Um das Dauerthema Auskünfte nach Art. 15 DSGVO gibt es immer wieder Streit. Verantwortliche müssen den Auskunftsanspruch ernst nehmen, aber sie müssen sich nicht auf jede Forderung nach Auskunft einlassen. Nicht nur der Art 12 Abs.5, lit.(b) setzt dem Auskunftsanspruch gemäß DSGVO Grenzen. Dass die Nutzung der DSGVO um zum Beispiel in streitigen Verfahren die eigene Beweislage zu verbessern, eine rechtsmissbräuchliche Ausnutzung des Auskunftsrechts durch den Betroffenen sein kann, bestätigen inzwischen auch Gerichtsurteile. Eine genaue und standardisierte Prüfung des Auskunftsbegehrens ist für Verantwortliche also sehr sinnvoll und sollte stets durchgeführt werden.
So gab das LAG Sachsen mit seinem Urteil vom 16.02.2021, Az. 2 Sa 63/20 (REWIS RS 2021, 8664) https://rewis.io/s/u/X7LZ/dem beklagten Arbeitgeber Recht und entschied, dass er den Auskunftsanspruch seines klagenden Arbeitnehmers gemäß Art. 15 Abs. 1 DSGVO nicht erfüllen muss, da dieser rechtsmissbräuchlich sei. Während eines laufenden Rechtsstreits gegen seinen ehemaligen Arbeitgeber, in dem es unter anderem um die Vergütung von Überstunden ging, wollte der Kläger unter Bezugnahme auf Art. 15 DSGVO eine detaillierte Auskunft zur geleisteten Arbeitszeit. Das Gericht kam zu der Überzeugung, dass der Kläger sich mit der Geltendmachung seines Auskunftsanspruches Beweise für die behaupteten Überstunden verschaffen wollte. Dies sei, so das Gericht, jedoch nicht Zweck und Ziel der DSGVO.
Aus dem Urteil:
„Sie [Anm.: die DSGVO] schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 1 und Abs. 2 DSGVO). Dies wird in Kapitel 3 (Rechte der betroffenen Personen) konkretisiert. Abschnitt 2 regelt die Informationspflicht und das Recht auf Auskunft zu personenbezogenen Daten. Nach Abschnitt 3 (Berichtigung und Löschung) geht es dann um das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, die Mitteilungspflicht im Zusammenhang mit der Berichtigung und Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit (Art. 16 bis Art. 20 DSGVO) „
Da es dem Kläger jedoch erkennbar nicht um seine aus der DSGVO resultierenden Rechte ging sondern um eine Auskunft zu Daten, die er einzig zur Untermauerung seines Anspruchsbegehrens benötigte, wies das Gericht den Auskunftsanspruch ab. Dabei unterstrich es, dass die Beweislast für seine Forderung beim Kläger liegt und nicht – über den Umweg durch die DSGVO – beim Beklagten.
Auch das OLG Nürnberg folgt in einem Rechtsstreit zwischen Versicherer und Kunden, welcher sich gegen Beitragsanpassungen zur Wehr setzte, mit seinem Urteil vom 14.03.2022, Aktenzeichen 8 U 2907/21, https://openjur.de/u/2394101.html , diesem Tenor.
Orientierung im Erwägungsgrund 63
Grundsätzliche Anhaltpunkte bei der Auslegung, welches Auskunftsersuchen erfüllt werden muss und wo es nicht um den Schutzzweck der DSGVO geht, gibt der Erwägungsgrund 63 zu Art. 15 DSGVO https://dsgvo-gesetz.de/erwaegungsgruende/nr-63/. Mit dem Art. 15 DSGVO normierten Auskunftsrecht soll die betroffene Person problemlos und in angemessenen Abständen die Möglichkeit haben, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 – VI ZR 576/19, VersR 2021, 1019 Rn. 23). Hierbei wird dem Verantwortlichen durchaus einige Anstrengung zugemutet. Wenn es dem Antragsteller jedoch offensichtlich nicht um ein solches Bewusstwerden und die Überprüfung der Rechtmäßigkeit der Datenverarbeitung geht, kann beim Auskunftsverlangen Rechtsmissbrauch vorliegen.
Standardisierten Auskunftsprozess einführen
Dennoch ist lange nicht jedes Auskunftsersuchen rechtsmissbräuchlich und kann, zumindest diesen Teil des Begehrens betreffend, zurückgewiesen werden. So oder so ist ein standardisierter Prozess zum Auskunftsverfahren, der von geschulten Mitarbeitern durchgeführt wird, sehr hilfreich. Im ersten Anlauf geht es neben der eindeutigen Identifikation des Betroffenen darum, den genauen Zweck des Auskunftsersuchens zu ergründen. Ist die Bearbeitung des Auskunftsanspruchs höchst umfangreich, darüber hinaus kosten- und zeitintensiv, somit unter Umständen als exzessiv gemäß Art. 12 Abs. 5 DSGVO zu werten,– etwa weil sämtliche Korrespondenz, auch E-Mails, Reports zu Arbeitszeitauswertungen, angefordert werden,- kann der Verantwortliche gem. Erwägungsgrund (63), Satz 7
– Zitat –
„Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
den Anspruchsteller bitten, das Auskunftsbegehren zu konkretisieren.
Rechte Dritter beachten
Außerdem dürfen Geschäftsgeheimnisse weiterhin solche bleiben, genauso wie die Rechte und Freiheiten anderer natürlicher Personen nicht durch eine Auskunft verletzt werden dürfen. Des Weiteren dürfen weder Urheberrechte an Software beeinträchtigt werden noch die Rechte Dritter, auf die sich die Korrespondenz, die eingefordert wird, unter Umständen bezieht. Der Verantwortliche ist nicht völlig frei von einer Auskunftserteilung. Er muss Auskunft erteilen, kann aber gegebenenfalls einzelne Auskünfte begründet verweigern. Um auf der (rechts)-sicheren Seite zu sein, sollte bei solchen Fragestellungen externe oder betriebliche Datenschutzbeauftragte rechtzeitig einbezogen werden. Wichtig ist auch, die Auskunftsfrist von einem Monat nach Eingang des Auskunftsersuchens gemäß Art. 12 Abs. 3 DSGVO einzuhalten.
