pflichten, wenn sie betriebliche Abläufe so organisieren, dass Auskunftsverlangen jedenfalls innerhalb der Monatsfrist nach Art. 12 Abs. 3 Satz 1 DS-GVO erfüllt werden können.

Die Bemessung des Schmerzensgeldes ist dann nicht mehr nachvollziehbar: Das Arbeitsgericht begründet den Betrag von EUR 10.000 unter anderem damit, dass „der europäische Verordnungsgeber“ das Auskunftsrecht „als bedeutsam einordnet“ und es „sich eben nicht nur um ein einfaches Arbeitspapier“ handele (?), weiter damit, dass „der Verstoß einige Monate anhielt“ und der beklagte Arbeitgeber „beträchtlichen Umsatz“ erzielt (woraus das Arbeitsgericht – warum auch immer – dessen „Finanzkraft“ schlussfolgert). „Besonders schwer wog nach Auffassung der Kammer bei der Höhe der Geldentschädigung aber das vorsätzliche Verhalten“ des beklagten Arbeitgebers.

Was völlig fehlt – und in Gerichtsentscheidungen zum „Schmerzensgeld“ bei Art. 15 DS-GVO erwartet werden darf: Welchen immateriellen Schaden hat der Kläger durch die Verletzung der Auskunftspflichten (verspätet, unvollständig) erlitten? Wurde sein Ruf oder Image beschädigt? Bestanden dafür jedenfalls Risiken? War der Kläger in Sorge wegen irgendwelcher Datenverarbeitungen? Gab es sonst irgendwelche Nachteile oder Schäden?

Mit „frei schwebenden“ Schmerzensgeld-Beträgen wie vom Arbeitsgericht Duisburg ausgeurteilt, wird die DS-GVO nicht sinnvoll umgesetzt. Stattdessen entsteht (auch zum Nachteil der Arbeitsgerichte) die Gefahr, dass die Auskunft Art. 15 DS-GVO zur „Gelddruckmaschine“ verkommt. Für die Stimmigkeit von Schmerzensgeldbeträgen wäre es auch hilfreich, wenn man die Summen vergleicht (und in sinnvolle Relation bringt) mit denjenigen Summen, die Gerichte bei „echten Schmerzen“ zusprechen. Beispiele aus der „Schmerzensgeldtabelle“ des Oberlandesgerichts Celle:

• EUR 7.669,38 bei „Bruch der rechten Kniescheibe mit blutigem Kniegelenkserguss, Gehirnerschütterung, Stirnplatzwunde, Thoraxprellung, 7-tägiger stationärer Krankenhausbehandlung und einer Minderung der Erwerbsfähigkeit um 10 %“ (OLG Celle, Urt. v. 09.11.2000, Az. 14 U 25/00),

• EUR 10.000 bei „schwerer Beckenverletzung mit Trümmerfraktur, Kopfplatzwunden, Prellungen an Thorax und Kiefer, Lungen- und Nierenquetschungen, Sensibilitätsstörung des linken Beins, fast 3-monatige Krankenhaus- und Reha-Behandlung“ (OLG Celle, Urt. v. 23.05.2002, Az. 14 U 219/01),

• EUR 4.601,63 bei „Teilverrenkung des Kleinfingers, Prellungen an beiden Knien und im Rückenbereich, Riss des Innenbandes und Innenmeniskus, Einriss im rechten Kniegelenk, dadurch zwei chirurgische Behandlungen und Minderung der Erwerbsfähigkeit für viereinhalb Monate, als Dauerfolge Bewegungseinschränkung in der Streckung des rechten Kleinfingers und Ausbildung einer Arthrose im Gelenk des rechten Kleinfingers“ (OLG Celle, Az. 14 U 230/00).

Ja, Datenschutz ist wichtig. Nein, das Warten auf vollständige Auskunft über zwei oder drei Monate – ohne persönliche Nachteile – verursacht nicht Schmerzen von EUR 10.000. Urteile dieser Art sind nicht „stimmig“. Eine übersichtliche Darstellung anderer Entscheidungen bietet z.B. dsgvo-schmerzensgeld.de. Sie haben weitere Fragen zum Thema „Auskunftsrecht“? Schauen Sie sich gern unsere Blog-Beiträge „Auskunftsrecht – Fragen und Antworten“ an!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Muss man bei einer Auskunft nach Art. 15 DS-GVO die konkreten Empfänger personenbezogener Daten mitteilen? – Die verbindliche Antwort des Europäischen Gerichtshofs (EuGH) lautet: Ja! Im Folgenden eine Anmerkung zum Urteil des EuGH vom 12. Januar 2023 in der Rechtssache C-154/21, abrufbar hier.

Zum Sachverhalt

Art. 15 DS-GVO gibt betroffenen Personen unter anderem „das Recht […] auf folgende Informationen: […] die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ (Art. 15 Abs. 1 lit. c) DS-GVO).

Die Österreichische Post AG erteilte auf Anfrage eines Betroffenen die Auskunft, sie habe seine Daten als Herausgeberin von Telefonbüchern „Geschäftskunden für Marketingzwecke“ angeboten. Diese Geschäftskunden wurden nicht konkret benannt. Nach Klage des Betroffenen wurde die Österreichische Post AG etwas konkreter, aber nicht konkret: Zu den Empfängern hätten „werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nicht-Regierungsorganisationen (NGO) oder politische Parteien gehört.“

Der Betroffene wollte die konkreten Empfänger benannt haben.

Zwei Gerichtsinstanzen wiesen die Klage des Betroffenen ab mit der Begründung, die Post dürfe nach Art. 15 Abs. 1 lit. c) DS-GVO wählen, ob sie „Empfänger oder Kategorien von Empfängern“ mitteile.

Die Entscheidung

Der Oberste Gerichtshof Österreichs war als letzte Instanz nach Art. 267 Satz 3 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verpflichtet, den EuGH zu befragen, wie Art. 15 DS-GVO zu verstehen ist. Nach der einschlägigen Rechtsprechung des EuGH besteht Klärungsbedarf auch dann, wenn das entscheidende Gericht selbst die richtige Antwort zu kennen glaubt.

Der OGH tat seine Pflicht und fragte in Luxemburg nach, ob „oder“ bei Art. 15 Abs. 1 lit. c) DS-GVO auch wirklich „oder“ bedeutet – der Verantwortliche also bei der Auskunft frei entscheiden kann, den Empfänger oder die Empfängerkategorie zu nennen. Und er schrieb seine Meinung gleich dazu: Sinnvollerweise müsse die Auswahl bei der betroffenen Person und nicht beim Verantwortlichen liegen, weil sonst kaum ein Verantwortlicher jemals konkrete Empfänger benennen würde. Juristisch zwingend ist dieses Argument allerdings nicht. Es lässt sich auch umdrehen: Welcher Betroffene wird jemals lieber Kategorien von Empfängern als konkrete Empfänger abfragen?

EuGH und OGH sind einer Meinung: Art. 15 Abs. 1 lit. c) DS-GVO bedeutet nach der juristisch maßgeblichen Lesart des EuGH, dass „der Verantwortliche […] verpflichtet ist, der betroffenen Person die Identität für der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv […] sind.„

Daraus ergibt sich für die Praxis: Wenn der Verantwortliche die Daten-Empfänger kennt, muss er sie im Rahmen einer Auskunft nach Art. 15 DSGVO auch konkret benennen. Soweit, so klar. Dank EuGH.

Doch oft liegt hinter einer Antwort schon die nächste Frage – und so auch hier: Was bedeutet Empfänger? Sind dies andere verantwortliche Stellen oder zum Beispiel auch die einzelnen Beschäftigten in einer verantwortlichen Stelle? Auch dies wird demnächst in Luxemburg geklärt. Das Verwaltungsgericht Ostfinnland hat diese Rechtsfrage dem EuGH vorgelegt (Rs. C-579/21) und die Schlussanträge des Generalanwalts (denen der EuGH bei seinen Entscheidungen sehr oft folgt) liegen bereits vor:

Art. 15 Abs. 1 lit. c) DS-GVO gebe dem Betroffenen keinen Anspruch auf konkrete Benennung von Beschäftigten, die in der verantwortlichen Stelle personenbezogene Daten empfangen haben. Der Generalanwalt begründet dies hauptsächlich mit dem Schutz der entsprechenden Beschäftigten. Eine ausdrückliche Stellungnahme zur umstrittenen Frage, ob Art. 15 Abs. 4 DS-GVO (entgegen seinem Urteil) nicht nur auf Abs. 3, sondern auch auf Abs. 1 anwendbar ist – das Auskunftsrecht also durch Interessen anderer Personen eingegrenzt wird – findet sich nicht.

Wenn der EuGH dem Verwaltungsgericht Ostfinnland geantwortet hat, ist vielleicht als Nächstes die Frage zu Art. 15 Abs. 4 DSGVO an der Reihe …

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die voranschreitende Digitalisierung der Geschäftsprozesse betrifft ebenfalls die Datenverarbeitungen in der Personalabteilung. Neben Systemen zur Zeiterfassung erfolgt in Unternehmen und Behörden zunehmend die Einführung der digitalen Personalakte. In diesem Zusammenhang stellen sich oftmals die Fragen der datenschutzrechtlichen Anforderungen sowie die Grenzen einer möglichen Digitalisierung. Der nachfolgende Beitrag gibt einen kurzen Einblick und soll bestehende Unsicherheiten auflösen.

Allgemeines zur (digitalen) Personalakte

Für privatwirtschaftliche Unternehmen besteht in der Regel keine gesetzliche Pflicht zur Führung einer Personalakte. Für öffentliche Stellen kann sich eine solche aus dem jeweiligen Landesrecht ergeben. In Sachsen regelt beispielsweise die Verwaltungsvorschrift (VwV) Personalakten „das Verfahren der Führung und Verwaltung von Personalakten der Angestellten, Arbeiter und der zu ihrer Ausbildung Beschäftigten im öffentlichen Dienst des Freistaates Sachsen“ und verweist größtenteils auf die Regelungen des Sächsischen Beamtengesetzes.

Soweit eine Verpflichtung zur Führung von Personalakten besteht oder solche freiwillig geführt werden, ist die Aufnahme von Vorgängen und Dokumentationen an den seitens der Rechtsprechung entwickelten Regeln des Personalaktenrechts auszurichten. Dabei gelten insbesondere die Grundsätze der Transparenz, der Richtigkeit, der Zulässigkeit und der Vertraulichkeit der darin befindlichen Informationen. Vertraulichkeit bedeutet in diesem Zusammenhang auch, dass die jeweiligen Informationen auch intern ausschließlich für zulässige Zwecke verwendet werden dürfen und entsprechend der hohen Schutzbedürftigkeit mit angemessenen technischen und organisatorischen Maßnahmen vor unbefugter Kenntnisnahme zu schützen sind.

Inhaltlich beschränkt sich die Personalakte in der Regel auf die für die Durchführung des Beschäftigten- bzw. Dienstverhältnisses erforderlichen Informationen, wobei sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. für öffentliche Stellen aus länderspezifischen Regelungen wie § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergibt. Arbeitsunfähigkeitsbescheinigungen sollten aufgrund Ihrer Sensibilität als Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO sowie wegen der abweichenden Aufbewahrungsfrist von maximal vier Jahren (§ 6 Abs. 1 Aufwendungsausgleichgesetz), nicht in der Personalakte aufbewahrt werden.

Die parallele Führung von Personalakten, beispielsweise durch den Betriebs- bzw. Personalrat oder durch die Personalabteilung in analoger und digitaler Form zugleich, verbietet sich bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Eine Führung von Teilakten durch verschiedene zuständige Personen ist möglich.

Einbindung von Dienstleistern

Im Rahmen der Einführung von digitalen Personalakten ist grundsätzlich eine Einbindung von externen Dienstleistern möglich. Beispielswiese kommen hierbei Unternehmen in Betracht, welche eine Digitalisierung der analogen Bestandsakten vornehmen oder welche im Rahmen von Support-Anfragen auf die Systeme Zugriff erhalten. Dabei ist jedoch zu berücksichtigen, dass diese Tätigkeiten in der Regel eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO darstellen und es hierfür eines entsprechenden Vertrages zur Auftragsverarbeitung bedarf.

Zu beachten ist dabei insbesondere die Regelung des Art. 28 Abs. 1 DS-GVO, wonach die verantwortliche Stelle ausschließlich mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Aufgrund der regelmäßig hohen Schutzbedürftigkeit von personenbezogenen Daten innerhalb einer Personalakte, sollte hierbei bereits vorab eine besonders strenge Prüfung erfolgen.

Aufbewahrung von Unterlagen im Original

Wie bereits dargestellt, verbietet sich eine grundsätzliche Aufbewahrung von digitalisierten Unterlagen zusätzlich im Original bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Darin heißt es: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“

Eine Erforderlichkeit zur Aufbewahrung im Original ergibt sich regelmäßig für Dokumente, welche zwingend dem Schriftformerfordernis gemäß § 126 BGB unterliegen. Hierzu gehören beispielsweise der Arbeitsvertrag, Aufhebungsverträge sowie Kündigungsschreiben. Durch das Scannen der entsprechenden Unterlagen bleibt zwar zunächst die Schriftform gewahrt, jedoch kann im Zweifelsfall nicht der Urkundsbeweis nach den §§ 415 ff. ZPO erbracht werden. Hierfür ist zwingend die Vorlage des Originals in Papierform erforderlich.

Selbiges gilt auch bei der Einführung der digitalen Personalakte durch öffentliche Stellen. Hierbei kann stellvertretend auf eine Entscheidung des Verwaltungsgerichts Köln (Urt. v. 15. Dezember 2016, Az.: 15 K 5144/16) verwiesen werden, welches zu digitalen Personalakten von Beamten auf Bundesebene wie folgt ausführte: „Die Entscheidung, in welcher Form der Dienstherr Personalakten führt, liegt in seinem Organisationsermessen. […] Denn bei der vom Gesetz zugelassenen vollständigen elektronischen Aktenführung entfällt die Notwendigkeit, eine papierne Akte nebenher vorzuhalten. Aus der Begründung des Gesetzes, […]  lässt sich entnehmen, dass eine parallele Führung gleicher Aktenteile in Papierform und in elektronischer Form grundsätzlich zu vermeiden ist und eine ausschließliche elektronische Führung in Betracht zu ziehen ist, wenn die erforderlichen technischen Voraussetzungen (etwa eine qualifizierte elektronische Signatur) vorliegen.“

Umsetzung von Löschfristen

Ein Vorteil der digitalen Personalakte liegt – je nach Funktionsumfang des gewählten Systems – in einer automatisierten Umsetzung von Löschfristen. Gemäß Art. 17 Abs. 1 lit. a) DS-GVO sind personenbezogene Daten regelmäßig zu löschen, soweit diese für die Verarbeitungszwecke nicht mehr erforderlich sind und gemäß Art. 17 Abs. 3 lit. b) DS-GVO keiner gesetzlichen Aufbewahrungspflichten unterliegen. Im Falle von Beschäftigtendaten können die gesetzlichen Aufbewahrungsfristen variieren. Während Dokumente und Unterlagen arbeitsrechtlicher Natur einer regelmäßigen Aufbewahrungsfrist von drei Jahren unterliegen, sind lohnsteuerrelevante Unterlagen für einen Zeitraum von bis zu sechs Jahren aufzubewahren.

Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.

Gewährleistung des Einsichtsrechts

Arbeitnehmern steht gemäß § 83 Abs. 1 Satz 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die ihnen betreffende Personalakte zu. Der Anspruch besteht grundsätzlich parallel zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO. Die Einführung einer digitalen Personalakte steht den gesetzlichen Ansprüchen nicht im Wege, kann bei entsprechender Etablierung der hierfür notwendigen Prozesse und Bereitstellung von Ressourcen sogar einfacher realisiert werden: Durch eine (gesicherte) Abrufmöglichkeit der digitalen Personalakte steht den Arbeitnehmern eine jederzeitige ortsunabhängige Möglichkeit zur Einsichtnahme in die Personalakte zur Verfügung. Demnach wird die Einsicht im Büro der Personalabteilung und unter Anwesenheit einer Person der Personalabteilung obsolet.

Fazit

Mit der Einführung der digitalen Personalakte können datenschutzrechtliche Besonderheiten verknüpft sein, welche jedoch gemeinsam mit dem Datenschutzbeauftragten leicht zu bewältigen sind. Insbesondere bei der Einbindung externer Dienstleister und der Umsetzung technischer und organisatorischer Maßnahmen sollte der Sensibilität und Schutzbedürftigkeit der personenbezogenen Daten der Personalakte angemessen Rechnung getragen werden. Darüber hinaus gelten für die digitale Personalakte die auch im Rahmen der analogen Personalakte anzuwendenden Regelungen des Personalaktenrechts.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WORUM GEHT ES IN DEM URTEIL?

Ursprünglich wurde die Rechtsanwaltskanzlei für die Mandantin in einer Verkehrsunfallsstreitigkeit sowie einer Schadenssache tätig. Nachdem das Mandat gekündigt wurde, forderte die Mandantin die Kanzlei zur Erteilung einer vollständigen Datenauskunft einschließlich einer Kopie der Handakte auf. Durch den neuen Prozessbevollmächtigten wurden schließlich gerichtlich u.a. Ansprüche auf Auskunft und Kopie sowie Schmerzensgeld geltend gemacht. Ihr diesbezüglicher Anspruch sei bisher nicht vollständig erfüllt worden, weil Angaben zum „Mandatskonto“ und zur bisher erfolgten Kommunikation mittels E-Mail und WhatsApp fehlten. Zudem fehlten Angaben zum Bürorechner und zu der Frage, ob Daten an den mit dem Anwalt in Bürogemeinschaft gemeinsam tätigen Kollegen weitergegeben worden seien, weil dieser die gleiche Telefaxnummer nutze.

WAS WURDE KONKRET ENTSCHIEDEN?

Das Gericht führt aus, dass nach Art. 15 DS-GVO jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u.a. ein Recht auf Auskunft über diese personenbezogenen Daten. Der Begriff der „personenbezogenen Daten“ ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Das Landgericht Bonn folgt insoweit der Rechtsprechung des OLG Köln (Urt. v. 26.7.2019 – Az.: 20 U 75/18), die den Umfang der Datenauskunft grundsätzlich weit fast. Hierunter fallen demnach u.a. auch die Angaben aus dem Mandatskonto und die betreffende elektronische Kommunikation.

Das Urteil des LG Bonn steht insoweit im Einklang mit der Entscheidung des Bundesgerichtshofes (BGH) (Urt. v.  15.6.2021 – Az.: VI ZR 576/19). Auch der BGH geht im Einklang mit der Rechtsprechung des Europäischen Gerichtshof (EuGH) von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches zu. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt sein.

IST DIE VERSPÄTETE AUSKUNFT DANN SCHADENERSATZPFLICHTIG?

Dieser Frage erteilt das Landgericht Bonn eine Absage. Es konstatiert, dass der Klägerin aufgrund der nach acht Monaten ersteilten Datenauskunft kein Anspruch auf Schadenersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zusteht. Zu Begründung führt das Gericht an:

„Gemäß Art. 82 Absatz 2 DSGVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Aufgrund von anderen Verstößen, die nicht durch eine der DSGVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Artikel 82 Absatz 1 DSGVO nicht in Betracht […]“

Daher führt nach Ansicht des Gerichtes eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löst die nach Art. 12 Abs. 3 Satz 1 DS-GVO verspätete Erfüllung von (Auskunfts-)Ansprüchen grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DS-GVO aus. Das Landgericht Bonn bezieht hier klar Stellung zu einer umstrittenen Fragestellung im Rahmen des Art. 82 DS-GVO.

Unabhängig davon scheitert der Anspruch auch daran, dass ein Schaden nicht dargelegt wurde. Allein dass die Betroffene auf die Datenauskunft „warten“ musste, kann nach Ansicht des Gerichtes auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheidet ein „Schaden“ begrifflich schon aus. Eine solche Spürbarkeit wurde im gegenständlichen Verfahren jedoch nicht dargelegt.

WELCHE AUSWIRKUNGEN FÜR DIE PRAXIS SIND ZU ERWARTEN?

Vorab ist anzumerken, dass keine Klärung der Frage nach dem Verhältnis der datenschutzrechtlichen Vorschriften der Art. 15 ff. DS-GVO zu den berufsrechtlichen Vorschriften, insbesondere dem § 50 Bundesrechtsanwaltsordnung (BRAO) erfolgte. So kennt § 50 Abs. 2 BRAO einen eigenständigen Herausgabeanspruch des Auftraggebers gegenüber dem Rechtsanwalt, wobei letzterer gemäß § 50 Abs. 3 BRAO die Herausgabe so lange verweigern darf, bis er wegen der ihm vom Auftraggeber geschuldeten Gebühren und Auslagen befriedigt ist. Klärungsbedürftig ist in diesem Zusammenhang insbesondere das Verhältnis zwischen § 50 Abs. 2 und 3 BRAO zu Art. 15 Abs. 3 DS-GVO und Art. 20 DS-GVO.

So ist die Annahme eines weiten Umfangs des Auskunftsanspruchs in jedem Fall zu begrüßen, da ein Ablehnen bestimmter Datenarten bereits auf Tatbestandebene des Art. 15 DS-GVO wohl nicht mit der Schutzwirkung der DS-GVO in Einklang zu bringen ist. Dies ist jedoch nicht gelichbedeutend mit der Annahme, dass keine Ausnahmen möglich wären. In Betracht kommen können hier insbesondere Art. 12 Abs. 5 Satz 2 DS-GVO (offenkundig unbegründeten oder exzessiven Anträgen), Art. 15 Abs. 4 DS-GVO (Beeinträchtigung der Rechte und Freiheiten anderer Personen) sowie Art. 23 Abs. 1 DS-GVO i.V.m. § 29 Bundesdatenschutzgesetz (BDSG) (Geheimhaltungspflichten) oder i.V.m. § 34 BDSG (u.a. Aufbewahrungspflichten und Datensicherung).

Hinsichtlich der Ausführungen zum Schadenersatzanspruch wird mit Spannung zu erwarten sein, wie der EuGH diesbezüglich entscheiden wird, da der Oberste Gerichtshof in Österreich (OGH, Entsch. v. 15.4.2021 – Az.: 6 Ob 35/21) entsprechend vorgelegt hat. Geklärt werden soll u.a., ob der Zuspruch von Schadenersatz nach Art. 82 DS-GVO neben einer Verletzung von Bestimmungen der DS-GVO auch erfordert, dass der Kläger bzw. Betroffene einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmungen der DS-GVO als solche für die Zuerkennung von Schadenersatz ausreicht.

FAZIT

Es bleibt festzuhalten, dass Auskunfts- sowie Kopieanspruch des Art. 15 DS-GVO einerseits und der Schadenersatzanspruch des Art. 82 DS-GVO andererseits regelmäßig Gegenstand von Gerichtsentscheidungen sind und auch bleiben werden. Trotz zahlreicher Entscheidungen verbleiben viele offene Fragestellungen. Gleichwohl führen die höchstrichterlichen Entscheidungen Stück für Stück zu Rechtssicherheit. Für Verantwortliche empfiehlt es sich entsprechende Vorkehrungen zu treffen, um Auskunftsersuchen unverzüglich und vollständig beantworten zu können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WORUM GEHT ES BEI EINEM AUSKUNFTSANSPRUCH?

Die gesetzgeberische Intention hinter der Stärkung der Betroffenenrechte im Kapitel III der DS-GVO ist klar: Schaffung von Transparenz und mithin die Wahrung des Grundsatzes gemäß Art. 5 Abs. 1 lit. a) DS-GVO. Der Auskunftsanspruch ist – soweit auch unstreitig – dem Grunde nach dazu angelegt, die Überprüfung der Rechtmäßigkeit einer Datenverarbeitung durchzuführen und somit letztlich auch der Ausübung des Rechts auf informationelle Selbstbestimmung nachzukommen. In Der Praxis wird der Auskunftsanspruch – insbesondere im arbeitsrechtlichen Prozess – als taktisches Mittel verwendet, um „Druck“ auf die Gegenseite auszuüben und/oder einen Überblick über vorhandene Datenbestände zu erlangen, um unter Umständen Folgeansprüche vorzubereiten.

Neben dem „reinen“ Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO, wohnt dem Art. 15 Abs. 3 DS-GVO zudem das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, inne. Darüber hinaus kann das Recht auf Auskunft zur Vorbereitung der Geltendmachung weiterer Betroffenenrechte, beispielsweise des Rechtes auf Berichtigung gemäß Art. 16 DS-GVO oder des Rechtes auf Löschung gemäß Art. 17 DS-GVO dienen.

Allerdings ergeben sich abseits zahlreicher juristischer Streitigkeiten rund um die Reichweite des Anspruchs für Verantwortliche bei der Umsetzung in der Praxis einige inhaltliche sowie prozessuale Herausforderungen, welche im Folgenden näher beleuchtet werden sollen.

WELCHE SCHWIERIGKEITEN BESTEHEN IM RAHMEN EINES AUFKUNFTERSUCHENS?

Bei der Betrachtung des Art. 15 DS-GVO entsteht regelmäßig Diskussionsbedarf, insbesondere in Bezug auf die Fragen:
– Müssen dem Antragsteller auch Daten zur Verfügung gestellt werden, welche ihm bereits vorliegen?
– Muss der Anspruch auf Erhalt einer Kopie gesondert geltend gemacht werden?
– Welchen Umfang entfaltet das Recht auf Erhalt einer Kopie?
– Wann kann der Anspruch auf Erhalt der Kopie beschränkt werden?
– Wann gilt ein Auskunftsbegehren als unverhältnismäßig?

Das Hauptaugenmerk soll nun auf die praktische Umsetzung gelegt werden. Für die Bearbeitung von Auskunftsersuchen genügt insoweit nicht, wenn sich der Blick des Anwenders nur auf Art. 15 DS-GVO richtet. Vielmehr ist eine Gesamtschau mit den Normen aus Art. 4, Art. 11 und Art. 12 DS-GVO notwendig. Außerdem finden sich weitere Bestimmungen – insbesondere zu Ausnahmetatbeständen – im Bundesdatenschutzgesetz (BDSG).

WIE LÄUFT EIN AUSKUNFTSPROZESS AB?

Den Stein des Anstoßes bei einem Auskunftsprozess bildet der Antrag des Betroffenen, vgl. Art. 12 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche ist gemäß Art. 12 Abs. 1 DS-GVO dazu angehalten die Betroffenen bei der Wahrnehmung ihrer Rechte zu unterstützen. Eingehen können Betroffenenanfragen auf allen denkbaren Kommunikationskanälen der verantwortlichen Stelle. Unter Umständen ist eine Auslegung der Anfrage notwendig, insbesondere wenn der Betroffene sich nicht ausdrücklich auf Art. 15 DS-GVO beruft – was er selbstverständlich nicht muss. Es genügt insoweit ein formloser Antrag, welcher keiner Begründung bedarf. Damit Verantwortliche weiterführende Datenschutzverstöße vermeiden können, empfiehlt sich strengstens die Identität des Antragstellers zu überprüfen. Über das exakte Vorgehen haben wir bereits berichtet. Es ist dem Antragsteller ebenfalls unbenommen in zwei Stufen vorzugehen:
– zunächst kann die betroffene Person eine Bestätigung verlangen, ob bei dem Verantwortlichen sie betreffende personenbezogene Daten verarbeitet werden;
– um bejahendenfalls auf einer zweiten Stufe um Auskunft über diese personenbezogenen Daten sowie die Informationen des Art. 15 Abs. 1 lit. a) bis h) DS-GVO zu verlangen.

Verarbeitet der Verantwortliche große Mengen an Informationen, besteht nach Erwägungsgrund (ErwG) 63 S. 7 DS-GVO die Möglichkeit, dass er vom Betroffenen verlangen kann, dass dieser seine Anfrage derart präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht.

Um auf Auskunftsersuchen beziehungsweise allgemein Betroffenenanfragen fristgerecht (unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DS-GVO) empfiehlt sich die Implementierung eines Melde- und Bearbeitungsprozesses, beispielsweise durch eine interne Anweisung, Richtlinie oder Policy zum Umgang mit Betroffenenanfragen.  Ein solche Prozess kann folgende Etappen umfassen:
– Antragseingang und gegebenenfalls Auslegung des Betroffenenbegehren,
– Eingang dokumentieren und Frist für die Beantwortung notieren,
– Eingangsbestätigung an den Antragsteller senden (vgl. Art. 5 Abs. 2 DS-GVO),
– Identitätsprüfung durchführen,
– Vorliegen von Beschränkungen prüfen (vgl. Art. 15 Abs. 4 DS-GVO, §§ 29, 34 BDSG etc.),
– Datenbestände prüfen,
– gegebenenfalls Fristverlängerung begründen (vgl. Art. 12 Abs. 3 Satz 2 DS-GVO),
– Form der Beantwortung einhalten (schriftlich/elektronisch, jedenfalls identischer Kommunikationsweg),
– Auskunft oder Negativauskunft erteilen (aufgrund fehlenden Identitätsnachweises, dem Vorliegen von Beschränkungen, kein Vorliegen von Datenbeständen etc.),
– Kopie der personenbezogenen Daten zur Verfügung stellen,
– Ausgang der Antwort dokumentieren und Frist streichen,
– gesetzliche Aufbewahrungsfrist von Betroffenenanfragen einhalten (Art. 83 und Art. 5 DS-GVO, § 41 BDSG, § 31 Gesetz über Ordnungswidrigkeiten (OWiG)).

Nicht nur aus Gründen zur Erfüllung der Rechenschaftspflicht und im Sinne eines funktionierenden Managementsystems empfiehlt sich die Initiierung und Fortschreibung eines solchen Prozesses. Vielmehr kann ein vorgeschriebener Ablauf bei den Anwendern – also den Beschäftigten der verantwortlichen Stelle – für Sicherheit im Umgang mit Betroffenenanfragen sorgen.

WELCHE KONSEQUENZEN DROHEN BEI FEHLERHAFTEN AUSKUNFTSPROZESSEN?

Die Folgen von unterbliebenen beziehungsweise verspätet erteilten Auskünften liegen auf der Hand: Es besteht das Risiko eines Gesetzesverstoßes, welcher durch eine Aufsichtsbehörde geahndet werden kann, beispielsweise im Rahmen der Sanktionierung von Art. 83 DS-GVO. Daneben steht den Betroffenen die Möglichkeit der Geltendmachung eines Schadenersatzanspruches gemäß Art. 82 DS-GVO zu, wobei es hier aber zentral auf die Nachweisbarkeit eines konkreten Schadens ankommen wird.

FAZIT

Unabdingbar für die (fristgerechte) Bearbeitung von Betroffenenanfragen ist die Etablierung entsprechender Prozesse mitsamt Dokumentation der konkreten Einzelfälle. Hilfestellungen zum Umgang mit Anfragen Betroffener in der Praxis finden sich unter anderem beim Bayrischen Landesamt für Datenschutzaufsicht sowie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.