Die Reichweite des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 DSGVO ist umstritten. Dies führt zu Unsicherheiten bei der Erfüllung.
Im Herbst 2023 kündigte der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) an, dass sich die dritte koordinierte Durchsetzungsmaßnahme (Coordinated Enforcement Framework (CEF)) der nationalen Datenschutzbehörden auf die Auskunftsrechte des Art. 15 der Europäischen Datenschutz-Grundverordnung (DSGVO) konzentrieren wird (wir berichteten in unserem Blog). Diese Aktion hat mittlerweile begonnen und auch die deutsche Datenschutzbehörden beteiligen sich daran. Die Bedeutung des datenschutzrechtlichen Auskunftsanspruchs wird im Jahr 2024 daher aller Voraussicht nach weiter zunehmen. Grund genug, einen Blick auf die wichtigsten gerichtlichen Entscheidungen zum Umfang und zur Umsetzung der Auskunft nach Art. 15 DSGVO zu werfen.
Zentrales Betroffenenrecht auf datenschutzrechtliche Auskunft: Art. 15 Abs. 1 und Abs. 3 DSGVO
Die Auskunftsansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO stellen zentrale Rechte der betroffenen Personen gegenüber dem für die Datenverarbeitung Verantwortlichen dar. Die Reichweite des Anspruchs auf Datenkopie (Art. 15 Abs. 3 DSGVO) sowie die Rechtsfolgen im Falle eines Verstoßes gegen Art. 15 DSGVO sind jedoch auch mehr als fünf Jahre nach Inkrafttreten der DSGVO nicht abschließend geklärt. Dieser Blog-Beitrag soll einen Überblick geben.
BAG: Keine Stellungnahme zur Reichweite des Anspruchs auf Datenkopie aufgrund eines unbestimmten Klageantrags
Mit dem Bundesarbeitsgericht (BAG) äußerte sich am 27. April 2021 (2 AZR 342/20) erstmals ein höchstrichterliches Gericht zu Art. 15 DSGVO. Da das BAG den Klageantrag aber bereits aus prozessualen Erwägungen ablehnte und sich dementsprechend erst gar nicht mit der materiell-rechtlichen Reichweite des Anspruchs befasste, führte das Urteil nicht zu einer Schärfung von Umfang und Grenzen des Anspruchs auf Datenkopie.
Der Entscheidung lag die Klage eines ehemaligen Arbeitnehmers* zugrunde. Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über die zu seiner Person verarbeiteten Daten sowie Überlassung einer Kopie dieser Daten. Der Klageantrag auf Überlassung einer Kopie war nach Auffassung des Gerichts nicht hinreichend bestimmt. Gemäß § 253 Abs. 2 Nr. 2 ZPO müssen die Auskunftsanträge so deutlich gefasst und der Klagegrund so klar festgelegt sein, dass die Reichweite des Urteilsausspruchs und der Umfang der Rechtskraft der Entscheidung sowohl bei einer dem Klageantrag stattgebenden Verurteilung als auch bei einer abweisenden Entscheidung eindeutig feststehen. Vor diesem Hintergrund entschied das BAG, dass der Kläger die E-Mails, deren Kopien er verlangte, zu ungenau bezeichnet habe. Soweit eine konkrete Benennung der E-Mails zum Zeitpunkt der Klageerhebung nicht möglich sei, müsse der Betroffene, so die Auffassung des BAG, den Auskunftsanspruch mittels einer sog. Stufenklage nach § 254 ZPO geltend machen. Auf diese Weise könne zunächst der Umfang des Anspruchs ermittelt werden (indem der Beklagte zur Abgabe einer Versicherung an Eides statt verurteilt wird), um dann auf der zweiten Stufe die eigentliche Herausgabe der E-Mails geltend zu machen. Ähnlich entschied das BAG in einem weiteren Verfahren mit Urteil vom 16. Dezember 2021 (2 AZR 235/21).
Insbesondere in arbeitsgerichtlichen Verfahren spielt Art. 15 DSGVO eine maßgebliche Rolle. Ehemalige Arbeitnehmer oder abgelehnte Bewerber fordern häufig Auskunft nach Art. 15 DSGVO sowie im Falle einer fehlerhaften Erfüllung Schadensersatz nach Art. 82 DSGVO (z.B. LAG Hamm, Urteil vom 11. Mai 2021 – 6 Sa 1260/20 und das BAG in der darauffolgenden Instanz mit Urteil vom 5. Mai 2022 – 2 AZR 363/21). Am 20. Juni 2024 stehen in zwei weiteren Verfahren vor dem BAG (8 AZR 91/22, 8 AZR 124/23) mit Bezug zu Art. 15 und Art. 82 DSGVO die Termine zur mündlichen Verhandlung an.
BGH: Weite Auslegung des Auskunftsanspruchs nach Art. 15 DSGVO
Aus der Entscheidung des BGH vom 15. Juni 2021 (VI ZR 576/19) lässt sich grundsätzlich eine sehr weitgehende Interpretation hinsichtlich des Auskunftsrechts herauslesen. Insbesondere spricht sich der BGH für eine uneingeschränkte Auslegung des Begriffs der „personenbezogene Daten“ im Sinne des Art. 4 Nr. 1 DSGVO aus und lehnt eine teleologische Reduktion auf lediglich „signifikante biografische Informationen“ ab. Nach Auffassung des BGH besteht der datenschutzrechtliche Auskunftsanspruch auch im Hinblick auf dem Kläger bereits bekannte Daten, z.B. zurückliegende Korrespondenz der Parteien. Interne Vermerke und interne Kommunikation, sowohl über als auch mit dem Betroffenen, sind danach ebenfalls personenbezogene Daten im Sinne der DSGVO und können Gegenstand des Anspruchs nach Art. 15 Abs. 1 DSGVO sein (so zuvor bereits OLG Köln, Urteil vom 19. Juni 2019 – 20 U 75/18). Konkret hat sich der BGH in seinem Urteil aber nur zu der Frage geäußert, ob und inwieweit es sich hierbei um personenbezogene Daten handelt, die dem Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO unterfallen. Ob darüber hinaus in gleichem Umfang auch die Herausgabe einer Kopie nach Art. 15 Abs. 3 DSGVO verlangt werden kann, war nicht Gegenstand des Verfahrens.
Grenzen des Auskunfts- und Herausgabeanspruchs nach Art. 15 DSGVO
Gleichwohl hat der BGH gewisse Grenzen des Auskunftsanspruchs aufgezeigt. So soll etwa kein Anspruch auf Auskunft über interne Bewertungen zu den Ansprüchen des Klägers (wie z.B. rechtlicher Analysen) bestehen, da die auf der Grundlage dieser Daten vorgenommene Beurteilung der Rechtslage keine Information über die betroffene Person und damit kein personenbezogenes Datum darstelle. Ähnlich hat der BGH zu Prämienanpassungen in der privaten Krankenversicherung entschieden, die immer wieder Gegenstand von Auskunftsansprüchen und gerichtlichen Verfahren sind (BGH, Urteil vom 6. Februar 2024 – VI ZR 15/23; BGH, Urteil vom 6. Februar 2024 – VI ZR 62/23; BGH, Urteil vom 21. Februar 2024 – IV ZR 311/22; BGH, Urteil vom 27. September 2023 – IV ZR 177/22).
Unabhängig von der Rechtsprechung des BGH sieht auch die DSGVO selbst Anknüpfungspunkte für eine mögliche Beschränkung des Auskunftsersuchens nach Art. 15 DSGVO vor.
Das Recht aus Art. 15 DSGVO kann durch nationale Vorschriften oder Rechte und Freiheiten anderer Einschränkungen erfahren
Das Recht auf Erhalt einer Kopie kann gemäß Art. 15 Abs. 4 DSGVO durch die Rechte und Freiheiten Dritter eingeschränkt werden. Erwägungsgrund 63 Satz 5 DSGVO nennt hierzu beispielhaft Geschäftsgeheimnisse, Rechte des geistigen Eigentums sowie das Urheberrecht. Der für die Verarbeitung Verantwortliche muss nachweisen können, dass in der konkreten Situation Rechte oder Freiheiten anderer beeinträchtigt würden. Selbst wenn dies gelingt, darf die Auskunft aber regelmäßig nicht vollständig verweigert werden. In der Praxis führt dies dazu, dass z.B. die Namen dritter Personen in Dokumenten unkenntlich gemacht werden müssen, um deren Identität nicht zu offenbaren. Im Einzelfall kann der Verantwortliche nach einer Interessenabwägung aber zur Benennung dritter Personen verpflichtet sein (vgl. BGH, Urteil vom 22. Februar 2022 – VI ZR 14/21).
Darüber hinaus können sich auch aus nationalen Vorschriften gemäß Art. 23 DSGVO i.V.m. §§ 27 ff. Bundesdatenschutzgesetz Einschränkungen des Auskunftsrechts ergeben (z.B. im Fall von besonderen Geheimhaltungspflichten oder im Zusammenhang mit Forschungs- und Archivierungszwecken). Der Anwendungsbereich dieser Ausnahmen ist in der Praxis jedoch relativ gering. Hinzu kommt, dass im Einzelnen bislang nicht abschließend geklärt ist, ob diese Ausnahmevorschriften überhaupt unionsrechtskonform sind.
Keine Auskunft bei rechtsmissbräuchlicher und exzessiver Geltendmachung des Anspruchs – Doch wann liegt ein solcher Fall vor?
Gemäß Art. 12 Abs. 5 Satz 2 lit. b) DSGVO kann sich der für die Verarbeitung Verantwortliche über Auskunftsersuchen hinwegsetzen, die offensichtlich unbegründet sind oder exzessiv geltend gemacht werden. Die Darlegungs- und Beweispflicht hierfür liegt jeweils beim Verantwortlichen. Die Schwelle für die Annahme von Missbräuchlichkeit ist in der Praxis recht hoch. Exzessive Anträge können dann vorliegen, wenn der Auskunftsanspruch mehrfach wiederholt wird (verneint z.B. bei OLG Brandenburg, Urteil vom 28. Februar 2024 – 11 U 161/23). Einen Rechtsmissbrauch hat das LG Wuppertal etwa dann angenommen, wenn dem Betroffenen die mit der Auskunft geforderten Informationen bereits vollständig vorliegen (Urteil vom 19. September 2023 – 16 O 40/23). Das OLG Hamm entschied ferner, dass ein Auskunftsbegehren nach Art. 15 DSGVO rechtsmissbräuchlich ist, wenn der Anspruch nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht wird und es dem Betroffenen nicht um die Überprüfung einer datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht (Beschluss vom 15. November 2021 – 20 U 269/21). Dieser Entscheidung lag ein Begehren eines privat krankenversicherten Klägers zugrunde, der durch die Auskunftsanfrage gemäß Art. 15 DSGVO nachweislich nur die Überprüfung von vorgenommenen Prämienanpassungen bezweckte, um mit den erteilten Auskünften die Berechnung etwaiger Rückzahlungsansprüche durchführen zu können (ähnlicher Sachverhalt: OLG Brandenburg, Urteil vom 29. September 2023 – 11 U 332/22). Das OLG Celle entschied demgegenüber in einem vergleichbaren Fall, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht streng zweckgebunden sei und nicht zwingend das Ziele verfolgen müsse, die Rechtmäßigkeit der Datenverarbeitung überprüfen zu können (Urteil vom 15. Dezember 2022 – 8 U 165/22). Dies entspricht auch der Sichtweise des EuGH, der zwischenzeitlich klargestellt hat, dass der Anspruch unabhängig von der verfolgten Intention besteht und nicht auf die in Erwägungsgrund 63 der DSGVO genannten Zwecken beschränkt ist (mehr dazu unten).
Wirkliche Rechtssicherheit kann nur der EuGH schaffen: Der Umfang des Auskunfts- und Kopieanspruchs nimmt Konturen an
Die vergangenen Jahre haben viel Bewegung in die Diskussion rund um die Reichweite des Auskunfts- und Kopieanspruchs aus Art. 15 DSGVO gebracht. Soweit ersichtlich waren die nationalen Datenschutzbehörden überwiegend der Ansicht, dass das Recht auf Kopie in gleichem Umfang wie das Recht auf Auskunft gemäß Art. 15 Abs. 1 Hs. 2 Var. 1 DSGVO bestehe und somit nicht nur auf die nach Art. 15 Abs. 1 Hs. 2 Var. 2 DSGVO zu erteilenden Metainformationen beschränkt sei. Auch das OLG München hatte sich für eine extensive Auslegung des Art. 15 Abs. 3 DSGVO ausgesprochen und insoweit einen eigenständigen Anspruch angenommen (Urteil vom 4. Oktober 2021 – 3 U 2906/20). Dennoch bestand auch nach den höchstrichterlichen Entscheidungen des BAG und des BGH kein einheitliches Rechtsverständnis.
Umso mehr war es zu begrüßen, dass sich der EuGH als oberste rechtsprechende Instanz der Europäischen Union im Jahr 2023 gleich mehrfach zu Art. 15 DSGVO geäußert hat.
Laut EuGH besteht Pflicht zur Mitteilung der konkreten Identität des Datenempfängers
Der EuGH entschied, dass der Verantwortliche gemäß Art. 15 DSGVO grundsätzlich dazu verpflichtet ist, die konkrete Identität der Datenempfänger im Rahmen der Auskunft mitzuteilen (vgl. Urteil vom 12. Januar 2023 – C-154/21). Zur Begründung führte der EuGH an, dass der Betroffene diese Informationen für die etwaige Geltendmachung anderer Betroffenenrechte wie z.B. der Berichtigung oder der Löschung benötige. Nur im Falle einer offenkundig unbegründeten oder exzessiven Auskunftsanfrage oder wenn eine Identifizierung zum Zeitpunkt der Auskunft ausnahmsweise nicht möglich sei, könne der Verantwortliche seine Antwort auf die Nennung der Kategorien der Empfänger beschränken.
Ähnlich entschied der EuGH im weiteren Verlauf des Jahres mit Urteil vom 22. Juni 2023 (C-579/21). In diesem Fall erfuhr ein Arbeitnehmer einer Bank, der zugleich deren Kunde war, dass andere Mitarbeiter dessen personenbezogene Daten abgefragt hatten. Der EuGH stellte insoweit fest, dass Zeitpunkt und Zweck der Abfragen vom Auskunftsrecht umfasst sind, nicht aber die Identität der Abfragenden. Etwas anderes gelte nur dann, wenn der Betroffene ohne die Information über die Identität der Abfragenden an der Ausübung eines Rechts nach der DSGVO gehindert wird und das Recht auf Privatsphäre der Abfragenden gewahrt bleibt. Ein weiteres Verfahren zu ähnlichen Vorlagefragen ist bei aktuell als Rechtssache C-203/22 beim EuGH anhängig.
Der EuGH äußert sich zu dem Begriff der „Kopie“ im Sinne des Art. 15 DSGVO
Mit Urteil vom 4. Mai 2023 (C-487/21) äußerte sich der EuGH in einer lang erwarteten Entscheidung zum Begriff der „Kopie“ im Sinne von Art. 15 DSGVO. Gemäß dem EuGH verlangt das Recht auf Kopie, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion seiner Daten bereitgestellt wird. Das Recht aus Art. 15 Abs. 3 DSGVO umfasse auch Auszüge aus Dokumenten, ganze Dokumente oder Auszüge aus Datenbanken, sofern dies für eine Geltendmachung weiterer Betroffenenrechte erforderlich sei. Dabei seien jedoch auch die Rechte und Freiheiten anderer Personen zu berücksichtigen. Art. 15 Abs. 1 DSGVO regele also letztlich Anwendungsbereich und Gegenstand des Auskunftsrechts, während Art. 15 Abs. 3 DSGVO die Modalitäten für die Erfüllung der Verpflichtung beschreibe. Dementsprechend könne Art. 15 DSGVO nicht dahingehend ausgelegt werden, dass Abs. 3 ein von Abs. 1 abweichendes Recht gewähren solle.
EuGH: Erstmalige Auskunft stets kostenfrei und auch bei datenschutzfremden Motiven
Im Oktober 2023 entschied der EuGH (C-307/22), dass Patienten gemäß Art. 15 DSGVO das Recht zustehe, eine erste Kopie der vollständigen Patientenakte unentgeltlich zu erhalten. Dies beziehe sich auf sämtliche Inhalte (z.B. Diagnosen, Untersuchungsergebnisse, Befunde) und gelte unabhängig von dem durch den Patienten mit der Auskunft verfolgten Zweck. Der Vorlage des BGH lag ein Fall zugrunde, in dem ein Patient von seiner Zahnärztin eine unentgeltliche Auskunft nach Art. 15 DSGVO verlangte, weil er einen Behandlungsfehler vermutete. Der Generalanwalt hatte in seinen Schlussanträgen zuvor bereits geäußert, dass das Auskunftsrecht der DSGVO nicht von der Absicht abhänge, die betreffenden Informationen für datenschutzrechtliche Belange zu verwenden. Die Ärztin hatte ursprünglich erklärt, die Akte nur gegen Übernahme der Kopierkosten gemäß § 630g Abs. 2 Satz 2 BGB bereitstellen zu wollen. Der EuGH stellte klar, dass entsprechende Kosten nur dann erstattungsfähig sind, wenn der Patient nach der ersten unentgeltlichen Auskunft einen erneuten Antrag auf Einsicht stellt.
Die Leitlinien des EDPB zum Auskunftsrecht nach Art. 15 DSGVO
Auch das EDPB hat sich vertieft mit dem datenschutzrechtlichen Auskunftsanspruch beschäftigt und im März 2023 finale Leitlinien veröffentlicht („Guidelines 01/2022 on data subject rights – Right of Access – Version 2.0“). Auch demnach ist Art. 15 DSGVO weit auszulegen, so dass die Ausübung des Auskunftsrechts für Betroffene möglichst niedrigschwellig ist. Insbesondere sollen die Möglichkeiten für eine Abweisung von Auskunftsersuchen nach dem EDPB restriktiv ausgelegt werden. So darf ein Auskunftsersuchen gemäß den Leitlinien etwa nicht (ausschließlich) wegen eines hohen Bearbeitungsaufwands abgelehnt werden. Zwar haben Leitlinien und Stellungnahmen des EDPB insbesondere für Gerichte keine Bindungswirkung, sie können aber wichtige Orientierungspunkte für den Umgang mit Auskunftsersuchen bieten. Hilfreich für die praktische Handhabe erscheint insoweit insbesondere das Flussdiagramm, dass das EDPB auf Seite 61 der Leitlinien zur Verfügung stellt. Eines der Ziele der vorgenannten koordinierten Aktion des EDPB und der nationalen Datenschutzbehörden zu Art. 15 DSGVO ist es, herauszufinden, ob Anpassungsbedarf an den derzeitigen Leitlinien besteht.
Umsetzung in der Praxis: Festlegung von technischen und organisatorischen Prozessen
Die weite Auslegung des Art. 15 DSGVO stellt für viele Unternehmen eine Herausforderung dar. Um DSGVO-Auskunftsanfragen effizient und fristgemäß beantworten zu können, empfiehlt es sich daher, schon vor dem Eingang etwaiger Ansprüche geeignete technische sowie organisatorische Prozesse zu entwickeln. Eine etablierte Daten-Governance ist insbesondere vor dem Hintergrund der recht knapp bemessenen Monatsfrist sowie der im Zuge der digitalen Transformation weiter zunehmenden Datennutzung (allen voran beim Einsatz von Künstlicher Intelligenz) zu empfehlen.
So sollten alle relevanten Stellen über das Auskunftsrecht nach Art. 15 DSGVO informiert und bereits vorab klar definierte Arbeitsabläufe unter Berücksichtigung von Verantwortlichkeiten und Fristen festgelegt werden. Als Orientierung für die internen Prozesse können die EDPB-Leitlinien dienen, die u.a. Angaben zu den formellen Anforderungen an die Beantwortung eines Auskunftsersuchens sowie zu einer ggf. notwendigen Identifizierung der auskunftsersuchenden Person beinhalten. Bei der Erteilung der Auskunft in elektronischer Form ist darauf zu achten, dass in Abhängigkeit vom Schutzbedarf der Daten bestimmte Sicherheitsmaßnahmen getroffen werden sollten (so sah z.B. das ArbG Suhl in einer mittels unverschlüsselter E-Mail erteilten Auskunft an einen ehemaligen Arbeitnehmer einen Verstoß gegen Art. 5 DSGVO, Urteil vom 20. Dezember 2023 – 6 Ca 704/23). Schließlich dürfte es in der Praxis sinnvoll sein, ein Musterantwortschreiben vorzubereiten, das zumindest die in Art. 15 Abs. 1 lit. a) bis h) DSGVO geforderten Informationen enthält.
Gestuftes Vorgehen bei umfangreichen Auskunftsersuchen
Im Falle einer Anfrage nach Art. 15 DSGVO empfiehlt es sich, zeitnah Auskunft darüber zu erteilen, ob personenbezogene Daten des Betroffenen verarbeitet werden. Auch wenn dies nicht der Fall sein sollte, ist dies mitzuteilen. Falls Daten des Betroffenen nur in geringem Umfang verarbeitet werden (z.B. Zusendung des Newsletters), sollte hierüber bereits im Rahmen der ersten Rückmeldung entsprechend den Vorgaben aus Art. 15 DSGVO informiert werden. Soweit der Verantwortliche umfangreiche personenbezogene Daten des Betroffenen verarbeitet (etwa bei ehemaligen Mitarbeitenden mit langjähriger Betriebszugehörigkeit), kann es unter Umständen jedoch sinnvoll sein, das Auskunftsersuchen gestuft zu beantworten (so z.B. das EDPB in seinen „Guidelines 01/2022 on data subject rights – Right of Access – Version 2.0“ auf S. 4, 46f.; 10. Tätigkeitsbericht 2020 (bayern.de) auf S. 50f.).
Bei Verstößen gegen das Auskunftsrecht können Bußgelder und Schadensersatzansprüche drohen
Verstöße gegen das Auskunftsrecht des Art. 15 DSGVO können nicht nur von den Datenschutzbehörden mit Bußgeldern sanktioniert werden, sondern Schadensersatzansprüche der betroffenen Person gemäß Art. 82 DSGVO auslösen. Bei einer gar nicht, unvollständig oder verspätet erteilten Auskunft kann dem Betroffenen ein immaterieller Schaden entstehen. Die Ersatzfähigkeit eines solchen Schadens wurde von einigen nationalen Gerichten unter Verweis auf die Notwendigkeit des Erreichens einer sog. Erheblichkeits- oder Bagatellschwelle lange Zeit verneint (z. B. LG Leipzig, Urteil vom 23. Dezember 2021 – 03 O 1268/21). Der EuGH hat mit Urteil vom 4. Mai 2023 (C‑300/21) nunmehr allerdings höchstrichterlich entschieden, dass für die Geltendmachung des Ersatzes eines immateriellen Schadens zumindest keine Erheblichkeits- oder Bagatellschwelle überschritten sein muss. Dennoch wird der Anspruch auch nach Auffassung des EuGH nicht durch jeden DSGVO-Verstoß automatisch ausgelöst, sondern nur dann, wenn der Betroffene einen kausalen Schaden nachweisen kann.
Unser regelmäßig aktualisierter Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO informiert Sie laufend zu diesem Thema. Bleiben Sie mit unserem Blog zu weiteren datenschutzrechtlichen Themen auf dem Laufenden. Einen Überblick über DSGVO-Bußgelder erhalten Sie mit dem CMS Enforcement Tracker.
This article is also available in English.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.