Irische Datenschutzbehörde: Anforderungen an den Schutz der Vertraulichkeit von Daten bei der Kontaktaufnahme mit Unternehmen im Namen einer anderen Person

Die irische Datenschutzbehörde (DPC) hat auf ihrer Webseite einige interessante Fallbeispiele und Empfehlungen für Situationen veröffentlicht, in denen ein Dritter für die betroffene Person ein Unternehmen kontaktiert und zB Auskunft zu seinen Daten oder eine Löschung vornehmen möchte. Die DPC erläutert zunächst das Problem: eine häufige Reaktion von Unternehmen ist, dass den anfragenden Dritten gesagt wird, das Unternehmen würde nur direkt zB mit dem Kontoinhaber kommunizieren, oder die Personen werden aufgefordert, einen sehr hohen Standard an Nachweisen vorzulegen, dass sie im Namen des Kontoinhabers handeln.

Rechtliche Vorgaben

Die DPC weist zunächst auf die zu beachtenden datenschutzrechtlichen Anforderungen hin. Unternehmen sind verpflichtet, personenbezogene Daten sicher aufzubewahren und sie nicht an jemanden weiterzugeben, den sie nicht kennen sollten – in Übereinstimmung mit dem Prinzip der „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO. Dieser Grundsatz verlangt, so die DPC, dass personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen„.

Von besonderer Bedeutung ist der Begriff „angemessen“. Nach Ansicht der DPC eröffnet dieser Begriff für die Verantwortlichen die Möglichkeit, in diesen Fällen abzuwägen, welches Maß an Sicherheit in den verschiedenen Situationen angemessen ist. Unternehmen sollten Aspekte wie die Art und Sensibilität der betroffenen personenbezogenen Daten, den potenziellen Schaden, wenn personenbezogene Daten an die falsche Person weitergegeben werden, und die Wahrscheinlichkeit, dass Personen legitimerweise im Namen des Kontoinhabers sprechen, berücksichtigen.

Fallbeispiel 1

Die DPC wurde in einer Situation um Rat gebeten, in der eine Person bei dem Versuch, einen Dienstleister über einen Dolmetscher zu kontaktieren, auf Schwierigkeiten stieß. Obwohl der Dolmetscher die relevanten Kontoinformationen korrekt angab, wollte die Organisation nicht mit dem Dolmetscher verhandeln, es sei denn, er legte ein unterzeichnetes Dokument vor, das beweist, dass er die Erlaubnis des Kontoinhabers hat, in dessen Namen zu sprechen.

Die DPC sah in diesem Fall kein offensichtliches Datenschutzproblem, das die Organisation daran hindern würde, mit einem Kunden über den Dolmetscher zu verhandeln. Es war nicht ersichtlich, dass es vernünftig oder unter Sicherheitsaspekten notwendig war, eine zusätzliche Sicherheitsanforderung für die Einschaltung eines Dolmetschers einzuführen, da es kein erhöhtes Risiko eines unbefugten Zugriffs auf personenbezogene Daten gab. Selbst wenn ein zusätzlicher Sicherheitsschritt erforderlich war, um zu überprüfen, ob der Dolmetscher die Erlaubnis des Kontoinhabers hatte, war das Verlangen nach einer unterzeichneten Erlaubnis wahrscheinlich eine unverhältnismäßig hohe Schwelle, bei der die Beantwortung weiterer Sicherheitsfragen oder die Bestätigung der Kontodaten ausgereicht hätte.

Fallbeispiel 2

Einer gehörlosen Person, die einen Gebärdensprachdolmetscher benötigte, als sie mit einem Dienstleister in Kontakt trat, wurde der Zugang zu dem Dienst verweigert, da die Organisation sich weigerte, mit dem Gebärdensprachdolmetscher zu arbeiten. Die Organisation nannte „DSGVO- und Datenschutzbedenken“ als Grund für die Verweigerung des Zugangs.

Nach Ansicht der DPC verhindert oder verbietet aber die DSGVO nicht die Verwendung eines Gebärdensprachdolmetschers, eines Text-Relay-Service oder eines ähnlichen Systems, wenn eine gehörlose oder schwerhörige Person diese Dienste bei der Kontaktaufnahme mit einem Dienstleister nutzen muss. Diensteanbieter sind verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten von Kunden zu schützen. Diese Maßnahmen dürfen jedoch diejenigen nicht unverhältnismäßig benachteiligen, die einen Gebärdensprachdolmetscher oder eine Form des Textdienstes benötigen.

Empfehlungen der DPC

Der Standpunkt der DPC ist, dass das Datenschutzrecht in der Regel Organisationen nicht daran hindert, mit jemandem zu kommunizieren, der den Kontoinhaber vertritt, wenn sie angemessene und verhältnismäßige Schritte unternommen haben, um die Einhaltung ihrer Sicherheits- und Vertraulichkeitsverpflichtungen zu gewährleisten.

Die DPC rät Organisationen, insbesondere Dienstleistern und solchen, die mit der Kundenbetreuung beschäftigt sind, bei der Planung und Umsetzung „geeigneter technischer oder organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten auf einen ausgewogenen und verhältnismäßigen Ansatz bei ihren Sicherheits- und Identitätsprüfungsmaßnahmen zu achten. Im Grunde bleiben die Empfehlungen der DPC vage bzw. belassen das Risiko der Fehleinschätzung hinsichtlich der einzusetzenden Sicherheitsmaßnahmen und -prozesse bei dem Verantwortlichen. Die beiden Beispiele bieten aber zumindest eine gewisse Hilfestellung für Unternehmen. Die DPC verlangt, dass Unternehmen solche Maßnahmen umsetzen, „die sowohl ein hohes Maß an Schutz für den Einzelnen bieten, aber auch diejenigen nicht unverhältnismäßig benachteiligen, die sich nicht ohne weiteres auf diese Maßnahmen einlassen können und die möglicherweise jemanden brauchen, der in ihrem Namen Kontakt aufnimmt“.

Muss über den Ort der Datenverarbeitung informiert bzw. Auskunft gegeben werden?

Im Rahmen der Erstellung von Datenschutzerklärungen oder auch bei der Beauskunftung von Anträgen nach Art. 15 DSGVO kann sich für Unternehmen die Frage stellen, ob denn der konkrete Ort der Datenverarbeitung anzugeben ist?

In der Praxis verlangen Betroffene zum Teil sehr spezifische Informationen darüber, wo ihre personenbezogenen Daten verarbeitet werden.

Als rechtlicher Anknüpfungspunkt zur Klärung dieser Frage bieten sich meines Erachtens zwei Vorschriften der DSGVO an. Zum einen Art. 13 Abs. 1 lit. e und f DSGVO. Danach soll der Verantwortliche „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ mitteilen und „gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln“. Zum anderen Art. 15 Abs. 1 lit. c) DSGVO, wonach Auskunft zu erteilen ist über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen“.

Art. 13 Abs. 1 lit. e) DSGVO

Dem reinen Wortlaut nach, muss nicht über den Ort der Verarbeitung informiert werden. Rein faktisch kann es zudem sehr schwierig sein, wirklich den konkreten Ort der Verarbeitung mitzuteilen. Denn in Zeiten des Cloud-Computings und von gespiegelten Systemen, wissen ggfs. die Verantwortlichen gar nicht genau, wo die Daten liegen.

Abs. 1 lit. e) verlangt eine Information über die Empfänger (oder Kategorien). Es geht hierbei um die Benennung der Empfänger, also etwa des Unternehmens. Dass hierbei zwingend eine Adresse hinzugefügt werden muss, ergibt sich aus der Vorschrift nicht. Zumal der Unternehmenssitz eines Empfängers ja in der heutigen Zeit nun wirklich nicht immer auch der Ort der Datenverarbeitung ist.

Etwas strenger scheint dies der EDSA zu sehen. In der (durch den EDSA bestätigten) Stellungnahme der damaligen Art. 29 Gruppe zur Transparenz (WP 260) heißt es: „Entscheiden sich die Verantwortlichen für die Angabe der Kategorien von Empfängern, sollten diese Informationen unter Angabe der Empfängerart (d. h. der von diesen durchgeführten Aktivitäten), der Industrie, des Sektors und Teilsektors sowie des Standorts der Empfänger so genau wie möglich ausfallen“ (Hervorhebung durch mich, S. 47).

Aber auch hier zielt die Information auf den Standort des Empfängers, was faktisch nicht mit dem Ort der Verarbeitung gleichzusetzen ist. Bsp: der Empfänger mag einen Geschäftssitz in New York haben, jedoch seine Server in Gibraltar betreiben. Aus dieser Ansicht des EDSA würde ich daher auch keine Pflicht zur Information über den Ort der Datenverarbeitung ableiten.

Auch der Landesdatenschutzbeauftragte für Bayern (BayLfD) scheint hiervon auszugehen. In seiner (sehr lesenswerten) Orientierungshilfe zu Informationspflichten (PDF) erläutert er, dass Empfänger nach Möglichkeit konkret benannt werden sollten. Hierfür führt er das folgende Beispiel an: „Rechenzentrum [Name] als Auftragsverarbeiter“. Auch der BayLfD scheint also keine Pflicht zur Angabe einer Adresse oder des Ortes der Verarbeitung anzunehmen.

Art. 13 Abs. 1 lit. f) DSGVO

Auch aus Art. 13 Abs. 1 lit. f) DSGVO dürfte sich keine Pflicht ergeben, den Ort der Datenverarbeitung zu benennen. Nach der Vorschrift muss der Verantwortliche über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Bereits dem Wortlaut der Norm nach, ist die Benennung des Ortes nicht vorgeschrieben. Mit Blick auf das Gebot der Transparenz wird man wohl davon ausgehen müssen, dass das Drittland genannt werden soll, in das die Daten übermittelt werden. Spannend finde ich in dieser Hinsicht die Ansicht des BayLfD in der oben erwähnten Orientierungshilfe. Dort erläutert die Behörde wie folgt: „

Art. 13 Abs. 1 Buchst. f DSGVO verlangt nicht, dass das betreffende Drittland oder die betreffende internationale Organisation namentlich genannt wird“.

Der BayLfD empfiehlt jedoch aus Transparenzgründen, diese Information ebenfalls zu erteilen. Für diese Ansicht der Behörde dürfte sprechen, dass nach der Norm nur über die „Absicht“ informiert werden muss, Daten in ein Drittland zu übermitteln. Also etwa wie folgt: „Wir beabsichtigen, Daten in ein Drittland zu übermitteln“. Freilich plus der Hinweis auf einen Angemessenheitsbeschluss oder dessen Fehlen sowie andere Garantien nach Art. 46 DSGVO oder Ausnahmen nach Art. 49 DSGVO.

Der EDSA vertritt hier übrigens eine ähnliche Position. In der Leitlinie zur Transparenz heißt es: „normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“ (S. 48). Auch der EDSA scheint also nicht per se von einer Pflicht zur Angabe des Drittlands auszugehen. Dann kann erst recht keine Pflicht zur Angabe des Ortes der Datenverarbeitung bestehen.  

Art. 15 Abs. 1 lit. c) DSGVO

Die Vorgabe zur Information im Rahmen von Auskunftsverfahren ähnelt sehr stark der Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO. Die Gründe für eine Ablehnung zur Benennung des Ortes der Verarbeitung, lassen sich daher meines Erachtens übertragen.

Zusätzlich könnte man hier (im Fall der Diskussion) noch die Ansicht des AG Seligenstadt (Urt. v. 23.06.2020 – 1 C 7/19 (3)) anführen. Dort wurden Ansprüche gegen eine Sparkasse geltend gemacht, u.a. mit der Forderung, Auskunft wie folgt zu erteilen: „Alle Daten, die zu Verarbeitungszwecken zu den Klägerinnen gespeichert werden, wo diese gespeichert werden und wer auf die gespeicherten Daten Zugriff hat. … Ferner ist Auskunft zu erteilen, welche Daten über Clouddienste gespeichert werden“.

Das AG lehnte diesen Anspruch ab. Da nach Ansicht des AG bereits interne Vermerke und Vorgänge nicht unter den Auskunftsanspruch des Art. 15 DSGVO fallen,

ist die Beklagte erst recht nicht dazu verpflichtet, die Datenträger und etwaige Cloudspeicher, die sie für die Datenspeicherung nutzt, offenzulegen“. Zudem geht das AG davon aus, dass es ausreicht, wenn Kategorien von Drittempfängern genannt werden.

Ganz unabhängig hiervon, hätte ich aus Unternehmenssicht auch Sicherheitsbedenken, anfragenden Betroffenen den konkreten Ort meiner Datenverarbeitung zu benennen. Denn die Angabe zum Standort der Server (bzw. auch der Backups), kann ja im schlimmsten Fall durchaus ein Sicherheitsrisiko für Unternehmen darstellen. Ggfs. kann man im Rahmen derartiger Anfragen daher auch die Pflichten des Unternehmens nach Art. 32 DSGVO zum Schutz der personenbezogenen Daten anführen (etwa im Rahmen des Art. 15 Abs. 4 DSGVO).

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Verwaltungsgericht Berlin: wann bestehen „begründete Zweifel“ an der Identität des Betroffenen im Rahmen einer Auskunft?

Das Verwaltungsgericht Berlin (VG) hatte mit Urteil vom 31.8.2020 (1 K 90.19) in einem Fall zu entscheiden, in dem es um die Frage ging, wann ein datenschutzrechtlich Verantwortlicher (hier: das Amtsgericht Tiergarten) „begründete Zweifel“ an der Identität eines Betroffenen gegen einen Auskunftsanspruch vorbringen kann.

Sachverhalt

Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Diesen Auskunftsantrag lehnte der Präsident des Amtsgerichts Tiergarten mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts Tiergarten verlangte hierzu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schließlich gegen die Ablehnung.

Entscheidung

Das VG gab der Klage statt. Nach Ansicht des Gerichts konnte sich das Amtsgericht hier nicht auf die Ausnahmeregelung in § 59 Abs. 4 BDSG berufen. Dort ist geregelt, dass der Verantwortliche, wenn er begründete Zweifel an der Identität einer betroffenen Person hat, er von ihr zusätzliche Informationen anfordern kann, die zur Bestätigung ihrer Identität erforderlich sind. Die Vorschrift geht auf Art. 12 der Richtlinie 2016/680 zurück, die für Datenverarbeitungen im Bereich Polizei und Justiz.

Eine ähnliche Regelung findet sich praktisch wortgleich auch in Art. 12 Abs. 5 DSGVO. Aus diesem Grund ist die Begründung des VG in seiner Entscheidung meines Erachtens auch für Unternehmen im Anwendungsberiech der DSGVO interessant.

Strittig war hier also allein die Frage, ob der Kläger sich in der vom Beklagten verlangten qualifizierten Form legitimieren muss, um die beantragte schriftliche Auskunft erhalten zu können. Dies sieht das VG nicht so.

Zunächst interpretiert das VG den Begriff der „begründeten Zweifel“. Es geht davon aus, dass der auskunftspflichtige Verantwortliche ohne besonderen keinen Identitätsnachweis von einem Antragsteller verlangen darf.

Fraglich war dann, ob ein solcher besonderer Anlass oder besondere Umstände vorlagen. Auch dies lehnt das Gericht ab. Der Kläger als Betroffener begehrte Auskunft (wohl) auf postalischem Weg. Die Anschrift des Klägers war dem Amtsgericht aber schon seit längerem bekannt. Das Amtsgericht Tiergarten hatte dem Kläger schon in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse übersandt.

Zudem, und dies ist auch ein interessanter Punkt in der Begründung, fehlt nach Ansicht des VG jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.

Das VG argumentiert also wie folgt: wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, kann man nicht von „begründeten Zweifeln“ ausgehen.

Zuletzt führt das VG aus, dass das Amtsgericht als Verantwortlicher durch eine förmliche Zustellung seines Auskunftsschreibens dessen Fehlleitung unterbinden kann. Auch dieser Hinweis ist für den Anwendungsbereich der DSGVO relevant und meines Erachtens auch in der Praxis dringend anzuraten. Der Versand von Auskunftsschreiben sollte nachweisbar erfolgen (allein um auch die Fristen einzuhalten). Also etwa per Einschreiben.

Fazit

Die Begründung des VG ist meines Erachtens schlüssig. Auch wenn man für den postalischen Auskunftsweg hypothetische Unsicherheitsfaktoren berücksichtigen kann (Bsp: jemand fängt den Brief ab), darf dies nicht per se dazu führen, dass eine Auskunft verweigert wird. Ist aus vergangener Korrespondenz klar, dass der Betroffene unter dieser Adresse kommuniziert, müssten besondere Anhaltspunkte hinzutreten, um „begründete Zweifel“ an der Identität annehmen zu können.

Datenschutzbehörde Liechtenstein: Gegen eine extensive Auslegung des Auskunftsrechts nach der DSGVO

Die Datenschutzbehörde aus Liechtenstein (Datenschutzstelle), hat jüngst ihren aktuellen Tätigkeitsbericht für 2019 veröffentlicht. Neben den Entscheidungen und Berichten der Behörde aus Österreich, stellen die Informationen der Datenschutzstelle eine weitere interessante deutschsprachige Quelle zur Auslegung und Anwendung der DSGVO dar.

In dem Bericht geht die Datenschutzstelle u.a. auch auf das Auskunftsrecht und die praktische Umsetzung von Betroffenenanfragen ein (S. 17 ff.). In Liechtenstein scheint diesbezüglich oft auf die Rechtsprechung in Deutschland zu dem (kontrovers diskutierten) Thema verwiesen zu werden.

Die Datenschutzstelle geht in ihrem Bericht daher zu Beginn auch auf die Rechtsprechung und Ansichten in Deutschland ein. Danach gibt die Datenschutzbehörde ihre allgemeine Sichtweise zu diesem Thema wieder.

Die Datenschutzstelle sprach sich im Berichtsjahr ebenfalls gegen eine extensive Auslegung des Auskunftsrechts aus, insbesondere im Hinblick auf die Frage der Empfänger gemäss Art. 15 Abs. 1 Bst. C DSGVO sowie bezüglich des Rechts auf Kopie gemäss Art. 15 Abs. 3 DSGVO.

Nach Ansicht der Datenschutzstelle dienen die Auskünfte, die eine betroffene Person verlangen kann, primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DSGVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf  Einschränkung der Verarbeitung nach Art. 18 DSGVO.

Zur Erfüllung der Anforderung des Art. 15 Abs. 1 lit. c) DSGVO (Empfänger oder Kategorien von Empfängern zu benennen) vertritt die Behörde die Ansicht, dass diese namentlich zu nennen sind, soweit es sich um eine begrenzte Anzahl von Empfängern handelt, an die regelmässig Daten weitergegeben werden.

Interessant ist die Auffassung der Behörde zu der Frage, ob das Recht auf Kopie (Abs. 3) eigenständig neben dem Auskunftsanspruch aus Abs. 1 steht. So geht etwa die Hessische Datenschutzbehörde davon aus, dass Art. 15 Abs. 3 DSGVO kein von Art. 15 Abs. 1 DSGVO „losgelöstes Recht ist“ (TB 2018, S. 77). Die Datenschutzstelle Liechtenstein vertritt jedoch, dass das Recht auf Kopie (Abs. 3) von der betroffenen Person sowohl in Verbindung mit dem Recht auf Auskunft in Abs. 1 als auch isoliert geltend gemacht werden kann.

Großer Streitpunkt beim Recht auf Auskunft ist natürlich sein Umfang. Insbesondere, was von der „Kopie“ nach Abs. 3 umfasst ist. Die Datenschutzstelle hierzu:

Das Recht auf Kopie umfasst nicht die Herausgabe einer Fotokopie sämtlicher Schriftstücke, in denen personenbezogene Daten der betroffenen Person erwähnt werden. Der Wortlaut Kopie der personenbezogenen Daten entspricht aus Sicht der Datenschutzstelle vielmehr einer geordneten Darstellung der personenbezogenen Daten, eine (Foto-)Kopie der Dokumente kann hingegen nicht der Regelfall sein.

Die Datenschutzstelle legt den Umfang der „Kopie“ als eng aus und bezieht ihn allein auf die konkreten Daten (mE zurecht). Die Behörde argumentiert hierzu auch mit der Gesetzessystematik. Es sind nur jene Kopien herauszugeben, die notwendig sind, damit die betroffene Person die Rechtmäßigkeit der Verarbeitung ihrer Daten überprüfen und gegebenenfalls ihre Rechte wahrnehmen kann. Das bedeutet aus Sicht der Datenschutzbehörde:

Folglich müssen unternehmensinterne Gesprächsnotizen oder Sitzungsprotokolle, rechtliche oder andere spezifische Beurteilungen eines Sachverhalts in Bezug auf die betroffene Person, Telefonnotizen, Vertragsentwürfe (im Überarbeitungsmodus), sämtlicher E-Mailverkehr mit der betroffenen Person bzw. mit Dritten in Bezug und unter Erwähnung (einzelner) personenbezogener Daten der betroffenen Person nicht in Form einer (Foto-) Kopie herausgegeben werden.

Rundfunkdatenschutzbeauftragter: Zweistufiges Auskunftsverfahren ist DSGVO-konform

In seinem aktuellen (und ersten) Tätigkeitsbericht für 2019 (pdf, S. 50 ff.) berichtet der  gemeinsame Rundfunkdatenschutzbeauftragter für den Bayerischen Rundfunk, den Saarländischen Rundfunk, den Westdeutschen Rundfunk, das Deutschlandradio und das Zweite Deutsche Fernsehen u.a. auch über die Erteilung von Auskünften durch den Beitragsservice.

In einigen Fällen beschwerten sich Betroffene, dass die ihnen erteilte Auskunft nicht vollständig gewesen sei. Hintergrund dieser Beschwerden ist, dass der Beitragsservice, Auskünfte grundsätzlich im Rahmen eines zweistufigen Verfahrens erteilt.

  • Die Erstauskunft umfasst die wichtigsten Informationen über die Umstände der Datenverarbeitung wie etwa die Herkunft der Daten, die Datenverarbeitungskategorien und die Verarbeitungszwecke. Hierbei orientiert man sich an Daten der Anzeigepflicht nach § 8 Abs. 4 RBStV.
  • Diese Erstauskunft wird um die Mitteilung der etwa vorhandenen weiteren Daten ergänzt, sofern die Antragsteller dies wünschen.

Nach Aussage des Rundfunkdatenschutzbeauftragten genügt den Antragstellern die auf diese Angaben beschränkte Erstauskunft des Beitragsservice in den weitaus meisten Fällen.

Nach Ansicht des Rundfunkdatenschutzbeauftragten erfüllt ein solches zweistufiges Verfahren

sowohl den Sinn und Zweck als auch materiell die Anforderungen des Art. 15 DSGVO.

Zur Begründung führt er aus, dass dies nicht zuletzt den Verwaltungsaufwand deutlich reduziert und damit im Interesse aller Beitragszahler unnötige Kosten vermeidet.

Zudem können Aspekte der

Verhältnismäßigkeit bzw. des vertretbaren Aufwands in die Anwendung bzw. Umsetzung der Vorgaben zum Auskunftsanspruch nach Art. 15 DSGVO einfließen.

Dies ergibt sich aus ErwG 63 DSGVO sowie Vorschriften wie etwa § 34 Abs. 1, 4 BDSG, § 12 Abs. 1 LDSG NRW, Art. 10 Abs. 2 Nr. 4 und 5 BayDSG oder § 9 Abs. 2 LDSG B-W. Dabei ist insbesondere zu berücksichtigen, dass der Beitragsservice einen außerordentlich großen Datenbestand zu verwalten und dabei auf ein Höchstmaß an Effizienz, Wirtschaftlichkeit und Sparsamkeit zu achten hat, vgl. § 14 RStV.

Der Rundfunkdatenschutzbeauftragte stellt für seine Begründung mit Blick auf ErwG 63 DSGVO wohl vor allem darauf ab, dass dort für Verantwortliche die Möglichkeit der Bitte um Präzisierung vorgesehen ist, wenn der Verantwortliche eine große Menge von Informationen über die betroffene Person verarbeitet.

Das interessante und praxisrelevante an der Begründung ist, dass hier per se ein gestuftes Auskunftsverfahren als zulässig angesehen wird. Der Rundfunkdatenschutzbeauftragte verlangt also nicht eine Prüfung im Einzelfall, ob wirklich eine große Menge an Daten verarbeitet werden. Dieser Faktor wird sicherlich auch bei vielen Unternehmen in der Privatwirtschaft (gerade im B2C Bereich) relevant sein.

Daneben ist die Begründung des Rundfunkdatenschutzbeauftragten basierend auf dem Gebot der Wirtschaftlichkeit interessant. Geht man davon aus, dass die Masse an Anfragen mit der ersten Stufe der Auskunft zufriedenstellend erfüllt ist, würde es unnötigen Aufwand und personellen als auch finanziellen Aufwand bedeuten, wenn man (quasi überschießend) immer eine Vollauskunft erteilt. Die Besonderheit im konkreten Fall dürfte hier darin liegen, dass aufgrund einer ausdrücklichen Regelung (nach § 14 RStV) der Finanzbedarf des öffentlich-rechtlichen Rundfunks regelmäßig entsprechend den Grundsätzen von Wirtschaftlichkeit und Sparsamkeit geprüft und ermittelt werden muss. Die Sparsamkeit also gesetzlich angeordnet ist.

Ob man dieses Argument auch auf den privatwirtschaftlichen Bereich übertragen kann, wird man diskutieren können. Unternehmen sind nicht gesetzlich zur Wirtschaftlichkeit oder Sparsamkeit verpflichtet. Andererseits müssen auch Unternehmen die „Kosten im Blick“ behalten, da sich eine Erhöhung eben dieser auch insgesamt negativ auf die wirtschaftliche Entwicklung auswirken kann.

Wichtig ist noch die Klarstellung des Rundfunkdatenschutzbeauftragten, dass das Recht auf Auskunft weder inhaltlich beschränkt noch unzumutbar erschwert werden darf. Der Beitragsservice informiert die Betroffenen hinreichend klar auf das abgestufte Verfahren und das Recht des Betroffenen, die Auskunft vervollständigen zu lassen. Bei einer entsprechenden Umsetzung in Unternehmen, sollten dieser Aspekt der Transparenz und Erleichterung der Geltendmachung des Auskunftsrechts (vgl. Art. 12 Abs. 2 DSGVO) ebenfalls besonders berücksichtigt werden.

Hessische Datenschutzbehörde zum Umfang des Auskunftsrechts und zur Einsicht in Patientenakten

Der Hessische Datenschutzbeauftragte (HBDI) hat auf seiner Webseite eine kurze Information mit seiner Position zu der Frage veröffentlicht, wie der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO und das Recht auf Einsichtnahme in die Patientenakte nach § 630g BGB zueinander stehen.

Genau zu diesem Thema hatte sich auch schon zuvor das BayLDA in seinem Tätigkeitsbericht 2017/18 (pdf, S. 46) geäußert. Dort geht das BayLDA davon aus, dass § 630g BGB, als bereichsspezifische Vorschrift, über den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO hinausgeht. In Bezug auf Art. 15 Abs. 3 DSGVO („Kopie“) geht das BayLDA darauf ein, dass nur eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung zu stellen ist. Es sei hier jedoch nicht die Rede von Kopien der betreffenden Akten oder von sonstigen Unterlagen.

Die nun veröffentlichte Position des HBDI geht im Grunde in dieselbe Richtung.

Art. 15 DSGVO

Art. 15 Abs. 3 DSGVO normiert ein Recht auf Zurverfügungstellung einer Kopie der personenbezogenen Daten.

Einen Anspruch auf Herausgabe einzelner Kopien, z. B. im Sinne einer Fotokopie bestimmter Dokumente, enthält Art. 15 Abs. 3 DS-GVO in aller Regel jedoch nicht. Vielmehr ist der Kopie-Begriff des Art. 15 Abs. 3 DS-GVO im Sinne einer sinnvoll strukturierten Zusammenfassung zu verstehen.

Der HBDI begründet weiter, dass dem Betroffenen daher nicht sämtliche, ihn betreffenden Dokumente in Kopie zur Verfügung gestellt werden müssen. Denn der Wortlaut von Art. 15 Abs. 3 S. 1 DSGVO spreche lediglich von einer Kopie der „personenbezogenen Daten“ und gerade nicht von einer Kopie der Unterlagen, Dokumente oder Akten, in denen diese enthalten sind.

Meines Erachtens ist diese Ansicht richtig und auch gut vertretbar.

§ 630g BGB

Danach geht der HBDI auf den Anspruch des Patienten auf Einsicht in die ärztlichen Patientenunterlagen nach § 630g BGB ein, der von Art. 15 DSGVO zu unterscheiden ist. Danach hat der Patient das Recht auf Kopie der gesamten Akte unter den Voraussetzungen der Absätze 1 und 2. Dies sind vor allem der therapeutische Vorbehalt und Rechte Dritter. Der Patient hat dem Behandelnden die entstandenen Kosten zu erstatten. Der HBDI verweist darauf, dass diese Norm vom Bundesgesetzgeber trotz der Vorschrift des Art. 15 DSGVO nicht geändert wurde.

Verhältnis

Bei der Darstellung des Verhältnisses der Normen geht der HBDI zunächst auf einen weiteren relevanten Aspekt ein.

Im Hinblick auf den therapeutischen Vorbehalt sei es vertretbar davon auszugehen, dass

§ 630g BGB eine zulässige Beschränkung des Art. 15 DS-GVO gem. Art. 23 Abs. 1 lit. i) DS-GVO darstellt (Schutz der betroffenen Person), im Hinblick auf die Kostenerstattung wäre diese Beschränkung jedoch unzulässig.

Der HBDI wertet denUmstand der unterbliebenen Gesetzesanpassung daher in dem Sinne, dass der Bundesgesetzgeber in der Akteneinsicht nach § 630g BGB eine von dem Auskunftsanspruch und dem Recht auf Kopie des Art. 15 DSGVO unabhängige Regelung mit anderem Inhalt und anderem Zweck sehe. § 630g BGB sei damit keine Einschränkung des Rechts auf Auskunft nach Art. 15 DSGVO. Die Norm diene vielmehr ganz anderen Patienteninteressen als Art. 15 DSGVO, wie etwa eine gut geführte Patientenakte für den Arztwechsel zu erhalten und dadurch die nochmalige Durchführung diagnostischer oder therapeutischer Maßnahmen zu vermeiden. Auch die Beweissicherungsfunktion der Dokumentation bzw. ihre Funktion als Beweismittel in einem Arzthaftungsprozess sei vom Gesetzgeber anerkannt worden.

Dieser Ansicht widersprechen auch nicht die in ErwG 63 S. 2 DSGVO enthaltenen Ausführungen, dass die betroffene Person das Recht auf Auskunft über ihre eigenen gesundheitsbezogenen Daten hat, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Denn diese sollen der betroffenen Person zu den in Satz 1 des ErwG genannten Zwecken zur Verfügung gestellt werden, namentlich um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

Weitergehende Zwecke, wie die des § 630g BGB, würden hier in der DSGVO aber gerade nicht genannt.

Im Ergebnis geht der HBDI davon aus, dass es zur Erfüllung des Anspruchs aus Art. 15 Abs. 1 und 3 DSGVO reichen muss, wenn die in ErwG 63 DSGVO genannten Daten vom Verantwortlichen zusammengefasst werden. Aus Praktikabilitätsgründen dürfen die Verantwortlichen natürlich auch für die Herausgabe von gesamten Dokumenten entscheiden.

Die Kopie der gesamten Krankenhausakte des Patienten wäre aber nur nach § 630g BGB herauszugeben.

Amtsgericht: 15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach der DSGVO

Was passiert, wenn eine betroffene Person keine bzw. keine aus ihrer Sicht richtige Auskunft nach Art. 15 DSGVO erhält? Man mag initial an ein Bußgeld durch eine Datenschutzbehörde denken. Das ist sicher ein Risiko. Daneben besteht für Betroffene aber auch noch die Möglichkeit, die datenverarbeitende Stelle vor einem Zivilgericht in Anspruch zu nehmen. Diesen Fall hatte das Amtsgericht Wertheim zu entscheiden.

Und das Ergebnis (Beschluss vom 12.12.2019 – 1 C 66/19; aktuell noch nicht öffentlich abrufbar, bei BeckOnline unter BeckRS 2019, 33192; dejure wird informiert): die Verhängung eines Zwangsgeldes in Höhe von 15.000 EUR (ersatzweise für je 500 EUR ein Tag Zwangshaft) gegen das auskunftspflichtige Unternehmen.

Sachverhalt

Dem nun veröffentlichten Beschluss ging ein Klageverfahren voraus, welches mit einem Anerkenntnisurteil endete (Anerkenntnisurteil vom 27.05.2019 – 1 C 66/19). Dort wurde die Beklagte verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und die Informationen nach Art. 15 Abs. 1 DSGVO mitzuteilen.

Dieser Pflicht scheint das Beklagte Unternehmerin als Schuldnerin nicht nachgekommen zu sein. Die Handlung (=Auskunft) konnte nicht durch einen Dritten vorgenommen werden, so dass die vorzunehmende Handlung ausschließlich vom Willen der Schuldnerin abhängig ist.

Entscheidung

Nach Ansicht des AG hat die Schuldnerin diese Handlung nicht vollständig ausgeführt. Sie habe insbesondere die Auskunft hinsichtlich Art. 15 Abs. 1 lit. g) DSGVO („wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“) nicht vollständig erteilt. Die Schuldnerin habe dem Antragsteller nicht alle verfügbaren Informationen über die Herkunft der bei ihr verarbeiteten Daten mitgeteilt.

Das AG begründet seinen Beschluss im Grunde mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO.

Die Auskunft Art. 15 DSGVO ist gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Es war wohl umstritten, ob eine solche Auskunft bereits erteilt wurde bzw. als Schriftstück übergeben wurde. Jedenfalls erfüllte dieses Schriftstück nicht die Erfordernisse des Art. 15 DSGVO. Zum einen sei es offensichtlich nicht vollständig, darüber hinaus sei es inhaltlich falsch.

Das AG befasst sich sodann mit Art. 15 Abs. 1 lit. g DSGVO. Die Frage nach der Herkunft der Daten, werde hier nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ beantwortet. Das AG verweist hierzu auch auf die Anforderungen des Art. 12 Abs. 1 DSGVO. In dem Schriftstück wurde eine „Firma U. P. GmbH“ lediglich in Klammern und mit Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von der Fa. U. P. GmbH übermittelt wurden, muss das jedoch nicht. Das bedeutet, dass das AG durch den Zusatz „z.B.“ eine unklare Auskunftserteilung annimmt. Der Betroffene wisse daher nicht, ob Daten wirklich von diesem Unternehmen übermittelt wurden.

Dies ist meines Erachtens die erste praxisrelevante Aussage des Gerichts.

Zweitens geht das AG davon aus, dass eine Auskunft über personenbezogene Daten grundsätzlich auch die Auskunft darüber umfasst,

welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.) gespeichert sind bzw. verarbeitet werden.

Die Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse daher – soll sie vollständig sein – nicht nur die Mitteilung von wem die Daten übermittelt wurden,

sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden. Dies ergibt sich nicht aus dem genannten Schriftstück.

Zum einen verlangt das AG also, dass im Rahmen der Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur Datenarten oder -kategorien genannt werden. Sondern die konkret verarbeiteten Daten selbst. Diese Ansicht ist meines Erachtens ebenfalls praxisrelevant, wenn auch nicht besonders überraschend.

Sehr streng ist aber die Auffassung des AG, dass die Auskunft dann auch Angaben dazu enthalten muss, „wann“ personenbezogene Daten an das auskunftspflichtige Unternehmen übermittelt wurden und welchen Inhalt diese konkret hatten. Dies würde für die Praxis und ein internes Datenschutz-Management bedeuten, dass nicht nur nachvollzogen werden können muss, welche Daten von wem an das Unternehmen gingen, sondern auch wann dies konkret erfolgte. Man müsste also zusätzlich Datumsangaben zu jedem personenbezogenen Datum hinzuspeichern.

Daneben wurde wohl in dem Schriftstück auch mitgeteilt, dass „zum Namen Ihres Mandanten weitere personenbezogenen Daten gespeichert sind, die sich jedoch nicht auf ihn beziehen, sondern denen ein Betrugsfall zugrunde liegt.“ Diese weiteren Daten enthielten aber wohl auch ein Geburtsdatum, womit es sich auch bei diesen Daten um personenbezogene Daten, nicht lediglich um Daten, die sich auf eine Bestellung bzw. einen Betrugsfall beziehen, handelte.

Fazit

Die Entscheidung des AG ist zum Teil sehr streng und man kann sicherlich diskutieren, ob etwa die Anforderung, dass auch Zeitangaben zu speichern und zu beauskunften sind, wann Daten bei einem Unternehmen eingegangen sind. Eventuell kann man dies an dem Merkmal „alle verfügbaren Informationen“ festmachen. Dazu müsste das Datum aber ja schon verfügbar sein (also gespeichert sein). Ob diese Anforderung aber als Grundlage der Speicherung des Datums (Tag, Uhrzeit oö) dienen kann, erscheint meines Erachtens fraglich.

Gericht: Betroffene haben keinen Anspruch auf Vornahme bestimmter Maßnahmen durch eine Datenschutzbehörde

Kann eine betroffene Person, die von einem unzulässigen Umgang mit ihren personenbezogenen Daten ausgeht, von einer Datenschutzbehörde ein aufsichtsbehördliches Einschreiten oder sogar die Vornahme einer konkreten Maßnahme verlangen? Um diese Frage ging es in einem Fall, den das Sozialgericht Frankfurt (Oder) zu entscheiden hatte. Das Gericht lehnt einen solchen Anspruch auf Grundlage der DSGVO ab (Gerichtsbescheid v. 08.05.2019 – S 49 SF 8/19).

Sachverhalt

In dem Verfahren klagten betroffene Personen gegen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Kläger verlangten von dem BfDI ein Einschreiten gegen behauptete Datenrechtsverstöße des Jobcenters. U.a. begehrten die Kläger Auskunft vom Jobcenter, die sie wohl zunächst nicht erhielten. Diese wurde aber nach einem entsprechenden Hinweis des BfDI dann doch erteilt. Nach Ansicht der Kläger enthielt diese aber falsche Daten und wandten sich deswegen erneut an den BfDI. Dieser verwies die Kläger auf die Geltendmachung der Auskunft bzw. der Betroffenenrechte gegenüber dem Jobcenter.

Die Kläger beantragten, den BfDI zu verurteilen, gegen die Datenrechtsverstöße des Jobcenters einzuschreiten, um ihnen Auskunft über den Zugriff auf ihre Daten durch andere Stellen zu erteilen.

Entscheidung

Das Sozialgericht wies die Klage als unzulässig ab, da es an einer Anspruchsgrundlage fehle. Das Gericht geht also davon aus, dass eine entsprechende Klagemöglichkeit nicht besteht.

Weder aus den Vorschriften des Sozialrechts … noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Das Gericht verweist zunächst auf Art. 78 Abs. 2 DSGVO. Danach bestehe zwar dem Grunde nach ein Klagerecht, jedoch ist der Klagegrund auf bestimmte Fälle beschränkt.

Nach Art. 78 Abs. 2 DSGVO hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat.

Dies sei hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit des BfDI vor.

Zudem habe nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt.

Danach, so das Gericht, ist der BfDI als Datenschutzaufsichtsbehörde allein verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.

Eine weitergehende Verpflichtung besteht grundsätzlich nicht.

Das Beschwerderecht nach Art. 77 DSGVO werde als Petitionsrecht verstanden.

Diesen Anforderungen aus der DSGVO sei der BfDI hier jedoch stets nachgekommen. Er hat die Betroffenen über den Fortgang der Beschwerde informiert und auch auf Schreiben geantwortet.

Daher kommt das Gericht zu dem Ergebnis:

Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Fazit

Das Gericht orientiert sich bei seiner Begründung strikt an den Vorgaben der DSGVO. Diese sieht eine Klagemöglichkeit gegen verbindliche Beschlüsse (also Verwaltungsakte) der Aufsichtsbehörde vor. Im Rahmen einer solchen Klage kann dann natürlich auch die Ermessensentscheidung der Aufsichtsbehörde überprüft werden. Jedoch sieht die DSGVO nicht vor, dass ein Betroffener direkt Klage auf Vornahme einer ganz bestimmten behördlichen Maßnahme erheben könnte.

OVG Lüneburg: Höchstpersönlicher Auskunftsanspruch nach der DSGVO geht nicht auf den Insolvenzverwalter über

Das Auskunftsrecht nach Art. 15 DSGVO ist in der datenschutzrechtlichen Praxis sicher eines der streitträchtigsten Betroffenenrechte. Dass es aber gar nicht immer direkt um die Ausübung des Rechts durch den Betroffenen gehen muss, zeigt ein neuer Beschluss (Beschl. v. 26.6.2019 – 11 LA 274/18) des Oberverwaltungsgerichts Lüneburg (OVG). Zudem geht das Gericht in seiner Entscheidung auf die interessante Frage ein, inwiefern das Recht auf Auskunft durch Dritte geltend gemacht werden kann und, insbesondere für das Insolvenzrecht relevant, ob Betroffenenrechte nach der DSGVO Teil der Insolvenzmasse sind.

Sachverhalt

Der Kläger, ein Insolvenzverwalter, bat am 21. Juli 2015 den Beklagten um Übersendung eines Auszugs aus dem Steuerkonto eines Insolvenzschuldners. Mit Schreiben vom 22. Juli 2015 führte der Beklagte aus, dass der Kläger die gewünschten Informationen bei seinem Mandanten einzuholen habe. Ein Insolvenzverwalter habe grundsätzlich keinen Anspruch auf die begehrten Informationen. Gegen dieses Ablehnungsschreiben legte der Kläger mit Schreiben vom 20. August 2015 Einspruch ein und wies zur Begründung auf das damals noch geltende Niedersächsische Datenschutzgesetz hin. Mit weiterem Schreiben vom 3. September 2015 beantragte der Kläger zusätzlich Akteneinsicht in das Steuerkonto des Insolvenzschuldners. Mit Schreiben vom 28. Oktober 2015 teilte der Beklagte dem Kläger mit, dass ein berechtigtes Interesse bzw. Gründe für die begehrte Erteilung von Steuerkontoauszügen nicht ersichtlich seien.

Hiergegen ging der Kläger zunächst vor dem VG Stade vor. Das VG wies seine Klage jedoch ab. Zur Begründung hat es sich u.a. auf eine – auszugsweise zitierte – Entscheidung des Oberverwaltungsgerichts Hamburg vom 8. Februar 2018 (Az 3 Bf 107/17) berufen und ausgeführt, dass diese Entscheidung auf die Rechtslage in Niedersachsen übertragbar sei. Der Kläger wandte sich nun gegen die Entscheidung des VG.

Entscheidung

Das OVG wies den Antrag des Klägers auf Zulassung der Berufung gegen das Urteil des VG zurück. Das Gericht geht davon aus, dass auf der Grundlage der nunmehr maßgeblichen Rechtslage (seit Anwendbarkeit der DSGVO) der Kläger gegen den Beklagten weder einen Anspruch darauf hat, dass ihm ein Auszug aus dem Steuerkonto des Steuerschuldners erstellt wird, noch, dass ihm Akteneinsicht in das Steuerkonto des Steuerschuldners gewährt wird.

Die vom Kläger geltend gemachten Ansprüche richten sich nunmehr vorrangig nach Art. 15 Abs. 1 DSGVO.

Das OVG begründet seine Entscheidung zunächst damit, dass die für die Geltendmachung eines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO erforderlichen Voraussetzungen in der Person des Insolvenzverwalters nicht vorliegen, weil er nicht „Betroffener“ ist. Nach Ansicht des OVG steht das Auskunftsrecht nur dem Betroffenen zu und beschränkt sich auf die zu seiner Person gespeicherten Daten. Demgegenüber ist es nicht darauf ausgerichtet, dass potenzielle „Dritte“ Informationen über die bei staatlichen Stellen vorhandenen Daten erlangen können.

Des Weiteren führt das OVG aus, dass das datenschutzrechtliche Auskunftsrecht des Betroffenen auch nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter übergeht. Zwar geht nach § 80 Abs. 1 InsO durch die Eröffnung des Insolvenzverfahrens das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über. Zur Insolvenzmasse zählendes Vermögen i.S.v. § 80 Abs. 1, § 35 Abs. 1 InsO sind allerdings nur die einer Person zustehenden geldwerten Rechte. Das OVG verweist dann darauf, dass Gegenstände und Rechte, deren Pfandverwertung nicht zur Befriedigung des Geldanspruchs der Gläubiger führen kann, keinen Vermögenswert verkörpern, nicht der Zwangsvollstreckung unterliegen und nach § 36 Abs. 1 InsO nicht zur Insolvenzmasse gehören. Danach unterliegen insbesondere Güter des höchstpersönlichen Bereichs nicht der Zwangsvollstreckung

Davon ausgehend ist der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ein höchstpersönliches Recht des Betroffenen.

Das OVG vertritt diese Auffassung auch in Kenntnis des Gegenarguments, dass dieser Auskunftsanspruch – insbesondere für den Insolvenzverwalter bzw. die von ihm zu bedienenden Gläubiger – mittelbar auch vermögensrelevante Auswirkungen haben kann.

Jedoch stehe aufgrund seines Schutzzwecks, seiner Grundrechtsbezogenheit und seiner fundamentalen Bedeutung zur Durchsetzung des Rechts auf informationelle Selbstbestimmung der Schutz ideeller Interessen und damit die Personenbezogenheit im Vordergrund.

Der Auskunftsanspruch gehört daher nach Ansicht des OVG somit nach § 36 Abs. 1 Satz 1 InsO nicht zur Insolvenzmasse und sei folglich auch vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter nicht erfasst.

Der Kläger wandte gegen diese Ansicht eine Entscheidung des OVG  Nordrhein-Westfalen vom 24. November 2015 (Az 8 A 1032/14) ein, in der dies anerkannt hätte, dass der Insolvenzverwalter Betroffener i.S.v. § 30 Abs. 4 Nr. 3 AO sei, was im Sinne der Rechtseinheit und Rechtsklarheit auch für andere Gesetze gelten müsse. Das OVG bringt hiergegen vor, dass es in dieser Entscheidung des OVG Nordrhein-Westfalen zwar auch um einen Auskunftsanspruch eines Insolvenzverwalters gegenüber dem Finanzamt hinsichtlich der Steuerkontoauszüge eines Insolvenzschuldners ging. Anspruchsgrundlage war aber nicht – wie hier – Art. 15 Abs. 1 DSGVO, sondern § 4 Abs. 1 des Informationsfreiheitsgesetzes Nordrhein-Westfalen.

Diese landesrechtliche Vorschrift ist jedoch – wie viele vergleichbare Vorschriften in den Informationsfreiheitsgesetzen anderer Bundesländer – anders als Art. 15 Abs. 1 DS-GVO, § 19 BDSG 2003 und § 16 NDSG a.F. kein Betroffenenrecht, sondern gewährt „jeder natürlichen Person“ einen Auskunftsanspruch gegenüber den in § 2 IFG NRW genannten Stellen.

Das OVG führt zur Natur des Auskunftsanspruchs nach der DSGVO weiter aus:

Der auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist unabhängig vom Inhalt der begehrten Informationen stets höchstpersönlicher Natur.

Er könne daher auch nicht abhängig vom Inhalt der begehrten Daten in höchstpersönliche und nicht höchstpersönliche Teile untergliedert und entsprechend „zersplittert“ werden.