OVG Lüneburg: Höchstpersönlicher Auskunftsanspruch nach der DSGVO geht nicht auf den Insolvenzverwalter über

Das Auskunftsrecht nach Art. 15 DSGVO ist in der datenschutzrechtlichen Praxis sicher eines der streitträchtigsten Betroffenenrechte. Dass es aber gar nicht immer direkt um die Ausübung des Rechts durch den Betroffenen gehen muss, zeigt ein neuer Beschluss (Beschl. v. 26.6.2019 – 11 LA 274/18) des Oberverwaltungsgerichts Lüneburg (OVG). Zudem geht das Gericht in seiner Entscheidung auf die interessante Frage ein, inwiefern das Recht auf Auskunft durch Dritte geltend gemacht werden kann und, insbesondere für das Insolvenzrecht relevant, ob Betroffenenrechte nach der DSGVO Teil der Insolvenzmasse sind.

Sachverhalt

Der Kläger, ein Insolvenzverwalter, bat am 21. Juli 2015 den Beklagten um Übersendung eines Auszugs aus dem Steuerkonto eines Insolvenzschuldners. Mit Schreiben vom 22. Juli 2015 führte der Beklagte aus, dass der Kläger die gewünschten Informationen bei seinem Mandanten einzuholen habe. Ein Insolvenzverwalter habe grundsätzlich keinen Anspruch auf die begehrten Informationen. Gegen dieses Ablehnungsschreiben legte der Kläger mit Schreiben vom 20. August 2015 Einspruch ein und wies zur Begründung auf das damals noch geltende Niedersächsische Datenschutzgesetz hin. Mit weiterem Schreiben vom 3. September 2015 beantragte der Kläger zusätzlich Akteneinsicht in das Steuerkonto des Insolvenzschuldners. Mit Schreiben vom 28. Oktober 2015 teilte der Beklagte dem Kläger mit, dass ein berechtigtes Interesse bzw. Gründe für die begehrte Erteilung von Steuerkontoauszügen nicht ersichtlich seien.

Hiergegen ging der Kläger zunächst vor dem VG Stade vor. Das VG wies seine Klage jedoch ab. Zur Begründung hat es sich u.a. auf eine – auszugsweise zitierte – Entscheidung des Oberverwaltungsgerichts Hamburg vom 8. Februar 2018 (Az 3 Bf 107/17) berufen und ausgeführt, dass diese Entscheidung auf die Rechtslage in Niedersachsen übertragbar sei. Der Kläger wandte sich nun gegen die Entscheidung des VG.

Entscheidung

Das OVG wies den Antrag des Klägers auf Zulassung der Berufung gegen das Urteil des VG zurück. Das Gericht geht davon aus, dass auf der Grundlage der nunmehr maßgeblichen Rechtslage (seit Anwendbarkeit der DSGVO) der Kläger gegen den Beklagten weder einen Anspruch darauf hat, dass ihm ein Auszug aus dem Steuerkonto des Steuerschuldners erstellt wird, noch, dass ihm Akteneinsicht in das Steuerkonto des Steuerschuldners gewährt wird.

Die vom Kläger geltend gemachten Ansprüche richten sich nunmehr vorrangig nach Art. 15 Abs. 1 DSGVO.

Das OVG begründet seine Entscheidung zunächst damit, dass die für die Geltendmachung eines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO erforderlichen Voraussetzungen in der Person des Insolvenzverwalters nicht vorliegen, weil er nicht „Betroffener“ ist. Nach Ansicht des OVG steht das Auskunftsrecht nur dem Betroffenen zu und beschränkt sich auf die zu seiner Person gespeicherten Daten. Demgegenüber ist es nicht darauf ausgerichtet, dass potenzielle „Dritte“ Informationen über die bei staatlichen Stellen vorhandenen Daten erlangen können.

Des Weiteren führt das OVG aus, dass das datenschutzrechtliche Auskunftsrecht des Betroffenen auch nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter übergeht. Zwar geht nach § 80 Abs. 1 InsO durch die Eröffnung des Insolvenzverfahrens das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über. Zur Insolvenzmasse zählendes Vermögen i.S.v. § 80 Abs. 1, § 35 Abs. 1 InsO sind allerdings nur die einer Person zustehenden geldwerten Rechte. Das OVG verweist dann darauf, dass Gegenstände und Rechte, deren Pfandverwertung nicht zur Befriedigung des Geldanspruchs der Gläubiger führen kann, keinen Vermögenswert verkörpern, nicht der Zwangsvollstreckung unterliegen und nach § 36 Abs. 1 InsO nicht zur Insolvenzmasse gehören. Danach unterliegen insbesondere Güter des höchstpersönlichen Bereichs nicht der Zwangsvollstreckung

Davon ausgehend ist der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ein höchstpersönliches Recht des Betroffenen.

Das OVG vertritt diese Auffassung auch in Kenntnis des Gegenarguments, dass dieser Auskunftsanspruch – insbesondere für den Insolvenzverwalter bzw. die von ihm zu bedienenden Gläubiger – mittelbar auch vermögensrelevante Auswirkungen haben kann.

Jedoch stehe aufgrund seines Schutzzwecks, seiner Grundrechtsbezogenheit und seiner fundamentalen Bedeutung zur Durchsetzung des Rechts auf informationelle Selbstbestimmung der Schutz ideeller Interessen und damit die Personenbezogenheit im Vordergrund.

Der Auskunftsanspruch gehört daher nach Ansicht des OVG somit nach § 36 Abs. 1 Satz 1 InsO nicht zur Insolvenzmasse und sei folglich auch vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter nicht erfasst.

Der Kläger wandte gegen diese Ansicht eine Entscheidung des OVG  Nordrhein-Westfalen vom 24. November 2015 (Az 8 A 1032/14) ein, in der dies anerkannt hätte, dass der Insolvenzverwalter Betroffener i.S.v. § 30 Abs. 4 Nr. 3 AO sei, was im Sinne der Rechtseinheit und Rechtsklarheit auch für andere Gesetze gelten müsse. Das OVG bringt hiergegen vor, dass es in dieser Entscheidung des OVG Nordrhein-Westfalen zwar auch um einen Auskunftsanspruch eines Insolvenzverwalters gegenüber dem Finanzamt hinsichtlich der Steuerkontoauszüge eines Insolvenzschuldners ging. Anspruchsgrundlage war aber nicht – wie hier – Art. 15 Abs. 1 DSGVO, sondern § 4 Abs. 1 des Informationsfreiheitsgesetzes Nordrhein-Westfalen.

Diese landesrechtliche Vorschrift ist jedoch – wie viele vergleichbare Vorschriften in den Informationsfreiheitsgesetzen anderer Bundesländer – anders als Art. 15 Abs. 1 DS-GVO, § 19 BDSG 2003 und § 16 NDSG a.F. kein Betroffenenrecht, sondern gewährt „jeder natürlichen Person“ einen Auskunftsanspruch gegenüber den in § 2 IFG NRW genannten Stellen.

Das OVG führt zur Natur des Auskunftsanspruchs nach der DSGVO weiter aus:

Der auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist unabhängig vom Inhalt der begehrten Informationen stets höchstpersönlicher Natur.

Er könne daher auch nicht abhängig vom Inhalt der begehrten Daten in höchstpersönliche und nicht höchstpersönliche Teile untergliedert und entsprechend „zersplittert“ werden.

Wie weit reicht das Auskunftsrecht der DSGVO? Landgericht Köln: Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung.

Über die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO herrscht in der Praxis weiterhin Unsicherheit. Dies insbesondere auch deshalb, weil der Wortlaut der entscheidenden Norm, Art. 15 Abs. 1 DSGVO, bestimmt, dass die betroffene Person „ein Recht auf Auskunft über diese personenbezogenen Daten“ hat. Mit „diesen personenbezogenen Daten“ referenziert das Gesetz auf den ersten Halbsatz des Art. 15 Abs. 1 DSGVO, in dem es heißt: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden“. Das Auskunftsrecht umfasst im Grunde also zunächst eine natürliche Person betreffende personenbezogene Daten. Das ist sehr weit. Jedoch sieht aber auch Art. 15 Abs. 4 DSGVO Ausnahmen von dem Recht auf Auskunft vor.

Sind von dem Recht auf Auskunft oder Erhalt einer Kopie (Art. 15 Abs. 3 DSGVO) also z.B. auch sämtliche E-Mails oder interne Vermerke umfasst, die personenbezogene Daten des Betroffenen enthalten? In einer jüngeren Entscheidung hatte sich auch das LG Köln mit der Frage zu befassen, wie weit der Auskunftsanspruch reicht (Teilurteil v. 18.03.201926 O 25/18).

Sachverhalt

In dem Fall klagte eine Person, die bei der Beklagten, einem Versicherungsunternehmen, zwei Lebensversicherungsverträge unterhält. Unter anderem ging es auch um einen geltend gemachten Auskunftsanspruch gegen die Versicherung (noch nach § 34 BDSG alter Fassung). Die Klägerin war bis zuletzt der Ansicht, dass ihr keine vollständige Datenauskunft erteilt wurde. Während des Prozesses hat das Unternehmen wiederholt entsprechende Auskünfte erteilt.

Entscheidung

Nach Ansicht des LG Köln steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen nach Art. 15 Abs. 1 DSGVO zu. Die Information müsse u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten.

Sodann geht das Gericht auf die entscheidende Frage ein, was den konkret „personenbezogene Daten“ sind, die vom Anspruch auf Auskunft erfasst werden. Hierzu verweist das Gericht auf die Definition in Art. 4 Nr. 1 DSGVO. Zudem erfordert der Auskunftsanspruch, dass diese Daten „verarbeitet“ werden. Eine „Verarbeitung von Daten“ stellt nach Art. 4 Nr. 2 DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar.

Hieraus folgert das Gericht:

Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw.

Das LG macht hier jedoch nicht halt. Nach Ansicht des LG Köln

stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar.

Diese Auslegung der DSGVO wird man meines Erachtens jedoch auch angreifen können. Das Gericht verweist wohl u.a. auf ErwG 63 DSGVO. In diesem heißt es zum Auskunftsrecht:

Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Anders als das LG andeutet, wird in ErwG 63 DSGVO gerade nicht Bezug auf Unterlagen an sich genommen, sondern vielmehr auf Daten in diesen Unterlagen: „Daten in ihren Patientenakten“ (Hervorhebung durch mich). ErwG 63 DSGVO referenziert beispielhaft auf Diagnosen, Untersuchungsergebnisse oder Befunde. Jedoch gerade nicht auf die Dokumente, in denen diese enthalten sind.

In seiner weiteren Begründung schränkt das LG dann sogleich diesen weiten Anwendungsbereich des Auskunftsrechts auch wieder ein.

Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann … . Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.

Meines Erachtens widerspricht sich das LG hier in seiner Begründung auch selbst. Zunächst geht es davon aus, dass Gutachten herauszugeben sind, geht jedoch danach davon aus, dass „rechtliche Bewertungen oder Analysen“ nicht umfasst sind. Interessant ist hier auch die Ansicht des LG, dass das Auskunftsrecht solche Dokumente nicht umfasst, „die dem Betroffenen bereits bekannt sind“. Diese Auffassung kann insbesondere im Rahmen von Auskunftsersuchen in Arbeitsverhältnissen relevant werden, wenn etwa ein Anspruch auf Herausgabe der E-Mails geltend gemacht würde. Denn man kann, mit Blick auf die Entscheidung des LG, dann sicher vertreten, dass diese Vorgänge bzw. Dokumente der betroffenen Person bereist bekannt sind.

Das Gericht begründet seine Entscheidung weiter:

Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DSGVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.

Hier macht das LG interessante Ausführungen dazu, was unter der „Kopie“ nach Art. 15 Abs. 3 DSGVO zu verstehen ist. Es geht hierbei gerade nicht um eine Kopie von Unterlagen und Dokumenten, die personenbezogene Daten enthalten, sondern um eine Kopie der personenbezogenen Daten selbst. Diese Kopie kann aber meines Erachtens auch in einer von den Dokumenten unabhängigen Form übergeben werden.

Vorliegend hatte das Unternehmen verschiedene Auskünfte und Informationen erteilt und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Da weiterer substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, nicht erfolgte, lehnte das LG hier den Antrag auf Auskunftserteilung ab.

Dies wird sicherlich nicht die letzte Entscheidung zum Recht auf Auskunft bzw. Erhalt einer Kopie nach Art. 15 DSGVO sein. Datenverarbeitende Stellen sollten sich einerseits bewusst sein, dass dieses Recht sehr umfassend personenbezogene Daten betrifft, andererseits aber auch nicht dazu dient, Belege von jeglichen Unterlagen und Dokumenten zu erhalten, die irgendwo den Namen einer Person aufführen.

Urteil zur EU Datenschutz-Grundverordnung – Landesdatenschutzbehörde scheitert vor Gericht

Eigentlich ist die EU Datenschutz-Grundverordnung (DSGVO) erst ab 25. Mai 2018 anwendbar (Art. 99 Abs. 2 DSGVO). Die DSGVO ist zwar bereits am 24.5.2016 in Kraft getreten. Sie gilt jedoch erst ab dem 25.5.2018. Erst ab diesem Datum sind die Vorgaben der DSGVO verbindlich anzuwenden und durch die Aufsichtsbehörden durchsetzbar.

Sachverhalt

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LfDI) sah dies Ende 2016 offenbar anders. Mit Urteil vom 6.7.2017 (Az. 10 K 7698/16, pdf) hob das Verwaltungsgericht Karlsruhe (VG) nun einen Bescheid des LfDI vom 25.11.2016 auf, mit dem eine Auskunftei verpflichtet werden sollte, Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Auskunftei in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.5.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Der LfDI stützte den Verwaltungsakt unter anderem darauf, dass zwar keine gegenwärtigen Datenschutzverstöße der Auskunftei unterbunden werden, jedoch Missstände verhindert werden sollten, die nach dem 24.5.2018 zu erwarten seien. Hintergrund ist, dass der noch geltende § 35 Abs. 2 S. 2 Nr. 4 BDSG, der bestimmte Fristen zur Prüfung für die Löschung von Daten vorsieht, keine Entsprechung in der DSGVO und auch nicht im neuen BDSG findet.

Die Auskunftei hatte zuvor im Schriftverkehr nicht verbindlich zugesichert, ihre Datenspeicherungspraxis ab dem 24.5.2018 entsprechend zu ändern. Zwar hatte die Auskunftei angekündigt, ihre Datenlöschkonzeption zum 25.5.2018 der DSGVO anpassen zu wollen. Bei der Ankündigung handelte es sich nach Ansicht des LfDI aber lediglich um eine Absichtserklärung, nicht hingegen um eine konkrete, vollstreckbare Zusicherung.

Daher, so der LfDI, seien künftige Datenschutzverstöße nicht auszuschließen. Zudem sei ungewiss, ob die Auskunftei den Zeitraum bis zur Geltung der DSGVO nutzen werde, um die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen.

Urteil des VG

Völlig zurecht gab das VG der Anfechtungsklage der Auskunftei gegen den Verwaltungsakt der Aufsichtsbehörde statt. Für die datenschutzrechtliche Verfügung liegt nämlich bereits keine Ermächtigungsgrundlage vor.

Zum einen liegen festgestellte Datenschutzverstöße durch die Auskunftei, welche seitens der Aufsichtsbehörde gerügt worden wären, der Verfügung nicht zugrunde. Dies wäre jedoch nach § 38 Abs. 5 S. 1 BDSG erforderlich; in jedem Fall müsste das künftige Verhalten durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet sein.

Unverständlicherweise wollte der LfDI seine Verfügung zudem auf § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 DSGVO stützen, nach dem der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen soll, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden. Aus Erwägungsgrund 39 DSGVO ergibt sich aber nicht, dass die Verantwortliche bereits vor Geltung DSGVO verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit DSGVO durch die Aufsichtsbehörde verpflichtet werden könnte.

Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

Diese Feststellung des VG ist für Unternehmen bis zum Stichtag am 25.5.2018 durchaus relevant. Denn hierdurch stellt das VG richtigerweise klar, dass eine Aufsichtsbehörde keine Vorschriften durchsetzen darf, die noch gar nicht anwendbar sind.

Der LfDI hatte zur Begründung zudem auf Art. 58 Abs. 2 lit. d) DSGVO verwiesen. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Wie die gesamte DSGVO, so ist aber natürlich auch Art. 58 DSGVO erst anwendbar und durchsetzbar, wenn die DSGVO Anwendung findet. Also erst ab dem 25.5.2018.

In dem Urteil äußert sich das VG zudem auch implizit zu einigen Vorschriften der DSGVO in Bezug auf die Löschung von personenbezogenen Daten.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG wird mit Neufassung des Bundesdatenschutzgesetz nicht fortbestehen. Die DSGVO enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 lit. e) DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Lediglich aus Erwägungsgrund 39 DSGVO ist zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 DSGVO regelmäßig zu überprüfen hat. Das VG ist der Auffassung, dass eine Überprüfung in bestimmten Intervallen erfolgen kann, so wie es beispielsweise bislang nach § 35 Abs. Absatz 2 S. 2 Nr. 4 BDSG möglich und zulässig war. Zudem weist das VG darauf hin, dass die vom LfDI für angemessen erachtete Frist, wonach Forderungen und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, keineswegs die einzig mögliche Speicher- und Löschkonzeption darstellt, die mit der DSGVO in Einklang steht bzw. sich aus selbiger zwingend ergibt.

Vielmehr muss sich die künftige Prüf- und Löschpraxis (hier der Auskunfteien) am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO messen lassen, der aber gerade in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Das VG geht aber davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig ist.

Auskunftsverlangen nach Safe Harbor: Muss über den Ort der Datenverarbeitung informiert werden?

Nach der Safe Harbor-Entscheidung des EuGH (hierzu mein Blogbeitrag), dürften sich Auskunftsersuchen von Betroffenen häufen, die ihr Recht aus § 34 BDSG geltend machen. Zumindest bei mir lag einen Tag nach dem Urteil bereits die erste Anfrage hierzu auf dem Tisch. Häufig wird in diesem Zusammenhang (und vor dem Hintergrund der Entscheidung des EuGH durchaus verständlicherweise) auch danach gefragt, wo (örtlich) die personenbezogenen Daten des Betroffenen verarbeitet werden. So sieht etwa auch der Musterbrief der Verbraucherzentrale NRW (PDF) eine solche Frage vor. Doch muss eine verantwortliche Stelle hierüber tatsächlich Auskunft geben?

Europäische Vorgaben

Nach Art. 8 Abs. 2 S. 2 der Charta der Europäischen Union hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten. Die Grundrechte der EU binden zwar nicht direkt private Unternehmen. Dennoch soll diese Vorgabe als Ausgangspunkt der Betrachtung dienen.

Nach Art. 12 der europäischen Datenschutz-Richtlinie (DS-RL) garantieren die Mitgliedstaaten jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:

  • zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;
  • eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;

Der Ort der Datenverarbeitung wird hier nicht genannt. Jedoch stellen diese Vorgaben auch nur Mindestanforderungen an die nationalen Datenschutzgesetze dar („zumindest“). Die Mitgliedstaaten können also in ihren nationalen Rechtsordnungen weitere Informationen vorsehen.

§ 34 BDSG

Nach § 34 Abs. 1 BDSG hat die verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

Auch in den deutschen Vorgaben des Auskunftsanspruchs wird der Ort der Datenverarbeitung also nicht als verpflichtende Information genannt. Ausreichend ist zudem die Auskunft über die “Kategorien” von Empfängern der Daten. Die Datenempfänger (z.B. dritte Unternehmen) müssen also nicht notwendigerweise genau benannt werden.

Kommentarliteratur

Die datenschutzrechtliche Kommentarliteratur ist zu dieser Frage gespalten. Schmidt-Wudy (Beck’scher Online-Kommentar Datenschutzrecht, § 34 BDSG, Rn. 47) verweist nur darauf, dass eine Auffassung existiert, die auch den Standort der Datenverarbeitung vom Auskunftsanspruch umfasst ansieht. Dix (Simitis, § 34 BDSG, Rn. 23) vertritt die Ansicht, dass Ort der Datenverarbeitung gerade im Fall des Cloud Computing besonders bedeutsam ist und aus diesem Grund vom Auskunftsanspruch umfasst sein muss. Dix verweist zur Begründung seiner Ansicht zudem darauf, dass der Ort der Datenverarbeitung entscheidend für die Frage des anwendbaren Datenschutzrechts sei und der Betroffene daher hierzu Informationen erhalten muss.

Dass es für die Frage des anwendbaren Datenschutzrechts jedoch gerade nicht auf den Ort der technischen Datenverarbeitung ankommt (wo also die Server/Computer stehen), hat bereits im Jahre 2002 die Art. 29 Datenschutzgruppe festgestellt (Stellungnahme WP 56, S. 9,  pdf). Auch der EuGH hat in der kürzlich ergangenen (und leider bisher kaum öffentlich wahrgenommenen) Entscheidung „Weltimmo“ der Tatsache, in welchem Land die Server eines Unternehmens stehen, um eine Website zu betreiben über die personenbezogene Daten verarbeitet werden, ausdrücklich keine Bedeutung für die zu beurteilende Frage des anwendbaren Datenschutzrechts beigemessen (vgl. EuGH, Rechtssache C-230/14, Rz. 18; mein Blogbeitrag hierzu). Aus diesem Grund halte ich es daher nicht für erforderlich bzw. gesetzlich geboten, den Ort der Datenverarbeitung in den Auskunftsanspruch aufzunehmen.

Neben dem Wortlaut der deutschen und europäischen Vorschriften spricht meines Erachtens auch der hinter dem Auskunftsanspruch liegende Zweck gegen eine Pflicht, den Ort der Datenverarbeitung im Rahmen des Auskunftsanspruchs nennen zu müssen. Der BGH hat bereits 1983 entschieden, dass der Auskunftsanspruch das notwendige Korrelat zu den Ansprüchen auf Berichtigung, Sperrung und Löschung darstellt (Urteil vom 15.12.1983 – III ZR 187/82). So sieht dies auch der EuGH. Seiner Auffassung nach dient der Auskunftsanspruch vor allem dem Zweck, es der betroffenen Person zu ermöglich, von über ihre Person gespeicherten Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der gesetzlichen Vorgaben gemäß verarbeitet werden, so dass diese Person gegebenenfalls die ihr zustehenden Rechte auf Berichtigung und Löschung ausüben kann (vgl. EuGH, Rechtssachen C‑141/12 und C‑372/12, Rz. 57). Um jedoch den Berichtigungs- oder Löschungsanspruch ausüben zu können, muss eine Person nicht wissen, wo die Daten physisch liegen (im Übrigen weiß dies in der heutigen Zeit oft nicht einmal die verantwortliche Stelle selbst, da Daten oft dupliziert auf verschiedenen Servern in mehreren Ländern abgespeichert werden). Völlig ausreichend ist, dass sie Kenntnis davon hat, welche Daten vorhanden sind und wozu sie genutzt werden. Ob die Daten nun in Deutschland, England oder Amerika gespeichert sind ändert nichts daran, dass bei einer datenschutzrechtswidrigen Verarbeitung diese Daten zu löschen oder zu berichtigen sind.

Informationspflichten nach TMG

Wenn im Rahmen des Auskunftsanspruchs zwar nicht über den Ort der Datenverarbeitung zu informieren ist, so besteht für eine verantwortliche Stelle im Anwendungsbereich des TMG jedoch nach § 13 Abs. 1 TMG die Pflicht,

den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Hier muss der Diensteanbieter (etwa im Internet oder in einer App) zumindest allgemein darüber informieren, dass personenbezogene Daten in sog. Drittstaaten verarbeitet werden. Nicht aufklären muss die verantwortliche Stelle über den konkreten Ort in einem Drittstaat. Ebenso wenig muss darüber informiert werden, ob personenbezogene Daten in anderen Ländern innerhalb des EWR verarbeitet werden. Zumindest im Anwendungsbereich es TMG besteht also eine Art eingeschränkter Informationspflicht über den Ort der Datenverarbeitung.

Neues Urteil: Wie dürfen Auskunfteien über gesperrte Daten informieren?

Der Hessische Verwaltungsgerichtshof hat mit Beschluss vom 02.01.2014 (Az.: 10 B 1397/13) entschieden, dass ein Kreditschutzunternehmen Dritten gegenüber keine Auskunft über die Sperrung von Daten geben darf. Die Auskunft darf auch nicht so ausgestaltet sein, dass sie von dem Anfragenden als versteckte Mitteilung einer Datensperrung verstanden werden kann.

Sachverhalt
Die Situation ist eine alltägliche. Im Zuge des Abschlusses eines gewerblichen Leasingvertrages für ein Auto möchte sich der Leasinggeber der Kreditwürdigkeit des Leasingnehmers versichern. Dazu fragt er bei Kreditschutzunternehmen an, ob Daten zu den Betroffenen vorlägen. Sind Einträge vorhanden, geht dies meist zu Lasten des Leasingnehmers. Im hier entschiedenen Fall wurde das Kreditschutzunternehmen, nach Beschwerden von Betroffenen, die neue Leasingverträge abschließen wollten, von der hessischen Datenschutzaufsichtsbehörde dazu verpflichtet bei teilweiser oder vollständiger Sperrung von Daten Betroffener, Dritten keine Auskünfte zu den Betroffenen zu erteilen, die einen Hinweis auf die Speicherung von Daten enthielten. Formulierungen, wie etwa „über gespeicherte Datenarten wird derzeit/generell keine Auskunft erteilt“, „… ist nicht möglich …“, „… ist nicht gestattet …“ seien unzulässig, da sie für anfragende Unternehmen dennoch den Schluss zuließen, dass Daten vorhanden seien und damit negative Folgen haben könnten.

Entscheidung
Wie auch schon das VG Darmstadt (Az.: 5 L 304/13.DA), so sieht der VGH den Bescheid der Datenschutzbehörde als rechtmäßig an. Die von dem Kreditschutzunternehmen bisher verwendete Formulierung, wonach “eine Auskunftserteilung zurzeit nicht möglich ist”, sei nämlich nicht mit den Vorgaben des § 35 Abs. 4a BDSG vereinbar. Danach darf die Tatsache der Sperrung von personenbezogenen Daten nicht übermittelt werden.

Nun kann man sich freilich auf den Standpunkt stellen, dass das Unternehmen ja die Tatsche der Sperrung gerade nicht mitteilt. Doch der VGH geht davon aus, dass der Gesetzgeber mit der Bestimmung in § 35 Abs. 4a BDSG offensichtlich sicherstellen wollte, „dass in der Außenwirkung für den Betroffenen, auf den sich die personenbezogenen Daten beziehen, die Sperrung dieselbe Wirkung entfaltet wie eine Löschung“. Die Auskunftserteilung im Fall der Sperrung muss also einer solchen wie im Fall der Löschung von Daten gleichen. Nur dann könne die mit der Sperrung, als gegenüber der Löschung geringerem Mittel, vom Gesetzgeber beabsichtigte gleiche Wirkung erreicht werden.

Für diese Auffassung scheint in der Tat der gesetzgeberische Wille zu sprechen. § 35 Abs. 4a BDSG beruht auf einem Entwurf zur Änderung des BDSG aus dem Jahre 2008 (BT-Drs. 16/10529). Dort heißt es (S. 19):

Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.

Nun ist es freilich eine Auslegungsfrage, wer als Empfänger einer Auskunft etwas aus dem Wortlaut einer solchen schließen kann. Es wird jedoch davon ausgegangen, dass allein durch die Kenntnis, dass bestimmte Daten gesperrt wurden, negative Rückschlüsse auf den Betroffenen gezogen werden könnten. Formulierungen wie „zurzeit“ oder „derzeit“ sieht der VGH daher nicht als neutral genug an, um einem solchen Rückschluss vorbeugen zu können. Wie eine solche „Nichtmitteilung“ vorzunehmen ist, lässt das Gesetz jedoch offen. Der VGH erkennt an,

dass es im Einzelfall schwierig sein kann, diese dargelegten Voraussetzungen zu erfüllen. Dies kann jedoch nicht dazu führen, dass ein Betroffener, dessen personenbezogene Daten nicht gelöscht, sondern lediglich gesperrt sind, auskunftsbegehrenden Stellen gegenüber schlechter gestellt wird.

Was tun?
Die Datenschutzbehörde ordnete folgende Vorgehensweise an:

  • Bei teilweise gesperrten Daten: Dritten zu diesen Daten keine Auskunft oder ausschließlich die Auskunft, dass zu den betroffenen Datenarten keine Daten gespeichert seien, zu geben
  • Bei vollständiger Sperrung von Daten: Dritten zu dem Betroffenen keine Auskunft oder die Auskunft, dass keine Daten zu dem Betroffenen gespeichert seien, zu geben

Sowohl VG als auch VGH sahen diese Vorgaben als recht- und insbesondere auch verhältnismäßig an. Zur Not bleibe laut dem VGH eben nur eine Alternative: die Antwort zu verweigern.