Wann sind Auskunftsersuchen gem. Art 15 DSGVO rechtsmissbräuchlich?

Um das Dauerthema Auskünfte nach Art. 15 DSGVO gibt es immer wieder Streit. Verantwortliche müssen den Auskunftsanspruch ernst nehmen, aber sie müssen sich nicht auf jede Forderung nach Auskunft einlassen. Nicht nur der Art 12 Abs.5, lit.(b) setzt dem Auskunftsanspruch gemäß DSGVO Grenzen. Dass die Nutzung der DSGVO um zum Beispiel in streitigen Verfahren die eigene Beweislage zu verbessern, eine rechtsmissbräuchliche Ausnutzung des Auskunftsrechts durch den Betroffenen sein kann, bestätigen inzwischen auch Gerichtsurteile. Eine genaue und standardisierte Prüfung des Auskunftsbegehrens ist für Verantwortliche also sehr sinnvoll und sollte stets durchgeführt werden.

So gab das LAG Sachsen mit seinem Urteil vom 16.02.2021, Az. 2 Sa 63/20 (REWIS RS 2021, 8664) https://rewis.io/s/u/X7LZ/dem beklagten Arbeitgeber Recht und entschied, dass er den Auskunftsanspruch seines klagenden Arbeitnehmers gemäß Art. 15 Abs. 1 DSGVO nicht erfüllen muss, da dieser rechtsmissbräuchlich sei. Während eines laufenden Rechtsstreits gegen seinen ehemaligen Arbeitgeber, in dem es unter anderem um die Vergütung von Überstunden ging, wollte der Kläger unter Bezugnahme auf Art. 15 DSGVO eine detaillierte Auskunft zur geleisteten Arbeitszeit. Das Gericht kam zu der Überzeugung, dass der Kläger sich mit der Geltendmachung seines Auskunftsanspruches Beweise für die behaupteten Überstunden verschaffen wollte. Dies sei, so das Gericht, jedoch nicht Zweck und Ziel der DSGVO.

Aus dem Urteil:

„Sie [Anm.: die DSGVO] schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 1 und Abs. 2 DSGVO). Dies wird in Kapitel 3 (Rechte der betroffenen Personen) konkretisiert. Abschnitt 2 regelt die Informationspflicht und das Recht auf Auskunft zu personenbezogenen Daten. Nach Abschnitt 3 (Berichtigung und Löschung) geht es dann um das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, die Mitteilungspflicht im Zusammenhang mit der Berichtigung und Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit (Art. 16 bis Art. 20 DSGVO) „   

Da es dem Kläger jedoch erkennbar nicht um seine aus der DSGVO resultierenden Rechte ging sondern um eine Auskunft zu Daten, die er einzig zur Untermauerung seines Anspruchsbegehrens benötigte, wies das Gericht den Auskunftsanspruch ab. Dabei unterstrich es, dass die Beweislast für seine Forderung beim Kläger liegt und nicht – über den Umweg durch die DSGVO – beim Beklagten.

Auch das OLG Nürnberg folgt in einem Rechtsstreit zwischen Versicherer und Kunden, welcher sich gegen Beitragsanpassungen zur Wehr setzte,  mit seinem Urteil vom 14.03.2022, Aktenzeichen 8 U 2907/21, https://openjur.de/u/2394101.html , diesem Tenor.

Orientierung im Erwägungsgrund 63

Grundsätzliche Anhaltpunkte bei der Auslegung, welches Auskunftsersuchen erfüllt werden muss und wo es nicht um den Schutzzweck der DSGVO geht, gibt der Erwägungsgrund 63 zu Art. 15 DSGVO https://dsgvo-gesetz.de/erwaegungsgruende/nr-63/. Mit dem Art. 15 DSGVO normierten Auskunftsrecht soll die betroffene Person problemlos und in angemessenen Abständen die Möglichkeit haben, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 – VI ZR 576/19, VersR 2021, 1019 Rn. 23). Hierbei wird dem Verantwortlichen durchaus einige Anstrengung zugemutet. Wenn es dem Antragsteller jedoch offensichtlich nicht um ein solches Bewusstwerden und die Überprüfung der Rechtmäßigkeit der Datenverarbeitung geht, kann beim Auskunftsverlangen Rechtsmissbrauch vorliegen.

Standardisierten Auskunftsprozess einführen

Dennoch ist lange nicht jedes Auskunftsersuchen rechtsmissbräuchlich und kann, zumindest diesen Teil des Begehrens betreffend, zurückgewiesen werden. So oder so ist ein standardisierter Prozess zum Auskunftsverfahren, der von geschulten Mitarbeitern durchgeführt wird, sehr hilfreich. Im ersten Anlauf geht es neben der eindeutigen Identifikation des Betroffenen darum, den genauen Zweck des Auskunftsersuchens zu ergründen. Ist die Bearbeitung des Auskunftsanspruchs höchst umfangreich, darüber hinaus kosten- und zeitintensiv, somit unter Umständen als exzessiv gemäß Art. 12 Abs. 5 DSGVO zu werten,– etwa weil sämtliche Korrespondenz, auch E-Mails, Reports zu Arbeitszeitauswertungen, angefordert werden,- kann der Verantwortliche gem. Erwägungsgrund (63), Satz 7

– Zitat –

„Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

den Anspruchsteller bitten, das Auskunftsbegehren zu konkretisieren.

Rechte Dritter beachten

Außerdem dürfen Geschäftsgeheimnisse weiterhin solche bleiben, genauso wie die Rechte und Freiheiten anderer natürlicher Personen nicht durch eine Auskunft verletzt werden dürfen. Des Weiteren dürfen weder Urheberrechte an Software beeinträchtigt werden noch die Rechte Dritter, auf die sich die Korrespondenz, die eingefordert wird, unter Umständen bezieht. Der Verantwortliche ist nicht völlig frei von einer Auskunftserteilung. Er muss Auskunft erteilen, kann aber gegebenenfalls einzelne Auskünfte begründet verweigern. Um auf der (rechts)-sicheren Seite zu sein, sollte bei solchen Fragestellungen externe oder betriebliche Datenschutzbeauftragte rechtzeitig einbezogen werden. Wichtig ist auch, die Auskunftsfrist von einem Monat nach Eingang des Auskunftsersuchens gemäß Art. 12 Abs. 3 DSGVO einzuhalten.

Die DSGVO im Verein

Dass auch Regelungen zum Datenschutz zwingend in die Vereinssatzung müssen, steht so zwar nirgendwo geschrieben. Dennoch müssen auch Vereine, egal ob gemeinnützig oder einem wirtschaftlichem Interesse folgend, alle personenbezogenen Daten von Mitgliedern und Mitarbeitern gemäß den Vorgaben der DSGVO und des BDSG schützen und behandeln. Es bietet sich daher an, die DSGVO in der Vereinssatzung zu berücksichtigen. Eventuell muss die Satzung überarbeitet werden. Es lohnt sich. Denn das schafft Rechtssicherheit, Transparenz sowie die nötige Struktur, um handlungsfähig zu sein und den Vereinszweck weitestgehend reibungslos zu verfolgen. „Die DSGVO im Verein“ weiterlesen

Datenschutz im Homeoffice und bei Videokonferenzen

 

Home-Office Arbeitsplätze fordern von Arbeitgebern und ihren Mitarbeiter ein hohes Maß an logistischer, technischer und organisatorischer Vorbereitung. Das ist anspruchsvoll und nicht annähernd so romantisch, wie sich das manch einer vorstellt. Denn wenn Mitarbeiter vom Home-Office aus arbeiten sollen, reicht es nicht aus, den heimischen PC anzuwerfen und sich vielleicht sogar noch im Schlafanzug und dem Hund unterm Tisch via Remote Verbindung ins Firmen-Netzwerk einzuloggen, um dann mal eben den Job zu machen. „Datenschutz im Homeoffice und bei Videokonferenzen“ weiterlesen

Art.32, Abs.1 DSGVO – Kunden am Telefon sicher identifizieren

Art.32 DSGVO im Callcenter

Gegen das 2019 vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI)  verhängte Bußgeld in Höhe von 9,55 Mio. EURO setzte sich der damit wegen Verstoß gegen Art. 32, Abs. 1 DSGVO betroffene Internetdienstanbieter 1&1 zur Wehr und fuhr im November 2020 einen Teilerfolg ein. Das Landgericht Bonn bestätigte zwar die Datenschutzrechtsverletzung durch 1&1, setzte jedoch das Bußgeld auf 900.000 EURO herab. Das Urteil des Landgerichtes ist beachtenswert. Daraus folgt, dass nicht nur Betreiber von Telefon-Hotlines und Callcentern, sondern alle Unternehmen, die Kunden auch telefonisch beraten, ihre technischen und organisatorischen Maßnahmen (TOM) für das telefonische Authentifizierungsverfahren regelmäßig prüfen sollten. „Art.32, Abs.1 DSGVO – Kunden am Telefon sicher identifizieren“ weiterlesen

EuGH: Datenübermittlung in die USA auf Privacy Shield Basis rechtswidrig

Privay Shield

Der österreichische Jurist und Datenschutzaktivist Max Schrems war mit seiner Datenschutzklage vor dem Europäischen Gerichtshof (EuGH) gegen die Zulässigkeit der Übermittlung personenbezogener Daten von der EU in die USA teilweise erfolgreich. Teilweise heißt, dass zum einen die EU-US Privacy Shield Vereinbarung für rechtsunwirksam erklärt wurde, zum anderen jedoch die Standarddatenschutzklauseln gem. Art. 46 DSGVO (Standard Contractual Clauses – SCC) auch weiterhin Bestand haben. „EuGH: Datenübermittlung in die USA auf Privacy Shield Basis rechtswidrig“ weiterlesen

Datenschutz für Vermieter

Datenschutz für Vermieter

Wohnraum-Mietverhältnisse sind datenintensiv. Viele der Mieterdaten, die sich bei Vermietern im Laufe der Jahre ansammeln, dürfen gar nicht oder nicht mehr gespeichert sein beziehungsweise verarbeitet werden. Diesbezügliche Mieter-Beschwerden bei den zuständigen Aufsichtsbehörden für Datenschutz häufen sich. Beim Hamburgischen Beauftragten für Datenschutz und Informationssicherheit gibt es bereits eine eigene Abteilung für Beschwerden und Anfragen rund um Wohnraumvermietungen. Hier ein kleiner Überblick, worauf Vermieter achten sollten.   „Datenschutz für Vermieter“ weiterlesen

VERANSTALTUNGSHINWEIS – Neujahrsempfang + Amerikanische Auktion 20. Januar 2019

Das Bild Friedliche Auseinandersetzung, 100 cm breit, 80 cm hoch, Acryl mixed media auf Leinwand, von Birgit Dierker kann am 20.01.2019 ersteigert werden

Der Ambulanter Hospizdienst Norderstedt e.V., seit April 2018 gemeinnützig anerkannter und eingetragener Verein, geht sehr zuversichtlich in das neue Jahr. Die erst vor kurzem gegründete Kindertrauergruppe nimmt  ihre Arbeit auf, es gibt eine neue hauptamtliche Mitarbeiterin und die bekannte Hamburger Künstlerin Birgit Dierker unterstützt mit einer Ausstellung ausgesuchter Werke sowie einer Bildspende tatkräftig die Arbeit des ambulanten Hospizdienstes.
„VERANSTALTUNGSHINWEIS – Neujahrsempfang + Amerikanische Auktion 20. Januar 2019“ weiterlesen

Datenschutz als Chance

Seit 25. Mai 2018 muss die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt werden. In allen EU-Mitgliedsstaaten sollen „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art 4 Nr. 1 DSGVO), künftig einheitlich erfasst, verarbeitet, gespeichert, verwendet und gelöscht werden. Die Verordnung gilt für sämtliche Unternehmen, die in der EU tätig sind und Daten von EU-Bürgern verarbeiten.
„Datenschutz als Chance“ weiterlesen