Viele Verantwortliche beschäftigen in der Praxis Anwendungsfragen zu Betroffenenrechten nach der Datenschutz-Grundverordnung (DSGVO). Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) geht in seinem aktuellen Tätigkeitsbericht (9. Tätigkeitsbericht 2019) auch auf das Thema ein und weist darauf hin, dass die Sicherstellung der Betroffenenrechte eine der Kernanforderung der DS-GVO an Verantwortliche darstellt.
Solange in den Detailfragen noch keine einheitlichen Anwendungsvorgaben durch berufene Stellen vorliegen, richtet sich der Blick auf die Klärung streitiger Fälle durch die Justiz. 22 Monate nach Wirksamwerden DSGVO, werden erste Urteile zu konkreten Fallgestaltungen veröffentlicht.
Auskunftsrecht im Fokus
Praxisrelevant ist dabei die Frage nach der Reichweite eines Auskunftsanspruchs gemäß Art. 15 DSGVO. So hat dieses Recht nach Einschätzung des Bayerischen Landesbeauftragten für den Datenschutz für betroffene Personen die Funktion eines „Schlüsselrechts“, um die Rechtmäßigkeit einer Verarbeitung einschätzen oder Betroffenenrechte – insbesondere das Recht auf Berichtigung – ausüben zu können. Nur wenige Mausklicks entfernt, finden sich im Internet für jedermann Musterschreiben zur Geltendmachung des Auskunftsanspruchs.
Nach Auffassung des BayLDA sind folgende Fehler als „No-Go“ zu werten, die jedoch in der Praxis sowohl von den Verantwortlichen als auch von den betroffenen Personen begangen werden:
- Ignorieren von Auskunftsbegehren bei Identitätszweifeln
- Fehler: Auskunft ausschließlich über Stammdaten
- Fehler: Einreichen der Beschwerde vor Verstreichen der Frist
- Fehler: Zweck des Rechts auf Auskunft außer Acht lassen
- Fehler: Geltendmachung des Rechts auf Auskunft gegenüber dem Anwalt der Gegenseite
- Fehler: Beschwerde ohne beweiskräftige Nachweise
- Fehler: Berufung auf unverhältnismäßigen Aufwand ohne Darlegung der Umstände
Wie umfangreich muss eine rechtskonform erteilte Auskunft sein?
Dabei geht es regelmäßig um folgende Aspekte:
- Quantität: Wie viele personenbezogene Daten?
- Qualität: Welche personenbezogenen Daten?
Die Formulierungen von Art. 15 Abs. 1 und Abs. 3 S. 1 DSGVO deuten eher auf eine große Reichweite hin, während der Wortlaut von Art.15 Abs. 4 DSGVO hingegen einen differenzierteren Ansatz erlaubt.
Erste Gerichtsentscheidungen
Es war daher absehbar, dass sich die ersten Gerichtsurteile zu den Betroffenenrechten insbesondere mit dem Auskunftsrecht der betroffenen Person befassen werden. Während verschiedene Gerichte zur Reichweite unterschiedliche Ansichten vertreten, ist ein Urteil des Oberlandesgerichts Köln besonders erwähnenswert.
OLG Köln geht von einem sehr weiten Anwendungsbereich aus
Mit Urteil vom 26. Juli 2019 hat das OLG Köln, Az. 20 U 75/18, entschieden, dass Art. 15 DSGVO eine große Reichweite hat und der Anwendungsbereich somit sehr weit sei. Eine Auskunft nach Art.15 DSGVO könne nicht (einseitig) auf eine Teilmenge der vorhandenen personenbezogenen Daten begrenzt werden.
Sachverhalt der Entscheidung
Diesem Urteil liegt ein Lebensversicherungsvertrag zugrunde. Der Kläger begehrte gegenüber der Beklagten Auskunft über alle jemals verarbeiteten und noch immer in den Akten befindlichen personenbezogenen Daten im Zusammenhang mit seinem Lebensversicherungsvertrag.
Die Beklagte argumentierte, dass der Begriff „personenbezogene Daten“ nur Stammdaten umfassen würde (die Beklagte hatte diese dem Kläger bereits zur Verfügung gestellt). Weitere Informationen, insbesondere elektronisch gespeicherte Notizen über Telefongespräche und andere Gespräche mit dem Kläger, wollte die Beklagte nicht beauskunften, da diese Informationen nicht vom Anwendungsbereich eines Auskunftsanspruchs gemäß Artikel 15 DSGVO umfasst seien.
OLG bestätigt weiten Auskunftsanspruch
Das OLG Köln gab dem Kläger Recht und begründet sein Urteil damit, dass der Begriff nach dem Wortlaut der DSGVO weit auszulegen sei (siehe u.a. Art. 4 Abs. 1 DSGVO). Durch die Entwicklung der Informationstechnologien mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gebe es keine belanglosen Daten mehr. Das Gericht verweist dabei auf das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983, Az. 1 BvR 209/83. Alle Informationen/Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, seien danach als persönliche Daten zu betrachten.
Das Gericht qualifiziert daher auch Gesprächs- oder Telefonnotizen über den Kläger, aufgezeichnete Aussagen des Klägers oder aufgezeichnete Aussagen über den Kläger als personenbezogene Daten, die die Beklagte dem Kläger als Kopie im Rahmen des Auskunftsanspruchs zur Verfügung stellen müsse.
Keine Abwägung mit Geschäftsgeheimnisschutz
Zudem dürfe sich die Beklagte nicht auf den Schutz ihrer Geschäftsgeheimnisse berufen. Personenbezogene Daten – die vom Kläger zur Verfügung gestellt oder zumindest vom Kläger angegeben und von der Beklagten zur Kenntnis genommen wurden – können nach Auffassung des Gerichts kein Geschäftsgeheimnis der Beklagten darstellen.
Auswirkungen der Entscheidung auf die Praxis
Alle datenschutzrechtlich Verantwortlichen sollten inzwischen Prozesse implementiert haben, um Auskunftsansprüche von betroffenen Personen rechtskonform beantworten zu können. Diese werden insbesondere im Rahmen einer rechtlichen Auseinandersetzung zunehmend geltend gemacht (z.B. im Hinblick auf Kündigungsschutzklagen).
Unverzichtbar ist daher, die eigenen Prozesse daraufhin zu untersuchen, wie umfangreich eine Beauskunftung erfolgen kann. Verantwortliche sollte sogar Telefonnotizen und/oder Gesprächsnotizen über die betroffenen Personen berücksichtigen.
Sofern weitere Gerichte, insbesondere aus höheren Instanzen, der zugrunde liegenden Argumentation des OLG Köln folgen, könnte dieses Urteil in der Zukunft eine enorme Bedeutung erlangen. Darauf gilt es vorbereitet zu sein.
