Umfang des Auskunfts- und Datenkopie Anspruchs, Art. 15 DSGVO

Wie inzwischen viele Unternehmen erfahren haben dürften, haben Betroffene (z.B. Arbeitnehmer, Kunden, Gäste) einen Auskunftsanspruch gegenüber dem Verantwortlichen, der seine, bzw. ihre personenbezogenen Daten verarbeitet. Neben dem Auskunftsanspruch muss auf Anfrage auch eine Kopie der personenbezogenen Daten zur Verfügung gestellt werden, die Gegenstand der Verarbeitung sind.

Der Umfang des Auskunfts- und Datenkopie Anspruchs gem. Art. 15 Abs. 1, 3 DSGVO ist umstritten. In diesem Bereich gibt es inzwischen verschiedene Rechtsprechungen und Ansichten. Dieser Artikel dient der Vermittlung eines Überblicks, über die verschiedenen bisher ergangenen Urteile.

Für Software-Entwickler und IT-Dienstleister ist der Streit insoweit entscheidend, als dass sie für Ihre Kunden DSGVO-konforme Software und IT-Lösungen bereitstellen müssen. Die Auslegung des Auskunftsanspruchs hat demnach Auswirkungen auf die zur Verfügung gestellten Leistungen.

I. Auslegung des Art. 15 DSGVO

Zunächst ist umstritten, ob der Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO restriktiv (also eng) oder extensiv (also weit) auszulegen ist.

Restriktive Auslegung

Unter Anwendung der restriktiven Auslegung umfasst der Anspruch gem. Art. 15 Abs. 1 DSGVO lediglich die Stammdaten der betroffenen Person. Diese beziehen sich bspw. auf den Namen, die Anschrift und sonstige Kontaktdaten, ggf. noch das Geburtsdatum und andere Informationen, die im Zusammenhang mit der Person zur Person erhoben wurden, jedoch nicht auf darüberhinausgehende Informationen.

Bei der Geltendmachung eines Anspruchs auf eine Datenkopie gem. Art. 15 Abs. 3 DSGVO müssten lediglich diese Stammdaten und die in Art. 15 Abs. 1 lit. a – h DSGVO genannten Informationen zur Verfügung gestellt werden.

Extensive Auslegung

Bei der extensiven Auslegung des Auskunftsanspruchs müssen sämtliche von der Person verarbeiteten Daten in der Rohfassung übermittelt werden. Dies bezieht sich unter anderem auf Aufzeichnungen, Videos und Dokumente, die personenbezogene Daten enthalten.

Der Anspruch auf Datenkopie gem. Art. 15 Abs. 3 DSGVO umfasst, bei Vertretung dieser Ansicht, sämtliche persönliche als auch sachliche Informationen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt als Verarbeitung. Dies können unter Umständen auch sämtliche Emails sein, die mit dem Verantwortlichen bzw. seinen Mitarbeitern ausgetauscht wurden.

II. Bisherige Rechtsprechung

  1. BGH, Urteil vom 15.06.2021 (Az.: VI ZR 576/19)

In dem Verfahren vor dem BGH ging es darum, ob und welche Informationen ein Versicherungsnehmer (VN) von einer Lebensversicherungsgesellschaft herausverlangen kann. Der Kläger begehrte vollständige Auskunft. Diese umfasste sämtliche vorhandenen Daten, einschließlich der internen zur Person des Klägers und der mit ihm gewechselten Korrespondenz, interne Telefon- und Gesprächsnotizen, sonstige interne Notizen und internen Bewertungen. Die beklagte Versicherungsgesellschaft wies einen so umfassenden Anspruch ab.

Der BGH entschied, dass der Kläger einen teilweisen umfassenden Auskunftsanspruch hat. So heißt es:

Nach diesen Grundsätzen können entgegen der Ansicht des Berufungsgerichts die zurückliegende Korrespondenz der Parteien, das „Prämienkonto“ des Klägers und Daten des Versicherungsscheins sowie interne Vermerke und Kommunikation der Beklagten nicht kategorisch vom Anwendungsbereich des Art. 15 Abs. 1 DSGVO ausgeschlossen werden.
[…]
Interne Vermerke oder interne Kommunikation bei der Beklagten, die Informationen über den Kläger enthalten, kommen als Gegenstand des Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO ebenfalls grundsätzlich in Betracht. Dies ist beispielsweise entsprechend der Beurteilung der Schreiben des Klägers bei Vermerken der Fall, die festhaften, wie sich der Kläger telefonisch oder in persönlichen Gesprächen geäußert hat. Auch Vermerke über den Gesundheitszustand des Klägers enthalten personenbezogene Daten. Die Erwägung des Berufungsgerichts, es handele sich bei Vermerken um „interne Vorgänge der Beklagten“, ist im Hinblick auf den Begriff der personenbezogenen Daten ohne Relevanz. Der Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO setzt offensichtlich weder nach seinem Wortlaut noch nach Sinn und Zweck voraus, dass die fraglichen Daten extern zugänglich sind.

Stellungnahme

Diese Entscheidung ist hat es in sich. Der BGH entscheidet nicht zwischen umfangreicher Datenverarbeitung und internen oder extern zugänglichen Daten. Entscheidend ist allein, ob es sich um personenbezogene Daten handelt. Werden also zu einer Person interne Vermerke vorgenommen, so hat die Person einen Anspruch darauf, dies zu erfahren.

  1. Finanzgericht Berlin-Brandenburg, Urteil vom 27.10.2021 (Az.: 16 K 5148/20)

Der 16. Senat des Finanzgericht Berlin-Brandenburg entschied entgegen der Ansicht des BGH.
Streitgegenstand der Klage war, ob das Finanzamt nach Art. 15 Abs. 3 DSGVO verpflichtet ist die Kopie einer Akte, in Gestalt von einem elektronischen Doppel, zur Verfügung zu stellen.

Zwar stellte das Gericht fest, dass grundsätzlich alle in der Steuerakte vorhandenen Informationen auch personenbezogene Daten sind. Dennoch vertritt der 16. Senat die Auffassung, dass Art. 15 Abs. 1 und 3 DSGVO lediglich einen einheitlichen Anspruch darstellen. Mit anderen Worten ist der Abs. 3 lediglich eine besondere Form der Auskunft. Weswegen der Informationsgehalt nicht weitergehen könne als in Abs. 1 definiert.

Auch die extensive Auslegung von Art. 15 Abs. 3 DSGVO führe vorliegend zu keinem anderen Ergebnis, so das Gericht. Verwiesen wird dabei auf ein exzessives Begehren i.S.v. Art. 12 Abs. 5 DSGVO. Kann der Verantwortliche nachweisen, dass das Begehren offenkundig unbegründet oder einen exzessiven Charakter hat, darf er den Anspruch verweigern. Ein solcher exzessiver Charakter liegt bspw. vor, wenn die Art der personenbezogenen Daten nicht näher bezeichnet wird und der Verantwortliche große Mengen von Informationen verarbeitet.

Das Gericht verdeutlicht, dass in Unterschied zu dem BGH Urteil vom 15.06.2021 (Az.: VI ZR 576/19) der Kläger seinen Anspruch nicht näher bezeichnet. Vielmehr begehrt er pauschal ein Aktendoppel. Dies bezieht sich nicht auf einen konkreten, eng begrenzten Lebenssachverhalt.

Stellungnahme

Das Finanzgericht hat sich somit nicht über die höchstrichterliche Entscheidung des BGH hinweggesetzt, sondern aufgrund der unterschiedlichen Sachlage eine andere, und somit praxisnähere Entscheidung getroffen.

  1. BAG, 2. Senat, Urteil vom 27.04.2021 (Az.: 2 AZR 342/20)

Der Kläger (Arbeitnehmer) war bei der Beklagten (Arbeitgeber) beschäftigt. Er verlangte Auskunft und eine Kopie der personenbezogenen Daten von der Beklagten. Die Auskunft wurde erteilt, der Anspruch auf Kopie war Verfahrensgegenstand.

Das Arbeitsgericht wies die Klage ab. Das Landesarbeitsgericht gab der Klage teilweise statt. Ein Anspruch auf eine Datenkopie besteht in Bezug auf die Informationen, die bereits Gegenstand der Auskunft waren. Mittels Revision verfolgte der Kläger sein begehren weiter. Er begehrt eine Kopie von sämtlichen E-Mailverkehrs, sowie aller E-Mails in denen er namentlich erwähnt wird.

Einen solchen Anspruch ist nach Ansicht des 2. Senat des BAG zu unbestimmt. Mit der bloßen Wiederholung des Wortlautes von Art. 15 Abs. 3 S. 1 DSGVO lässt sich nicht erkennen, von welchen Daten eine Kopie verlangt wird. Aus diesem Grund wurde die Revision des Klägers abgewiesen.

Stellungnahme

Hier kommt es auf die Bestimmtheit des Antrags an. Viele Arbeitnehmer haben, um den arbeitsrechtlichen Prozess gegen den Arbeitgeber zu retten bzw. den Arbeitgeber noch unter Druck zu setzen, Auskunftsansprüche gelten gemacht. Dadurch hat sich eine entsprechende Rechtsprechung gefestigt, die sich vor allem mit dem Antrag auf Auskunft beschäftigt hat.

  1. AG Hamm Urteil vom 05.04.2022 (Az.: 1 Ca 1070/21)

In dem Verfahren vor dem Amtsgericht Hamm stritten die Parteien über die Wirksamkeit einer außerordentlichen sowie hilfsweise ordentlichen Kündigung, der Pflicht zur Erteilung eines Zwischenzeugnisses, der Verpflichtung zur Erteilung einer Kopie über personenbezogene Daten und der Verpflichtung eines Schadensersatzes.

Insbesondere der Anspruch auf Erteilung einer Kopie der personenbezogenen Daten wurde abgelehnt. Grund hierfür war, dass der Kläger (Arbeitnehmer) behauptet, der Auskunftsanspruch sei von der Beklagten nur unzureichend erfüllt worden. Dabei nahm der Kläger keinen Bezug darauf, welche Auskünfte bereits erteilt wurden und in Bezug auf welche Daten, aus seiner Sicht, unzureichend seien.

Stellungnahme

Diese Entscheidung lässt leider, sämtliche Ausführungen dazu, welche Auskünfte allgemein zu erteilen sind, fehlen. Für das Gericht eine angenehme Art und Weise sich mit dieser Frage und den verschiedenen Ansichten auseinandersetzen zu müssen.

III. Fazit

Die Entscheidungen zeigen zum einen, dass sich die verschiedenen Gerichte selbst noch nicht einig sind. Zum anderen wird deutlich, dass es in Rahmen von Art. 15 Abs. 1 und 3 DSGVO darauf ankommt von welchen Daten eine Kopie verlangt wird.

Zum anderen sollten sich Unternehmen nicht darauf ausruhen, lediglich Stammdaten in Kopie zu übermitteln. Die restriktive Auslegung des Auskunftsanspruchs und des Anspruchs auf Datenkopie werden von den Gerichten überwiegend abgelehnt.

Das bedeutet für Software-Entwickler und IT-Dienstleister, dass die IT-Lösungen so gestaltet werden müssen, dass der Kunde auf einfachen Wegen eine Möglichkeit erhält, die Daten schnell und umfassend bereitzustellen. Nichts ist schlimmer, als sämtliche Daten des Betroffenen manuell zusammen zu suchen.

Hier werden demnach einige Software-Entwickler nachlegen müssen.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen