Französische Datenschutzbehörde: Empfehlungen für die Bearbeitung von Auskunftsansprüchen nach Art. 15 DSGVO im Arbeitsverhältnis – speziell zu beruflichen E-Mails

Die Geltendmachung von Art. 15 DSGVO hat insbesondere im Bereich des Arbeitsverhältnisses Hochkonjunktur. Vor allem in Situationen, in denen es nicht (mehr) so funktioniert oder ein Kündigungsschutzprozess läuft.

In der Literatur und Rechtsprechung gibt es einige Diskussionen zu der Frage, wie in diesem Fall Art. 15 DSGVO auszulegen und anzuwenden ist.

Die französische Datenschutzbehörde (CNIL) hat nun auf ihrer Webseite (bisher nur auf Französisch) Empfehlungen ausgesprochen und ihre Ansicht dargelegt, wie mit Auskunftsansprüchen im Arbeitsverhältnis umzugehen ist („Das Recht der Arbeitnehmer auf Auskunft zu ihren Daten und beruflichen E-Mails“). Interessant an der Veröffentlichung ist, dass sich die CNIL speziell auch mit der Frage der Herausgabe von beruflichen E-Mails befasst.

Nachfolgend möchte ich einige Aussagen der CNIL darstellen (aus dem Französischen per deepl übersetzt).

Identitätsfeststellung

Der Verantwortliche muss sich über die Identität des Antragstellers vergewissern. Wenn begründete Zweifel an der Identität der Person bestehen, die ihr Recht ausüben möchte, kann der Verantwortliche Informationen anfordern, um die Identität der Person zu verifizieren. Jedoch, so die CNIL, dürfen keine Nachweise verlangt werden, die missbräuchlich, irrelevant und im Verhältnis zum Antrag unverhältnismäßig wären.

Beispiele:

Wenn ein Arbeitnehmer von seinem Arbeitgeber über seine geschäftliche E-Mail oder das Intranet des Unternehmens Auskunft zu den über ihn gespeicherten personenbezogenen Daten und deren Offenlegung verlangt, ist die Vorlage eines Personalausweises oder eines Reisepasses a priori nicht erforderlich, um die Identität des Antragstellers sicherzustellen.

Ein ehemaliger Arbeitnehmer könne seine Identität grundsätzlich z.B. durch die Nennung seiner früheren Mitarbeiter-ID nachweisen.

Das Recht auf Auskunft bezieht sich auf personenbezogene Daten und nicht auf Dokumente

Das Recht auf Auskunft bezieht sich nach Ansicht der CNIL nur auf personenbezogene Daten und nicht auf Dokumente: „Eine Person kann also nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen“. Es steht dem Verantwortlichen jedoch frei, Dokumente statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist.

Beispiel: Wenn eine betroffene Person ihr Recht auf Auskunft zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger …) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich.

Wie antwortet man einem Arbeitnehmer, der Zugang zu dienstlichen E-Mails oder eine Kopie davon erhalten möchte?

Nach Ansicht der CNIL muss der Arbeitgeber im Fall eines Auskunftsersuchens auf Zugang zu dienstlichen E-Mails die Beeinträchtigung der Rechte Dritter durch diese Anfrage bewerten. Er muss also eine Auswahl treffen zwischen Nachrichten, die weitergegeben werden dürfen, und solchen, die nicht weitergegeben werden dürfen.

Die CNIL schlägt vor, dass Arbeitgeber zwischen zwei Situationen unterscheiden, je nachdem, ob der antragstellende Arbeitnehmer 1) der Absender oder der Empfänger der E-Mails ist/war oder 2) nur im Inhalt der E-Mails erwähnt wird. Die CNIL nimmt diese Trennung vor allem mit Blick auf die Ausnahme nach Art. 15 Abs. 4 DSGVO (Beeinträchtigung der Rechte anderer Personen) vor.

Zu 1)

Wenn der Arbeitnehmer bereits Kenntnis von den Informationen in den Nachrichten, auf die sich der Antrag bezieht, hatte oder davon ausgegangen werden kann, dass er davon Kenntnis hat, geht die CNIL davon aus, dass die Weitergabe der E-Mails die Rechte Dritter respektiert und nicht die Ausnahme nach Art. 15 Abs. 4 DSGVO greift.

In diesem Zusammenhang ist die Anonymisierung oder Pseudonymisierung von Daten Dritter zwar empfehlenswert, jedoch nach Ansicht der CNIL keine Vorbedingung für die Übermittlung von E-Mails.

In Ausnahmefällen kann der Zugang zu oder die Weitergabe von E-Mails, die dem Antragsteller schon bekannt sind, jedoch ein Risiko für die Rechte Dritter darstellen, z. B. aufgrund der Art der Daten, die weitergegeben werden könnten. Dann muss der Arbeitgeber zunächst versuchen, Daten, die Dritte betreffen oder ein Geheimnis verletzen, zu löschen, zu anonymisieren oder zu pseudonymisieren, um dem Antrag stattgeben zu können. Wenn sich diese Maßnahmen als unzureichend erweisen, darf der Arbeitgeber den Antrag auf Auskunft verweigern, wobei er seine Entscheidung gegenüber der betroffenen Person begründen und rechtfertigen muss.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Herausgabe von E-Mails mit Informationen, die die nationale Sicherheit oder ein Betriebsgeheimnis verletzen würden, stattzugeben. Diese Argumente können vom Arbeitgeber aber nicht ohne eine Begründung gegenüber dem Antragsteller geltend gemacht werden.

Zu 2)

Wenn ein Arbeitnehmer die Herausgabe von Informationen aus E-Mails, in denen er erwähnt wird, erhalten möchte, muss der Arbeitgeber nach Ansicht der CNIL ein Gleichgewicht zwischen der Befriedigung des Auskunftsrechts des Arbeitnehmers und der Achtung der Rechte und Freiheiten anderer Arbeitnehmer, insbesondere mit Blick auf das Fernmeldegeheimnis, finden.

Die CNIL empfiehlt, in zwei Schritten vorgehen:

Schritt 1: Zunächst vergewissert sich der Arbeitgeber, dass die Mittel, die zur Identifizierung der angeforderten E-Mails eingesetzt werden müssen, nicht zu einem unverhältnismäßigen Eingriff in die Rechte aller Arbeitnehmer der Organisation führen.

Wenn die Identifizierung der E-Mails, auf die sich der Antrag bezieht, den Einsatz besonders einschneidender Mittel voraussetzt, wie z. B. das Scannen sämtlicher E-Mail-Nachrichten der Beschäftigten der Organisation, muss der Antragsteller aufgefordert werden, seinen Antrag zu präzisieren. Wenn er sich dagegen wehrt, kann sich der Arbeitgeber in einer solchen Situation auf die Achtung der Rechte Dritter berufen, um ihm eine positive Antwort zu verweigern.

Wenn die Angaben des Antragstellers es ermöglichen, die angeforderten E-Mails zu identifizieren, ohne das Fernmeldegeheimnis der Arbeitnehmer unverhältnismäßig zu verletzen, muss der für die Verarbeitung Verantwortliche den zweiten Schritt durchführen.

Schritt 2:

Der Verantwortliche untersucht den Inhalt der angeforderten E-Mails und beurteilt das Ausmaß der Beeinträchtigung der Rechte Dritter durch ihre Übermittlung, insbesondere im Hinblick auf das Fernmeldegeheimnis und das Privatleben des Absenders und der Empfänger. Dieser Schritt setzt eine Einzelfallanalyse voraus, da das Ergebnis von der Art der in den E-Mails enthaltenen Informationen abhängt.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Übermittlung von E-Mails stattzugeben, die sich auf eine Disziplinaruntersuchung beziehen und deren Inhalt, selbst wenn er geschwärzt ist, dem Antragsteller die Identifizierung von Personen ermöglichen könnte, von denen er keine Kenntnis haben sollte.

Fazit

Die Empfehlungen der CNIL stellen eine gute Unterstützung und Argumentationshilfe für die Praxis dar. Zwar dürften die Vorgaben der CNIL in der Praxis zu einem gewissen Aufwand auf Seiten der Arbeitgeber führen. Andererseits ist zu beachten, dass man sich im Bereich einer Ausnahme von einem Betroffenenrecht befindet und daher ein gewisser Begründungsaufwand unausweichlich ist. Andere Möglichkeit: man schließt berufliche E-Mails per se vom Anwendungsbereich des Art. 15 DSGVO aus. Auch das ist aber natürlich sehr umstritten.

Finnische Datenschutzbehörde: Protokoll-/Logdaten sind nicht vom Auskunftsanspruch nach Art. 15 DSGVO umfasst

Die finnische Datenschutzbehörde (DSB) veröffentlicht auf ihrer Webseite unter der Rubrik „FAQ“ in englischer Sprache viele interessante und praxisrelevante Antworten auf Fragen, rund um das Verständnis der DSGVO.

Eine schöne Frage und Antwort der Behörde habe ich zum Recht auf Auskunft gefunden.  

Frage: Kann ein Betroffener aufgrund des Auskunftsrechts Anspruch auf die Protokolldaten (Logdaten) haben?

Antwort der Behörde: Nach der gängigen Entscheidungspraxis der DSB stehen Benutzerprotokolldaten im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten einer betroffenen Person und betreffen nicht die betroffene Person selbst. Vielmehr können Benutzerprotokolldaten z.B. die Mitarbeiter betreffen, die die Daten der Person verarbeitet haben. Art. 15 DSGVO sieht das Recht der betroffenen Person auf Auskunft über die sie betreffenden Daten vor.

Hieraus schließt die DSB: Da sich die Protokolldaten auf die Zugriffsverwaltung und nicht auf die betroffene Person beziehen, über die sie gesammelt werden, hat diese Person nach Auffassung der Aufsichtsbehörde aufgrund dieses Auskunftsrechts keinen Anspruch auf die Protokolldaten.

Diese Ansicht der DSB dürfte für Unternehmen in der Praxis besonders interessant sein. In Deutschland kann sich dasselbe Ergebnis auf Grundlage von § 34 Abs. 1 Nr. 2 lit. b BDSG ergeben, wenn die dort benannten Voraussetzungen erfüllt sind. Hierzu zählt etwa, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die finnische DSB scheint eher pauschal die Logdaten, welche beim Zugriff auf personenbezogene Daten entstehen, vom Umfang des Auskunftsanspruchs auszuschließen.

Schwedische Datenschutzbehörde: Ausübung von DSGVO-Betroffenenrechten per Tweet?

Die schwedische Datenschutzbehörde hat im Rahmen des Kohärenzverfahrens am 10.9.2021 eine Entscheidung (PDF) zu der durchaus praxisrelevanten Frage getroffen, ob Unternehmen Betroffenenanfragen bzw. die Ausübung von Betroffenenrechten der DSGVO per Tweets auf Twitter sicherstellen müssen.

Sachverhalt

Der Betroffene erwarb ein Produkt des Verantwortlichen. Im Nachgang erhielt der Betroffene drei werbliche SMS. Eine Abmeldung von dem SMS-Versand war wohl nur über den Versand einer SMS an eine ausländische Nummer möglich. Dies wollte der Betroffene jedoch nicht und wandte sich per Tweet an den Account des Unternehmens auf Twitter an den Verantwortlichen (wohl mit einer Bitte um Löschung seiner Daten). Er erhielt hierauf zunächst keine Antwort, jedoch eine weitere SMS. Daraufhin beschwerte er sich erneut per Tweet bei dem Unternehmen und forderte die Löschung seiner Daten. Auf den letzten Tweet antwortete das Unternehmen und bot ihm an, seine Daten aus der Datenbank zu löschen. Am Ende nahm das Unternehmen diese Löschung auch vor.

Entscheidung

Die interessante Frage war hier, ob die Tweets an den Account des Verantwortlichen auf Twitter als Ausübung eines Betroffenenrechts angesehen werden konnten (etwa mit der Folge des Laufs der Fristen nach Art. 12 Abs. 3 DSGVO).

Die schwedische, als federführende Aufsichtsbehörde, äußert sich in der veröffentlichten Entscheidung nicht ausdrücklich zu dieser Frage. Jedoch lässt die Begründung der Behörde erkennen, dass sie wohl nicht davon ausgeht, dass diese Anfragen per Tweet als Betroffenenanfragen im Sinne der DSGVO zu verstehen waren.

Die Aufsichtsbehörde stellt „fest, dass der Beschwerdeführer einen informellen Weg zur Kontaktaufnahme mit dem Unternehmen genutzt hat (durch einen Tweet auf Twitter).“ (inoffizielle Übersetzung)

Diese Einschätzung lässt eine gewisse Tendenz erkennen, die Tweets nicht als Ausübung eines Betroffenenrechts zu verstehen. Wobei man sicherlich anmerken muss, dass die DSGVO keinen „formellen“ Weg für Betroffenenanfragen vorsieht. Art. 12 Abs. 2 DSGVO verpflichtet den Verantwortliche dazu, dass er der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtert.

Die Aufsichtsbehörde begründet weiter, dass es ist verständlich sei, dass der Beschwerdeführer keine Gebühr zahlen wollte, um gegen die Marketing-SMS Einspruch zu erheben.

aber gleichzeitig ist es auch verständlich, dass das Unternehmen nicht direkt über Twitter eine formelle Antwort gegeben hat“. (inoffizielle Übersetzung)

Die schwedische Behörde geht davon aus, dass es höchstwahrscheinlich andere Möglichkeiten gab, mit dem Unternehmen in Kontakt zu treten (z. B. per E-Mail), als per SMS. Auch diese Begründung spricht meines Erachtens eher dafür, dass die Aufsichtsbehörde von dem Betroffenen verlangt, einen förmlicheren Weg bei der Ausübung seiner Rechte zu gehen.

Letztlich schloss die Aufsichtsbehörde das Verfahren ohne eine aufsichtsbehördliche Maßnahme ab.

Finnische Datenschutzbehörde: Gesprächsaufzeichnungen sind nach Art. 15 Abs. 3 DSGVO herauszugeben

Die finnische Datenschutzbehörde entschied (PDF) am 24. Juni 2021 in einem Kohärenzverfahren zu Fragen des Auskunftsanspruchs in Bezug auf Aufzeichnungen von Telefongesprächen. Die Datenschutzbehörde sieht den Verantwortlichen in der Pflicht, auch solche Aufzeichnungen im Rahmen des Art. 15 Abs. 3 DSGVO herauszugeben.

Sachverhalt

Der Fall basiert auf einer Beschwerde eines Betroffenen. Von ihm wurden durch das Unternehmen Telefongespräche wurden aufgezeichnet, die er mit dem Kundenservice des Unternehmens führt. Darauf enthalten waren sowohl die Stimme des Betroffenen, als auch anderer Person (wohl Mitarbeiter des Unternehmens). Der Betroffene verlangte Auskunft nach Art. 15 DSGVO. Das Unternehmen hab ihm (verspätet) jedoch nur Dokumente heraus und nicht die Aufzeichnungen der Telefongespräche.

Die Finnische Behörde prüfte Verstöße gegen Art. 12 Abs. 1 und 3 sowie Art. 15 Abs. 3 DSGVO. Das Verfahren endete in einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Verspätete Auskunftserteilung

Insgesamt geht die Behörde von einem Verstoß gegen Art. 12 Abs. 3 und gegen Art. 12 Abs. 1, Art 15 Abs. 3 DSGVO aus.

Ursprünglich wurde im November 2018 Auskunft geltend gemacht und teilweise im August 2020 erfüllt Dies jedoch nicht in Bezug auf Gesprächsaufzeichnungen. Die Behörde stellt diesbezüglich einen Verstoß gegen Art. 12 Abs. 3 DSGVO fest, da das Unternehmen die Auskunft nicht innerhalb der gesetzlichen Frist (maximal 3 Monate) erteilte.

Keine Herausgabe der Gesprächsaufzeichnungen

Der Verantwortliche stellt die Aufzeichnungen von Telefongespräche mit dem Betroffenen im Rahmen der Auskunft nicht zur Verfügung. Zur Begründung führte das Unternehmen Art. 15 Abs. 4 DSGVO und die Rechte von anderen Personen an, die ebenfalls auf den Aufzeichnungen zu hören sind.

Die Aufsichtsbehörde stellt zunächst fest, dass die Stimme einer Person ein personenbezogenes Datum im Sinne der DSGVO ist. Daher geht die Behörde davon aus, dass sich das Recht auf Auskunft im Grundsatz auch auf aufgezeichnete Telefongespräche bezieht.

Interessant ist die Ansicht der Behörde zur Ausnahme vom Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO. Nach Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie gemäß Abs. 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das Unternehmen hatte hier Rechte anderer Personen, die ebenfalls auf den Aufzeichnungen zu hören sind, als einschränkende Ausnahme vorgebracht. Im konkreten Fall lies dies die Behörde jedoch nicht geltend. Denn nach Ansicht der Behörden sind keine Rechte anderer Personen beeinträchtigt, wenn diese anderen Personen die Telefonaufzeichnungen im Rahmen der Ausübung ihrer beruflichen Tätigkeit vornehmen.

Es ging hier also wohl um Mitarbeiter im Kundenservice des Verantwortlichen, die auf der Aufzeichnung des Telefongesprächs zu hören waren. Nach Auffassung der Datenschutzbehörde stelle dies aber keinen Fall dar, in dem die Rechte dieser Mitarbeiter beeinträchtigt würden, wenn die Aufzeichnungen der Telefongespräche an den Betroffenen herausgegeben werden. Die Aufsichtsbehörde scheint hierbei an den beruflichen Kontext der Aufzeichnung der Stimme der Mitarbeiter anzuknüpfen und darauf eine fehlende Beeinträchtigung abzuleiten.

Zudem begründet die Behörde ihre Ansicht, dass die Ausnahme nach Art. 15 Abs. 4 DSGVO nicht greift, damit, dass im Fall von aufgezeichneten Telefongesprächen immer auch personenbezogene Daten anderer Personen (der Gesprächsteilnehmer) vorhanden sind. Würde man hier die Ausnahme gelten lassen, würde quasi die Ausnahme zur Regel.

Vorliegend bot das Unternehmen dem Betroffenen an, dass er vor Ort die Aufzeichnung des Telefongesprächs anhören konnte. Die Aufsichtsbehörde lies diese Alternative mit Blick auf die Vorgaben nach Art. 12 Abs. 1 DSGVO und Art. 15 Abs. 3 DSGVO nicht ausreichen. Danach sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn der Betroffene den Antrag elektronisch stellt und nichts anderes angibt.

Die Aufsichtsbehörde gesteht dem Verantwortlichen zwar als Alternative zu, dass er dem Betroffenen ein Anhören der Aufzeichnung direkt vor Ort anbietet. Jedoch, so die Behörde, kann dies nicht die einzige Form der Zurverfügungstellung der Aufzeichnungen sein, wenn der Betroffene diese Form nicht wünscht.

Da die Aufzeichnungen mittlerweile gelöscht wurden, konnte die Behörde den Verantwortlichen nicht zur Herausgabe der Aufzeichnungen verpflichten. Es erging eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Datenschutzbehörde: „Woher haben Sie meine E-Mail-Adresse“? – Kein Antrag auf volle Auskunft nach Art. 15 DSGVO

Die dänische Datenschutzbehörde hat eine interessante Entscheidung zur Beantwortung von Auskunftsanfragen (oder eben keinen solchen Anfragen) nach Art. 15 DSGVO getroffen (Entscheidung vom 21.6.2021, PDF, Englisch)

Sachverhalt

Der Beschwerdeführer hatte einen Newsletter des betroffenen Unternehmens (Pixojet) erhalten. Am selben Tag bat er Pixojet, ihm mitzuteilen, woher Pixojet seine E-Mail-Adresse erhalten hatte. Pixojet teilte ihm mit, dass er sich für den Newsletter von Pixojet angemeldet habe und dass Pixojet sein Abonnement wieder löschen kann. Der Beschwerdeführer ging jedoch davon aus, dass er sich nie für den Newsletter angemeldet habe, und bat dann um Auskunft darüber, wann er den Newsletter abonniert habe und von welcher Quelle. 

Pixojet antwortete hierauf nicht direkt. Erst nach erneuter Nachfrage, woher Pixojet seine Informationen hatte antwortete ein Mitarbeiter des Kundendienstes, dass er sich nicht sicher ist, dass es aber nach einer manuellen Registrierung durch den Beschwerdeführer aussehe.

Der Beschwerdeführer ging weiter davon aus, dass er sich nie für den Newsletter angemeldet hatte. Er ging von einem Verstoß gegen die DSGVO aus. Sowohl, wie die Daten zu Pixojet gelangten /ggfs. über eine Drittquelle) als auch hinsichtlich der Antwort von Pixojet auf seinen Auskunftsantrag nach Art. 15 DSGVO.

Entscheidung

Die dänische Datenschutzbehörde verweist zunächst allgemein auf den Auskunftsanspruch nach Art. 15 DSGVO. Danach habe die betroffenen Personen in der Regel das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten ob personenbezogene Daten über die betroffene Person verarbeitet werden und gegebenenfalls, Auskunft über die personenbezogenen Daten und eine Reihe weiterer Informationen.

Nach Art. 15 Abs. 1 lit. g) DSGVO habe die betroffene Person das Recht, alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten zu erhalten, wenn diese nicht bei der betroffenen Person erhoben wurden. 

Die Datenschutzbehörde hat die Beschwerde so verstanden, dass die betroffene Person hier der Meinung ist, Pixojet habe ihm keine Auskunft entsprechend den Vorgaben des Art. 15 DSGVO gewährt. 

Dies sieht die Aufsichtsbehörde jedoch nicht so und geht davon aus, dass kein Verstoß vorliegt. Grund: die Fragen des betroffenen stellten schon keinen Auskunftsantrag nach Art. 15 DSGVO dar.

Die dänische Datenschutzbehörde sieht laut ihrer Begründung keinen Anhaltspunkt, die Einschätzung des Unternehmens, dass die Anfragen des Beschwerdeführers nicht als Antrag auf uneingeschränkte Auskunft gemäß Art. 15 DSGVO zu verstehen sind, zu beanstanden. 

Die Behörde geht also davon aus, dass die oben dargestellten Fragen des Betroffenen keine Ausübung des vollständigen Auskunftsanspruchs nach Art. 15 DSGVO darstellen. Damit treffen das Unternehmen natürlich auch nicht alle Pflichten des Art. 15 DSGVO.

Aus der Begründung (inoffiziell übersetzt): „Die dänische Datenschutzbehörde hat dabei den Schwerpunkt auf den Wortlaut der Anfragen des Beschwerdeführers gelegt, der angibt, dass er konkret wissen möchte, wo Pixojet seine E-Mail-Adresse hatte.

Die Behörde geht also wohl nur von einer sehr begrenzten Ausübung des Auskunftsanspruchs aus; konkret in Bezug auf die Herkunft der Daten. Die dänische Datenschutzbehörde stellt dann fest, dass Pixojet den Beschwerdeführer darüber informiert hat, dass die Informationen über ihn wahrscheinlich aus einem manuellen Eintrag in den Newsletter von Pixojet auf der Website des Unternehmens stammen. Dies war aus Sicht der Behörde ausreichend, da das Unternehmen über keine weiteren Informationen verfügte.

Fazit

Die Entscheidung ist unter zwei Gesichtspunkten praxisrelevant.

Zum einen löst eine konkrete Nachfrage von Betroffenen nicht direkt die volle Verpflichtungskaskade des Art. 15 DSGVO aus. Fraglich ist freilich, ab wann dann von einer vollumfänglichen Ausübung auszugehen ist., Wohl ziemlich sicher, wenn eine Person deutlich macht, dass sie umfassend Auskunft nach Art. 15 DSGVO begehrt.

Zum anderen ist die Auskunftspflicht des Art. 15 Abs. 1 lit. g) DSGVO erfüllt, wenn das Unternehmen seinem Kenntnisstand entsprechend informiert, woher die Daten stammen. Eine weiter Aufklärungs- oder Nachforschungspflicht ist hiervon nicht umfasst.

Kunde trägt falsche E-Mail-Adresse beim Online-Shopping ein – Datenschutzverstoß des Unternehmens?

Im Rahmen des One Stop Shop Verfahrens hat die norwegische Datenschutzbehörde zu einem sehr praxisrelevanten entschieden (pdf, Englisch).

Sachverhalt

Oft kommt es vor, dass Kunden eines Online-Shops aus Versehen eine falsche E-Mail-Adresse im Rahmen des Kaufprozesses eintragen. Oft reicht ja bereits ein falscher Buchstabe oder eine falsche Top Level Domain (.de statt eigentlich .net). Die Folge: Kaufbestätigung, Rechnung etc. gehen an die falsche Adresse und damit die falsche Person (wenn diese E-Mail-Adresse vergeben ist). Genau einen solchen Fall hatte die Datenschutzbehörde zu entscheiden. Der Beschwerdeführer hatte im Bestellprozess seine eigene E-Mail-Adresse falsch eingetragen. Eine andere Person erhielt deshalb die kaufrelevanten Unterlagen. Der Beschwerdeführer ging von einem Verstoß gegen die DSGVO aus, da seiner Ansicht nach das Unternehmen Daten aus zwei Kundenkonten vermischt wurden.

Entscheidung

Die Datenschutzbehörde sah allein durch den Fehlversand von Dokumenten (sicher auch mit personenbezogenen Daten des Beschwerdeführers) an eine andere Person keinen Verstoß gegen die DSGVO.

Das von der Behörde angeschriebene Unternehmen teilte mit, dass es davon ausgeht, dass der Beschwerdeführer versehentlich die falsche E-Mail-Adresse eingegeben hat, als er einen Kauf tätigte. Infolgedessen begann der falsche Kunde, E-Mails zu den Bestellungen des Beschwerdeführers zu erhalten.

Die norwegische Datenschutzbehörde ist der Ansicht, „dass der Fehler für die Registrierung der falschen E-Mail-Adresse beim Beschwerdeführer liegt“. Daher kam die Behörde zu dem Schluss, dass das Unternehmen über angemessene Verfahren und Maßnahmen verfügt um sicherzustellen, dass personenbezogene Daten korrekt aufgenommen werden.

Spannend wäre hier natürlich noch die Frage gewesen, ob auch bei einer normalen Onlinebestellung eine Art Double Opt in Verfahren umzusetzen wäre. Meines Erachtens ist dies nicht zwingend allein wegen Art. 32 DSGVO oder Art. 25 DSGVO erforderlich. Diskutieren mag man diese Option aber sicher.

Aber Achtung: einen DSGVO-Verstoß des Unternehmens gab es dann doch. Der Beschwerdeführer kontaktierte das Unternehmen und forderte eine Berichtigung seiner Daten. Das Unternehmen reagierte auf diese Betroffenenanfrage nach Art. 16 DSGVO (Berichtigung) jedoch zu langsam. Im konkreten Fall dauerte es mehr als 6 Monate, die E-Mail-Adresse zu korrigieren. Die norwegische Datenschutzbehörde ist der Ansicht, dass dies einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt. Danach muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats reagieren. Das Unternehmen gelobte diesbezüglich Besserung und die Schaffung eines verbesserten Prozesses zur Berichtigung von Daten.

Finanzgericht: Auskunftsrecht nach Art. 15 Abs. 1 DSGVO ist nicht mit einem Akteneinsichtsrecht identisch

Das Finanzgericht Baden-Württemberg (FG) hatte sich mit der Frage des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO und dessen Geltendmachung zum Zweck der Akteneinsicht zu befassen. Im Ergebnis lehnt das FG mit Urteil vom 26.7.2021 (Az. 10 K 3159/20) einen solchen Anspruch ab.

Sachverhalt

Vor dem FG streitig war, ob dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO ein Anspruch auf Akteneinsicht in die Handakten im Rahmen einer Betriebsprüfung zusteht. Der Kläger ist selbstständiger Apotheker und der Beklagte führte eine Betriebsprüfung bei diesem durch. In diesem Zuge kam es zu Besprechungen zwischen der Steuerberaterin des Klägers und der Betriebsprüferin wegen angeblicher fehlender Ordnungsmäßigkeit der Buchführung. Der Kläger begehrte Akteneinsicht im laufenden Verfahren, welche jedoch abgelehnt wurde. Am Ende lief es darauf hinaus, dass der Kläger durch seinen Prozessbevollmächtigten Klage beim Finanzgericht Baden-Württemberg einreichte. Zur Begründung führt er aus, die Klage richte sich gegen die Ablehnung der Akteneinsicht in die Handakte der Betriebsprüfung. Aus Art. 15 Abs. 1 DSGVO folge ein gebundener Anspruch auf Übersendung der Akten an den Prozessbevollmächtigten des Klägers, der nicht zeitlich eingeschränkt sei und damit auch im laufenden Betriebsprüfungsverfahren bestehe.

Entscheidung

Das FG geht davon aus, dass ein gebundener Anspruch auf Akteneinsicht nicht durch das Recht auf Auskunft über personenbezogene Daten nach Art. 15 Abs. 1 DSGVO begründet wird und lehnte die Klage als unbegründet hab.

Nach Ansicht des FG ist die DSGVO jedenfalls bei einer Betriebsprüfung, die sich neben anderen Steuerarten auch auf die Umsatzsteuer erstreckt, insgesamt anwendbar.

Danach geht das FG etwas ausführlicher als andere Gerichte in Entscheidungen zu Art. 15 DSGVO zunächst auf den Sinn und Zweck des Auskunftsanspruchs ein.

Regelungsziel der DSGVO ist der in Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union (GRC) und Art. 16 Abs. 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gewährleistete Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten. Bereits auf der Ebene der Grundrechtecharta ist das Recht jeder Person verankert, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken (Art. 8 Abs. 2 Satz 2 GRC).

Die Betroffenenrechte der DSGVO wurzeln in der Erwägung des europäischen Normgebers, dass der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können muss. Natürliche Personen sollen daher grundsätzlich die Kontrolle über ihre eigenen Daten besitzen (Erwägungsgrund 7 Satz 2 zur DSGVO)

Das FG macht in seiner Begründung also zunächst deutlich, wie wichtig die Betroffenenrechte und gerade das Auskunftsrecht sind.

Das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO und das Recht auf Erhalt einer Kopie gemäß Absatz 3 der Vorschrift erweisen sich damit als elementare subjektive Datenschutzrechte, da erst die Kenntnis darüber, ob und in welchem Umfang ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person in die Lage versetzt, weitere Rechte auszuüben

Weiter geht das FG davon aus, dass die frühere Rechtsprechung des EuGH zur Datenschutz-Richtlinie auf die Auslegung des Art. 15 DSGVO anwendbar ist. Denn der europäische Gesetzgeber wolle mit der DSGVO an die Ziele und Grundsätze der Datenschutzrichtlinie anknüpfen. Daher biete die in der Rechtsprechung vorgenommene Charakterisierung des Auskunftsanspruchs aus Art. 12 Buchst. a Datenschutz-Richtlinie auch Hinweise auf das Verständnis des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO.

Aber das Auskunftsrecht diene nach der Rechtsprechung des EuGH nicht der Schaffung eines Zugangs zu Verwaltungsdokumenten, weil dies nicht die Zielrichtung des europäischen Datenschutzrechts ist (EuGH-Urteil vom 17. Juli 2014, C-141/12, Rn. 46).

Zudem stellt das FG fest, dass die Erfüllung des Anspruchs („Ob“ der Auskunftserteilung) nach Art. 15 Abs. 1 DSGVO nicht im Ermessen der Finanzbehörde stehe. Das „Wie“ der Auskunftserteilung werde durch Art. 15 Abs. 1 Halbsatz 2 DSGVO jedoch nicht geregelt, so dass hieraus allein kein Akteneinsichtsrecht abgeleitet werden könne.

Das FG arbeitet dann nach und nach Argumente dafür heraus, was den Auskunftsanspruch nach Art. 15 DSGVO von einem Akteneinsichtsrecht unterscheidet.

Einem vollumfassenden Akteneinsichtsanspruch bei der Finanzbehörde sei etwa schon aus sprachlichen Gründen zu widersprechen,

da sich Art. 15 DSGVO dem Wortlaut nach nur auf bestimmte personenbezogene Daten bezieht und nicht auf eine allgemeine Einsicht in die Akten

Zudem sei das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO auch nicht mit einem Akteneinsichtsrecht identisch. Das Akteneinsichtsrecht beruhe vornehmlich auf dem Grundsatz des rechtlichen Gehörs (Art. 103 Abs. 1 Grundgesetz) und soll den Anspruchsteller in die Lage versetzen, die Grundlagen einer Verwaltungsentscheidung nachzuvollziehen.

Und weiter: „Ein Akteneinsichtsrecht geht stets über ein bloßes Auskunftsrecht hinsichtlich der verarbeiteten personenbezogenen Daten hinaus; so ergeben sich aus einer Akteneinsicht regelmäßig auch rechtliche Stellungnahmen, Entscheidungsentwürfe und Berechnungen der Amtsträger, Dienstanweisungen oder Ermittlungsergebnisse, die schon dem Grunde nach nicht unter den Schutzbereich der DSGVO und des § 32c AO fallen.“

Das FG stellt hier meines Erachtens zurecht die verschiedenen Zielrichtungen und Zweck der beiden Ansprüche bzw. Rechte gegenüber. Ein datenschutzrechtlicher Anspruch kann auch ohne Akteneinsicht erfüllt werden, indem dem Betroffenen im Fall der Verarbeitung personenbezogener Daten die konkreten Daten sowie die Einzelangaben i.S. von Art. 15 Abs. 1 Halbsatz 2 DSGVO mitgeteilt werden. Diese Aussage des FG ist für die geführte Diskussion um die Reichweite des Art. 15 (sowohl Abs. 1 als auch Abs. 3) relevant.

Nach Ansicht des FG enthält die DSGVO keine Regelung über die Gewährung von Akteneinsicht, sondern lediglich über punktuelle datenschutzrechtliche Auskunftsrechte wie z.B. über die Zwecke der Verarbeitung, die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen sowie falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Zuletzt hält das FG die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung der Form der Auskunftserteilung i.S. des Art. 15 Abs. 1 DSGVO für nicht geboten.

Fazit

Die Entscheidung des FG ist meiner Ansicht nach deswegen interessant, weil das Gericht sehr wohl die Bedeutung der Betroffenenrechte und des Auskunftsrechts erkennt und herausarbeitet. Dann jedoch diesen Anspruch in seiner Zielrichtung und seinem Umfang klar von einem Akteneinsichtsrecht abgrenzt und es damit ablehnt, auf Grundlage von Art. 15 Abs. 1 und 3 DSGVO komplette Akteninhalte (in denen sich auch personenbezogene Daten des Betroffenen befinden) herauszugeben.

Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Verwaltungsgericht: Recht auf Datenübertragbarkeit umfasst nicht Auswertungen oder Analysen

Gerichtliche Entscheidungen zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO sind sehr rar. Im März 2021 hatte sich nun das VG Weimar (Beschl. v. 02.03.2021, 3 E 209/21) zumindest am Rande mit dem Anwendungsbereich der Norm beschäftigt (jedoch direkt der Hinweis, dass keine tiefgehenden Ausführungen erfolgten).

Das VG hatte in einem Verfahren zum vorläufigen Rechtsschutz zu einem Antrag nach § 123 VwGO zu entscheiden. Der Antragsteller verlangte, dem Antragsgegner im Wege der einstweiligen Anordnung aufzugeben, „die Approbationsurkunde des Antragstellers über den Auftragsdatenverarbeiter D… zu verifizieren und elektronisch zu übermitteln“.

Das VG sah den Antrag jedoch nur zum Teil als begründet an. Der Antragsteller hat einen Anspruch auf eine elektronische Abschrift der Approbationsurkunde und darauf, diese an eine vom Antragsteller zu benennende E-Mail-Adresse zu versenden.

Jedoch lehnt das VG einen Anspruch auf elektronische Verifizierung ab (wobei ich ehrlich sagen muss, dass mir nicht ganz klar ist, was damit gemeint war). Es fehlte an einem Anordnungsanspruch, soweit der Antragsteller vom Antragsgegner eine elektronische Verifizierung seiner Approbationsurkunde begehrte.

Der Antragsteller stützte seinen Anspruch auf elektronische Verifizierung seiner Approbationsurkunde u.a. auf Art. 20 Abs. 1 und 2 DSGVO. Das VG ließ offen, ob und inwieweit die begehrte Verifizierung der Approbationsurkunde überhaupt vom Anspruchsinhalt des Art. 20 DSGVO umfasst ist.

Denn es fehle hier in jedem Fall an tatbestandlichen „Daten“ im Sinne der Vorschrift. Art. 20 Abs. 1 DSGVO verlangt, dass zu einer Person „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ vorliegen müssen.

Nach Ansicht des VG zählen hierzu

nur diejenigen Daten, die die betroffene Person zuvor dem Verantwortlichen übermittelt hat. Von vornherein nicht erfasst sind Daten, die erst das Ergebnis einer Auswertung durch den Verantwortlichen darstellen“.

Leider begründet das VG seine Ansicht nicht näher und verweist auf die Literatur. In der Vergangenheit wurde durchaus diskutiert, was unter „bereitgestellte“ Daten fällt. Nach Ansicht (pdf) der ehemaligen Art. 29 Gruppe umfasst der Begriff auch personenbezogene Daten, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person (jedoch nicht einer nachfolgenden Analyse dieses Verhaltens) sind (S. 12). Die Ansicht des VG scheint auch in diese Richtung zu gehen, wobei das VG auf eine „Übermittlung“ abstellt und damit wohl eine bewusste Aktivität der Betroffenen als erforderlich ansieht. Dies verlangt die Art. 29 Gruppe in ihrer Leitlinie gerade nicht.  

Wann können Verantwortliche sich weigern, einer Anfrage der betroffenen Person nachzukommen?

Nach Art. 12 Abs. 5 DSGVO muss der Verantwortliche grundsätzlich „Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34“ unentgeltlich zur Verfügung stellen. Also insbesondere auch den Auskunftsanspruch nach Art. 15 DSGVO per se unentgeltlich erfüllen. Hiervon macht die DSGVO jedoch zwei Ausnahmen.

Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Datenschutzbehörde des Vereinigten Königreichs (ICO) hat auf ihrer Webseite einige interessante Aussagen dazu veröffentlicht, wann ihrer Ansicht nach ein Antrag eines Betroffenen als „offensichtlich unbegründet“ bewertet werden kann.

Die kann der Fall sein, wenn:

  • die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft auszuüben. Zum Beispiel stellt eine Person einen Antrag, bietet dann aber an, ihn im Gegenzug für irgendeine Form von Vorteil für die Organisation zurückzuziehen; oder
  • der Antrag in böswilliger Absicht gestellt wird und dazu dient, eine Organisation zu schikanieren, ohne einen anderen Zweck als die Störung zu verfolgen.

Gerade die zuerst genannte Fallgruppe kommt meiner Erfahrung nach in der Praxis durchaus öfter vor, insbesondere in streitigen Verfahren im Arbeitsrecht wird ein Auskunftsantrag durchaus verwendet, um auf der Gegenseite für Aufwand zu sorgen und um auf Fehler zu hoffen. Wenn dann aber z. B. ein monetärer Vergleich angeboten wird, wird der Antrag zurückgenommen.

Die ICO geht davon aus, dass die zweite Fallgruppe zum Beispiel vorliegen kann, wenn die betroffene Person:

  • in der Anfrage selbst oder in anderen Mitteilungen ausdrücklich erklärt, dass sie beabsichtigt, eine Störung zu verursachen;
  • unbegründete Anschuldigungen gegen die Organisation oder bestimmte Mitarbeiter erhebt, die eindeutig durch Böswilligkeit veranlasst sind;
  • auf einen bestimmten Mitarbeiter abzielt, gegen den sie einen persönlichen Groll hegt; oder
  • systematisch verschiedene Anfragen an die Organisation als Teil einer Kampagne sendet, z. B. einmal pro Woche, mit der Absicht, Störungen zu verursachen.

Die Datenschutzbehörde weist zurecht darauf hin, dass diese Fallgruppen und Beispiele natürlich stets im Einzelfall geprüft werden müssen. Organisationen müssen eine Anfrage in dem Kontext betrachten, in dem sie gestellt wird. Wenn die Person wirklich ihre Rechte wahrnehmen möchte, ist es unwahrscheinlich, dass die Anfrage offensichtlich unbegründet ist.

Zuletzt weist die ICO noch darauf hin, dass aggressive oder beleidigende Ausdrücke zwar nicht akzeptabel sind, aber die Verwendung solcher Ausdrücke eine Anfrage nicht unbedingt offensichtlich unbegründet macht.