Schlagwort: Auskunftsrecht
3. Oktober 2023
Der Verbraucherzentrale Bundesverband e.V. (vzbv) teste, wie Anbieter von Zyklus-Apps mit Betroffenenanfragen nach Art. 15 DSGVO umgehen. Im Ergebnis besteht für die App-Anbieter bei Beantwortung von Auskunftsersuchen Nachholbedarf.
Die Verwendung von Zyklus-Apps
Mit Hilfe von Zyklus-Apps können die Nutzerinnen persönliche Informationen über den Start ihrer Periode, gesundheitlichen Begleiterscheinungen oder beispielsweise zu einem Kinderwunsch dokumentieren. Dabei handelt es sich regelmäßig um Gesundheitsdaten im Sinne des Art. 9 DSGVO, d.h. um besondere Kategorien personenbezogener Daten, die einem besonderem Schutz unterliegen.
Im Rahmen eines Tests untersuchte nun der vzbv, wie zwölf Zyklus-Apps mit dem Recht auf Auskunft der Betroffenen umgehen. Nach Art. 15 DSGVO haben die betroffenen Nutzerinnen die Möglichkeit zu erfahren, ob die App-Anbieter ihre personenbezogenen Daten verarbeiten und wenn ja, welche Datenkategorien verarbeitet werden, zu welchen Zwecken, wem die Daten ggf. übermittelt werden, wie lange die Daten gespeichert werden und ob die Verarbeitung mittels einer automatisierten Entscheidungsfindung erfolgt. Dabei dient das Recht auf Auskunft u.a. dazu, den betroffenen Nutzern eine Informationsgrundlage zu bieten. Anschließend können sie weitere Rechte, wie das Recht auf Berichtigung oder Löschung nach Art. 16 und 17 DSGVO ausüben.
Ergebnisse der Untersuchung
Zur datenschutzrechtlichen Untersuchung der Apps sollten drei Verbraucherinnen alles zwölf Apps verwenden. Im Anschluss stellte der vzbv im Namen jeder Verbraucherin eine Auskunftsanfrage. Zum Abgleich stellte anschließend die Stiftung Warentest die gleichen Fragen offen an die App-Anbieter.
Im Ergebnis erkennbar sei, laut vzbv dass die App-Anbieter einen großer Teil der Auskunftsanfragen, d.h. 31 von 36 innerhalb der gesetzlichen Frist von einem Monat beantwortet hätten. Zu der Frage, ob eine Datenverarbeitung erfolge, hätten die App-Anbieter in 21 von 31 Fällen geantwortet.
Negativ aufgefallen seien vier Anbieter, deren Auskünfte den eigenen Datenschutzerklärungen widersprochen hätten. Dabei habe ein Anbieter auf die Auskunftsanfrage geantwortet, dass er keine Gesundheitsdaten verarbeite. Nach der eigenen Datenschutzerklärung sei dies aber gerade der Fall.
Hinzukäme, dass die App-Anbieter über die bloße Datenverarbeitung hinausgehende Fragen nur lückenhaft beantwortet hätten. Insbesondere die Fragen zu den Zwecken der Datenverarbeitung seien nur unzureichend beantwortet worden. Zu den Verarbeitungszwecken hätten die App- entweder keine, falsche oder unvollständige Antworten gegeben.
Fazit
Der durchgeführte Test erfolgte im Rahmen einer Untersuchung der Stiftung Warentest zu Zyklus-Apps. Die Anfragen zeigen, dass alle Nutzer achtsam mit der Abgabe personenbezogener Daten umgehen sollten. Dabei zeigt sich auch, dass die Wahrung von Betroffenen Rechten ein wichtiger Bestandteil des Datenschutzes sind.
4. September 2023
Ein bedeutender Aspekt der DSGVO ist das Recht auf Auskunft, das in Art. 15 der DSGVO verankert ist. Dieses Recht ermöglicht es den betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. In der Praxis hat sich dabei eine interessante Frage ergeben: Kann dieses Auskunftsrecht missbraucht werden, um Informationen zu erhalten, die zwar legitime Zwecke verfolgen, aber nicht unmittelbar mit dem Datenschutz zu tun haben? Zum Beispiel könnten Personen Auskunft über ihre Daten verlangen, um unrechtmäßig erhobene Bankgebühren oder zu Unrecht gezahlte Versicherungsprämien zurückzufordern. Diese Frage des sogenannten “Rechtsmissbrauchs” in Bezug auf Auskunftsansprüche beschäftigt die Rechtsprechung und hat in jüngster Zeit zu verschiedenen Urteilen geführt.
Die Vorlage des BGH an den EuGH
Der Bundesgerichtshof hat diese Frage in einem Beschluss vom 29. März 2022 dem EuGH zur Vorabentscheidung vorgelegt (BGH, EuGH-Vorlage vom 29. März 2022 – VI ZR 1352/20 –). Der BGH äußerte auch Zweifel, ob in solchen Fällen tatsächlich ein Rechtsmissbrauch vorliegt, da der Wortlaut von Art, 15 der DSGVO keine solche Beschränkung vorsieht.
In einem aktuellen Urteil hat sich auch das Oberlandesgericht Hamm (Urteil vom 03.05.2023, Az. 20 U 146/22) mit der Frage des Rechtsmissbrauchs im Zusammenhang mit Auskunftsansprüchen nach Art. 15 DS-GVO befasst. Der Fall drehte sich um Prämienanpassungen in einer privaten Krankenversicherung. Das Gericht kam zu dem Schluss, dass der geltend gemachte Auskunftsanspruch nicht aus Art. 15 Abs. 1 DS-GVO abgeleitet werden kann. Das Gericht erkannte zwar an, dass einige der angeforderten Informationen personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen. Dennoch stand der Beklagten nach Art. 12 Abs. 5 S.2 lit. b DSGVO ein Weigerungsrecht zu. Obwohl die Vorschrift häufige Wiederholungen als Beispiel für “exzessive” Anträge nennt, betonte das Gericht, dass sie auch andere rechtsmissbräuchliche Anträge abdecken soll.
Schutzzweck des DSGVO
Bei der Beurteilung, was als rechtsmissbräuchlich anzusehen ist, ist der Schutzzweck der DSGVO zu berücksichtigen. Der Sinn und Zweck des Auskunftsrechts nach Art. 15 DSGVO besteht darin, betroffenen Personen die Möglichkeit zu geben, sich bewusst zu werden, wie ihre personenbezogenen Daten verarbeitet werden, und die Rechtmäßigkeit dieser Verarbeitung zu überprüfen. In diesem Fall verfolgte der Kläger jedoch nicht dieses datenschutzrechtliche Interesse. Vielmehr diente seine Auskunftsanfrage ausschließlich der Überprüfung von möglichen formellen Mängeln in Bezug auf Prämienanpassungen. Ein solcher Zweck entspricht nicht dem Schutzzweck der DSGVO.
Fazit
Es bleibt abzuwarten, wie der Europäische Gerichtshof auf die Vorlage des BGH reagieren wird und ob weitere Klarstellungen zu diesem Thema erwartet werden können. Bis dahin sollten Unternehmen und Betroffene gleichermaßen die Entwicklungen aufmerksam verfolgen und sich bewusst sein, dass das Auskunftsrecht nach der DSGVO nicht grenzenlos ist, sondern bestimmten Schutzzwecken dient.
21. August 2023
Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten zählt zu den grundlegenden Betroffenenrechten, die in der DSGVO verankert sind. Es bildet oft den Ausgangspunkt für die wirksame Wahrnehmung anderer Datenschutzrechte. In diesem Artikel beleuchten wir genauer, wie sich dieses Recht im Kontext des Sozialdatenschutzes gemäß Art. 15 DSGVO und § 83 Zehntes Buch Sozialgesetzbuch (SGB X) manifestiert.
Der Ursprung des Auskunftsrechts
Das Auskunftsrecht ist das erste der Betroffenenrechte in Kapitel 3 der DSGVO. Es ermöglicht betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erlangen. Insbesondere dann, wenn vorausgegangene Datenschutzerklärungen unzureichend über Verarbeitungsvorgänge aufklären, erweist sich das Auskunftsrecht als entscheidendes Instrument. Dieses Recht spielt daher eine zentrale Rolle in der Interaktion zwischen Einzelpersonen und Datenverarbeitungsstellen.
Auskunftsrecht in der DSGVO: Die zwei Stufen
Das Auskunftsrecht nach Art. 15 DSGVO folgt einem zweistufigen Prozess. In der ersten Stufe besteht das Recht darauf zu erfahren, ob personenbezogene Daten bei einer bestimmten Stelle verarbeitet werden. Die zweite Stufe ermöglicht es, spezifische Informationen anzufordern. Dies umfasst Details zu Verarbeitungszwecken, Kategorien verarbeiteter Daten, Speicherdauer, Empfänger von Daten und deren Quellen. Falls Daten in Drittstaaten übertragen werden, muss die betroffene Person darüber und über die angemessenen Datenschutzgarantien informiert werden.
Ein wichtiger Aspekt des Auskunftsrechts ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 12.01.2023 (Rs. C-154/21). Hier wurde festgestellt, dass, wenn möglich, konkrete Datenempfänger genannt werden sollten, anstatt nur die Kategorien von Empfängern anzugeben.
Einschränkungen im Sozialgesetzbuch
Im Bereich des Sozialdatenschutzes findet das Auskunftsrecht gemäß Art. 15 DSGVO Anwendung, jedoch unter Einbindung von § 83 SGB X. Dies ermöglicht dem deutschen Gesetzgeber, das Recht unter bestimmten Bedingungen zu begrenzen. Die Beschränkungen sind in § 83 SGB X definiert und können in fünf Fallgruppen zusammengefasst werden:
- Gefährdung gesetzlicher Aufgaben oder öffentlicher Ordnung: Das Auskunftsrecht kann beschränkt werden, wenn die ordnungsgemäße Erfüllung einer gesetzlichen Aufgabe gefährdet ist oder die öffentliche Ordnung beeinträchtigt wird.
- Geheimhaltungspflicht: Informationen können zurückgehalten werden, wenn Daten oder deren Speicherung geheim gehalten werden müssen, etwa aufgrund von gesetzlichen Vorschriften oder berechtigten Interessen Dritter.
- Erwartung der Übermittlung: Das Offenlegen von Empfängern kann eingeschränkt werden, wenn die betroffene Person damit rechnen muss, dass Daten an bestimmte Empfänger übermittelt werden.
- Zusammenarbeit zwischen Stellen: Auskünfte über Empfänger können begrenzt werden, wenn die Verarbeitung innerhalb einer verantwortlichen Stelle oder aufgrund gesetzlicher Zusammenarbeit zwischen verschiedenen Stellen erfolgt.
- Strafverfolgung und Sicherheit: Informationen an bestimmte Stellen wie Strafverfolgungsbehörden können nur mit Zustimmung erteilt werden.
Fazit: Datenschutz und öffentliche Interessen im Gleichgewicht
Die Kombination von Art. 15 DSGVO und § 83 SGB X im Sozialdatenschutz verdeutlicht das komplexe Wechselspiel zwischen individuellen Datenschutzrechten und öffentlichen Interessen. Während das Auskunftsrecht eine mächtige Waffe zur Gewährleistung von Transparenz und Kontrolle über persönliche Daten darstellt, müssen diese Rechte sorgfältig abgewogen werden, um die ordnungsgemäße Erfüllung öffentlicher Aufgaben und den Schutz der Gemeinschaft sicherzustellen.
Die vorgestellten Regelungen verdeutlichen, dass das Auskunftsrecht im Sozialdatenschutz eine wichtige Rolle spielt. Es ist jedoch in seinen Anwendungsbereichen beschränkt, um ein ausgewogenes Verhältnis zwischen individuellem Datenschutz und öffentlichen Belangen zu gewährleisten. So wird das Ziel verfolgt, sowohl die Rechte und Freiheiten betroffener Personen zu schützen als auch die Erfüllung wichtiger gesellschaftlicher Aufgaben zu ermöglichen. In dieser Balance liegt die Herausforderung und Verantwortung des modernen Datenschutzes.
24. April 2023
Am 12.01.2023 hat der Europäische Gerichtshof in einem Urteil bestätigt, was Datenschützer bereits vermutet hatten: Bei der Bearbeitung eines Antrags auf Auskunft gemäß Artikel 15 der Datenschutz-Grundverordnung müssen Verantwortliche in erster Linie die konkreten Empfänger nennen und dürfen nur in Ausnahmefällen auf Empfängerkategorien verweisen (wir berichteten).
Als Konsequenz dieses Urteils stellen sich in der Praxis zahlreiche Fragen: Ist es erforderlich, eine ladungsfähige Adresse anzugeben? Wie weit erstreckt sich der Empfängerbegriff? Müssen ausschließlich direkte Empfänger, einschließlich Auftragsverarbeiter, genannt werden, oder muss die Auskunft auch Angaben zu deren Dienstleistern enthalten?
Subunternehmer können auch Empfänger sein
In Situationen, in denen der Empfänger personenbezogener Daten eines Verantwortlichen ein Auftragsverarbeiter ist, könnte es zunächst akzeptabel sein, lediglich den Auftragsverarbeiter als direkten Empfänger zu benennen und nicht auch dessen eigene Empfänger wie z.B. Dienstleister. Die Praktikabilität der Bearbeitung von Auskunftsersuchen wird oft als Hauptargument für diese Meinung genannt. Es wird argumentiert, dass die Erwähnung von Subunternehmen des Auftragsverarbeiters den Zeitaufwand für die Bearbeitung von Auskunftsersuchen erhöhen würde, was für Verantwortliche unzumutbar ist.
Jedoch wird dabei übersehen, dass der Verantwortliche normalerweise Kenntnis über Dienstleister oder Subunternehmen des Auftragsverarbeiters haben sollte (z.B. durch Nennung in einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO). Der Mehraufwand für die Nennung von Subunternehmen ist daher nicht unbedingt unangemessen und kann dem Verantwortlichen zugemutet werden. Darüber hinaus spricht auch der Zweck von Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erteilen, für eine breite Auslegung des Empfängerbegriffs. Das Interesse des Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umzusetzen, kann diesen Zweck nicht überschatten.
Es ist auch wichtig zu beachten, dass der Empfängerbegriff in Art. 4 Nr. 9 DSGVO weit ausgelegt werden sollte und alle Personen oder Stellen umfasst, denen personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss der Definition des Dritten in Art. 4 Nr. 10 DSGVO ergibt sich, dass auch alle Personen oder Stellen außerhalb des Verantwortlichen erfasst sind, die befugt sind, personenbezogene Daten unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zu verarbeiten. Dies schließt alle Unterauftragnehmer ein, die vom Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.
Der Empfängerbegriff in der Praxis
Ein Beispiel aus der Praxis von Konzernen verdeutlicht die Bedeutung der Auslegung des Empfängerbegriffs. In der Regel gibt es eine Servicegesellschaft innerhalb des Konzerns, die ihren Schwester- oder Muttergesellschaften IT-Services zur Verfügung stellt und als Auftragsverarbeiter fungiert. Eine enge Auslegung des Empfängerbegriffs würde bedeuten, dass das datenschutzrechtlich verantwortliche Unternehmen bei der Bearbeitung eines Auskunftsersuchens nur diese eine Schwester- oder Tochtergesellschaft als Auftragsverarbeiterin angeben müsste. Dies würde das Auskunftsrecht des Betroffenen nahezu ins Leere laufen lassen, da die eigentliche Verarbeitung der Daten durch Unternehmen wie Microsoft oder Google nicht berücksichtigt würde. Eine solche Vorgehensweise kann nicht im Interesse des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte. Das Auskunftsrecht ist ein Recht des Betroffenen und das Interesse der Verantwortlichen an der Praktikabilität kann diesem nicht übergeordnet sein. Eine weite Auslegung des Empfängerbegriffs innerhalb eines Konzerns ist auch erforderlich, um zu verhindern, dass das Auskunftsrecht durch die bloße Hinzufügung einer Servicegesellschaft ausgehebelt wird.
Fazit
Zusammenfassend kann man sagen, dass nach der Auslegung des Gesetzes und des EuGH-Urteils ein Auftragsverarbeiter als Empfänger im Sinne des Datenschutzrechts gilt und somit auch dessen Dienstleister bzw. Subunternehmer angegeben werden müssen. Allerdings müssen bei Übermittlungen an andere Verantwortliche nur diese genannt werden. Diese weite Auslegung bedeutet für Verantwortliche einen erheblichen Mehraufwand in der Praxis, da Prozesse eventuell neu ausgerollt werden müssen. Eine mögliche Lösung wäre, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten auch die Dienstleister der Auftragsverarbeiter zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen. Dadurch kann die Bearbeitung von Auskunftsbegehren erleichtert werden.
6. Juli 2022
Das Oberverwaltungsgericht (OVG) Münster entschied in seinem Urteil vom 15 Juni 2022 (16 A 857/21), dass das Bundesministerium des Innern und für Heimat (BMI) nicht die Postanschrift des Antragstellers, der einen Auskunftsantrag nach dem Informationsschutzgesetz (IFG) stellt, erheben dürfe. Das Urteil wurde noch nicht veröffentlicht, aber das OVG gab eine entsprechende Pressemitteilung ab.
Der Rechtsstreit
Über die Internetplattform fragdenstaat.de stellte ein Bürger einen Auskunftsantrag an das BMI. Die Plattform ermöglicht es Bürgern, Anträge auf Zugang zu amtlichen Informationen zu stellen. Antworten der Behörden sind öffentlich für jeden online einsehbar und Antragssteller werden über deren Eingang per E-Mail benachrichtigt. Das Ministerium forderte die Postadresse des Antragstellers an, um die Entscheidung zu übermitteln. Die Erforderlichkeit dafür ergebe sich aus §41 Abs. 1 Satz 1 VwVfG. Demnach ist ein Verwaltungsakt demjenigen gegenüber bekannt zu geben, für den er bestimmt ist. Der Antragsteller sah in der Erhebung seiner Postanschrift jedoch eine rechtswidrige Verarbeitung personenbezogener Daten. Es fehle eine einschlägige Rechtsgrundlage nach Art. 6 DSGVO.
Vorerst verwarnte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) das BMI. Zwar stelle die zu übermittelnde Entscheidung des BMIs einen Verwaltungsakt dar, jedoch könne dieser auch unmissverständlich an den Antragsteller über fragdenstaat.de bekannt gegeben werden.
VG Köln: Erhebung der Postanschrift zulässig
Im Anschluss erhob das BMI Klage gegen den BfDI. In seinem Urteil vom 18.03.2021 (13 K 1190/20) entschied das Verwaltungsgericht Köln die Verwarnung aufzuheben. Die Verarbeitung der Postanschrift sei nach Art. 6 Abs. 1 lit e) DSGVO i.V.m. §3 BDSG gerechtfertigt. Demnach muss die Verarbeitung erforderlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sein. Solch eine Aufgabe fand das Gericht in der o.g. Pflicht, einen Verwaltungsakt direkt an den betroffenen Adressaten zu übermitteln. Die Erhebung der Postadresse sei geeignet, um diese Bekanntgabe sicherzustellen. Des Weiteren sei eine Bekanntgabe über die Internetplattform nicht ausreichend, da diese lediglich über den Eingang des Schreibens informiere, dieses aber nicht an die hinterlegte E-Mail-Adresse weiterleite. Zudem könne der Antragssteller seinen Nutzeraccount jederzeit deaktivieren.
Aufhebung des Urteils des VG Köln
Der BfDI legte Berufung ein, welche vor dem OVG Münster Erfolg hatte. Dieses entschied, dass die Erhebung der Postanschrift nicht erforderlich sei: „Weder aus den maßgeblichen Vorschriften des IFG noch aus den Grundsätzen des Allgemeinen Verwaltungsrecht geht hervor, dass ein Antrag nach dem IFG stets die Angabe einer Postanschrift erfordert. Anhaltspunkte dafür, dass eine Datenerhebung im vorliegenden Einzelfall erforderlich war, liegen ebenfalls nicht vor.“ Hiermit verteidigt das Gericht den Grundsatz der Datenminimierung. Bürger können weiterhin die komplette Bearbeitung eines Auskunftsantrags über fragdenstaat.de fordern. Das OVG hat die Revision zum Bundesverwaltungsgericht zugelassen.
23. Juli 2021
Ein Examensabsolvent hat Anspruch auf zur Verfügung Stellung einer kostenfreien Kopie der eigenen Examensklausuren mitsamt Prüfergutachten. Das hat das Oberverwaltungsgericht Münster (OVG Münster) mit Urteil vom 08.06.2021, 16 A 1582/20 entschieden und folgt damit einer extensiven Auslegung des Auskunftsanspruchs aus Art. 15 Abs. 3 DSGVO.
Das Verfahren
Dem Rechtsstreit vorausgegangen war ein Antrag des Klägers aus dem Jahr 2018 auf kostenlose Übersendung von Kopien seiner angefertigten Examensklausuren. Da das Prüfungsamt dem Examensabsolventen die Kopien seiner Examensklausuren nur gegen Zahlung eines Vorschusses zur Verfügung stellen wollte, zu dessen Zahlung der Kläger unter Berufung auf die Datenschutz-Grundverordnung nicht bereit war, erhob der Kläger Klage vor dem Verwaltungsgericht Gelsenkirchen. Das VG Gelsenkirchen verurteilte das Land NRW dazu, dem Kläger unentgeltlich Kopien seiner Examensklausuren nebst Prüfergutachten zur Verfügung zu stellen.
Die dagegen eingelegte Berufung des Landesjustizprüfungsamts (LJPA) hat das OVG Münster zurückgewiesen und bestätigte damit das Urteil der Vorinstanz.
Zur Begründung führte es aus, dass der Kläger gem. Art. 15 Abs. 3 DSGVO i.V.m. Art. 12 Abs. 5 DSGVO einen Anspruch auf unentgeltliche zur Verfügung Stellung einer Kopie seiner Examensklausuren nebst Prüfergutachten habe.
Der Auskunftsanspruch
Art. 15 DSGVO gewährt betroffenen Personen das Recht von einem Verantwortlichen z.B. einem Unternehmen oder einer Behörde Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen und verpflichtet dabei zugleich den Verantwortlichen, der betroffenen Person bestimmte Informationen auf Antrag zur Verfügung zu stellen. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, der betroffenen Person zur Verfügung. Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind, ist umstritten. Insbesondere über die Frage, ob Prüfungsklausuren nebst Prüfergutachten von diesem Anspruch umfasste Informationen darstellen können, besteht Uneinigkeit.
Während eine Auffassung davon ausgeht, der Auskunftsanspruch müsse auf solche Informationen beschränkt werden, die Art. 15 Abs. 1 DSGVO ausdrücklich nennt, so dass betroffene Personen nur eine Kopie der Informationen darüber verlangen können, ob ihre personenbezogenen Daten gespeichert werden und um welche es sich dabei ggf. handelt (sog. enge/restriktive Auslegung). Geht eine andere Meinung – so auch das OVG Münster – von einer weiten Auslegung des Auskunftsanspruchs aus.
Die Entscheidung
Im vorliegenden Fall entschied das OVG daher, dass es sich bei den angefertigten Klausuren und den dazugehörigen Prüfergutachten um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO handle, die durch das LJPA i.S.v. Art. 4 Nr. 2 DSGVO verarbeitet wurden und daher vom Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst seien. Diese Auffasung, so das OVG Münster, würde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestätigt. So hat der EuGH u.a. in einem Urteil vom 20. Dezember 2017 entschieden, dass die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling und damit personenbezogene Daten darstellen.
Offengelassen hat das OVG, ob der Ausnahmetatbestand des Art. 12 Abs. 5 S. 2 DSGVO auch Fälle umfasst, in denen betroffene Personen mit der Ausübung des Auskunftsanspruchs allein oder ganz überwiegend datenschutzfremde Zwecke verfolgt.
Auswirkungen auf die Praxis:
Ob andere Gerichte dieser extensiven Auslegung des Auskunftsanspruchs folgen werden, bleibt abzuwarten. Wegen der grundsätzlichen Bedeutung der Rechtssache hat das OVG die Revision zugelassen. Das Urteil dürfte aber auch für die Praxis und Unternehmen, die Prüfungen abseits von juristischen Staatsexamensklausuren anbieten, von Bedeutung sein. Inbesondere dann, wenn die zur Verfügung Stellung von Prüfungsunterlagen auch Auswirkungen auf das Geschäftsmodell und interne Prüfungsabläufe hat, kann dieses Urteil Verantwortliche bei der Erfüllung des Auskunftsbegehrens vor neue Herausforderungen – nicht nur finanziell – stellen. Auch der Nachweis, ob datenschutzfremde Zwecke verfolgt werden, dürfte in der Praxis nur schwer zu erbringen sein.
6. Juni 2019
Der Kläger hat vor dem Verwaltungsgericht (VG) Wiesbaden (Beschluss vom 28.03.2019 – 6 K 1016/15) Klage erhoben, da der beklagte Präsident des Hessischen Landtags das Begehren auf Auskunft bzw. Akteneinsicht über die beim Petitionsausschuss des Hessischen Landtags gespeicherten personenbezogenen Daten des Klägers ablehnte.
Grundsätzlich stünde dem Kläger ein Auskunftsanspruch nach Art. 15 DSGVO zu, wenn der Petitionsausschuss unter den Anwendungsbereich von Art. 2 Abs. 1 DSGVO fällt und es sich bei ihm um eine Behörde i.S.v. Art. 4 Nr. 7 DSGVO handeln würde.
Danach sind Behörden alle öffentlichen Stellen, die Aufgaben der öffentlichen Verwaltung wahrnehmen. Das Gericht ist der Ansicht, dass es sich bei dem Petitionsausschuss um eine eigenständige Stelle, d.h. um eine Behörde im organisationsrechtlichen Sinne handelt.
Aus diesem Grund bestünden keine Versagungsgründe einer Auskunft nach Art. 15 DSGVO. Der Petent hat somit nach Ansicht des Gerichts einen Anspruch auf Auskunft über die über ihn gespeicherten personenbezogenen Daten.
Das Verfahren wurde ausgesetzt und gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union vorgelegt.
23. Mai 2019
Das LG Köln hatte sich in einem kürzlich veröffentlichten Urteil vom 18.03.2019 (Az. 26 O 25/18) mit dem Umfang des Auskunftsrechts nach Art. 15 DSGVO zu befassen. In dem zugrundeliegenden Fall wollte die Klägerin umfassend Auskunft von einer Versicherung haben, bei der sie zwei Lebensversicherungen abgeschlossen hatte. Sie vertrat die Ansicht, dass die Versicherung ihr keine vollständige Datenauskunft nach § 34 BDSG-alt bzw. Art. 15 DSGVO erteilt hat. Die Beklagte bestand wiederum darauf, dass die Übersendung von Beratungsprotokollen oder ggf. vorliegenden Mitarbeitervermerken nicht vom Auskunftsanspruch umfasst seien.
Nach der in dem Urteil vertretenen Rechtsauffassung umfasst der Auskunftsanspruch nicht interne Vorgänge der Beklagten, wie z.B. Vermerke oder den die Person betreffenden Schriftverkehr, der dem Betroffenen bereits bekannt ist. „Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten […] dar. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“ Die Kammer begründete dies damit, dass der Betroffene (lediglich) einen Anspruch auf die Kopie der verarbeiteten personenbezogenen Daten hat.
Das Urteil des LG Köln wurde nur einen Monat nach dem Urteil des LAG Baden-Württemberg veröffentlicht, das das Auskunftsrecht eines Daimler-Managers stärkte.
20. März 2019
Daimler musste in einem Prozess erfahren, dass dem Arbeitnehmer ein gestärktes Auskunftsrecht gegenüber dem Arbeitgeber zusteht und muss deshalb einem Manager umfassend Auskunft zu über ihn gesammelten Daten geben. Das Auskunftsrecht aus Art. 15 DSGVO könnte angesichts des noch nicht veröffentlichten Urteils des Landesarbeitsgerichts Baden-Württemberg zu einer Welle von Prozessen führen. In dem Urteil wird dem Autokonzern auferlegt, die über einen klagenden Manager vorliegenden Informationen umfassend offenzulegen; dazu gehören auch Erkenntnisse über interne Ermittlungen. Bundesweit erstmals wurde das Auskunftsrecht damit auch in der zweiten Instanz sehr weitreichend ausgelegt.
Durch die DSGVO wurde das bisher schon bestehende Auskunftsrecht durch die Möglichkeit hoher Sanktionen gestärkt. Außerdem ist das Recht des Betroffenen auf eine Kopie aller seiner gespeicherten personenbezogenen Daten ganz neu hinzugekommen. Auf diese Regelung der DSGVO hatte sich der klagende Daimler-Manager in der zweiten Instanz berufen. Das Landesarbeitsgericht gab ihm nicht nur im Streit um Abmahnungen und Kündigungen fast vollständig recht. Es verurteilte den Autokonzern auch dazu, ihm Auskunft über nicht in seiner Personalakte gespeicherte Leistungs- und Verhaltensdaten samt einer Kopie zu geben. Daimler hatte dies mit der Begründung verweigert, die Anonymität von Hinweisgebern schützen zu müssen. Derzeit streitet Daimler mit dem Manager um die Vollstreckung des Urteils, also den Umfang der herauszugebenden Daten. Bei Konflikten zwischen Arbeitnehmern und Arbeitgebern könnte das Auskunftsrecht in Zukunft zu einem beliebten Druckmittel werden.
23. Oktober 2018
Bei der Irischen Datenschutzaufsicht sind derzeit Verfahren gegen Facebook und Twitter eingeleitet, welche mehr Aufschluss zur Datensammlung dieser Unternehmen geben könnten. In diesem Zusammenhang schließt sich die Frage an, wann Unternehmen Auskunftsersuchen unter Umständen wegen einem unverhältnismäßigen Aufwand nicht beantworten müssen.
Hintergrund der Verfahren sind Beschwerden eines Forschers des University College in London. Dabei ging es ihm insbesondere um Informationen, die über sein Verhalten im Web außerhalb der großen Plattformen gesammelt werden. Bei Facebook sind das vor allem Daten, die über den sog. Facebook-Pixel erhoben werden, bei Twitter sind es Daten die gespeichert werden, wenn auf Links in Nachrichten geklickt wird, die über den Twitter-eigenen Linkkürzungsdienst t.co eingebunden werden. Aufgrund eines angeblichen unverhältnismäßigen hohen Aufwandes, lehnten beide Unternehmen eine dahingehende Auskunft ab.
Der Grundsatz der Transparenz in der Datenverarbeitung ist in Art. 15 DSGVO, dem Auskunftsrecht, festgehalten und dient dem effektiven Persönlichkeitsrechtsschutz.
Kann der Verantwortliche die Auskunft mit der Begründung eines unverhältnismäßigen Aufwands verweigern?
Art. 15 DSGVO gibt dem Wortlaut nach darüber keinen Aufschluss.
Gem. § 34 Abs. 1 Nr. 2 BDSG kann der Verantwortliche die Auskunft im Falle eines unverhältnismäßigen Aufwands ablehnen. Jedoch nur, wenn zusätzlich weitere Voraussetzungen erfüllt sind.
Eine Ablehnung allein aus Gründen der Unverhältnismäßigkeit ist danach unzureichend.
Gem. Erwägungsgrund 63 der DSGVO kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dies gilt allerdings nur, wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet.
Immerhin ein Unterfall der möglichen Ablehnung.
Nach Art. 11 Abs. 2 DSGVO gilt Artikel 15 DSGVO nicht, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann.
Dies bezieht sich sowohl auf die Person des Antragstellers selbst, als auch auf die fehlende Zuordnungsmöglichkeit der den Antragsteller betreffenden Daten.
Teilweise wird vertreten, man könne mit einer Analogie zu Art. 14 Abs. 5 lit b DSGVO arbeiten. Dieser besagt, dass auf eine Information des Betroffenen verzichtet werden kann wenn diese einen unverhältnismäßigen Aufwand erfordert. (Härting, Datenschutz-Grundverordnung, Rn. 683/685)
Nach deutschem Recht soll eine derartige Analogie aber nicht notwendig sein, da auch auf den Grundsatz von Treu und Glauben zurückgegriffen werden könne. Dieser besagt u.a., dass die Parteien eines Rechtsverhältnisses Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils nehmen müssen.
Mit der Stellung des Auskunftsersuchens wird ein solches Rechtsverhältnis zwischen Antragsteller und Verantwortlichem begründet. Demnach könne sich auch der Verantwortliche im Einzelfall auf einen unverhältnismäßig hohen Aufwand berufen. (vgl. Gola, Datenschutzgrundverordnung 2. Auflage Rn. 38)
Fazit:
Nur im Ausnahmefall bzw. Einzelfall kann mit guter Begründung ein Auskunftsersuchen aufgrund unverhältnismäßigen Aufwandes verweigert werden.
Dabei wird der vertretbare Aufwand für Unternehmen (z.B. Kosten, Zeit und Arbeitskräfte) mit dem Schutzbedarf des Betroffenen (z.B. Sensibilität der Daten) ansteigen.
