Experten-Blog im Datenschutz

DSGVO-Auskunft: Stand der Rechtsprechung und Schadenersatz

DSGVO-Auskunft: Stand der Rechtsprechung und Schadenersatz

Einige Gerichtsurteile und Praxismythen ranken sich seit Geltung der Datenschutzgrundverordnung (DSGVO) um die DSGVO-Auskunft sowie das Auskunftsrecht. Auch wenn mit Artikel 15 der Verordnung ein umfassendes Recht auf Auskunft existiert, ist nach wie vor oft strittig, in welchem Umfang eine Auskunft zu erteilen ist. In diesem Artikel werfen wir einen näheren Blick auf den aktuellen Stand der Rechtsprechung, das Recht auf Schadenersatz sowie die Auswirkungen für die betriebliche Praxis zum Umgang mit Auskunftsersuchen Betroffener.

Wofür das Recht auf Auskunft personenbezogener Daten steht

Betroffene haben zum Einen das Recht zu erfahren, ob personenbezogene Daten über sie gespeichert werden und können darüber eine Bestätigung vom Verantwortlichen verlangen. In der Praxis fällt dies zumeist mit der Ausübung des Rechts zusammen, so dass zumindest die Bestätigung über eine Datenverarbeitung in der Regel keine bis wenig Bedeutung für die betriebliche Praxis hat, sondern regelmäßig auch ein konkretes Auskunftsersuchen gestellt wird. Die Intention des Gesetzgebers entspricht somit sehr genau jener der betroffenen Personen, nämlich dass diese die Rechtmäßigkeit der Verarbeitung personenbezogener Daten prüfen können und im Zweifel durch die Auskunft erst Kenntnis über die konkreten Umstände einer oder mehrerer Verarbeitungsvorgänge erlangen. Das Auskunftsrecht trägt somit maßgeblich zum „Recht auf informationelle Selbstbestimmung“ bei, das mit Urteil des Bundesverfassungsgericht bereits im Jahr 1983 entschieden wurde (Urt. v. 15.12.1983 – Az. 1 BvR 209/83 u. A.). Betroffene haben seither einen Anspruch zu wissen, welche personenbezogenen Daten durch Verantwortliche über sie verarbeitet werden.

Betroffene wissen doch, welche Daten verarbeitet werden

Davon kann im Idealfall ausgegangen werden, wenn im Vorfeld über die genauen Umstände der Verarbeitung informiert wurde. Dennoch besitzen diese – aus sehr transparenten Informationen – im Vorfeld der Verarbeitung einen nur begrenzten Aussagewert. So werden etwa Profiling-Maßnahmen und automatisierte Entscheidungsfindungen, Verarbeitungen auf Basis berechtigter Interessen oder Einwilligungen, häufig in einer Art und Weise aggregiert, die für Betroffene erst durch die Auskunft über ihre Daten erkennbar sind. So ist dem Betroffenen im Vorfeld einer Verarbeitung zwar meist bewusst, dass z. B. eine Bonitätsauskunft auf Basis eines berechtigten Interesses für die Begründung eines Vertragsschlusses über ihn erhoben wird. Um welche Art von Auskunft es sich handelt, was diese enthält und welche internen Rückschlüsse von Verantwortlichen konkret gezogen werden, etwa durch ein internes Rating-System, besteht jedoch Unklarheit. Das können Betroffene erst anhand der konkreten Umstände, also durch eine umfassende Betroffenenauskunft, prüfen. Somit können auch die sonstigen, internen Vermerke dazu gehören, die im konkreten Einzelfall vom Verantwortlichen verarbeitet werden. Zudem können Verarbeitungsvorgänge existieren, bei denen Daten auch ohne die Kenntnis Betroffener erst hinzu gespeichert werden, etwa wenn es sich um öffentlich verfügbare Daten handelt bzw. solche, bei denen davon ausgegangen wird, dass keine überwiegenden schutzwürdigen Interessen am Ausschluss der Verarbeitung dieser Daten bestehen. Letzteres könnte etwa bei Profilen aus beruflichen Netzwerken oder öffentlichen Verzeichnissen der Fall sein. Es geht beim Auskunftsrecht somit um das „Gesamtbild“ der Verarbeitung, das eine zuverlässige Prüfung der Rechtmäßigkeit erst ermöglicht.

Inhalt und Reichweite des Auskunftsrechts nach Art. 15 DSGVO

Ähnlich lag es in einem Fall, bei dem ein Versicherter gegen den Anbieter einer Kapital-Lebensversicherung rechtlich vorgegangen ist (BGH, Urt. v. 15.06.2021 – Az. VI ZR 576/19). Der Kläger bezog seinen Auskunftsanspruch auf die internen Daten, mit dessen Hilfe er einen Rückzahlungsanspruch geleisteter Prämien erzielen wollte. Aus datenschutzrechtlicher Sicht ist hierbei besonders die Frage über die Reichweite des Auskunftsrechts von Relevanz. Denn der Betroffene verlangte nicht nur detaillierte Vertragsinformationen und -korrespondenz, sondern auch Auskunft über interne Telefon-, Gesprächs- und Bewertungsvermerke sowie die vollständigen Daten des Prämienkontos. Während die Vorinstanz des Landgerichts Köln die bereits erteilte Auskunft noch für ausreichend hielt, entschied der Bundesgerichtshof in letzter Instanz jedoch anders und warf der Vorinstanz kurzum ein „fehlerhaftes Verständnis“ personenbezogener Daten vor. So beziehe sich das Auskunftsrecht im konkreten Fall auf alle gegenseitigen Schreiben, die einen Personenbezug zum Kläger aufweisen, auf Nachträge zu Versicherungsscheinen und Zweitschriften, auf die Daten des Prämienkontos sowie auf die internen Vermerke, die Informationen über den Kläger enthalten. Dazu zählen somit auch sämtliche, vom Verantwortlichen dokumentierte, Äußerungen des Klägers sowie interne Vermerke über den Gesundheitszustand. Das Auskunftsrecht nach Art. 15 DSGVO sieht nach Ansicht des BGH dementsprechend keine Einschränkungen vor. Dieses höchstrichterliche Urteil avanciert in der Unternehmenspraxis somit zur Entscheidung mit der vielleicht höchsten Tragweite und Resonanz für das Betroffenenrecht.

 

Die verspätete und unvollständige Auskunftserteilung

Zuvor wurde häufig die Ansicht vertreten, dass der Informationskatalog des Art. 15 wörtlich auszulegen ist, was in der Praxis zu „unvollständigen“ oder allgemeinen Informationen führte. Dies war sicher dem Umstand geschuldet, dass seit Geltung der DSGVO noch viele Rechtsunsicherheiten über Inhalt und Reichweite des Auskunftsrechts existierten. So entschied etwa das Arbeitsgericht Düsseldorf (Urt. v. 05.03.2020 – Az. 9 Ca 6557/18), dass die unrichtige Auskunft einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO bereits begründe. In dem Fall klagte ein Betroffener gegen seinen ehemaligen Arbeitgeber wegen unrichtiger und verspäteter Auskunft, die nach Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Stellung des Antrags, zu erfolgen hat. Die Vorschrift sieht zudem vor, dass die Frist im Einzelfall um zwei weitere Monate verlängert werden kann, wenn dies unter Berücksichtigung der Komplexität und Anzahl von Anträgen erforderlich ist und Betroffene über die Fristverlängerung unterrichtet werden. Das ArbG Düsseldorf sprach dem Kläger in erster Instanz wegen unvollständiger und verspäteter Auskunft – unter Berücksichtigung der finanziellen Leistungsfähigkeit des Verantwortlichen – einen Schadenersatz in Höhe von 5.000 EUR zu und betont damit die abschreckende Wirkung der DSGVO-Sanktionen.

Das ArbG Neumünster (Urt. v. 11.08.2020 – 1 Ca 247 c/20) sprach einer betroffenen Person für jeden Monat der verspäteten Erteilung ein Schmerzensgeld i. H. v. 500 EUR, insgesamt einen Betrag von 1.500 EUR zu. Weitere Entscheidungen folgten. Das LAG Hamm (Urt. v. 11.05.2021 – 6 Sa 1260/20) sprach ein Schmerzensgeld i. H. v. 1.000 EUR wegen verspäteter Auskunft aus und das LAG Hannover (Urt. v. 22.10.2021 – Az. 16 Sa 761/20) wegen mangelhafter und verspäteter Auskunft ein Schmerzensgeld i. H. v. 1.250 EUR. Eine Erheblichkeitsschwelle oder Bagatellen werden von den Gerichten überwiegend verneint, insbesondere von den Landgerichten Hannover und Hamm ausdrücklich. Das Landgericht Bonn hingegen verneinte – zumindest im konkreten Fall – einen Schadenersatzanspruch wegen unvollständiger oder nicht fristgerechter Auskunftserteilung und sieht eine Spürbarkeitsschwelle für ein Schmerzensgeld als Voraussetzung. Die inhaltliche Reichweite des Anspruchs wurde hingegen nicht bestritten (Urt. v. 01.07.2021 – Az. 15 O 372/20), die sich in dem Fall sogar auf WhatsApp-Nachrichten bezog. Die Gerichte sind somit überwiegend zu einer abschreckenden, inhaltlich umfassenden und restriktiveren Auslegung des Auskunftsrechts übergegangen, die in der datenschutzrechtlichen Praxis für Sensibilität im Umgang mit Auskunftsverlangen sorgt. Obgleich es sich bisher überwiegend um Einzelfälle handelt, werden Betroffenen zunehmend Schadenersatzansprüche aufgrund von DSGVO-Verstößen zugesprochen.


Mit Rocketlegal.de im Datenschutz durchstarten

Wer schreibt hier?

Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.

Externer Datenschutz-beauftragter

ab 150 EUR im Monat

inklusive DSMS und Webseiten-Audit

Externer Datenschutz

Stets aktuelle News in unserem Datenschutz Experten-Blog.

Rocketlegal | Datenschutz-Blogim Blogverzeichnis Bloggerei.de
Blogtotal
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste
Blogverzeichnis von Trusted Blogs
RSS-Feed für Abonnenten und Verzeichnisse

© 2022 Rocketlegal.de ImpressumDatenschutzerklärungAGNB

Im