Wann sind Auskunftsersuchen gem. Art 15 DSGVO rechtsmissbräuchlich?

Um das Dauerthema Auskünfte nach Art. 15 DSGVO gibt es immer wieder Streit. Verantwortliche müssen den Auskunftsanspruch ernst nehmen, aber sie müssen sich nicht auf jede Forderung nach Auskunft einlassen. Nicht nur der Art 12 Abs.5, lit.(b) setzt dem Auskunftsanspruch gemäß DSGVO Grenzen. Dass die Nutzung der DSGVO um zum Beispiel in streitigen Verfahren die eigene Beweislage zu verbessern, eine rechtsmissbräuchliche Ausnutzung des Auskunftsrechts durch den Betroffenen sein kann, bestätigen inzwischen auch Gerichtsurteile. Eine genaue und standardisierte Prüfung des Auskunftsbegehrens ist für Verantwortliche also sehr sinnvoll und sollte stets durchgeführt werden.

So gab das LAG Sachsen mit seinem Urteil vom 16.02.2021, Az. 2 Sa 63/20 (REWIS RS 2021, 8664) https://rewis.io/s/u/X7LZ/dem beklagten Arbeitgeber Recht und entschied, dass er den Auskunftsanspruch seines klagenden Arbeitnehmers gemäß Art. 15 Abs. 1 DSGVO nicht erfüllen muss, da dieser rechtsmissbräuchlich sei. Während eines laufenden Rechtsstreits gegen seinen ehemaligen Arbeitgeber, in dem es unter anderem um die Vergütung von Überstunden ging, wollte der Kläger unter Bezugnahme auf Art. 15 DSGVO eine detaillierte Auskunft zur geleisteten Arbeitszeit. Das Gericht kam zu der Überzeugung, dass der Kläger sich mit der Geltendmachung seines Auskunftsanspruches Beweise für die behaupteten Überstunden verschaffen wollte. Dies sei, so das Gericht, jedoch nicht Zweck und Ziel der DSGVO.

Aus dem Urteil:

„Sie [Anm.: die DSGVO] schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 1 und Abs. 2 DSGVO). Dies wird in Kapitel 3 (Rechte der betroffenen Personen) konkretisiert. Abschnitt 2 regelt die Informationspflicht und das Recht auf Auskunft zu personenbezogenen Daten. Nach Abschnitt 3 (Berichtigung und Löschung) geht es dann um das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, die Mitteilungspflicht im Zusammenhang mit der Berichtigung und Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit (Art. 16 bis Art. 20 DSGVO) „   

Da es dem Kläger jedoch erkennbar nicht um seine aus der DSGVO resultierenden Rechte ging sondern um eine Auskunft zu Daten, die er einzig zur Untermauerung seines Anspruchsbegehrens benötigte, wies das Gericht den Auskunftsanspruch ab. Dabei unterstrich es, dass die Beweislast für seine Forderung beim Kläger liegt und nicht – über den Umweg durch die DSGVO – beim Beklagten.

Auch das OLG Nürnberg folgt in einem Rechtsstreit zwischen Versicherer und Kunden, welcher sich gegen Beitragsanpassungen zur Wehr setzte,  mit seinem Urteil vom 14.03.2022, Aktenzeichen 8 U 2907/21, https://openjur.de/u/2394101.html , diesem Tenor.

Orientierung im Erwägungsgrund 63

Grundsätzliche Anhaltpunkte bei der Auslegung, welches Auskunftsersuchen erfüllt werden muss und wo es nicht um den Schutzzweck der DSGVO geht, gibt der Erwägungsgrund 63 zu Art. 15 DSGVO https://dsgvo-gesetz.de/erwaegungsgruende/nr-63/. Mit dem Art. 15 DSGVO normierten Auskunftsrecht soll die betroffene Person problemlos und in angemessenen Abständen die Möglichkeit haben, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 – VI ZR 576/19, VersR 2021, 1019 Rn. 23). Hierbei wird dem Verantwortlichen durchaus einige Anstrengung zugemutet. Wenn es dem Antragsteller jedoch offensichtlich nicht um ein solches Bewusstwerden und die Überprüfung der Rechtmäßigkeit der Datenverarbeitung geht, kann beim Auskunftsverlangen Rechtsmissbrauch vorliegen.

Standardisierten Auskunftsprozess einführen

Dennoch ist lange nicht jedes Auskunftsersuchen rechtsmissbräuchlich und kann, zumindest diesen Teil des Begehrens betreffend, zurückgewiesen werden. So oder so ist ein standardisierter Prozess zum Auskunftsverfahren, der von geschulten Mitarbeitern durchgeführt wird, sehr hilfreich. Im ersten Anlauf geht es neben der eindeutigen Identifikation des Betroffenen darum, den genauen Zweck des Auskunftsersuchens zu ergründen. Ist die Bearbeitung des Auskunftsanspruchs höchst umfangreich, darüber hinaus kosten- und zeitintensiv, somit unter Umständen als exzessiv gemäß Art. 12 Abs. 5 DSGVO zu werten,– etwa weil sämtliche Korrespondenz, auch E-Mails, Reports zu Arbeitszeitauswertungen, angefordert werden,- kann der Verantwortliche gem. Erwägungsgrund (63), Satz 7

– Zitat –

„Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

den Anspruchsteller bitten, das Auskunftsbegehren zu konkretisieren.

Rechte Dritter beachten

Außerdem dürfen Geschäftsgeheimnisse weiterhin solche bleiben, genauso wie die Rechte und Freiheiten anderer natürlicher Personen nicht durch eine Auskunft verletzt werden dürfen. Des Weiteren dürfen weder Urheberrechte an Software beeinträchtigt werden noch die Rechte Dritter, auf die sich die Korrespondenz, die eingefordert wird, unter Umständen bezieht. Der Verantwortliche ist nicht völlig frei von einer Auskunftserteilung. Er muss Auskunft erteilen, kann aber gegebenenfalls einzelne Auskünfte begründet verweigern. Um auf der (rechts)-sicheren Seite zu sein, sollte bei solchen Fragestellungen externe oder betriebliche Datenschutzbeauftragte rechtzeitig einbezogen werden. Wichtig ist auch, die Auskunftsfrist von einem Monat nach Eingang des Auskunftsersuchens gemäß Art. 12 Abs. 3 DSGVO einzuhalten.

Die DSGVO im Verein

Dass auch Regelungen zum Datenschutz zwingend in die Vereinssatzung müssen, steht so zwar nirgendwo geschrieben. Dennoch müssen auch Vereine, egal ob gemeinnützig oder einem wirtschaftlichem Interesse folgend, alle personenbezogenen Daten von Mitgliedern und Mitarbeitern gemäß den Vorgaben der DSGVO und des BDSG schützen und behandeln. Es bietet sich daher an, die DSGVO in der Vereinssatzung zu berücksichtigen. Eventuell muss die Satzung überarbeitet werden. Es lohnt sich. Denn das schafft Rechtssicherheit, Transparenz sowie die nötige Struktur, um handlungsfähig zu sein und den Vereinszweck weitestgehend reibungslos zu verfolgen. „Die DSGVO im Verein“ weiterlesen

Datenschutz im Homeoffice und bei Videokonferenzen

 

Home-Office Arbeitsplätze fordern von Arbeitgebern und ihren Mitarbeiter ein hohes Maß an logistischer, technischer und organisatorischer Vorbereitung. Das ist anspruchsvoll und nicht annähernd so romantisch, wie sich das manch einer vorstellt. Denn wenn Mitarbeiter vom Home-Office aus arbeiten sollen, reicht es nicht aus, den heimischen PC anzuwerfen und sich vielleicht sogar noch im Schlafanzug und dem Hund unterm Tisch via Remote Verbindung ins Firmen-Netzwerk einzuloggen, um dann mal eben den Job zu machen. „Datenschutz im Homeoffice und bei Videokonferenzen“ weiterlesen

Art.32, Abs.1 DSGVO – Kunden am Telefon sicher identifizieren

Art.32 DSGVO im Callcenter

Gegen das 2019 vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI)  verhängte Bußgeld in Höhe von 9,55 Mio. EURO setzte sich der damit wegen Verstoß gegen Art. 32, Abs. 1 DSGVO betroffene Internetdienstanbieter 1&1 zur Wehr und fuhr im November 2020 einen Teilerfolg ein. Das Landgericht Bonn bestätigte zwar die Datenschutzrechtsverletzung durch 1&1, setzte jedoch das Bußgeld auf 900.000 EURO herab. Das Urteil des Landgerichtes ist beachtenswert. Daraus folgt, dass nicht nur Betreiber von Telefon-Hotlines und Callcentern, sondern alle Unternehmen, die Kunden auch telefonisch beraten, ihre technischen und organisatorischen Maßnahmen (TOM) für das telefonische Authentifizierungsverfahren regelmäßig prüfen sollten. „Art.32, Abs.1 DSGVO – Kunden am Telefon sicher identifizieren“ weiterlesen

EuGH: Datenübermittlung in die USA auf Privacy Shield Basis rechtswidrig

Privay Shield

Der österreichische Jurist und Datenschutzaktivist Max Schrems war mit seiner Datenschutzklage vor dem Europäischen Gerichtshof (EuGH) gegen die Zulässigkeit der Übermittlung personenbezogener Daten von der EU in die USA teilweise erfolgreich. Teilweise heißt, dass zum einen die EU-US Privacy Shield Vereinbarung für rechtsunwirksam erklärt wurde, zum anderen jedoch die Standarddatenschutzklauseln gem. Art. 46 DSGVO (Standard Contractual Clauses – SCC) auch weiterhin Bestand haben. „EuGH: Datenübermittlung in die USA auf Privacy Shield Basis rechtswidrig“ weiterlesen

Datenschutz für Vermieter

Datenschutz für Vermieter

Wohnraum-Mietverhältnisse sind datenintensiv. Viele der Mieterdaten, die sich bei Vermietern im Laufe der Jahre ansammeln, dürfen gar nicht oder nicht mehr gespeichert sein beziehungsweise verarbeitet werden. Diesbezügliche Mieter-Beschwerden bei den zuständigen Aufsichtsbehörden für Datenschutz häufen sich. Beim Hamburgischen Beauftragten für Datenschutz und Informationssicherheit gibt es bereits eine eigene Abteilung für Beschwerden und Anfragen rund um Wohnraumvermietungen. Hier ein kleiner Überblick, worauf Vermieter achten sollten.   „Datenschutz für Vermieter“ weiterlesen

Die Webseiten-Datenschutzerklärung und Aktualisierungen

Der Bundesverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) bemängelt in seiner Presseerklärung vom 28. Januar unter anderem die häufig fehlerhaften Datenschutzerklärungen vieler Webseitenbetreiber. Gerade kleine Firmen ohne einen Datenschutzbeauftragten scheinen hier regelmäßig überfordert zu sein. Je nach Angebot und Ausgestaltung kann es ziemlich komplex sein, eine individuell passende und rechtskonforme Datenschutzerklärung für die eigene Webseite zu erstellen. Nachfolgend erhalten Sie einen Überblick zu einigen Anforderungen und Tipps für die Erstellung einer Webseiten-Datenschutzerklärung.   „Die Webseiten-Datenschutzerklärung und Aktualisierungen“ weiterlesen

Über 1.000 Euro in elf Minuten

Davon träumen wohl die meisten von uns, oder? Vergangenen Sonntag hatten wir genau so ein Highlight beim Neujahrsempfang des Ambulanten Hospizdienstes Norderstedt e.V.

Der Vorstand staunte nicht schlecht: Trotz prominenter Neujahrsempfangskonkurrenz durch die in Norderstedt beliebte Bürgermeisterin Christina Roeder, war der kleine aber feine KulturRAUM des Hospizdienstes in der Segeberger Chaussee gut besucht. „Über 1.000 Euro in elf Minuten“ weiterlesen

Teure Angelegenheit DSGVO Verstoß

Die ersten Bußgeldbescheide wegen DSGVO-Verstößen sind raus. Wie die Datenschutzbehörden der Bundesländer dem Handelsblatt mitteilten, sind aktuell noch viele weitere Ermittlungsverfahren anhängig, 85 davon alleine beim Bayerischen Landesamt für Datenschutzaufsicht. Bisher haben bereits 41 Firmen in Deutschland einen Bußgeldbescheid aufgrund Verletzung der Datenschutzgrundverordnung erhalten.

Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes können die Bußgelder betragen. Und obwohl die Datenschutzbeauftragten der Länder bei der Verhängung von Bußgeldern ihren Rahmen noch nicht voll ausschöpfen beziehungsweise vielfach lediglich erst einmal eine Verwarnung aussprachen, dürften die Strafen für die betroffenen Unternehmen auch schon jetzt spürbar sein. „Teure Angelegenheit DSGVO Verstoß“ weiterlesen

VERANSTALTUNGSHINWEIS – Neujahrsempfang + Amerikanische Auktion 20. Januar 2019

Das Bild Friedliche Auseinandersetzung, 100 cm breit, 80 cm hoch, Acryl mixed media auf Leinwand, von Birgit Dierker kann am 20.01.2019 ersteigert werden

Der Ambulanter Hospizdienst Norderstedt e.V., seit April 2018 gemeinnützig anerkannter und eingetragener Verein, geht sehr zuversichtlich in das neue Jahr. Die erst vor kurzem gegründete Kindertrauergruppe nimmt  ihre Arbeit auf, es gibt eine neue hauptamtliche Mitarbeiterin und die bekannte Hamburger Künstlerin Birgit Dierker unterstützt mit einer Ausstellung ausgesuchter Werke sowie einer Bildspende tatkräftig die Arbeit des ambulanten Hospizdienstes.
„VERANSTALTUNGSHINWEIS – Neujahrsempfang + Amerikanische Auktion 20. Januar 2019“ weiterlesen