OVG Lüneburg: Höchstpersönlicher Auskunftsanspruch nach der DSGVO geht nicht auf den Insolvenzverwalter über

Das Auskunftsrecht nach Art. 15 DSGVO ist in der datenschutzrechtlichen Praxis sicher eines der streitträchtigsten Betroffenenrechte. Dass es aber gar nicht immer direkt um die Ausübung des Rechts durch den Betroffenen gehen muss, zeigt ein neuer Beschluss (Beschl. v. 26.6.2019 – 11 LA 274/18) des Oberverwaltungsgerichts Lüneburg (OVG). Zudem geht das Gericht in seiner Entscheidung auf die interessante Frage ein, inwiefern das Recht auf Auskunft durch Dritte geltend gemacht werden kann und, insbesondere für das Insolvenzrecht relevant, ob Betroffenenrechte nach der DSGVO Teil der Insolvenzmasse sind.

Sachverhalt

Der Kläger, ein Insolvenzverwalter, bat am 21. Juli 2015 den Beklagten um Übersendung eines Auszugs aus dem Steuerkonto eines Insolvenzschuldners. Mit Schreiben vom 22. Juli 2015 führte der Beklagte aus, dass der Kläger die gewünschten Informationen bei seinem Mandanten einzuholen habe. Ein Insolvenzverwalter habe grundsätzlich keinen Anspruch auf die begehrten Informationen. Gegen dieses Ablehnungsschreiben legte der Kläger mit Schreiben vom 20. August 2015 Einspruch ein und wies zur Begründung auf das damals noch geltende Niedersächsische Datenschutzgesetz hin. Mit weiterem Schreiben vom 3. September 2015 beantragte der Kläger zusätzlich Akteneinsicht in das Steuerkonto des Insolvenzschuldners. Mit Schreiben vom 28. Oktober 2015 teilte der Beklagte dem Kläger mit, dass ein berechtigtes Interesse bzw. Gründe für die begehrte Erteilung von Steuerkontoauszügen nicht ersichtlich seien.

Hiergegen ging der Kläger zunächst vor dem VG Stade vor. Das VG wies seine Klage jedoch ab. Zur Begründung hat es sich u.a. auf eine – auszugsweise zitierte – Entscheidung des Oberverwaltungsgerichts Hamburg vom 8. Februar 2018 (Az 3 Bf 107/17) berufen und ausgeführt, dass diese Entscheidung auf die Rechtslage in Niedersachsen übertragbar sei. Der Kläger wandte sich nun gegen die Entscheidung des VG.

Entscheidung

Das OVG wies den Antrag des Klägers auf Zulassung der Berufung gegen das Urteil des VG zurück. Das Gericht geht davon aus, dass auf der Grundlage der nunmehr maßgeblichen Rechtslage (seit Anwendbarkeit der DSGVO) der Kläger gegen den Beklagten weder einen Anspruch darauf hat, dass ihm ein Auszug aus dem Steuerkonto des Steuerschuldners erstellt wird, noch, dass ihm Akteneinsicht in das Steuerkonto des Steuerschuldners gewährt wird.

Die vom Kläger geltend gemachten Ansprüche richten sich nunmehr vorrangig nach Art. 15 Abs. 1 DSGVO.

Das OVG begründet seine Entscheidung zunächst damit, dass die für die Geltendmachung eines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO erforderlichen Voraussetzungen in der Person des Insolvenzverwalters nicht vorliegen, weil er nicht „Betroffener“ ist. Nach Ansicht des OVG steht das Auskunftsrecht nur dem Betroffenen zu und beschränkt sich auf die zu seiner Person gespeicherten Daten. Demgegenüber ist es nicht darauf ausgerichtet, dass potenzielle „Dritte“ Informationen über die bei staatlichen Stellen vorhandenen Daten erlangen können.

Des Weiteren führt das OVG aus, dass das datenschutzrechtliche Auskunftsrecht des Betroffenen auch nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter übergeht. Zwar geht nach § 80 Abs. 1 InsO durch die Eröffnung des Insolvenzverfahrens das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über. Zur Insolvenzmasse zählendes Vermögen i.S.v. § 80 Abs. 1, § 35 Abs. 1 InsO sind allerdings nur die einer Person zustehenden geldwerten Rechte. Das OVG verweist dann darauf, dass Gegenstände und Rechte, deren Pfandverwertung nicht zur Befriedigung des Geldanspruchs der Gläubiger führen kann, keinen Vermögenswert verkörpern, nicht der Zwangsvollstreckung unterliegen und nach § 36 Abs. 1 InsO nicht zur Insolvenzmasse gehören. Danach unterliegen insbesondere Güter des höchstpersönlichen Bereichs nicht der Zwangsvollstreckung

Davon ausgehend ist der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ein höchstpersönliches Recht des Betroffenen.

Das OVG vertritt diese Auffassung auch in Kenntnis des Gegenarguments, dass dieser Auskunftsanspruch – insbesondere für den Insolvenzverwalter bzw. die von ihm zu bedienenden Gläubiger – mittelbar auch vermögensrelevante Auswirkungen haben kann.

Jedoch stehe aufgrund seines Schutzzwecks, seiner Grundrechtsbezogenheit und seiner fundamentalen Bedeutung zur Durchsetzung des Rechts auf informationelle Selbstbestimmung der Schutz ideeller Interessen und damit die Personenbezogenheit im Vordergrund.

Der Auskunftsanspruch gehört daher nach Ansicht des OVG somit nach § 36 Abs. 1 Satz 1 InsO nicht zur Insolvenzmasse und sei folglich auch vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter nicht erfasst.

Der Kläger wandte gegen diese Ansicht eine Entscheidung des OVG  Nordrhein-Westfalen vom 24. November 2015 (Az 8 A 1032/14) ein, in der dies anerkannt hätte, dass der Insolvenzverwalter Betroffener i.S.v. § 30 Abs. 4 Nr. 3 AO sei, was im Sinne der Rechtseinheit und Rechtsklarheit auch für andere Gesetze gelten müsse. Das OVG bringt hiergegen vor, dass es in dieser Entscheidung des OVG Nordrhein-Westfalen zwar auch um einen Auskunftsanspruch eines Insolvenzverwalters gegenüber dem Finanzamt hinsichtlich der Steuerkontoauszüge eines Insolvenzschuldners ging. Anspruchsgrundlage war aber nicht – wie hier – Art. 15 Abs. 1 DSGVO, sondern § 4 Abs. 1 des Informationsfreiheitsgesetzes Nordrhein-Westfalen.

Diese landesrechtliche Vorschrift ist jedoch – wie viele vergleichbare Vorschriften in den Informationsfreiheitsgesetzen anderer Bundesländer – anders als Art. 15 Abs. 1 DS-GVO, § 19 BDSG 2003 und § 16 NDSG a.F. kein Betroffenenrecht, sondern gewährt „jeder natürlichen Person“ einen Auskunftsanspruch gegenüber den in § 2 IFG NRW genannten Stellen.

Das OVG führt zur Natur des Auskunftsanspruchs nach der DSGVO weiter aus:

Der auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist unabhängig vom Inhalt der begehrten Informationen stets höchstpersönlicher Natur.

Er könne daher auch nicht abhängig vom Inhalt der begehrten Daten in höchstpersönliche und nicht höchstpersönliche Teile untergliedert und entsprechend „zersplittert“ werden.

OLG Dresden: Kein Schadensersatz und Schmerzensgeld für Bagatellverstöße gegen die DSGVO

Entscheidungen zum Anspruch auf Schadensersatz und vor allem auf Schmerzensgeld (also Ersatz immaterieller Schäden) wegen Verstößen gegen die DSGVO sind noch sehr selten. Eine erste Entscheidung hierzu traf das AG Diez (Urteil vom 7.11.2018 – 8 C 130/18). Nun hat das Oberlandesgericht Dresden (OLG) in einem kürzlich erlassenen Beschluss (Beschluss vom 11.6.2019, Az.: 4 U 760/19, abrufbar hier in der Datenbank des OLG Sachsen und hier als PDF)  weitere und umfassendere Ausführung zur Auslegung und Anwendung des Art. 82 DSGVO gemacht.

Sachverhalt

Der Kläger nimmt die Beklagte (Betreiberin eines sozialen Netzwerkes im Internet) wegen einer am 31.3.2018 erfolgten Löschung eines Posts und der Sperrung seines Kontos durch Versetzung in den read-only Modus auf Feststellung der Rechtswidrigkeit, Freischaltung des Beitrags, Auskunftserteilung, materiellen und immateriellen Schadensersatz und Erstattung von außergerichtlichen Rechtsanwaltskosten in Anspruch.

Das Landgericht hat die Beklagte im Wege des Versäumnisurteils zur Wiederfreischaltung des Beitrags verurteilt und festgestellt, dass die Löschung/Sperrung rechtswidrig waren. Die übrigen Ansprüche hat es zurückgewiesen. Hiergegen wendet sich die Berufung, die insbesondere die Auffassung vertritt, der Beitrag sei als zulässige Meinungsäußerung verfassungsrechtlich so weitgehend geschützt, dass dessen Löschung und die zeitweilige Sperrung des Nutzerkontos weitgehende Auskunfts- und Schadensersatzansprüche auslösten.

Entscheidung

Nach Auffassung des OLG scheiden vorliegend die geltend gemachten Ansprüche nach Art. 82 Abs. 1 DSGVO aus.

Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.

Zum einen ist nach Ansicht des OLG bereits zweifelhaft, ob Art. 82 DSGVO auf die am 31.3.2018 erfolgte Löschung und die spätestens am 1.4.2018 beendete Sperrung Anwendung findet. Denn nach Art. 99 Abs. 2 DSGVO gilt die DSGVO erst ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten. Anders als ein Anspruch auf Unterlassung einer Sperrung oder Freischaltung eines Accounts knüpft der hier geltend gemachte Anspruch an einen in der Vergangenheit liegenden und vollständig abgeschlossenen Sachverhalt an, der vor dem Inkrafttreten der DSGVO liegt.

Zum anderen kann eine Entscheidung zu dieser Frage aber dahinstehen, weil nach Auffassung des OLG die Voraussetzungen für einen Anspruch nach Art. 82 DSGVO ohnehin nicht vorliegen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO.

Die Erhebung und Verarbeitung (hierzu zählt das OLG auch die Löschung des Posts und die Sperrung des Kontos) der Daten des Klägers beruhen nämlich auf der vom Kläger vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten. Hier verweist das OLG auf Art. 6 Abs. 1 lit a DSGVO. Diese sei gerade nicht daran geknüpft, dass auch die Beklagte ihren vertraglichen Verpflichtungen nachkommt und umfasst daher auch Zeiträume, in denen der Account gesperrt ist.

Diesbezüglich ist meines Erachtens kritisch anzumerken, ob eine Zustimmung zu den Nutzungsbedingungen (also den AGB) tatsächlich als datenschutzrechtliche Einwilligung in die Verarbeitung personenbezogener Daten angesehen werden. Denn man könnte überlegen, ob eine solche pauschale Einwilligung in einen kompletten Vertragstext wegen Unbestimmtheit nicht unwirksam ist. Nach ErwG 42 DSGVO sollte die betroffene Person, damit sie in Kenntnis der Sachlage einwilligen kann, mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte zudem nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

Ob diese Anforderungen vorliegend erfüllt waren, wird vom OLG leider nicht weiter thematisiert. Eventuell ist das OLG hier eigentlich der Ansicht, dass die Löschung des Posts und die Sperrung des Kontos auch auf der Grundlage der Nutzungsbedingungen und Community Standards (also des Vertrages mit dem Betroffenen) zulässig ist. Dann wäre Rechtsgrundlage wohl eher Art. 6 Abs. 1 lit. b DSGVO.

Zudem stellt das OLG fest, dass dem Kläger durch die Sperrung ein materieller oder immaterieller Schaden im Sinne des Art. 82 DSGVO nicht entstanden ist. Dann trifft das OLG eine relevante Aussage:

Die bloße Sperrung seiner Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar.

Diese Einschätzung kann sich etwa in Fällen von Datenschutzverletzungen (data breach) als praxisrelevant herausstellen. Nach Ansicht des OLG hat die behauptete Hemmung in der Persönlichkeitsentfaltung durch die dreitägige Sperrung allenfalls Bagatellcharakter.

Das OLG verweist dann auf Ansichten, dass eine wirksame Durchsetzung europäischen Datenschutzrechts einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht geltende Erheblichkeitsschwelle erfordere. Jedoch

rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Das OLG positioniert sich hier also so klar, was die Frage des Ersatzes von Schäden bei unzulässigen Datenverarbeitungen betrifft. Ähnlich wie schon vor einiger Zeit geht das Gericht davon aus, dass „Bagatellverstöße“ nicht per se einen solchen Schadensersatz begründen. Die praktisch relevante Frage ist dann natürlich, wann die Erheblichkeitsschwelle zu einem Verstoß überschritten wird, der keine Bagatelle mehr darstellt. Als grobes Bewertungskriterium führt das OLG hierzu aus:

Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Zudem bringt das OLG dann noch einen weiteren, durchaus interessanten, Gedanken an. Zwar gehöre die Kommerzialisierung von Nutzerdaten zum Geschäftsmodell der Beklagten.

Die Sperrung des klägerischen Accounts befördert jedoch diese Kommerzialisierung nicht, sondern behindert sie vielmehr, weil der Kläger in dieser Zeit keine Daten „produziert“, die die Beklagte verwerten könnte.

Zuletzt vertritt das OLG die Ansicht, dass gegen eine Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden auch das erhebliche Missbrauchsrisiko spricht,

das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge.

Deutsche Aufsichtsbehörden veröffentlichen Leitlinien zur Datenübertragung im Rahmen von Asset Deals

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich per Beschluss (pdf) mit Stand vom 24.5.2019 auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind.

Zu erwähnen ist, dass die Aufsichtsbehörden aus Berlin und Sachsen den Beschluss abgelehnt haben.

Die Frage um die datenschutzrechtliche Zulässigkeit der Übertragung von Kundendaten im Rahmen eines Asset Deal ist nicht neu. Bisher gab es aber noch keine veröffentlichte Position aller deutschen Behörden. Nun liegt ein solcher Mehrheitsbeschluss vor.

Nachfolgend möchte ich nur kurz auf ein paar Punkte des Beschlusses eingehen.

Kundendaten bei laufenden Verträgen

Die DSK stellt hierzu fest:

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Gegeninteressen der Kundin oder des Kunden gewahrt.

Beim ersten Lesen könnte man meinen, die Behörden verlangen eine datenschutzrechtliche Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO. Dies ist jedoch meines Erachtens nicht der Fall.

Zum einen verwenden die Behörden hier ausdrücklich den Begriff “Zustimmung” und nicht “Einwilligung”. Auch die DSGVO kennt im Übrigen den Unterschied zwischen “Zustimmung” und der “Einwilligung”, wie man an den Regelungen in Art. 8 Abs. 1 und 2 DSGVO sehen kann. In dem Beschluss wird daher meines Erachtens bewusst von einer „Zustimmung“ gesprochen und nicht von einer Einwilligung.

Zum anderen sprechen die Behörden davon, dass in diesem Fall die “Gegeninteressen” der Kunden gewahrt sind. Eine Berücksichtigung der Interessen ist aber im Rahmen einer Einwilligung nach Art. 4 Nr. 11 DSGVO nicht erforderlich. Diese wird wirksam erteilt oder eben nicht. Zuletzt bezieht sich der gesamte Beschluss laut seiner Überschrift auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Ich halte es daher für gut vertretbar, die Aussage der Behörden so zu verstehen, dass Kundendaten innerhalb laufender Verträge datenschutzrechtlich ohne eine zusätzliche Einwilligung nach der DSGVO übertragen werden können. Leider geht der Beschluss nicht darauf ein, ob evtl. auch Art. 6 Abs. 1 lit. b) DSGVO als Erlaubnistatbestand in Betracht kommt, hierbei vor allem in der Variante der Vertragsdurchführung.

Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre

Wenn es um die Übertragung von Daten zu Bestandskunden geht, zieht die DSK eine, meiner Ansicht nach, gut vertretbare Grenze bei der regelmäßigen Verjährung nach § 195 BGB von 3 Jahren.

Daten von Kunden, die innerhalb dieses Zeitfensters fallen, werden nach Ansicht der Behörden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO

im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z. B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden.

Interessant hieran ist die relativ lang bemessene Frist zum Widerspruch. Nach Ansicht der Behörden immerhin mehr als einen Monat. Natürlich wird deutlich, dass die DSK die 6 Wochen „nur“ als Beispiel nennt. Jedoch sollte man in der Praxis daran denken, eine „ausreichend bemessene“ Frist zu gewähren. Lediglich ein paar Tage dürften etwa zu kurz sein.

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Sollen bei einem Asset Deal Gesundheitsdaten übertragen wurden, geht die DSK offensichtlich von einem harten Einwilligungserfordernis aus.

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DS-GVO übergeleitet werden.

Leider geht die DSK hier nicht auf weitere Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO ein, wie etwa lit. f) „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ oder auch auf Art. 9 Abs. 2 lit. b) DSGVO, wenn es um Beschäftigtendaten geht. Dies dürfte aber damit zusammenhängen, dass sich der Beschluss auf “Kundendaten” bezieht.