Schlagwort: Auskunftsanspruch

OLG Köln: verspätete Auskunft begründet Schadensersatz nach Art. 82 DSGVO

17. August 2022

Mit Urteil vom 14. Juli 2022 (Az. 15 U 137/21) entschied das OLG Köln, dass die verspätete datenschutzrechtliche Auskunftserteilung einen Schadensersatzanspruch nach Art. 82 DSGVO begründet. 

Der Sachverhalt

Hintergrund des Urteils war ein Mandatsverhältnis zwischen der Klägerin und ihrem Anwalt. Die Klägerin hatte den Anwalt mit der rechtlichen Betreuung eines Verkehrsunfalls beauftragt. Zu diesem Zweck schlossen die Parteien einen Vertrag über die Mandatsbetreuung im September 2016.

Allerdings habe die Klägerin, ihrer Darstellung entsprechend, ihren Anwalt nur schwer erreichen können. Deswegen habe sie im Januar 2020 den Vertag mit ihrem Anwalt gekündigt. Außerdem habe sie eine vollständige Datenauskunft von ihrem Anwalt verlangt. Das Ziel der Klägerin sei es gewesen, eine Auskunft darüber zu erhalten, welche ihrer personenbezogenen Daten der Anwalt im Rahmen des Mandatsverhältnisses verarbeitet hatte. Dieser Anspruch sei erst im Oktober 2020 erfüllt worden.

Anspruch aus Art. 82 DSGVO

Das OLG stellte zunächst fest, dass der Anwalt als Verantwortlicher im Sinne der DSGVO die Frist zur Beantwortung eines Auskunftsanspruchs von einem Monat überschritten habe. Dies folge aus Art. 15 Abs. 1, 3 und Art. 12 Abs. 3 S. 1 DSGVO.

Das Gericht beschäftigte sich anschließend mit der Frage, welches Verhalten in diesem Fall den Schaden begründete. Entgegen der erstinstanzlichen Ansicht sei dafür nicht per se eine der Verordnung nicht entsprechende Verarbeitung erforderlich. Vielmehr könne der Schaden mit einem Verstoß gegen die Auskunftspflicht des Verantwortlichen begründet werden.

Das Gericht stellte fest, dass zwar auch ErwG. 146 DSGVO davon spreche, „(…) dass Schäden ersetzt werden sollen, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht.“ (OLG Köln, Urteil vom 14.Juli 2022, Az. 15 U137/21, Rn. 17).

Allerdings ergebe sich aus ErwG. 60 DSGVO, „(…) dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird.“ (OLG Köln, Urteil vom 14.Juli 2022, Az. 15 U137/21, Rn. 17). Folglich gestehe die DSGVO der betroffenen Personen einen Auskunftsanspruch zu, um Kenntnis über den Verarbeitungsvorgang zu erlangen. Außerdem könne die betroffene Person auf diese Weise die Rechtmäßigkeit der Verarbeitung überprüfen. Der Auskunftsanspruch diene daher einer transparenten Verarbeitung, sodass „die Ersatzpflicht nach Art. 82 Abs. 1 DSGVO auf jeden Verstoß gegen Regelungen der Verordnung anzuwenden“ sei (OLG Köln, Urteil vom 14.Juli 2022, Az. 15 U137/21, Rn. 17).

Darüber hinaus stellte das Gericht fest, dass die Klägerin einen immateriellen Schaden erlitten habe. In diesem Fall ließ das Gericht offen, ob bereits der Verstoß gegen die DSGVO den Schaden begründen könne (so: LAG Schleswig-Holstein, Az. 6 TA 49/22; wir berichteten).

LG Essen und LG Paderborn urteilen zu Auskunftsrecht aus Art. 15 DSGVO

13. Juni 2022

Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.

Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.

Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.“

In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es „ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können“.

Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.

OLG Nürnberg: rechtsmissbräuchlicher Auskunftsanspruch

2. Juni 2022

Das OLG Nürnberg entschied in seinem Urteil vom 14.03.2022 (Az. 8 U 2907/21), dass der durch die DSGVO garantierte Auskunftsanspruch nach Art. 15 DSGVO nicht verwendet werden dürfe, um die Begründetheit von Rechtsansprüchen zu überprüfen. Dies stelle eine dem Sinn und Zweck der DSGVO widersprechende rechtsmissbräuchliche Anwendung des Auskunftsanspruchs dar.

Der Rechtsstreit

Hintergrund der Entscheidung war ein Rechtsstreit zwischen einem Versicherungsnehmer und seiner privaten Krankenversicherung. Es war fraglich, ob die erfolgten Beitragserhöhungen wirksam waren. Zusätzlich wollte der Versicherungsnehmer Auskunft darüber erhalten, ob und wann in den Jahren 2013 bis 2016 Beitragsanpassungen erfolgt waren. Neben der Auskunft verlangte der Versicherungsnehmer zusätzlich, Dokumente zu den Beitragsanpassungen zu erhalten.  

Kein Auskunftsanspruch nach Art. 15 DSGVO

Um seinen Anspruch auf Informationsverschaffung durchzusetzen, strengte der Kläger u.a. Art. 15 DSGVO an. Nach Art. 15 Abs. 1 DSGVO kann eine betroffene Person grundsätzlich Auskunft darüber verlangen, ob und welche sie betreffende personenbezogenen Daten ein Verantwortlicher verarbeitet.  

Allerdings gilt dieser Auskunftsanspruch nicht uneingeschränkt. Nach Art. 12 Abs. 5 S. 2 lit. b DSGVO kann der Verantwortliche die Auskunft verweigern, wenn der Anspruch offensichtlich unbegründet ist oder exzessiv ausgeübt wird.

Das OLG Nürnberg entschied nun, dass neben der exzessiven Ausübung weitere Missbrauchstatbestände denkbar sind. Die Begründung dafür war aus Sicht des OLG Nürnberg der Wortlaut der Norm. Mit dem Wort „insbesondere“ werde impliziert, dass die häufige Antragstellung nur einer von mehreren Verweigerungsgründen sei. Denkbar seien demnach weitere rechtsmissbräuchliche Fälle der Anspruchsausübung.  

Im vorliegenden Fall sei rechtsmissbräuchlich gehandelt worden, weil der Antrag nicht vom Schutzzweck der DSGVO umfasst sei. Laut Gericht könne eine betroffene Person ihr Auskunftsrecht ausüben, um „(…) sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.“ (OLG Nürnberg, Urteil vom 14.03 2022, 8 U 2907/21, Rn. 28). Dies mache auch der Erwägungsgrund 63 DSGVO deutlich. Hier gehe es dem Kläger jedoch gerade nicht darum die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Vielmehr sei es „Sinn und Zweck der (…) begehrten Auskunftserteilung (…) ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel (…)“ vornehmen zu können. (OLG Nürnberg, Urteil vom 14.03 2022, 8 U 2907/21, Rn. 28)

Finanzamt kann das pauschale Verlangen auf Zurverfügungstellung einer Kopie der gesamten Steuerakte verweigern

18. März 2022

Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von dem Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja, welche personenbezogene Daten von dieser Person verarbeitet werden. Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Mit Urteil vom 27.10.2021 (Az. 16 K 5148/20) verneinte das Finanzgericht Berlin-Brandenburg den Anspruch eines Steuerpflichtigen gegen ein Finanzamt auf Zurverfügungstellung einer physischen oder elektronischen Kopie der Steuerakten jedoch. Begründet wurde dies damit, dass das pauschale Auskunftsverlangen des gesamten Inhalts der vom Finanzamt geführten Steuerakten zu exzessiv sei. Zwar sei, so das Gericht, der Anwendungsbereich der DSGVO auch im Bereich der Steuerverwaltung eröffnet. Auch die weiteren Voraussetzungen der DSGVO seien gegeben, insbesondere stellten alle in einer Steuerakte erfassten Informationen personenbezogene Daten des Steuerpflichtigen dar. Das Recht auf eine umfassende Zurverfügungstellung der gesamten Steuerakte verneinte das FG Berlin-Brandenburg dennoch.

Zur Begründung führte es aus, dass das Recht auf Auskunft und das Recht auf Kopie aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen einheitlichen Anspruch darstelle und das Recht auf Erhalt einer Kopie daher auf die Kataloginformationen des Art. 15 Abs. 1 lit. a bis h DSGVO beschränkt sei, ohne weitere Ansprüche der Betroffenen zu begründen. Insbesondere sei nicht erforderlich eine betroffene Person über sämtliche beim Finanzamt gespeicherte Dokumente oder Dateien zu informieren. Das Ziel des Steuerpflichtigen, eine Überprüfung zu ermöglichen würde erreicht, wenn man ihm die Informationen aus Art. 15 Abs. 1 DSGVO zur Verfügung stelle, d.h. grundlegende Informationen zur Verarbeitung.

Schließlich stünde dem Begehren des Steuerpflichtigen nach Ansicht des Gerichts auch Art. 12 Abs. 5 S. 2 DSGVO entgegen. Danach kann der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person, entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. Im vorliegenden Fall habe der auskunftsbegehrende Steuerpflichtige mit seinem pauschalen Auskunftsverlangen auf Überlassung sämtlicher Akten des Finanzamt in Bezug auf seine Person offensichtlich überschießend gehandelt. Daher konnte das Finanzamt ohne Nachweis für den exzessiven Charakter des Begehrens dieses verneinen. Außerdem diente das Bestreben des Steuerpflichtigen nach Einschätzung des Gerichts auch nicht den Zielen der DSGVO, d.h. dem Schutz seiner Privatsphäre. Auch weitere Anspruchsgrundlagen verneinte das Gericht.

Sozialdatenschutz verstorbener Personen

4. März 2022

Auskunftsanspruch nach Art. 15 DS-GVO iVm § 83 SGB X

Wird der Nachlass einer Person geregelt, wird häufig außer Acht gelassen, dass auch analoge oder digitale Daten vererbt werden können. Dies führt dazu, dass Erben häufig nicht wissen, ob und wie sie auf die Daten einer verstorbenen Person zugreifen dürfen. Die DSGVO hat ermöglicht, dass die nationalen Gesetzgeber zum Datennachlass eigene Regelungen treffen dürfen. Der deutsche Gesetzgeber hat diese Möglichkeit im Bereich des Sozialdatenschutzes genutzt, was den Umgang mit den vererbten Daten somit erleichtert.

1. Rechtslage unter der DSGVO

In Art. 15 DSGVO wird der Auskunftsanspruch der betroffenen Person gegenüber dem Verantwortlichen geregelt. Hiernach steht der betroffenen Person das Recht zu, erfahren zu dürfen, welche personenbezogenen Daten von ihr durch die Verantwortlichen verarbeitet werden. Verstirbt eine Person, stellt sich für die Hinterbliebenen jedoch die Frage, ob sie nach aktueller Rechtslage ein Auskunftsbegehren geltend machen können. Das könnte beispielsweise für Hinterbliebene von Interesse sein, wenn es darum geht, ein rechtliches Interesse im Namen der verstorbenen Person durchzusetzen.

Grundsätzlich ist die Datenschutz-Grundverordnung gemäß Erwägungsgrund 27 S.1 DSGVO nicht auf Verstorbene anwendbar. Verstirbt die betroffene Person, wären die Erben nach Satz 1 nicht dazu berechtigt, das Auskunftsbegehren in Hinblick auf die Daten der verstorbenen betroffenen Person geltend zu machen. Satz 2 des Erwägungsgrundes 27 DSGVO ermöglicht es den Mitgliedstaaten jedoch, Vorschriften für die Verarbeitung personenbezogener Daten von Verstorbenen zu erlassen. Der deutsche Gesetzgeber hat im Sozialdatenschutz von dieser Möglichkeit Gebrauch gemacht. In § 35 Abs. 5 SGB I ist folglich ausdrücklich geregelt, dass die DSGVO auch für den Sozialdatenschutz Verstorbener gelten soll. Personenbezogene Daten gemäß Art. 3 Abs.1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Weder Art. 4 Nr. 1 DSGVO noch Art. 9 DSGVO enthalten den Begriff der Sozialdaten. Allerdings wird dieser in § 67 Abs. 2 S. 1 SGB X genannt, wonach Sozialdaten: personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO sind, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben verarbeitet werden. Die Aufgaben werden in § 67 Abs. 3 SGB X näher definiert.

2. Wo ist das Auskunftsbegehren geregelt?

Das Auskunftsbegehren ist auch für den Sozialdatenschutz in Art. 15 DSGVO geregelt. Gemäß § 35 Abs. 2 SGB I gibt es allerdings die Möglichkeit, Ausnahmen zum Auskunftsbegehren nach Art. 15 DSGVO zu regeln. Solche finden sich in § 83 SGB X. Anspruchsgrundlage für ein Auskunftsbegehren bezogen auf Sozialdaten ist demnach Art. 15 DS-GVO iVm § 83 SGB X.

3. Voraussetzungen für ein Anspruchsbegehren

Damit ein Anspruchsbegehren geltend gemacht werden kann, müssen die folgenden Anspruchsvoraussetzungen erfüllt sein:

a) Verantwortliche

Zunächst muss das Auskunftsbegehren gegenüber dem richtigen Verantwortlichen erfolgen. Dies folgt aus Art. 15 Abs. 1 DSGVO. Wer Verantwortlicher ist, definiert Art. 4 DSGVO, hier gilt jedoch § 67 Abs. 4 SGB X ergänzend.

b) Angehörige und Erbenstellung

In § 35 Abs. 5 SGB I geht nicht ausdrücklich hervor, wer Ansprüche der verstorbenen Person geltend machen darf. Erwähnt werden nur die schutzwürdigen Interessen der verstorbenen Person oder den schutzwürdigen Interessen der Angehörigen. Wer Angehörige sind, ist wiederum in § 16 Abs. 5 SGB X geregelt. Die Verwendung des Begriffs der Angehörigen in § 35 Abs. 5 SGB I ist nicht damit gleichzusetzen, dass diese automatisch auch Anspruchsberechtigte sind. Art. 15 DSGVO nennt nur die betroffene Person selbst, die das Begehren geltend machen kann. Verstirbt die Person jedoch, gehen ihre Daten nach § 1922 BGB in die Erbschaftsmasse über, sodass die Erben in die Rechtsstellung der betroffenen Person eintreten und die Ansprüche geltend machen können. Diese benötigen zum Beweis ihrer Stellung beispielsweise einen Erbschein. Anspruchsberechtigt sind also die Erben, die jedoch nicht unbedingt auch gleichzeitig die Angehörigen sein müssen.

c) Rechtsgrundlage für die Verarbeitung der Daten durch den Verantwortlichen

Aus § 35 Abs. 5 S. 2 SGB I folgt, dass eine Datenverarbeitung dann erfolgen kann, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden. Danach hat eine rechtliche Abwägung stattzufinden, um dadurch zu überprüfen, ob Interessen des Verstorbenen oder seiner Angehörigen gegenüber den Interessen der Verantwortlichen überwiegen.

d) Kein entgegenstehender -mutmaßlicher- Wille der verstorbenen Person

Aus der Formulierung des § 35 Abs. 5 S. 2 SGB I, dass eine Datenverarbeitung erfolgen kann, „wenn schutzwürdige Interessen des Verstorbenen … nicht beeinträchtigt werden“, kann entnommen werden, dass die Verarbeitung nicht gegen den Willen bzw. den mutmaßlichen Willen der verstorbenen Person erfolgen darf. Ob ein solcher Wille bzw. ein mutmaßlicher Wille vorlag, muss der Sozialträger beweisen. Dies ließe sich zB durch Zeugen oder einen Urkundenbeweis belegen, dass die verstorbene Person es ausdrücklich oder mutmaßlich nicht wollte, dass ihre Daten offengelegt werden.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Richterscoring ohne Messwerte

15. Dezember 2021

Die Berliner Senatsjustizverwaltung muss Daten der im Land Berlin beschäftigten Richterinnen und Richter nur zugänglich machen, sofern eine Einwilligungserklärung der Betroffenen vorliegt. Dies geht aus einer Entscheidung des VG Berlin hervor.

Der Entscheidung vorausgegangen war eine Klage der advolytics UG, welche das digitale Bewertungsportal „richterscore“ betreibt. Dort können sich Anwälte über Richter austauschen, um sich auf Gerichtsprozesse vorzubereiten. Unter Berufung auf das Berliner Informationsfreiheitsgesetz verlangte advolytics die Übermittlung von Informationen über die im Land Berlin beschäftigten Richterinnen und Richter. Das Auskunftsersuchen beinhaltete neben Namen, Titel und Amtsbezeichnung auch das Geburtsdatum sowie der Beschäftigungsumfang. Insbesondere berief sich die Klägerin darauf, dass dem C.F. Müller Verlag, bei dem der Deutschen Richterbund alle zwei Jahre das „Handbuch der Justiz“ herausgibt, die begehrten Daten mitgeteilt werden.

Nach Ansicht des Verwaltungsgerichtes stehe dem Auskunftsanspruch der advolytics jedoch der Schutz personenbezogener Daten entgegen. Die Klägerin verfolge überwiegend Privatinteressen, weil sie mit den begehrten Daten ihr Bewertungsportal ausbauen und damit ihr Geschäftsmodell verwirklichen wolle. Ihr Interesse, die Gerichtsbarkeiten transparenter zu machen, sei nicht vom Zweck des Informationsfreiheitsgesetzes erfasst. Mit den begehrten Daten könne weder staatliches Verwaltungshandeln kontrolliert, noch die demokratische Meinungs- und Willensbildung gefördert werden. Darüber hinaus stünden auch bundesrechtliche Geheimhaltungspflichten der beantragten Datenübermittlung entgegen, da es sich um Daten aus Personalakten handele. Auch im Bezug auf die unterschiedliche Behandlung der Klägerin gegenüber dem Deutschen Richterbund vertrat das Gericht eine gegensätzliche Auffassung, da entsprechende zweckbezogene Einwilligungserklärungen der Richterschaft vorlägen.

Gegen das Urteil kann vor dem Oberverwaltungsgericht Berlin-Brandenburg Berufung eingelegt werden.

Auch bei einem privater Vermieter kann der Anwendungsbereich der DSGVO eröffnet sein

9. November 2021

Ein Mieter kann auch gegen einen privaten Vermieter einen Anspruch auf Auskunftserteilung gem. Art. 15 DSGVO haben. Die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO greift in diesen Fällen nicht. Dies entschied das Landgericht Wiesbaden mit Urteil vom 30.09.2021, Az. 3 S 50/21 und bestätigte damit die Entscheidung des Amtsgerichts Wiesbaden vom 26.04.2021.

Sachverhalt

Der Kläger war Mieter einer Wohnung, die im Eigentum der Beklagten (Vermieterin) steht. Im Rahmen des Mietverhältnisses kommunizierte der Ehemann der beklagten Vermieterin mit dem Mieter über verschiedene mietrechtliche Angelegenheiten wie z.B. der Anbringung von Rauchwarnmeldern per WhatsApp. Zudem beauftragte die Vermieterin eine GmbH mit der Erstellung einer Betriebskostenabrechnung, die den Mieter schließlich zu einer Nachzahlung von über 700 EUR aufforderte.

Im Verlauf des Mietverhältnisses kam es zu einem Räumungsrechtsstreit. In diesem forderte der hiesige Kläger die Beklagte dazu auf, ihm eine umfassende Auskunft über seine personenbezogenen Daten gem. Art. 15 DSGVO zu erteilen. Seinen Auskunftsanspruch begründete er damit, dass durch die Speicherung seiner Telefonnummer und seines Namens auf dem Mobiltelefon des Ehemanns der Beklagten eine automatisierte Verarbeitung gem. Art. 2 Abs. 1 DSGVO seiner personenbezogener Daten vorliege. Auch die Speicherung seiner Daten für die Erstellung der Betriebskostenabrechnung in dem System der beauftragten GmbH stelle eine Verarbeitungstätigkeit dar, für die die Beklagte als Vermieterin im Sinne der DSGVO verantwortlich sei.

Dies lehnte die Beklagte u.a. mit der Begründung ab, dass es sich bei ihr nicht um eine konstitutionelle Vermieterin handle. Insbesondere speichere sie keine Daten ihrer Mieter ab, sondern hefte die Mietverträge als private Vermieterin lediglich ab. Die DSGVO sei aus diesen Gründen nicht auf sie anwendbar.

Die Entscheidung

Das AG Wiesbaden verurteilte die Vermieterin zur Erteilung einer vollständigen Datenauskunft gegenüber ihrem Mieter gem. Art. 15 DSGVO. Diese Entscheidung wurde durch das LG Wiesbaden bestätigt.

Im Einzelnen führte das Gericht aus, dass der Anwendungsbereich der DSGVO eröffnet sei. Die Speicherung des Namens und der Telefonnummer des Mieters auf dem Mobiltelefon stelle eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO dar. Außerdem, so das Gericht, liege in der Übermittlung an die GmbH zur Betriebskostenerstellung eine Auftragsverarbeitung gem. Art. 28 DSGVO vor, wonach die Vermieterin als Verantwortliche gem. Art. 4 Nr. 7 DSGVO auftrete und somit sie und nicht die GmbH zur Auskunftserteilung verpflichtet sei.

Insbesondere verneinte das Gericht das Vorliegen der sog. Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO. Danach findet die DSGVO dann keine Anwendung, wenn die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten stattfindet. Gerade diese persönliche Tätigkeit verneinte das LG jedoch. Einerseits deshalb, weil die Vermieterin nicht nur eine Wohnung privat vermietete, sondern mehrere. Andererseits aber auch, weil sie mit der Erstellung der Betriebskostenabrechnung eine Firma beauftragte, bei der sodann eine EDV-gestützte Verarbeitung stattfand. Diese Firma sei im Auftrag der Vermieterin und daher als Auftragsverarbeiterin gem. Art. 4 Nr. 8 DSGVO, Art. 28 DSGVO tätig geworden, so dass die Vermieterin als Verantwortliche im datenschutzrechtlichen Sinne handelte. Daraus, so das Gericht, ergebe sich bereits eindeutig, dass die beklagte Vermieterin nicht lediglich Privatdaten verarbeite, sondern diese entsprechend weiter gibt. Schließlich habe die Beklagte die Kontaktdaten des Mieters auch ihrem Ehemann zur Verfügung gestellt, damit dieser mit dem Mieter Kontakt aufnehmen konnte. Darin sah das Gericht ebenfalls eine Datenverarbeitung.

Fazit

Auffällig ist, dass der Auskunftsanspruch aus Art. 15 DSGVO in unterschiedlichen Konstellation immer wieder Gegenstand von Gerichtsentscheidungen ist.

Besonders an diesem Urteil ist zudem die restriktive, aber konsequente Auslegung der Haushaltsausnahme. Auch wenn die DSGVO in den Hauptanwendungsfällen vordergründig Unternehmen bzw. juristische Personen verpflichtet, so macht dieses Urteil noch einmal deutlich, dass auch Privatpersonen Verantwortliche im Sinne der DSGVO sein können. Dies insbesondere dann, wenn sie sich nicht mehr auf die Privilegierung der Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO berufen können, etwa weil die Verarbeitungstätigkeit zumindest auch dem geschäftlichen Bereich zugeordnet werden kann, so wie vorliegend.

Damit kann das Urteil auch auf viele andere, vermeintlich private Tätigkeiten übertragbar sein, die in tatsächlicher Hinsicht zumindest auch geschäftlicher Natur sind.

BGH zur Reichweite des Auskunftanspruchs gem. Art. 15 DSGVO

23. September 2021

Mit Urteil vom 15. Juni 2021 hat der BGH erstmals umfassend Stellung zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO genommen und damit restriktiven Stimmen einen Riegel vorgeschoben.

Die Vorinstanz hatte festgestellt, dass sich der Auskunftsanspruch im konkreten Fall nicht auf sämtliche interne Vorgänge der beklagten Versicherung beziehe, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Zurückliegende Korrespondenz mit den Parteien unterfalle laut dem LG Köln ebenfalls nicht dem Auskunftsanspruch.

Art. 15 DSGVO enthält insgesamt drei Ansprüche: Der Betroffene kann verlangen, dass der Verantwortliche bestätigt, ob ihn betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat der Betroffene ein Recht auf Auskunft über diese Daten. Zusätzlich kann er den Erhalt einer Kopie der verarbeiteten Daten fordern.

In seinem Urteil stellte der BGH zunächst fest, dass der Begriff der personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO unter Berücksichtigung der Rechtsprechung des EuGH weit auszulegen und damit nicht auf bestimmte „signifikante“ Informationen beschränkt sei, sondern potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von persönlichen Schreiben, Stellungnahmen oder Beurteilungen umfasse, vorausgesetzt, dass es sich um Informationen handele, die mit der in Rede stehende Person verknüpft sind. Wie auch der EuGH vertritt der BGH damit die Meinung, der in Art. 15 DSGVO verwendete Begriff des Personenbezugs sei im Rahmen der DSGVO einheitlich und damit weit auszulegen.

Bezüglich der Reichweite des Auskunftsanspruches stellte der BGH sodann fest, dass die betroffene Person im Rahmen der Überprüfung der Rechtmäßigkeit der Verarbeitung sowohl Auskunft über die vollständige vergangene Korrespondenz der Parteien, Informationen zum „Prämienkonto“ des Klägers, Daten des Versicherungsscheins als auch über die internen Vermerke und die interne Kommunikation des Verantwortlichen grundsätzlich nach Art. 15 DSGVO verlangen kann. Insbesondere im Hinblick auf die Vollständigkeit der Korrespondenz setzte der BGH einen Riegel vor die restriktive Ansicht, eine Auskunft müsse nicht erteilt werden, wenn der Betroffene bereits über die Informationen verfüge. Auch eine Einschränkung, dass wiederholte Auskunftsbegehren nicht von Art. 15 DSGVO gedeckt seien, sah der BGH in seinem Urteil nicht.

Weiterhin entschied der BGH, dass auch Informationen aus internen Vorgängen des Verantwortlichen ebenfalls dem Auskunftsrecht unterfallen. Eine Ausnahme kommt jedoch bei internen Bewertungen in Betracht. So könnten beispielsweise rechtliche Analysen zwar personenbezogene Daten enthalten, die rechtliche Beurteilung selbst enthalte allerdings keine Informationen über Betroffene und ist mithin nicht von Art. 15 DSGVO umfasst. Auch hier orientiert sich der BGH an der Rechtsprechung des EuGH.

Kein Schadensersatz für verspätete Auskunftserteilung

6. August 2021

Auskunftsanspruch

In Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) werden die Rechte von Betroffenen, deren Daten verarbeitet werden umfassend normiert. So regelt Art. 15 Abs. 1 DSGVO beispielsweise das Auskunftsrecht von betroffenen Personen gegenüber dem Verantwortlichen. Danach hat jede Person, deren Daten von einem Verantwortlichen, beispielsweise einem Unternehmen oder einer Behörde verarbeitet werden, einen Anspruch darauf zu erfahren, ob und wenn ja, welche sie betreffenden personenbezogene Daten von diesem Verantwortlichen verarbeitet, z.B. gespeichert werden. Macht die betroffene Person ein solches Auskunftsverlangen geltend, hat der Verantwortliche dem Betroffenen gem. Art. 12 Abs. 3 DSGVO die verlangte Auskunft unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Der Betroffene kann über diese Daten gem. Art. 15 Abs. 3 DSGVO auch eine Kopie verlangen. Die Auskunftserteilung muss zudem kostenlos erfolgen, so dass der Verantwortliche nach Art. 12 Abs. 5 DSGVO nur bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt verlangen oder die Auskunft verweigern darf.

Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind und damit wie umfassend eine solche Datenauskunft zur erfolgen hat, ist umstritten. Wir berichteten.

Sachverhalt

In einem dem Landgericht Bonn (LG Bonn) zugrundeliegenden Fall hat die Klägerin einen Anspruch auf Datenauskunft gem. Art. 15 Abs. 1 DSGVO i.V.m. Art. 12 DSGVO gegenüber ihrem ehemaligen Anwalt, dem Beklagten geltend gemacht. Sie verlangte von diesem eine vollständige Datenauskunft zu den bei ihm über die Klägerin vorhandenen personenbezogenen Daten nebst Zurverfügungstellung einer Datenkopie. Da der Beklagte diesem Begehren länger als acht Monate nicht nachkam, erhob die Klägerin Klage vor dem LG Bonn und verlangte u.a. neben der vollständigen Datenauskunft auch Schmerzensgeld für die verzögerliche Erteilung der Datenauskunft.

Entscheidung

Das LG Bonn, dass das Auskunftsbegehren nach Art. 15 DSGVO zwar bejahte, verneinte eine Entschädigung für die verspätete Datenauskunft gem. Art. 82 Abs. 1 DSGVO.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Das LG Bonn verneinte das Vorliegen eines Verstoßes gegen die DSGVO wegen der um mehr als einen Monat verspäteten Auskunftserteilung. Art. 82 DSGVO umfasse nur die Fälle, in denen ein Schaden durch eine nicht der DSGVO entsprechenden Verarbeitung entstanden sei. D.h. um einen Schadensersatzanspruch auszulösen, komme – so das Gericht – nur ein verordnungswidriger Verstoß durch die Verarbeitung selbst in Betracht. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DSGVO führe aber nicht schon dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löse auch die um mehr als acht Monate verzögerte Auskunftserteilung grundsätzlich keinen Schadensersatzanspruch aus.

Außerdem habe die Klägerin auch nicht dargelegt, dass ihr ein Schaden entstanden sei. Das bloße „warten“ auf eine Auskunftserteilung genügt nach Ansicht des Gerichts jedenfalls nicht, um einen solchen Anspruch zu begründen.

Anspruch auf Auskunft und unentgeltiche Kopie der eigenen Prüfungsklausuren

23. Juli 2021

Ein Examensabsolvent hat Anspruch auf zur Verfügung Stellung einer kostenfreien Kopie der eigenen Examensklausuren mitsamt Prüfergutachten. Das hat das Oberverwaltungsgericht Münster (OVG Münster) mit Urteil vom 08.06.2021, 16 A 1582/20 entschieden und folgt damit einer extensiven Auslegung des Auskunftsanspruchs aus Art. 15 Abs. 3 DSGVO.

Das Verfahren

Dem Rechtsstreit vorausgegangen war ein Antrag des Klägers aus dem Jahr 2018 auf kostenlose Übersendung von Kopien seiner angefertigten Examensklausuren. Da das Prüfungsamt dem Examensabsolventen die Kopien seiner Examensklausuren nur gegen Zahlung eines Vorschusses zur Verfügung stellen wollte, zu dessen Zahlung der Kläger unter Berufung auf die Datenschutz-Grundverordnung nicht bereit war, erhob der Kläger Klage vor dem Verwaltungsgericht Gelsenkirchen. Das VG Gelsenkirchen verurteilte das Land NRW dazu, dem Kläger unentgeltlich Kopien seiner Examensklausuren nebst Prüfergutachten zur Verfügung zu stellen.

Die dagegen eingelegte Berufung des Landesjustizprüfungsamts (LJPA) hat das OVG Münster zurückgewiesen und bestätigte damit das Urteil der Vorinstanz.

Zur Begründung führte es aus, dass der Kläger gem. Art. 15 Abs. 3 DSGVO i.V.m. Art. 12 Abs. 5 DSGVO einen Anspruch auf unentgeltliche zur Verfügung Stellung einer Kopie seiner Examensklausuren nebst Prüfergutachten habe.

Der Auskunftsanspruch

Art. 15 DSGVO gewährt betroffenen Personen das Recht von einem Verantwortlichen z.B. einem Unternehmen oder einer Behörde Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen und verpflichtet dabei zugleich den Verantwortlichen, der betroffenen Person bestimmte Informationen auf Antrag zur Verfügung zu stellen. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, der betroffenen Person zur Verfügung. Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind, ist umstritten. Insbesondere über die Frage, ob Prüfungsklausuren nebst Prüfergutachten von diesem Anspruch umfasste Informationen darstellen können, besteht Uneinigkeit.

Während eine Auffassung davon ausgeht, der Auskunftsanspruch müsse auf solche Informationen beschränkt werden, die Art. 15 Abs. 1 DSGVO ausdrücklich nennt, so dass betroffene Personen nur eine Kopie der Informationen darüber verlangen können, ob ihre personenbezogenen Daten gespeichert werden und um welche es sich dabei ggf. handelt (sog. enge/restriktive Auslegung). Geht eine andere Meinung – so auch das OVG Münster – von einer weiten Auslegung des Auskunftsanspruchs aus.

Die Entscheidung

Im vorliegenden Fall entschied das OVG daher, dass es sich bei den angefertigten Klausuren und den dazugehörigen Prüfergutachten um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO handle, die durch das LJPA i.S.v. Art. 4 Nr. 2 DSGVO verarbeitet wurden und daher vom Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst seien. Diese Auffasung, so das OVG Münster, würde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestätigt. So hat der EuGH u.a. in einem Urteil vom 20. Dezember 2017 entschieden, dass die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling und damit personenbezogene Daten darstellen.

Offengelassen hat das OVG, ob der Ausnahmetatbestand des Art. 12 Abs. 5 S. 2 DSGVO auch Fälle umfasst, in denen betroffene Personen mit der Ausübung des Auskunftsanspruchs allein oder ganz überwiegend datenschutzfremde Zwecke verfolgt.

Auswirkungen auf die Praxis:

Ob andere Gerichte dieser extensiven Auslegung des Auskunftsanspruchs folgen werden, bleibt abzuwarten. Wegen der grundsätzlichen Bedeutung der Rechtssache hat das OVG die Revision zugelassen. Das Urteil dürfte aber auch für die Praxis und Unternehmen, die Prüfungen abseits von juristischen Staatsexamensklausuren anbieten, von Bedeutung sein. Inbesondere dann, wenn die zur Verfügung Stellung von Prüfungsunterlagen auch Auswirkungen auf das Geschäftsmodell und interne Prüfungsabläufe hat, kann dieses Urteil Verantwortliche bei der Erfüllung des Auskunftsbegehrens vor neue Herausforderungen – nicht nur finanziell – stellen. Auch der Nachweis, ob datenschutzfremde Zwecke verfolgt werden, dürfte in der Praxis nur schwer zu erbringen sein.

1 2 3