Category Archives: Auskunft

Baldiges EuGH-Urteil – Auskunft und Information allein über die Kategorien der Empfänger von Daten ausreichend?

Posted on by

Am 9. Juni 2022 hat Generalanwalt Pitruzzella zu einer nahenden Entscheidung des EuGH (Rechtssache C‑154/21) seine Schlussanträge vorgelegt.

In dem Verfahren aus Österreich geht es um die praxisrelevante Frage, ob Verantwortliche im Rahmen der Antwort auf Auskunftsanträge nach Art. 15 DSGVO den Betroffenen die konkreten Empfänger von Daten oder aber nur die Empfängerkategorien zur Verfügung stellen müssen (Art. 15 Abs. 1 lit. c DSGVO). Die Antwort auf diese Frage hat weitreichende Konsequenzen: müssten alle Datenempfänger konkret benannt werden, bedeutet dies, dass der zur Auskunft verpflichtete Verantwortliche jegliche (gemeinsam oder getrennt) Verantwortliche und (!) Auftragsverarbeiter aufführen muss, die Daten von ihm erhalten. Denn „Empfänger“ sind auch die Auftragsverarbeiter.

In der Praxis bedeutet dies natürlich, dass man im Grunde auch alle Stellen kennen muss, die Daten erhalten. Das kann in der heutigen Zeit durchaus herausfordernd sein. Stellen Sie sich hierzu einmal eine Webseite / App vor, auf der verschiedenste Dienstleister eingebunden sind.

Konkret geht es in dem Verfahren um die Auslegung von Art. 15 Abs. 1 lit. c DSGVO, in dem es heißt: „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.

Der Generalanwalt legt die Norm nach verschiedenen Kriterien, u.a. Wortlaut und Sinn und Zweck aus. Hierbei kommt er zu einem klaren Ergebnis: Art. 15 Abs. 1 lit. c DSGVO ist dahin auszulegen, dass das dort vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken ist.

Zur Begründung führt der Generalanwalt unter anderem folgende Argumente an:

  • Die Begriffe „Empfänger“ und „Kategorien von Empfängern“ sind neutral nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen diesen Begriffen ein Vorrangverhältnis besteht.
  • Die Struktur der Norm spreche dafür, einer Auslegung den Vorzug zu geben, wonach es der betroffenen Person obliegt, die Wahl zwischen den beiden dort vorgesehenen Alternativen zu treffen.
  • Die Ausübung des Auskunftsrechts muss es der betroffenen Person insbesondere ermöglichen, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Das setzt grundsätzlich voraus, dass die Mitteilung von Informationen so präzise wie möglich erfolgt.
  • Würde man die Nennung von Kategorien ausreichen lassen, würde der betroffenen Person die Möglichkeit genommen, in vollem Umfang die Rechtmäßigkeit der vom Verantwortlichen vorgenommenen Verarbeitung und insbesondere die Rechtmäßigkeit der bereits erfolgten Offenlegungen von Daten überprüfen zu können.

Gleichzeitig macht der Generalanwalt zwei Ausnahmen:

  • In einem Fall, in dem aus tatsächlichen Gründen die Erteilung einer Auskunft über konkrete Empfänger nicht möglich ist, z. B. wenn diese tatsächlich noch nicht identifiziert wurden.
  • Zudem sei die Ausübung des Auskunftsrechts der betroffenen Person und die Erfüllung der entsprechenden Verpflichtung des Aufraggebers anhand der Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu beurteilen. Diese Ausnahme ist spannend, denn hier verweist der Generalanwalt auch auf den möglichen Einwand nach Art. 12 Abs. 5 DSGVO, bei offenkundig unbegründeten oder exzessiven Anträgen.

Es handelt sich „nur“ um die Schlussanträge. Doch wenn man die Rechtsprechung des EuGH im Bereich Datenschutz anschaut, würde ich vermuten, dass er dem Ergebnis des Generalanwalts folgt.

Was bedeutet dies?

  • Sollte der EuGH entsprechend entscheiden, müssen bei der Beantwortung von Auskunftsanträgen jeweils immer die spezifischen Empfänger der Daten angegeben werden. Das setzt voraus, dass datenverarbeitendes Stelle alle Empfänmger auch kennen. Bedeutet: man muss wissen, wo welche Daten hingehen. Das ist in der Praxis eine Herausforderung. Ein gut geführter Verzeichnis nach Art. 30 DSGVO kann in solchen Fällen ein echter Segen sein.
  • Auch Art. 13 Abs. 1 und 14 Abs. 1 DSGVO enthalten eine entsprechende Vorgabe, wie Art. 15 Abs. 1 lit. c DSGVO; ich würde vermuten, dass insbesondere Aufsichtsbehörden die Begründung in diesem Verfahren daher auch auf Datenschutzerklärungen anwenden. Das bedeutet, diese müssten angepasst und um Empfängerlisten ergänzt werden.

Missbräuchliche Ausübung von Betroffenenrechten – Klarheit durch neuen Richtlinienvorschlag der EU-Kommission?

Posted on by

In der Praxis ist die Geltendmachung und Bearbeitung von Betroffenenrechten der DSGVO ein wichtiges Thema. Dabei fällt auf, dass gerade Rechte wie der Auskunftsanspruch (Art. 15 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) auch in Situationen geltend gemacht werden, in denen der Datenschutz ganz offensichtlich nicht im Fokus der Betroffenen steht. Sondern es geht, etwa in Verfahren vor Arbeitsgerichten, darum, der Gegenseite weiteren Aufwand zu machen bzw. diese, wenn möglich „auszuforschen“ (je nachdem, wie das Gericht den Umfang des Auskunftsrechts versteht). Oft stellt sich dann die Frage, ob denn der Verantwortliche nicht eine missbräuchliche Geltendmachung des Betroffenenrechts einwenden und die Erfüllung ablehnen kann. Mein Kollege Johannes Zwerschke und ich haben zu dem Thema „Missbräuchliche Ausübung von DS-GVO-Betroffenenrechten – zulässiger Verteidigungseinwand für Verantwortliche?“ einen Aufsatz in Heft 1/2022 der RDV veröffentlicht.

Merkmal „offenkundig unbegründet“

Fraglich ist hierbei unter anderem, wie das Merkmal „offenkundig unbegründet“ in Art. 12 Abs. 5 DSGVO in Bezug auf Anträge von Betroffenen zu verstehen ist. Die DSGVO gibt hierauf keine konkrete Antwort. Da es sich hierbei um unmittelbar anwendbares europäisches Recht handelt, ist das Merkmal nicht allein aus nationaler Sicht, sondern europarechtsautonom auszulegen.

Richtlinienvorschlag der Kommission zu missbräuchlichen Gerichtsverfahren

Spannend ist daher ein neuer Richtlinienvorschlag der EU-Kommission vom 27.4.2022. Es geht um eine Richtlinie zum Schutz von Personen, die sich öffentlich beteiligen, vor offenkundig unbegründeten oder missbräuchlichen Gerichtsverfahren („strategische Klagen gegen öffentliche Beteiligung“) (COM(2022) 177 final, PDF). Hintergrund des Vorschlags ist der Wunsch, Maßnahmen zur Verbesserung des Schutzes von Journalisten und Menschenrechtsverteidigern vor missbräuchlichen Gerichtsverfahren zu schaffen. „Strategische Klagen gegen öffentliche Beteiligung“ oder „SLAPP-Klagen“ (strategic lawsuits against public participation) sind nach Ansicht der Kommission eine besondere Form der Belästigung, um Äußerungen zu Angelegenheiten im öffentlichen Interesse zu verhindern oder zu sanktionieren. Die vorgeschlagene Richtlinie „ermöglicht es Richtern, offenkundig missbräuchliche Klagen gegen Journalisten und Menschenrechtsverteidiger rasch abzuweisen“.

Und hier wird es natürlich für uns aus DSGVO-Sicht interessant. Zum einen verwendet die Richtlinie exakt dasselbe Merkmal wie die DSGVO („offenkundig unbegründet“). Zum anderen ist die Ausgangssituation auch sehr ähnlich: es geht darum zu verhindern, dass Rechte missbräuchlich genutzt werden. Die Parallele zu Situationen unter der DSGVO, ergibt sich etwa aus ErwG 20 der Richtlinie: „Bei missbräuchlichen Gerichtsverfahren handelt es sich in der Regel um bösgläubige Verfahrenstaktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands“. Und: „Diese Taktiken werden von den Klägern zu anderen Zwecken eingesetzt, als um Zugang zur Justiz zu erhalten“.

Was versteht die Kommission unter „offenkundig unbegründet“?

Und was versteht die Kommission nun unter dem Begriff „offenkundig unbegründet“? Eine abschließende Definition dieses Merkmals bzw. des Oberbegriffs „missbräuchliche Gerichtsverfahren“ liefert die Richtlinie nicht. Art. 3 der Richtlinie zählt eine nicht erschöpfende Liste der häufigsten Indikatoren von Missbrauch auf. Darunter fallen nach Ansicht der Kommission:

  • Unverhältnismäßigkeit,
  • Maßlosigkeit oder
  • Unangemessenheit der Forderung oder eines Teils davon,
  • Vorhandensein mehrerer Verfahren, die vom Antragsteller oder mit ihm verbundenen Parteien in ähnlichen Angelegenheiten angestrengt wurden,
  • Einschüchterungen, Belästigungen oder Drohungen von Seiten des Klägers oder seiner Vertreter.

In den Erläuterungen zu dem Entwurf geht die Kommission noch etwas genauer auf mögliche Merkmale ein, die meines Erachtens durchaus auch im Bereich der DSGVO herangezogen werden können.

Bei missbräuchlichen Gerichtsverfahren handelt es sich häufig um bösgläubige Verfahrenspraktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands. Diese Taktiken, die von den Klägern zu anderen Zwecken als dem Zugang zur Justiz eingesetzt werden…

Gerade diese letzte Erläuterungen ist meiner Ansicht nach sehr gut auf die missbräuchliche Geltendmachung von Betroffenenrechten übertragebar (wie etwa: Verursachen unverhältnismäßig hoher Kosten; zu anderen Zwecken als dem Zugang zur Justiz (bzw. dem Schutz personenbezogener Daten)).

VG Düsseldorf: Kein DSGVO-Auskunftsanspruch in Bezug auf Mitarbeitergesprächsprotokolle von Kollegen

Posted on by

Das Verwaltungsgericht (VG) Düsseldorf hat mit Urteil vom 7.3.2022 (Az 26 K 406/19) zu der Frage entschieden, ob im Rahmen eines Auskunftsanspruchs nach Art. 15 DSGVO auch das Protokoll eines Mitarbeitergesprächs herauszugeben ist, in dem sich eine Arbeitskollegin kritisch über die Klägerin äußerte und ihr unter anderem vorwarf, Drohungen gegenüber Mitarbeitern auszusprechen.

Sachverhalt

Die Klägerin war als Fallmanagerin (Arbeitsvermittlerin) dem Beklagten zu 2 zugewiesen. Dort fand ein Personalgespräch statt, in dem ihr unangemessenes Verhalten gegenüber einer Mitarbeiterin vorgehalten wurde. Diese Mitarbeiterin habe in ihrem Mitarbeitergespräch im April 2017 geäußert, sie – die Klägerin – sei eine polarisierende und spaltende Kraft und agiere gegen die Teamleitung. Sie – die Klägerin – habe zum Nachteil der anderen Mitarbeiterin auch eine Drohung ausgesprochen.

Die Klägerin bewarb sich danach bei der Beklagten zu 1. Im Zuge des Bewerbungsverfahrens forderte die Beklagte zu 1. beim Beklagten zu 2. eine anlassbezogene dienstliche Beurteilung an. In dieser wurde u.a. festgehalten, dass es vereinzelt mit wenigen Mitarbeitern im Team zu immer wiederkehrenden Meinungsverschiedenheiten gekommen sei. Die dienstliche Beurteilung wurde gegenüber der Klägerin nicht eröffnet. Die ausgeschriebene Stelle wurde anderweitig vergeben.

Zuletzt beantragte die Klägerin noch, den Beklagten zu 2. zu verurteilen, ihr das Protokoll des Mitarbeitergesprächs der Kollegin aus April 2017 herauszugeben.

Entscheidung

Das VG wies die Klage als unbegründet ab.

Zunächst geht das VG davon aus, dass § 86 LBG NRW (Auskunftsrecht) vorliegend nicht auf das Protokoll des Mitarbeitergesprächs der Arbeitskollegin anwendbar ist. Diese Norm sei im vorliegenden Fall nicht einschlägig, soweit das von der Klägerin begehrte Dokument nicht Teil der eigenen Personalakte ist. Denn das streitbefangene Mitarbeiterprotokoll beziehe sich auf die dienstrechtlichen Beziehungen zwischen der Kollegin und dem Beklagten zu 2.

Der Beklagte zu 2. habe zudem entsprechend der bis 24. Mai 2018 geltenden Rechtslage Auskunft erteilt. Dort enthalten war auch das die Klägerin betreffende Protokoll über ihr eigenes Mitarbeitergespräch, welches die wesentlichen Angaben über die Vorwürfe aus dem Gespräch der Kollegin enthielt.

Art. 15 DSGVO trete, als allgemeine Norm, die ein Auskunftsrecht bei der Verarbeitung personenbezogener Daten vorsieht, gegenüber der Spezialregelung im LBG NRW bereits aus systematischen Gründen zurück (§ 5 Abs. 6 DSG NRW).

Jedoch nutzt das VG dennoch die Gelegenheit, sich zu der Ausnahmeregelung des Art. 15 Abs. 4 DSGVO in dem konkreten Fall zu äußern.

Art. 15 Abs. 4 DSGVO schränke das Recht auf Erhalt einer Kopie ein, wenn Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das sei hier der Fall, da eine Kopie des Protokolls über das Mitarbeitergespräch vom April 2017 an die Klägerin herausgegeben werden würde.

Über ihre eigenen personenbezogenen Daten würde der Klägerin (als Betroffene) dann Einblick auch in solche personenbezogenen Daten ermöglicht werden, die ihre Kollegin oder weitere Personen betreffen.

Im Rahmen einer Abwägung aller Interessen ist ein solcher Eingriff nicht zu rechtfertigen, weil die Klägerin – wie bereits dargestellt – in anderer geeigneter Weise über die sie betreffenden personenbezogenen Daten informiert worden ist“.

Fazit

Die Ausführungen des VG sind recht kurz. Dennoch scheint das VG durchblicken zu lassen, dass Art. 15 DSGVO seiner Ansicht nach zum einen nicht dazu dient, personenbezogene Daten über andere Personen (hier der Arbeitskollegin und ihren Aussagen) zu erhalten. Zum anderen sieht das VG im konkreten Fall wohl auch die Rechte und Freiheiten der anderen Betroffenen beeinträchtigt, wenn deren Daten, in der Form von Gesprächsprotokollen, im Original herausgegeben würden. Das VG äußert sich nicht zu der Möglichkeit, ob eine geschwärzte Version des Protokolls zur Verfügung gestellt werden könnte.

Französische Datenschutzbehörde: Empfehlungen für die Bearbeitung von Auskunftsansprüchen nach Art. 15 DSGVO im Arbeitsverhältnis – speziell zu beruflichen E-Mails

Posted on by

Die Geltendmachung von Art. 15 DSGVO hat insbesondere im Bereich des Arbeitsverhältnisses Hochkonjunktur. Vor allem in Situationen, in denen es nicht (mehr) so funktioniert oder ein Kündigungsschutzprozess läuft.

In der Literatur und Rechtsprechung gibt es einige Diskussionen zu der Frage, wie in diesem Fall Art. 15 DSGVO auszulegen und anzuwenden ist.

Die französische Datenschutzbehörde (CNIL) hat nun auf ihrer Webseite (bisher nur auf Französisch) Empfehlungen ausgesprochen und ihre Ansicht dargelegt, wie mit Auskunftsansprüchen im Arbeitsverhältnis umzugehen ist („Das Recht der Arbeitnehmer auf Auskunft zu ihren Daten und beruflichen E-Mails“). Interessant an der Veröffentlichung ist, dass sich die CNIL speziell auch mit der Frage der Herausgabe von beruflichen E-Mails befasst.

Nachfolgend möchte ich einige Aussagen der CNIL darstellen (aus dem Französischen per deepl übersetzt).

Identitätsfeststellung

Der Verantwortliche muss sich über die Identität des Antragstellers vergewissern. Wenn begründete Zweifel an der Identität der Person bestehen, die ihr Recht ausüben möchte, kann der Verantwortliche Informationen anfordern, um die Identität der Person zu verifizieren. Jedoch, so die CNIL, dürfen keine Nachweise verlangt werden, die missbräuchlich, irrelevant und im Verhältnis zum Antrag unverhältnismäßig wären.

Beispiele:

Wenn ein Arbeitnehmer von seinem Arbeitgeber über seine geschäftliche E-Mail oder das Intranet des Unternehmens Auskunft zu den über ihn gespeicherten personenbezogenen Daten und deren Offenlegung verlangt, ist die Vorlage eines Personalausweises oder eines Reisepasses a priori nicht erforderlich, um die Identität des Antragstellers sicherzustellen.

Ein ehemaliger Arbeitnehmer könne seine Identität grundsätzlich z.B. durch die Nennung seiner früheren Mitarbeiter-ID nachweisen.

Das Recht auf Auskunft bezieht sich auf personenbezogene Daten und nicht auf Dokumente

Das Recht auf Auskunft bezieht sich nach Ansicht der CNIL nur auf personenbezogene Daten und nicht auf Dokumente: „Eine Person kann also nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen“. Es steht dem Verantwortlichen jedoch frei, Dokumente statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist.

Beispiel: Wenn eine betroffene Person ihr Recht auf Auskunft zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger …) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich.

Wie antwortet man einem Arbeitnehmer, der Zugang zu dienstlichen E-Mails oder eine Kopie davon erhalten möchte?

Nach Ansicht der CNIL muss der Arbeitgeber im Fall eines Auskunftsersuchens auf Zugang zu dienstlichen E-Mails die Beeinträchtigung der Rechte Dritter durch diese Anfrage bewerten. Er muss also eine Auswahl treffen zwischen Nachrichten, die weitergegeben werden dürfen, und solchen, die nicht weitergegeben werden dürfen.

Die CNIL schlägt vor, dass Arbeitgeber zwischen zwei Situationen unterscheiden, je nachdem, ob der antragstellende Arbeitnehmer 1) der Absender oder der Empfänger der E-Mails ist/war oder 2) nur im Inhalt der E-Mails erwähnt wird. Die CNIL nimmt diese Trennung vor allem mit Blick auf die Ausnahme nach Art. 15 Abs. 4 DSGVO (Beeinträchtigung der Rechte anderer Personen) vor.

Zu 1)

Wenn der Arbeitnehmer bereits Kenntnis von den Informationen in den Nachrichten, auf die sich der Antrag bezieht, hatte oder davon ausgegangen werden kann, dass er davon Kenntnis hat, geht die CNIL davon aus, dass die Weitergabe der E-Mails die Rechte Dritter respektiert und nicht die Ausnahme nach Art. 15 Abs. 4 DSGVO greift.

In diesem Zusammenhang ist die Anonymisierung oder Pseudonymisierung von Daten Dritter zwar empfehlenswert, jedoch nach Ansicht der CNIL keine Vorbedingung für die Übermittlung von E-Mails.

In Ausnahmefällen kann der Zugang zu oder die Weitergabe von E-Mails, die dem Antragsteller schon bekannt sind, jedoch ein Risiko für die Rechte Dritter darstellen, z. B. aufgrund der Art der Daten, die weitergegeben werden könnten. Dann muss der Arbeitgeber zunächst versuchen, Daten, die Dritte betreffen oder ein Geheimnis verletzen, zu löschen, zu anonymisieren oder zu pseudonymisieren, um dem Antrag stattgeben zu können. Wenn sich diese Maßnahmen als unzureichend erweisen, darf der Arbeitgeber den Antrag auf Auskunft verweigern, wobei er seine Entscheidung gegenüber der betroffenen Person begründen und rechtfertigen muss.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Herausgabe von E-Mails mit Informationen, die die nationale Sicherheit oder ein Betriebsgeheimnis verletzen würden, stattzugeben. Diese Argumente können vom Arbeitgeber aber nicht ohne eine Begründung gegenüber dem Antragsteller geltend gemacht werden.

Zu 2)

Wenn ein Arbeitnehmer die Herausgabe von Informationen aus E-Mails, in denen er erwähnt wird, erhalten möchte, muss der Arbeitgeber nach Ansicht der CNIL ein Gleichgewicht zwischen der Befriedigung des Auskunftsrechts des Arbeitnehmers und der Achtung der Rechte und Freiheiten anderer Arbeitnehmer, insbesondere mit Blick auf das Fernmeldegeheimnis, finden.

Die CNIL empfiehlt, in zwei Schritten vorgehen:

Schritt 1: Zunächst vergewissert sich der Arbeitgeber, dass die Mittel, die zur Identifizierung der angeforderten E-Mails eingesetzt werden müssen, nicht zu einem unverhältnismäßigen Eingriff in die Rechte aller Arbeitnehmer der Organisation führen.

Wenn die Identifizierung der E-Mails, auf die sich der Antrag bezieht, den Einsatz besonders einschneidender Mittel voraussetzt, wie z. B. das Scannen sämtlicher E-Mail-Nachrichten der Beschäftigten der Organisation, muss der Antragsteller aufgefordert werden, seinen Antrag zu präzisieren. Wenn er sich dagegen wehrt, kann sich der Arbeitgeber in einer solchen Situation auf die Achtung der Rechte Dritter berufen, um ihm eine positive Antwort zu verweigern.

Wenn die Angaben des Antragstellers es ermöglichen, die angeforderten E-Mails zu identifizieren, ohne das Fernmeldegeheimnis der Arbeitnehmer unverhältnismäßig zu verletzen, muss der für die Verarbeitung Verantwortliche den zweiten Schritt durchführen.

Schritt 2:

Der Verantwortliche untersucht den Inhalt der angeforderten E-Mails und beurteilt das Ausmaß der Beeinträchtigung der Rechte Dritter durch ihre Übermittlung, insbesondere im Hinblick auf das Fernmeldegeheimnis und das Privatleben des Absenders und der Empfänger. Dieser Schritt setzt eine Einzelfallanalyse voraus, da das Ergebnis von der Art der in den E-Mails enthaltenen Informationen abhängt.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Übermittlung von E-Mails stattzugeben, die sich auf eine Disziplinaruntersuchung beziehen und deren Inhalt, selbst wenn er geschwärzt ist, dem Antragsteller die Identifizierung von Personen ermöglichen könnte, von denen er keine Kenntnis haben sollte.

Fazit

Die Empfehlungen der CNIL stellen eine gute Unterstützung und Argumentationshilfe für die Praxis dar. Zwar dürften die Vorgaben der CNIL in der Praxis zu einem gewissen Aufwand auf Seiten der Arbeitgeber führen. Andererseits ist zu beachten, dass man sich im Bereich einer Ausnahme von einem Betroffenenrecht befindet und daher ein gewisser Begründungsaufwand unausweichlich ist. Andere Möglichkeit: man schließt berufliche E-Mails per se vom Anwendungsbereich des Art. 15 DSGVO aus. Auch das ist aber natürlich sehr umstritten.

Finnische Datenschutzbehörde: Protokoll-/Logdaten sind nicht vom Auskunftsanspruch nach Art. 15 DSGVO umfasst

Posted on by

Die finnische Datenschutzbehörde (DSB) veröffentlicht auf ihrer Webseite unter der Rubrik „FAQ“ in englischer Sprache viele interessante und praxisrelevante Antworten auf Fragen, rund um das Verständnis der DSGVO.

Eine schöne Frage und Antwort der Behörde habe ich zum Recht auf Auskunft gefunden.  

Frage: Kann ein Betroffener aufgrund des Auskunftsrechts Anspruch auf die Protokolldaten (Logdaten) haben?

Antwort der Behörde: Nach der gängigen Entscheidungspraxis der DSB stehen Benutzerprotokolldaten im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten einer betroffenen Person und betreffen nicht die betroffene Person selbst. Vielmehr können Benutzerprotokolldaten z.B. die Mitarbeiter betreffen, die die Daten der Person verarbeitet haben. Art. 15 DSGVO sieht das Recht der betroffenen Person auf Auskunft über die sie betreffenden Daten vor.

Hieraus schließt die DSB: Da sich die Protokolldaten auf die Zugriffsverwaltung und nicht auf die betroffene Person beziehen, über die sie gesammelt werden, hat diese Person nach Auffassung der Aufsichtsbehörde aufgrund dieses Auskunftsrechts keinen Anspruch auf die Protokolldaten.

Diese Ansicht der DSB dürfte für Unternehmen in der Praxis besonders interessant sein. In Deutschland kann sich dasselbe Ergebnis auf Grundlage von § 34 Abs. 1 Nr. 2 lit. b BDSG ergeben, wenn die dort benannten Voraussetzungen erfüllt sind. Hierzu zählt etwa, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die finnische DSB scheint eher pauschal die Logdaten, welche beim Zugriff auf personenbezogene Daten entstehen, vom Umfang des Auskunftsanspruchs auszuschließen.

Schwedische Datenschutzbehörde: Ausübung von DSGVO-Betroffenenrechten per Tweet?

Posted on by

Die schwedische Datenschutzbehörde hat im Rahmen des Kohärenzverfahrens am 10.9.2021 eine Entscheidung (PDF) zu der durchaus praxisrelevanten Frage getroffen, ob Unternehmen Betroffenenanfragen bzw. die Ausübung von Betroffenenrechten der DSGVO per Tweets auf Twitter sicherstellen müssen.

Sachverhalt

Der Betroffene erwarb ein Produkt des Verantwortlichen. Im Nachgang erhielt der Betroffene drei werbliche SMS. Eine Abmeldung von dem SMS-Versand war wohl nur über den Versand einer SMS an eine ausländische Nummer möglich. Dies wollte der Betroffene jedoch nicht und wandte sich per Tweet an den Account des Unternehmens auf Twitter an den Verantwortlichen (wohl mit einer Bitte um Löschung seiner Daten). Er erhielt hierauf zunächst keine Antwort, jedoch eine weitere SMS. Daraufhin beschwerte er sich erneut per Tweet bei dem Unternehmen und forderte die Löschung seiner Daten. Auf den letzten Tweet antwortete das Unternehmen und bot ihm an, seine Daten aus der Datenbank zu löschen. Am Ende nahm das Unternehmen diese Löschung auch vor.

Entscheidung

Die interessante Frage war hier, ob die Tweets an den Account des Verantwortlichen auf Twitter als Ausübung eines Betroffenenrechts angesehen werden konnten (etwa mit der Folge des Laufs der Fristen nach Art. 12 Abs. 3 DSGVO).

Die schwedische, als federführende Aufsichtsbehörde, äußert sich in der veröffentlichten Entscheidung nicht ausdrücklich zu dieser Frage. Jedoch lässt die Begründung der Behörde erkennen, dass sie wohl nicht davon ausgeht, dass diese Anfragen per Tweet als Betroffenenanfragen im Sinne der DSGVO zu verstehen waren.

Die Aufsichtsbehörde stellt „fest, dass der Beschwerdeführer einen informellen Weg zur Kontaktaufnahme mit dem Unternehmen genutzt hat (durch einen Tweet auf Twitter).“ (inoffizielle Übersetzung)

Diese Einschätzung lässt eine gewisse Tendenz erkennen, die Tweets nicht als Ausübung eines Betroffenenrechts zu verstehen. Wobei man sicherlich anmerken muss, dass die DSGVO keinen „formellen“ Weg für Betroffenenanfragen vorsieht. Art. 12 Abs. 2 DSGVO verpflichtet den Verantwortliche dazu, dass er der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtert.

Die Aufsichtsbehörde begründet weiter, dass es ist verständlich sei, dass der Beschwerdeführer keine Gebühr zahlen wollte, um gegen die Marketing-SMS Einspruch zu erheben.

aber gleichzeitig ist es auch verständlich, dass das Unternehmen nicht direkt über Twitter eine formelle Antwort gegeben hat“. (inoffizielle Übersetzung)

Die schwedische Behörde geht davon aus, dass es höchstwahrscheinlich andere Möglichkeiten gab, mit dem Unternehmen in Kontakt zu treten (z. B. per E-Mail), als per SMS. Auch diese Begründung spricht meines Erachtens eher dafür, dass die Aufsichtsbehörde von dem Betroffenen verlangt, einen förmlicheren Weg bei der Ausübung seiner Rechte zu gehen.

Letztlich schloss die Aufsichtsbehörde das Verfahren ohne eine aufsichtsbehördliche Maßnahme ab.

Finnische Datenschutzbehörde: Gesprächsaufzeichnungen sind nach Art. 15 Abs. 3 DSGVO herauszugeben

Posted on by

Die finnische Datenschutzbehörde entschied (PDF) am 24. Juni 2021 in einem Kohärenzverfahren zu Fragen des Auskunftsanspruchs in Bezug auf Aufzeichnungen von Telefongesprächen. Die Datenschutzbehörde sieht den Verantwortlichen in der Pflicht, auch solche Aufzeichnungen im Rahmen des Art. 15 Abs. 3 DSGVO herauszugeben.

Sachverhalt

Der Fall basiert auf einer Beschwerde eines Betroffenen. Von ihm wurden durch das Unternehmen Telefongespräche wurden aufgezeichnet, die er mit dem Kundenservice des Unternehmens führt. Darauf enthalten waren sowohl die Stimme des Betroffenen, als auch anderer Person (wohl Mitarbeiter des Unternehmens). Der Betroffene verlangte Auskunft nach Art. 15 DSGVO. Das Unternehmen hab ihm (verspätet) jedoch nur Dokumente heraus und nicht die Aufzeichnungen der Telefongespräche.

Die Finnische Behörde prüfte Verstöße gegen Art. 12 Abs. 1 und 3 sowie Art. 15 Abs. 3 DSGVO. Das Verfahren endete in einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Verspätete Auskunftserteilung

Insgesamt geht die Behörde von einem Verstoß gegen Art. 12 Abs. 3 und gegen Art. 12 Abs. 1, Art 15 Abs. 3 DSGVO aus.

Ursprünglich wurde im November 2018 Auskunft geltend gemacht und teilweise im August 2020 erfüllt Dies jedoch nicht in Bezug auf Gesprächsaufzeichnungen. Die Behörde stellt diesbezüglich einen Verstoß gegen Art. 12 Abs. 3 DSGVO fest, da das Unternehmen die Auskunft nicht innerhalb der gesetzlichen Frist (maximal 3 Monate) erteilte.

Keine Herausgabe der Gesprächsaufzeichnungen

Der Verantwortliche stellt die Aufzeichnungen von Telefongespräche mit dem Betroffenen im Rahmen der Auskunft nicht zur Verfügung. Zur Begründung führte das Unternehmen Art. 15 Abs. 4 DSGVO und die Rechte von anderen Personen an, die ebenfalls auf den Aufzeichnungen zu hören sind.

Die Aufsichtsbehörde stellt zunächst fest, dass die Stimme einer Person ein personenbezogenes Datum im Sinne der DSGVO ist. Daher geht die Behörde davon aus, dass sich das Recht auf Auskunft im Grundsatz auch auf aufgezeichnete Telefongespräche bezieht.

Interessant ist die Ansicht der Behörde zur Ausnahme vom Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO. Nach Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie gemäß Abs. 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das Unternehmen hatte hier Rechte anderer Personen, die ebenfalls auf den Aufzeichnungen zu hören sind, als einschränkende Ausnahme vorgebracht. Im konkreten Fall lies dies die Behörde jedoch nicht geltend. Denn nach Ansicht der Behörden sind keine Rechte anderer Personen beeinträchtigt, wenn diese anderen Personen die Telefonaufzeichnungen im Rahmen der Ausübung ihrer beruflichen Tätigkeit vornehmen.

Es ging hier also wohl um Mitarbeiter im Kundenservice des Verantwortlichen, die auf der Aufzeichnung des Telefongesprächs zu hören waren. Nach Auffassung der Datenschutzbehörde stelle dies aber keinen Fall dar, in dem die Rechte dieser Mitarbeiter beeinträchtigt würden, wenn die Aufzeichnungen der Telefongespräche an den Betroffenen herausgegeben werden. Die Aufsichtsbehörde scheint hierbei an den beruflichen Kontext der Aufzeichnung der Stimme der Mitarbeiter anzuknüpfen und darauf eine fehlende Beeinträchtigung abzuleiten.

Zudem begründet die Behörde ihre Ansicht, dass die Ausnahme nach Art. 15 Abs. 4 DSGVO nicht greift, damit, dass im Fall von aufgezeichneten Telefongesprächen immer auch personenbezogene Daten anderer Personen (der Gesprächsteilnehmer) vorhanden sind. Würde man hier die Ausnahme gelten lassen, würde quasi die Ausnahme zur Regel.

Vorliegend bot das Unternehmen dem Betroffenen an, dass er vor Ort die Aufzeichnung des Telefongesprächs anhören konnte. Die Aufsichtsbehörde lies diese Alternative mit Blick auf die Vorgaben nach Art. 12 Abs. 1 DSGVO und Art. 15 Abs. 3 DSGVO nicht ausreichen. Danach sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn der Betroffene den Antrag elektronisch stellt und nichts anderes angibt.

Die Aufsichtsbehörde gesteht dem Verantwortlichen zwar als Alternative zu, dass er dem Betroffenen ein Anhören der Aufzeichnung direkt vor Ort anbietet. Jedoch, so die Behörde, kann dies nicht die einzige Form der Zurverfügungstellung der Aufzeichnungen sein, wenn der Betroffene diese Form nicht wünscht.

Da die Aufzeichnungen mittlerweile gelöscht wurden, konnte die Behörde den Verantwortlichen nicht zur Herausgabe der Aufzeichnungen verpflichten. Es erging eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Datenschutzbehörde: „Woher haben Sie meine E-Mail-Adresse“? – Kein Antrag auf volle Auskunft nach Art. 15 DSGVO

Posted on by

Die dänische Datenschutzbehörde hat eine interessante Entscheidung zur Beantwortung von Auskunftsanfragen (oder eben keinen solchen Anfragen) nach Art. 15 DSGVO getroffen (Entscheidung vom 21.6.2021, PDF, Englisch)

Sachverhalt

Der Beschwerdeführer hatte einen Newsletter des betroffenen Unternehmens (Pixojet) erhalten. Am selben Tag bat er Pixojet, ihm mitzuteilen, woher Pixojet seine E-Mail-Adresse erhalten hatte. Pixojet teilte ihm mit, dass er sich für den Newsletter von Pixojet angemeldet habe und dass Pixojet sein Abonnement wieder löschen kann. Der Beschwerdeführer ging jedoch davon aus, dass er sich nie für den Newsletter angemeldet habe, und bat dann um Auskunft darüber, wann er den Newsletter abonniert habe und von welcher Quelle. 

Pixojet antwortete hierauf nicht direkt. Erst nach erneuter Nachfrage, woher Pixojet seine Informationen hatte antwortete ein Mitarbeiter des Kundendienstes, dass er sich nicht sicher ist, dass es aber nach einer manuellen Registrierung durch den Beschwerdeführer aussehe.

Der Beschwerdeführer ging weiter davon aus, dass er sich nie für den Newsletter angemeldet hatte. Er ging von einem Verstoß gegen die DSGVO aus. Sowohl, wie die Daten zu Pixojet gelangten /ggfs. über eine Drittquelle) als auch hinsichtlich der Antwort von Pixojet auf seinen Auskunftsantrag nach Art. 15 DSGVO.

Entscheidung

Die dänische Datenschutzbehörde verweist zunächst allgemein auf den Auskunftsanspruch nach Art. 15 DSGVO. Danach habe die betroffenen Personen in der Regel das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten ob personenbezogene Daten über die betroffene Person verarbeitet werden und gegebenenfalls, Auskunft über die personenbezogenen Daten und eine Reihe weiterer Informationen.

Nach Art. 15 Abs. 1 lit. g) DSGVO habe die betroffene Person das Recht, alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten zu erhalten, wenn diese nicht bei der betroffenen Person erhoben wurden. 

Die Datenschutzbehörde hat die Beschwerde so verstanden, dass die betroffene Person hier der Meinung ist, Pixojet habe ihm keine Auskunft entsprechend den Vorgaben des Art. 15 DSGVO gewährt. 

Dies sieht die Aufsichtsbehörde jedoch nicht so und geht davon aus, dass kein Verstoß vorliegt. Grund: die Fragen des betroffenen stellten schon keinen Auskunftsantrag nach Art. 15 DSGVO dar.

Die dänische Datenschutzbehörde sieht laut ihrer Begründung keinen Anhaltspunkt, die Einschätzung des Unternehmens, dass die Anfragen des Beschwerdeführers nicht als Antrag auf uneingeschränkte Auskunft gemäß Art. 15 DSGVO zu verstehen sind, zu beanstanden. 

Die Behörde geht also davon aus, dass die oben dargestellten Fragen des Betroffenen keine Ausübung des vollständigen Auskunftsanspruchs nach Art. 15 DSGVO darstellen. Damit treffen das Unternehmen natürlich auch nicht alle Pflichten des Art. 15 DSGVO.

Aus der Begründung (inoffiziell übersetzt): „Die dänische Datenschutzbehörde hat dabei den Schwerpunkt auf den Wortlaut der Anfragen des Beschwerdeführers gelegt, der angibt, dass er konkret wissen möchte, wo Pixojet seine E-Mail-Adresse hatte.

Die Behörde geht also wohl nur von einer sehr begrenzten Ausübung des Auskunftsanspruchs aus; konkret in Bezug auf die Herkunft der Daten. Die dänische Datenschutzbehörde stellt dann fest, dass Pixojet den Beschwerdeführer darüber informiert hat, dass die Informationen über ihn wahrscheinlich aus einem manuellen Eintrag in den Newsletter von Pixojet auf der Website des Unternehmens stammen. Dies war aus Sicht der Behörde ausreichend, da das Unternehmen über keine weiteren Informationen verfügte.

Fazit

Die Entscheidung ist unter zwei Gesichtspunkten praxisrelevant.

Zum einen löst eine konkrete Nachfrage von Betroffenen nicht direkt die volle Verpflichtungskaskade des Art. 15 DSGVO aus. Fraglich ist freilich, ab wann dann von einer vollumfänglichen Ausübung auszugehen ist., Wohl ziemlich sicher, wenn eine Person deutlich macht, dass sie umfassend Auskunft nach Art. 15 DSGVO begehrt.

Zum anderen ist die Auskunftspflicht des Art. 15 Abs. 1 lit. g) DSGVO erfüllt, wenn das Unternehmen seinem Kenntnisstand entsprechend informiert, woher die Daten stammen. Eine weiter Aufklärungs- oder Nachforschungspflicht ist hiervon nicht umfasst.

OLG München: Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO ist weit auszulegen

Posted on by

Das OLG München hat mit Urteil vom 4.10.2021 (Az 3 U 2906/20) eine praxisrelevante Entscheidung zur Geltendmachung und zum Umfang des Anspruchs auf Herausgabe von Kopien personenbezogener Daten nach Art. 15 Abs. 3 DSGVO gefällt. Das OLG legt den Begriff „personenbezogene Daten“ weit aus und sieht in Art. 15 Abs. 3 DSGVO einen eigenständigen Anspruch, neben jenem auf Auskunft nach Art. 15 Abs. 1 DSGVO.

Sachverhalt

In der Vorinstanz verurteilte das Landgericht München I die Beklagten dazu, der Klägerin Kopien aller personenbezogenen Daten – insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen – auszuhändigen. Vorgerichtlich forderte die Klägerin die Beklagten nach Art. 15 Abs. 3 DSGVO zur Überlassung von Kopien aller bei den Beklagten vorhandenen personenbezogenen Daten der Klägerin auf. Die Beklagten übersandten eine Auskunft der einzelnen bei ihnen gespeicherten Daten der Klägerin, Kopien wurden jedoch nicht überlassen.

Die Beklagten legten gegen dieses Urteil Berufung ein. Die Beklagten gehen u.a. davon aus, dass die Klageerweiterung bezüglich des Anspruchs aus Art. 15 Abs. 3 DSGVO bereits unzulässig war. Auch sei der Antrag in der gestellten Form zu unbestimmt.

Entscheidung

Das OLG wies die Berufung als unbegründet zurück.

Interessant ist zunächst die Ansicht des OLG zur Bestimmtheit des Klageantrags. Wie erinnern und an die Entscheidung des BAG (2 AZR 342/20).

Vorliegend hat das OLG keine Bedenken hinsichtlich der Bestimmtheit des Klageantrages. Dieser lautete wie folgt:
Die Beklagten werden verurteilt, der Klägerin Kopien der von den Beklagten verarbeiteten personenbezogenen Daten der Klägerin betreffend die Datenkategorien Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen im Zeitraum vom 01.01.1997 bis ein 31.03.2018 zu überlassen.“

Das OLG begründet, dass für die Klägerin als Gläubigerin eines Anspruchs aus Art. 15 Abs. 3 DSGVO im Regelfall nicht ersichtlich sein wird, welche Unterlagen sich bei dem Auskunftsverpflichteten befinden.

Damit ist jedoch eine Konkretisierung der einzelnen herauszugebenden Schriftstücke nicht möglich“.

Nach Ansicht des OLG begegnet der Antrag (der noch minimal klargestellt wurde) im Hinblick auf die Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO keinen Bedenken.

Sodann geht das OLG davon aus, dass das Landgericht die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilte.

Das OLG geht von einem weiten Verständnis des Begriffs „personenbezogene Daten“ aus.

Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten“.

In dieser Entscheidung wurden personenbezogenen Daten „insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen“ aufgezählt. Diese Dokumente sieht das OLG insgesamt als personenbezogene Daten an.

Das OLG begründet seine Ansicht u.a. damit, dass sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen lasse. Schreiben und E-Mails der Klägerin an die Beklagten seien

grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen“.

Dies ist meines Erachtens eine relevante Ansicht des OLG. Nicht allein die in einem Dokument enthaltenen Daten sind personenbezogen, sondern das sie umschließende Dokument. Die Daten „infizieren“ quasi das Dokument mit dem Personenbezug.

Zuletzt geht das OLG noch auf den in der Literatur und Rechtsprechung geführten Streit ein, ob aus Art. 15 Abs. 3 D-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folge.

Zum Teil werde ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DSGVO einen eigenständigen Herausgabeanspruch.

Das OLG positioniert sich wie folgt:

Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche,…

Zudem erläutert das OLG, dass der Gegenstand dieses Anspruchs sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen richte, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO enthalten ist.

Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen

Das OLG scheint also die Ansicht zu vertreten, dass tatsächlich eine eins zu eins Kopie der Dokumente herauszugeben ist. Wie oben beschrieben, wird dies in Literatur und Rechtsprechung kontrovers diskutiert. Anders sah dies etwa das LAG Baden-Württemberg (Urt. v. 17.3.2021, Az 21 Sa 43/20):

besteht aus Sicht der erkennenden Kammer kein Anspruch der von der Datenverarbeitung betroffenen Person gegen den Verantwortlichen auf den Abdruck/Ausdruck/die elektronische Datei in der Form, in der die entsprechenden Daten der betroffenen Person beim Verantwortlichen verarbeitet worden sind.“

Nach Ansicht des OLG sei aber ein notwendiger Schutz des Schuldners durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DSGVO gewährleistet. Leider geht das OLG dann aber nicht weiter darauf ein, was und wie konkret der Verantwortliche vortragen muss, um sich auf diese Aufnahme berufen zu können. Zum Teil werden in der Rechtsprechung hier ja hohe Anforderungen an die Darlegung und Begründung gestellt.

Finanzgericht: Auskunftsrecht nach Art. 15 Abs. 1 DSGVO ist nicht mit einem Akteneinsichtsrecht identisch

Posted on by

Das Finanzgericht Baden-Württemberg (FG) hatte sich mit der Frage des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO und dessen Geltendmachung zum Zweck der Akteneinsicht zu befassen. Im Ergebnis lehnt das FG mit Urteil vom 26.7.2021 (Az. 10 K 3159/20) einen solchen Anspruch ab.

Sachverhalt

Vor dem FG streitig war, ob dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO ein Anspruch auf Akteneinsicht in die Handakten im Rahmen einer Betriebsprüfung zusteht. Der Kläger ist selbstständiger Apotheker und der Beklagte führte eine Betriebsprüfung bei diesem durch. In diesem Zuge kam es zu Besprechungen zwischen der Steuerberaterin des Klägers und der Betriebsprüferin wegen angeblicher fehlender Ordnungsmäßigkeit der Buchführung. Der Kläger begehrte Akteneinsicht im laufenden Verfahren, welche jedoch abgelehnt wurde. Am Ende lief es darauf hinaus, dass der Kläger durch seinen Prozessbevollmächtigten Klage beim Finanzgericht Baden-Württemberg einreichte. Zur Begründung führt er aus, die Klage richte sich gegen die Ablehnung der Akteneinsicht in die Handakte der Betriebsprüfung. Aus Art. 15 Abs. 1 DSGVO folge ein gebundener Anspruch auf Übersendung der Akten an den Prozessbevollmächtigten des Klägers, der nicht zeitlich eingeschränkt sei und damit auch im laufenden Betriebsprüfungsverfahren bestehe.

Entscheidung

Das FG geht davon aus, dass ein gebundener Anspruch auf Akteneinsicht nicht durch das Recht auf Auskunft über personenbezogene Daten nach Art. 15 Abs. 1 DSGVO begründet wird und lehnte die Klage als unbegründet hab.

Nach Ansicht des FG ist die DSGVO jedenfalls bei einer Betriebsprüfung, die sich neben anderen Steuerarten auch auf die Umsatzsteuer erstreckt, insgesamt anwendbar.

Danach geht das FG etwas ausführlicher als andere Gerichte in Entscheidungen zu Art. 15 DSGVO zunächst auf den Sinn und Zweck des Auskunftsanspruchs ein.

Regelungsziel der DSGVO ist der in Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union (GRC) und Art. 16 Abs. 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gewährleistete Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten. Bereits auf der Ebene der Grundrechtecharta ist das Recht jeder Person verankert, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken (Art. 8 Abs. 2 Satz 2 GRC).

Die Betroffenenrechte der DSGVO wurzeln in der Erwägung des europäischen Normgebers, dass der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können muss. Natürliche Personen sollen daher grundsätzlich die Kontrolle über ihre eigenen Daten besitzen (Erwägungsgrund 7 Satz 2 zur DSGVO)

Das FG macht in seiner Begründung also zunächst deutlich, wie wichtig die Betroffenenrechte und gerade das Auskunftsrecht sind.

Das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO und das Recht auf Erhalt einer Kopie gemäß Absatz 3 der Vorschrift erweisen sich damit als elementare subjektive Datenschutzrechte, da erst die Kenntnis darüber, ob und in welchem Umfang ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person in die Lage versetzt, weitere Rechte auszuüben

Weiter geht das FG davon aus, dass die frühere Rechtsprechung des EuGH zur Datenschutz-Richtlinie auf die Auslegung des Art. 15 DSGVO anwendbar ist. Denn der europäische Gesetzgeber wolle mit der DSGVO an die Ziele und Grundsätze der Datenschutzrichtlinie anknüpfen. Daher biete die in der Rechtsprechung vorgenommene Charakterisierung des Auskunftsanspruchs aus Art. 12 Buchst. a Datenschutz-Richtlinie auch Hinweise auf das Verständnis des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO.

Aber das Auskunftsrecht diene nach der Rechtsprechung des EuGH nicht der Schaffung eines Zugangs zu Verwaltungsdokumenten, weil dies nicht die Zielrichtung des europäischen Datenschutzrechts ist (EuGH-Urteil vom 17. Juli 2014, C-141/12, Rn. 46).

Zudem stellt das FG fest, dass die Erfüllung des Anspruchs („Ob“ der Auskunftserteilung) nach Art. 15 Abs. 1 DSGVO nicht im Ermessen der Finanzbehörde stehe. Das „Wie“ der Auskunftserteilung werde durch Art. 15 Abs. 1 Halbsatz 2 DSGVO jedoch nicht geregelt, so dass hieraus allein kein Akteneinsichtsrecht abgeleitet werden könne.

Das FG arbeitet dann nach und nach Argumente dafür heraus, was den Auskunftsanspruch nach Art. 15 DSGVO von einem Akteneinsichtsrecht unterscheidet.

Einem vollumfassenden Akteneinsichtsanspruch bei der Finanzbehörde sei etwa schon aus sprachlichen Gründen zu widersprechen,

da sich Art. 15 DSGVO dem Wortlaut nach nur auf bestimmte personenbezogene Daten bezieht und nicht auf eine allgemeine Einsicht in die Akten

Zudem sei das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO auch nicht mit einem Akteneinsichtsrecht identisch. Das Akteneinsichtsrecht beruhe vornehmlich auf dem Grundsatz des rechtlichen Gehörs (Art. 103 Abs. 1 Grundgesetz) und soll den Anspruchsteller in die Lage versetzen, die Grundlagen einer Verwaltungsentscheidung nachzuvollziehen.

Und weiter: „Ein Akteneinsichtsrecht geht stets über ein bloßes Auskunftsrecht hinsichtlich der verarbeiteten personenbezogenen Daten hinaus; so ergeben sich aus einer Akteneinsicht regelmäßig auch rechtliche Stellungnahmen, Entscheidungsentwürfe und Berechnungen der Amtsträger, Dienstanweisungen oder Ermittlungsergebnisse, die schon dem Grunde nach nicht unter den Schutzbereich der DSGVO und des § 32c AO fallen.“

Das FG stellt hier meines Erachtens zurecht die verschiedenen Zielrichtungen und Zweck der beiden Ansprüche bzw. Rechte gegenüber. Ein datenschutzrechtlicher Anspruch kann auch ohne Akteneinsicht erfüllt werden, indem dem Betroffenen im Fall der Verarbeitung personenbezogener Daten die konkreten Daten sowie die Einzelangaben i.S. von Art. 15 Abs. 1 Halbsatz 2 DSGVO mitgeteilt werden. Diese Aussage des FG ist für die geführte Diskussion um die Reichweite des Art. 15 (sowohl Abs. 1 als auch Abs. 3) relevant.

Nach Ansicht des FG enthält die DSGVO keine Regelung über die Gewährung von Akteneinsicht, sondern lediglich über punktuelle datenschutzrechtliche Auskunftsrechte wie z.B. über die Zwecke der Verarbeitung, die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen sowie falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Zuletzt hält das FG die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung der Form der Auskunftserteilung i.S. des Art. 15 Abs. 1 DSGVO für nicht geboten.

Fazit

Die Entscheidung des FG ist meiner Ansicht nach deswegen interessant, weil das Gericht sehr wohl die Bedeutung der Betroffenenrechte und des Auskunftsrechts erkennt und herausarbeitet. Dann jedoch diesen Anspruch in seiner Zielrichtung und seinem Umfang klar von einem Akteneinsichtsrecht abgrenzt und es damit ablehnt, auf Grundlage von Art. 15 Abs. 1 und 3 DSGVO komplette Akteninhalte (in denen sich auch personenbezogene Daten des Betroffenen befinden) herauszugeben.