BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 22.06.2023
C‑579/21

Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO auch Verarbeitungsvorgänge umfasst, die vor Inkrafttreten der DSGVO stattgefunden haben

Die Pressemitteilung des EuGH:
Jedermann hat ein Recht darauf, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden

Dass der Verantwortliche im Bankgeschäft tätig ist, wirkt sich auf die Reichweite dieses Rechts nicht aus.

Im Jahr 2014 erlangte ein Arbeitnehmer, der zugleich Kunde der Bank Pankki S war, Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren. Da dieser Arbeitnehmer, dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.

In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele. Pankki S machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen, wobei sie erläuterte, ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, sei Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob Letzterer und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der in Rede stehenden Daten erforderlich gewesen sei, wobei sie klarstellte, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe.

Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf den Auskunftssuchenden gänzlich auszuräumen.

Der Auskunftssuchende wandte sich an das Büro des Datenschutzbeauftragten von Finnland und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen. Nachdem dieser Antrag abgelehnt worden war, erhob der Auskunftssuchende Klage beim Verwaltungsgericht Ostfinnland, das den Gerichtshof um Auslegung von Art. 15 Datenschutzgrundverordnung (im Folgenden: DSGVO) ersucht.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass die DSGVO, die seit dem 25. Mai 2018 gilt, auf ein nach diesem Datum vorgebrachtes Auskunftsersuchen anwendbar ist, wenn die dieses Ersuchen betreffenden Verarbeitungsvorgänge vor dem Anwendungsdatum der DSGVO ausgeführt wurden.

Sodann stellt der Gerichtshof fest, dass die DSGVO dahin auszulegen ist, dass es sich bei Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, um Informationen handelt, die diese Person von dem Verantwortlichen verlangen darf. Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. Falls nämlich die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die diese Rechte und Freiheiten nicht verletzen.

Schließlich entscheidet der Gerichtshof, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person gewährt wird.

Tenor der Entscheidung:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung

ist dahin auszulegen, dass

er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.

2. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.

3. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.09.2023
IV ZR 177/22

Der BGH hat entschieden, dass ein Versicherungsnehmer keinen Anspruch aus Art. 15 DSGVO gegen eine private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben hat. Ein solcher Anspruch kann sich aber möglicherweise aus Treu und Glauben (§ 242 BGB) ergeben.


Die Pressemitteilung des BGH:
Zum Auskunftsanspruch über frühere Prämienanpassungen in der privaten Krankenversicherung

Der unter anderem für das Versicherungsvertragsrecht zuständige IV. Zivilsenat des Bundesgerichtshofs hat entschieden, dass dem Versicherungsnehmer aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen kann, wenn er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Dagegen folgt aus Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DSGVO) grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

Sachverhalt und Prozessverlauf:

Der Kläger wendet sich gegen die Wirksamkeit von Prämienanpassungen in seiner privaten Krankenversicherung. Mit der Klage hat er vom beklagten Versicherer unter anderem Auskunft über alle Beitragserhöhungen aus den Jahren 2013 bis 2016 durch Vorlage von Unterlagen verlangt, die Angaben zur Höhe der Beitragserhöhungen unter Benennung der jeweiligen Tarife, die ihm übermittelten Anschreiben mit Begründungen, die Nachträge zum Versicherungsschein sowie die Beiblätter enthalten. Diesen Antrag hat er im Rahmen einer Stufenklage gestellt, mit der er unter anderem die Feststellung, dass die noch genauer zu bezeichnenden Erhöhungen unwirksam seien, und die Zahlung eines nach Erteilung der Auskunft noch zu beziffernden Betrages verlangt hat.

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil zum Teil abgeändert und die Beklagte unter anderem antragsgemäß zur Auskunftserteilung verurteilt. Soweit die Klage Erfolg hatte, richtet sich dagegen die Revision der Beklagten.

Die Entscheidung des Senats:

Der Bundesgerichtshof hat entschieden, dass die Auskunftsklage zulässig ist. Zwar ist das Rechtsschutzbegehren als Stufenklage im Sinne des § 254 Zivilprozessordnung unzulässig, da es dem Kläger nicht um die Bezifferung eines Anspruchs, sondern um die Prüfung geht, ob überhaupt ein Anspruch besteht. Der Auskunftsantrag kann jedoch in eine von der Stufung unabhängige Klage umgedeutet werden. Der Kläger hat auch ein berechtigtes Interesse an der begehrten Auskunft, da er sie benötigt, um zu prüfen, ob vergangene Beitragserhöhungen unwirksam waren und ihm daraus Rückzahlungsansprüche zustehen.

Einem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen zustehen. Dieser Anspruch setzt zunächst voraus, dass ihm noch Rückzahlungsansprüche aufgrund früherer Prämienerhöhungen, falls diese unwirksam gewesen sein sollten, als Grund für das Auskunftsbegehren zustehen könnten. Darüber hinaus ist erforderlich, dass er nicht mehr über die betreffenden Unterlagen verfügt und sich die notwendigen Informationen nicht selbst auf zumutbare Weise verschaffen kann. Wenn dies der Fall ist, ist unter Berücksichtigung der Gründe für diesen Verlust zu entscheiden, ob er in entschuldbarer Weise über sein Recht im Ungewissen ist. Die hierfür maßgebenden Umstände hat der Versicherungsnehmer darzulegen und zu beweisen.

Dagegen folgt ein solcher Auskunftsanspruch grundsätzlich nicht aus Art. 15 Abs. 1, 3 DSGVO. Ein Anspruch auf eine Abschrift der gesamten Begründungsschreiben samt Anlagen lässt sich aus Art. 15 Abs. 1 DSGVO nicht herleiten, da es sich weder bei den Anschreiben selbst noch bei den beigefügten Anlagen jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handelt. Aus Art. 15 Abs. 3 DSGVO ergibt sich nur ein Anspruch auf eine Kopie der Daten, zu denen nach Art. 15 Abs. 1 DSGVO Auskunft zu erteilen wäre, aber grundsätzlich kein Anspruch auf Herausgabe von Kopien bestimmter Dokumente. Dazu hat der Gerichtshof der Europäischen Union mit Urteil vom 4. Mai 2023 (C-487/21, NJW 2023, 2253) entschieden, dass Art. 15 Abs. 1 DSGVO den Gegenstand und den Anwendungsbereich des Auskunftsrechts und Art. 15 Abs. 3 DSGVO die praktischen Modalitäten für die Erfüllung der Verpflichtung festlege; daher könne Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewähre.

Die Revision hatte auf dieser Grundlage zum Teil Erfolg und führte unter anderem zu einer Aufhebung des Berufungsurteils hinsichtlich der Auskunftsklage. Soweit das Berufungsgericht noch nicht alle Voraussetzungen für einen Auskunftsanspruch aus Treu und Glauben geprüft hat, hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen, damit es dies nachholen kann.

Vorinstanzen:

OLG Frankfurt am Main - Urteil vom 7. April 2022 - 3 U 266/21

LG Gießen - Urteil vom 31. August 2021 - 2 O 545/20

Die maßgebliche Vorschriften lauten:

§ 254 ZPO

Wird mit der Klage auf Rechnungslegung oder auf Vorlegung eines Vermögensverzeichnisses oder auf Abgabe einer eidesstattlichen Versicherung die Klage auf Herausgabe desjenigen verbunden, was der Beklagte aus dem zugrunde liegenden Rechtsverhältnis schuldet, so kann die bestimmte Angabe der Leistungen, die der Kläger beansprucht, vorbehalten werden, bis die Rechnung mitgeteilt, das Vermögensverzeichnis vorgelegt oder die eidesstattliche Versicherung abgegeben ist.

§ 242 BGB

Der Schuldner ist verpflichtet, die Leistung so zu bewirken, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.

Art. 15 DSGVO

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

…

(3) 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …

VG Düsseldorf:
Urteil vom 24.08.2023
29 K 329/21

Das VG Düsseldorf hat entschieden, dass kein Anspruch nach dem IFG NRW gegen das Justizministerium NRW auf Auskunftserteilung zum "Cum-Ex"-Ermittlungsverfahren besteht.

Die Pressemitteilung des Gerichts:
Justizministerium muss keinen Informationszugang zu „Cum-Ex“-Ermittlungsverfahren gewähren

Das Ministerium der Justiz des Landes Nordrhein-Westfalen (Justizministerium NRW) muss keinen Informationszugang zu Berichten der Staatsanwaltschaften in Ermittlungsverfahren zu „Cum-Ex“-Transaktionen der WestLB AG und der Bearbeitung dieser Berichte im Justizministerium gewähren. Das hat die 29. Kammer des Verwaltungsgerichts Düsseldorf durch soeben in öffentlicher Sitzung verkündetem Urteil vom heutigen Tage entschieden und die auf das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) gestützte Klage von Gesellschaftern der Warburg Bank abgewiesen.

Das Gericht führt zur Begründung seines Urteils aus: Das IFG NRW findet auf die Tätigkeit von Behörden der Staatsanwaltschaft keine Anwendung, wenn diese auf dem Gebiet der Strafrechtspflege tätig werden. Dies ist insbesondere bei der Durchführung von Ermittlungsverfahren der Fall. Auch das Justizministerium NRW stellt eine (übergeordnete) Behörde der Staatsanwaltschaft dar. Denn nach dem Gerichtsverfassungsgesetz können die Justizministerien mit Weisungen inhaltlich auf die staatsanwaltschaftlichen Ermittlungsverfahren Einfluss nehmen. In dieser Funktion hat das Justizministerium NRW gehandelt, als es die Berichte der Staatsanwaltschaft zu den „Cum-Ex“-Ermittlungsverfahren im Hinblick auf die mögliche Ausübung seiner Weisungsrechte bearbeitet hat. Sowohl die Berichte der Staatsanwaltschaften als auch die Aktenvermerke des Justizministeriums NRW weisen einen hinreichenden Bezug zu den Ermittlungsverfahren auf, wodurch sie dem Anwendungsbereich des IFG NRW entzogen sind.

Gegen das Urteil kann beim Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster die Zulassung der Berufung beantragt werden.

Aktenzeichen: 29 K 329/21

AG München
Urteil vom 03.08.2023
241 C 10374/23

Das AG München hat entschieden, dass der Erhalt einer Benachrichtigung über einen Datenschutzverstoß nach Art. 34 DSGVO nicht genügt, um einen Schadensersatzanspruch nach Art 82 DSGVO schlüssig darzulegen und zu beweisen.

Aus den Entscheidungsgründen:
1. Die Klage ist hinsichtlich des Feststellungsantrags in Ziffer 2. unzulässig, im Übrigen aber zulässig.

Ein Feststellungsinteresse liegt bezüglich des Antrags Ziffer 2. nicht vor. Bei Vermögensschäden bedarf es für die Zulässigkeit der Klage der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts (BGH, Urteil vom 26.07.2018 – ZR 274/16, NJW-RR 2018, 1301 Rn. 20, beck-online). Der Kläger als Anspruchsteller hat die Darlegungs- und Beweislast für die Tatsachen, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt. Vorliegend ist den Ausführungen des Klägers nicht zu entnehmen, welche Nachteile ihm drohen könnten, zumal seit dem Abgreifen der Daten bereits 3 Jahre verstrichen sind, ohne dass es zu einem Missbrauch der Daten gekommen ist. Es ist kein Grund ersichtlich, wieso jetzt mit dem Eintritt eines Schadens zu rechnen wäre.

2. Die Klage ist in Ziffer 1. unbegründet

a) Der Kläger hat keinen Anspruch auf Ersatz immateriellen Schadens in Höhe von mindestens 1 .OOO € gegen die Beklagte gem. Art. 82 DGSVO.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte (Rn 51 zu Art.82 DS-GVO, BeckOK Datenschutzrecht, 44. Auflage, 01.05.2023, beck-online).

Trotz Hinweis des Gerichts in der mündlichen Verhandlung vom 13.07.2023 hat der Kläger weder dargelegt, welche Pflichtverletzung nach der DSGVO er der Beklagten vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll.

Aus dem Schreiben vom 19.10.202 folgt nicht ein vorheriger Verstoß der Beklagten gegen die DGSVO. Die Benachrichtigungspflicht gem. Art.34 DSGVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Nr. 12 DSGVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an (Rn 23 zu Art. 34 DGSVO, BeckOK Datenschutzrecht, 01.02.2022, 44 Auflage, beck-online)

Selbst wenn ein Verstoß gegen die DSGVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DSGVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.

b) Mangels konkreten Schadens steht dem Kläger gegen die Beklagte auch kein Anspruch aus vertraglichen oder deliktischen Ansprüchen nach dem BGB zu.

Den Volltext der Entscheidung finden Sie hier:https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2023-N-20971?hl=true

VG Berlin
Urteil vom 07.06.2023
2 K 148/21

Das VG Berlin hat entschieden, dass kein Anspruch auf Herausgabe von Software-Quellcode nach dem Berliner Informationsfreiheitsgesetz besteht.

Aus den Entscheidungsgründen:
Gemäß § 6 Abs. 1 der Verwaltungsgerichtsordnung - VwGO - ist der Berichterstatter als Einzelrichter zuständig, nachdem die Kammer ihm den Rechtsstreit durch Beschluss vom 13. Februar 2023 zur Entscheidung übertragen hat.

Die zulässige Klage ist unbegründet. Der Bescheid vom 28. Januar 2021 in Gestalt des Widerspruchsbescheids vom 13. April 2021 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten; der Kläger hat keinen Anspruch auf Zugang zum Quellcode zu GABI (§ 113 Abs. 5 S. 1 VwGO).

Rechtsgrundlage für das Begehren des Klägers ist § 3 Abs. 1 S. 1 des Berliner Informationsfreiheitsgesetzes - IFG Bln. Danach hat jeder Mensch nach Maßgabe dieses Gesetzes gegenüber den in § 2 genannten öffentlichen Stellen nach seiner Wahl ein Recht auf Einsicht in oder Auskunft über den Inhalt der von der öffentlichen Stelle geführten Akten.

Die Voraussetzungen dieser Vorschrift sind nicht gegeben. Der Quellcode zu GABI ist keine „Akte“ in diesem Sinne (vgl. VG Darmstadt, Urteil vom 8. Mai 2019 – 3 K 1708/17.DA – juris Rn. 40; VG Wiesbaden, Urteil vom 17. Januar 2022 – 6 K 784/21.WI – juris Rn. 50 ff. zum IFG Bund und zum HDSIG). Zutreffend geht der Kläger zwar davon aus, dass Quellcodes grundsätzlich Akten sein können. Dies folgt aus § 3 Abs. 2 IFG Bln, wonach der Aktenbegriff u.a. elektronisch festgehaltene Gedankenverkörperungen erfasst, soweit sie amtlichen Zwecken dienen. Diese Vorschrift erschöpft sich indes in einer Darlegung der tatbestandlichen Voraussetzungen des Einsichts- und Auskunftsrechts, ohne dessen Gegenstand im Einzelnen zu bezeichnen (OVG Berlin-Brandenburg, Urteil vom 14. Dezember 2006 – OVG 7 B 9/05 – juris Rn. 13). Akten in diesem Sinne sind allein der materiellen Verwaltungstätigkeit zuzuordnende Vorgänge mit Bezug zu einer konkreten Verwaltungsangelegenheit, wie sie in den Verwaltungsvorgängen dokumentiert sind (OVG Berlin-Brandenburg, Urteil vom 2. Oktober 2007 – OVG 12 B 11/07 – juris Rn. 20). Einen solchen Bezug zu einer konkreten Verwaltungsangelegenheit weist der Quellcode zu GABI nicht auf.

Nach den Darlegungen der Beklagten verwendet sie GABI bei verschiedenen Verfahren über die Vergabe von Plätzen in Lehrveranstaltungen gemäß den Anforderungen aus §§ 89–91 der Fachübergreifenden Satzung zur Regelung von Zulassung, Studium und Prüfung der Humboldt-Universität zu Berlin - ZSP-HU. Die Aufzeichnung des Quellcodes erfolgt mithin nicht in einer konkreten Verwaltungsangelegenheit, sondern als „Arbeitsmittel“ zu sonstigen amtlichen Zwecken (vgl. OVG Berlin-Brandenburg, Urteil vom 14. Dezember 2006 – OVG 7 B 9/05 – juris Rn. 15; s. auch BVerwG, Urteil vom 23. Juni 2022 – 10 C 3/21 – juris Rn. 45 ff. zu Recherchemitteln). Der fehlende Bezug zu einem konkreten Vorgang kommt auch darin zum Ausdruck, dass die Software im Rahmen der einzelnen Vergabeverfahren den Bedürfnissen und Anforderungen des jeweiligen Verfahrens entsprechend neu konfiguriert wird. Erst mit den neu konfigurierten Anweisungen führt GABI in dem betreffenden Vergabeverfahren die Berechnung zur Vergabe durch und gibt die Vergabestatistik(en) aus. Der Quellcode ist auch nicht – wie der Kläger meint – mit „analogen“ internen Anweisungen vergleichbar, die die Parameter im Vergabeverfahren festlegen. Solche dienstlichen Weisungen entfalten interne Bindungswirkung für die Dienstangehörigen. Für die Vergabe von Plätzen in Lehrveranstaltungen existieren bei der Beklagten, soweit ersichtlich, keine Dienstanweisungen in diesem Sinne. Der Quellcode implementiert lediglich die Vorgaben aus §§ 89–91 ZSP-HU technisch und entfaltet keine Bindungswirkung gegenüber Mitarbeitern der Beklagten.

Das Vorbringen des Klägers, der Quellcode habe einen konkreten Bezug zu der Verwaltungsangelegenheit „(Weiter-)Entwicklung des Quellcodes“, überzeugt das Gericht nicht. Denn der Quellcode bildet den Gegenstand dieses Vorgangs und nicht den – dem Informationszugang ggf. zugänglichen (vgl. OVG Berlin-Brandenburg, Urteil vom 1. Dezember 2021 – OVG 12 B 23/10 – juris Rn. 23) – Vorgang selbst. Die am Quellcode vorgenommenen Änderungen, die nach dem Vortrag der Beklagten in ihrem Versionsverwaltungssystem einsehbar sind und insoweit die (Weiter-)Entwicklung des Quellcodes dokumentieren, sind nicht Gegenstand des klägerischen Informationsbegehrens.

Danach kommt es nicht auf die Fragen an, ob der Informationszugang zum Schutz von Betriebs- oder Geschäftsgeheimnissen oder des Urheberrechts zu versagen ist.

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf
Urteil vom 09.03.2023
16 U 154/21

Das OLG Düsseldorf hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten ggf. auch immateriellen Schadens voraussetzt.

Aus den Entscheidungsgründen:
Die Berufung ist zwar zulässig, hat in der Sache aber keinen Erfolg. Die angefochtene Entscheidung beruht – in dem für das Berufungsverfahren noch relevanten Umfang – weder auf einer Rechtsverletzung im Sinne des § 546 ZPO durch das Landgericht, noch rechtfertigen die gemäß § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung, § 513 Abs. 1 ZPO. Vielmehr hat das Landgericht die Klage mit weitgehend zutreffender und überzeugender Begründung abgewiesen.

Die Klage ist zwar zulässig, jedoch unbegründet.

1. Dem Kläger steht gegen die Beklagte zunächst kein Anspruch auf weitergehende Auskunft gemäß Art. 15 Abs. 1, 3 DS-GVO zu. Insoweit hat das Landgericht mit zutreffender und in jeder Hinsicht überzeugender Begründung, der sich der Senat nach eigener Würdigung vollumfänglich anschließt, eine Erfüllung dieses ursprünglich bestehenden und vom Landgericht auch zutreffend angenommenen Anspruchs bejaht. Dabei geben die Angriffe des Klägers im Berufungsverfahren lediglich noch Anlass zu folgenden ergänzenden Ausführungen:

Entgegen der Ansicht des Klägers sind die vom Bundesgerichtshof in seinem Urteil vom 15.06.2021 – VI ZR 576/19 – aufgestellten Grundsätze für die Bejahung der Erfüllung eines Auskunftsanspruchs, die das Landgericht zutreffend dargestellt und auf den zugrunde liegenden Streitfall angewandt hat, vorliegend gegeben. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch demnach grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 15.06.2021 – VI ZR 576/18, juris, Rn. 19). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH, a.a.O., Rn. 20).

Hier hat die Beklagte dem Kläger im Verlauf des erstinstanzlichen Verfahrens letztlich Auskunft in Form der Anlage B11 erteilt. Die Übermittlung dieser unstreitig auch der Form des Art. 15 Abs. 3 DS-GVO genügenden Unterlagen war verbunden mit der ausdrücklichen Erklärung der Beklagten, über weitergehende Unterlagen bzw. den Kläger betreffende personenbezogene Daten nicht zu verfügen. Einzige Ausnahme bilden nach Auskunft der Beklagten dabei Unterlagen der Rechtsabteilung, die sich auf die Kommunikation im Zusammenhang mit dem zugrunde liegenden Rechtsstreit, u.a. auch zwischen der Beklagten und deren Prozessvertretern, beziehen. Auf eine Auskunft über diese Kommunikation hat der Kläger aber bereits erstinstanzlich im Schriftsatz vom 05.05.2021 verzichtet, weshalb die Frage des Eingreifens einer etwaigen Bereichsausnahme für entsprechende Unterlagen vorliegend keiner Erörterung bedarf. Bereits diese, die Vorlage der Anlage B11 begleitenden Angaben der Beklagten belegen nach Auffassung des Senats aber eindeutig, dass die Beklagte sich grundsätzlich zur umfassenden Auskunftserteilung verpflichtet sah. Vor diesem Hintergrund ist sodann ihre – nicht einmal nur konkludent, sondern sogar ausdrücklich erfolgte – Vollständigkeitserklärung zu werten. Hinzu kommt, dass sich die begleitende Erklärung der Beklagten auch ausdrücklich zu den Vertragsverhältnissen verhielt, hinsichtlich derer der Kläger vorträgt, dass weitere Unterlagen mit Blick auf die Aufbewahrungspflicht gemäß § 147 Abs. 1 AO vorhanden sein müssten. Insoweit verkennt der Kläger bei seiner Argumentation aber bereits, dass der Umstand, dass etwas nach den gesetzlichen Vorgaben vorhanden sein bzw. aufbewahrt werden müsste, nichts dazu aussagt, dass dem auch tatsächlich genügt worden ist. Zudem ist dieser Umstand nicht geeignet, die von der Beklagten in Kenntnis ihrer umfassenden Auskunftspflicht abgegebene Vollständigkeitserklärung in Zweifel zu ziehen. Vielmehr handelt es sich insoweit allenfalls um einen Umstand, der im Zusammenhang mit der Frage der Pflicht zur Abgabe einer eidesstattlichen Versicherung Bedeutung erlangen kann (siehe dazu unten). Bereits aus diesem Grund hat das Landgericht hinsichtlich der zwischen den Parteien streitigen Frage der Erfüllung des Auskunftsanspruchs in nicht zu beanstandender Weise von der Einvernahme des Datenschutzbeauftragten der Beklagten abgesehen. Hierin lag entgegen der Auffassung des Klägers mithin auch keine Verletzung seines Anspruchs auf rechtliches Gehör. Soweit der Kläger zudem Zweifel daran äußert, dass das Landgericht die Anlage B11 hinreichend bei seiner Entscheidung gewürdigt habe, vermag der Senat dem nicht beizutreten. Hierbei handelt es sich um eine pauschale Behauptung ins Blaue hinein, die durch keinerlei Tatsachen belegt oder auch nur gestützt wird. Im Gegenteil verhalten sich die erstinstanzlichen Entscheidungsgründe ausdrücklich zu Anlage B11. Hieran vermag auch der Umstand, dass die Anlage B11 im Zusammenhang mit der Berufungseinlegung zunächst versehentlich nicht vom Landgericht an das Oberlandesgericht übermittelt worden ist, nichts zu ändern. Denn dieses Übermittlungsversehen hat keinerlei Aussagegehalt in Bezug auf die Frage, ob dem erstinstanzlichen Gericht die Anlage B11 bei seiner Entscheidung tatsächlich vorlag.

2. Dem Kläger steht, wie das Landgericht ebenfalls im Ergebnis und mit zum Teil überzeugender Begründung ausgeführt hat, auch kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens wegen einer verzögerlichen und unvollständigen Datenauskunftserteilung zu (vgl. zum Ganzen, OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, juris, Rn. 64 ff.).

Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DS-GVO. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt, worauf bereits das Landgericht im Rahmen seiner Entscheidung zumindest auch abgestellt hat.

Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (vgl. Nachweise zum Streitstand: OLG Frankfurt a.M., a.a.O., Rn. 68). Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß als solcher konstitutiv für den Anspruch wäre. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es zudem demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (vgl. OLG Frankfurt a.M., a.a.O., Rn. 70 m.w.N.; OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris, Rn. 73 f., m.w.N.). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus (OLG Frankfurt a.M., a.a.O., Rn. 71; LAG Baden-Württemberg, Urteil vom 25.02.2021, 17 Sa 37/20, juris, Rn. 96 m.w.N.).

Das Vorliegen eines konkreten - immateriellen - Schadens, etwa Ängste oder starken Stress, hat der Kläger vorliegend nicht dargetan. Soweit der Kläger im Rahmen seiner Klageerweiterung mit Schriftsatz vom 07.04.2021 vorträgt, erschöpfen sich seine Ausführungen in der Darlegung des Datenschutzverstoßes – also einer verzögerlichen und seiner Ansicht nach unvollständigen Datenauskunftserteilung – ohne irgendwelche hierdurch bedingte Einbußen oder Beeinträchtigungen immaterieller Art aufzuzeigen. Diesen Vortrag ergänzt der Kläger auch zweitinstanzlich nicht. Vielmehr beruft er sich auch in der Berufungsbegründung letztlich auf seine – von dem Senat aus den vorstehend dargestellten Erwägungen nicht geteilte – Ansicht, wonach allein der Datenschutzverstoß in der vorliegenden Konstellation einen Schaden begründe. Ergänzend verweist er auf seinen – wie dargestellt – bereits erstinstanzlich unzureichenden Vortrag. Nichts anderes gilt, soweit er im Schriftsatz vom 21.01.2023 einen „Kontrollverlust über die Daten“ als Schaden anführt. Dies stellt lediglich eine Umschreibung des von ihm geltend gemachten Gesetzesverstoßes dar, aber keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art. Da sich die Ausführungen des Klägers letztlich im Wesentlichen auf die Darlegung seiner abweichenden Rechtsauffassung, unter Bezugnahme auf Rechtsprechung und Literatur beschränken, aber keinerlei Tatsachenvortrag enthalten, der geeignet wäre, einen etwaigen immateriellen Schaden konkret des Klägers zu belegen, vermag der Senat, der – ebenso wie das Landgericht – zum Erfordernis der Darlegung eines Schadens eine vom Kläger abweichende Rechtsauffassung vertritt, auch keine Verletzung dessen Anspruchs auf Gewährung rechtlichen Gehörs zu erkennen.

Auf den konkreten Umfang des Auskunftsanspruchs gemäß Art. 15 Abs. 1, 3 DS-GVO und darauf, ob entgegen dem Landgericht die unter Berücksichtigung der in Art. 12 Abs. 3 Satz 1 DS-GVO verzögerliche Aukunftserteilung eine taugliche Verletzungshandlung im Sinne des Art. 82 Abs. 1 DS-GVO darstellt (vgl. dazu: OLG Köln, Urteil vom 14.07.2022 – 15 U 137/21, juris, Rn. 24; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 41. Edition, Stand: 01.08.2022, Art. 82 DS-GVO, Rn. 14), kommt es nach dem Vorstehenden an dieser Stelle mithin nicht entscheidungserheblich an.

3. Soweit der Kläger erstmals mit der Berufungsbegründung hilfsweise die Abgabe einer eidesstattlichen Versicherung betreffend die Vollständigkeit und Richtigkeit der erteilten Datenauskunft beantragt, ist die hierin liegende Klageänderung zwar zulässig, jedoch dringt der Kläger mit seinem Begehren in der Sache auch insoweit nicht durch.

a. Die Klageänderung ist zunächst gemäß § 533 ZPO zulässig. Zwar hat die Beklagte insoweit ausdrücklich nicht eingewilligt (§ 533 Nr. 1, 1. Alt. ZPO), jedoch ist diese nach Auffassung des Senats vorliegend sachdienlich (§ 533 Nr. 1, 2. Alt. ZPO). Bei der Beurteilung der Sachdienlichkeit sind die beiderseitigen Interessen zu bewerten und abzuwägen. Es kommt auf die objektive Beurteilung an, ob und inwieweit die Zulassung der Klageänderung den sachlichen Streitstoff im Rahmen des anhängigen Rechtsstreits ausräumt und einem anderenfalls zu führenden Rechtsstreit vorbeugt. Maßgeblich ist der Gesichtspunkt der Prozesswirtschaftlichkeit, wobei nicht die beschleunigte Entscheidung des anhängigen Prozesses, sondern die Erledigung der Streitpunkte zwischen den Parteien entscheidend ist (vgl. Wulf, in: Vorwerk/Wolf, BeckOK, 47. Edition, Stand 01.12.2022, § 533 Rn. 11). Das ist vorliegend zu bejahen, da die Frage der Erfüllung bzw. deren Umfang weiterhin zwischen den Parteien in Streit steht. Auch die Voraussetzung des § 533 Nr. 2 ZPO ist vorliegend gegeben. Danach hängt die Zulässigkeit einer zweitinstanzlichen Klageänderung davon ab, dass sie auf Tatsachen gestützt werden kann, die das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hat. Maßgeblich ist gemäß § 529 i.V.m. § 531 Abs. 2 ZPO mithin der erstinstanzliche Sach- und Streitstand (vgl. Rimmelspacher, in: MüKo/ZPO, 6. Auflage 2020, § 533 Rn. 14). Vorliegend stand die Frage der Erfüllung des Auskunftsanspruchs bzw. einer vollständigen Erfüllung bereits erstinstanzlich zwischen den Parteien in Streit, sodass die für die Entscheidung des klageerweiternd geltend gemachten Anspruchs maßgeblichen Umstände bereits erstinstanzlich Gegenstand der Erörterung gewesen sind.

b. In der Sache kann der Kläger von der Beklagte aber nach §§ 259 Abs. 2, 260 Abs. 2 BGB nicht die Abgabe der begehrten eidesstattlichen Versicherung verlangen. Hiernach hat der Verpflichtete die Vollständigkeit und Richtigkeit seiner Angaben auf Verlangen an Eides statt zu versichern, wenn die Besorgnis besteht, dass diese nicht mit der erforderlichen Sorgfalt gemacht worden sind. Erforderlich sind insoweit mithin Unvollständigkeit der Rechnungslegung / Auskunft und dass dies auf mangelnder Sorgfalt des Verpflichteten beruht. Beide Punkte müssen nicht feststehen. Erforderlich, aber auch ausreichend ist insoweit ein auf Tatsachen gründender Verdacht, die der Berechtigte darlegen und notfalls beweisen muss (vgl. Krüger, in: MüKo/BGB, 9. Auflage 2022, § 260 Rn. 47, § 259 Rn. 38 f.). Daran fehlt es vorliegend im Ergebnis jedoch.

So ist nach Auffassung des Senats bereits die Unvollständigkeit der erteilten Auskunft nicht hinreichend substantiiert dargetan. Soweit der Kläger in diesem Zusammenhang das Vorhandensein weiterer Unterlagen mit der Aufbewahrungspflicht des § 147 Abs. 1 AO begründet, verkennt er bereits, dass das Bestehen einer entsprechenden Aufbewahrungspflicht nichts über den Umfang einer tatsächlich erfolgten Aufbewahrung und Speicherung aussagt. Eine Auskunftspflicht kann sich dabei aber von vornherein nur auf tatsächlich aufbewahrte und gespeicherte Unterlagen und Daten beziehen. In diesem Zusammenhang ist mit Blick auf den Umfang der tatsächlich erteilten Auskunft für den Senat nicht ansatzweise erkennbar, dass und weshalb die Beklagte weitergehende Vertragsunterlagen zu den genannten Kundennummern, die sie selbst bestätigt hat, nicht herausgeben sollte, sondern letztlich „lieber“ einen etwaigen Verstoß gegen ihre Pflichten gemäß § 147 AO einräumen sollte. Dies gilt umso mehr, als die Beklagte das Vorhandensein weiterer Unterlagen, zu deren Herausgabe sie nicht bereit war – Stichwort: Rechtsabteilung –, eingeräumt hat. Aber selbst wenn man davon ausgehen wollte, dass allein der Pflichtenverstoß der Beklagten gegen § 147 AO einen Verdacht auf die Unvollständigkeit im Sinne der §§ 259 Abs. 2, 260 Abs. 2 BGB begründet, wäre auch insoweit dem Beweisangebot des Klägers auf Einvernahme der Datenschutzbeauftragten der Beklagten nicht nachzugehen, da es jedenfalls an einer hinreichend substantiierten Darlegung etwaiger Tatsachen fehlt, nach denen davon auszugehen wäre, dass die – unterstellt unvollständige – Auskunftserteilung als solche auf mangelnder Sorgfalt der Beklagten beruht. Im Gegenteil. So bemängelt der Kläger wiederholt über das gesamte Verfahren hinweg die administrative Organisation der Beklagten. Dies wird sogar noch belegt durch die wiederholten unberechtigten Abbuchungen von dessen Konto, die ebenfalls Gegenstand eines zwischenzeitlich übereinstimmend für erledigt erklärten Klageantrags gewesen sind. All dies mag für durchaus gravierende Versäumnisse der Beklagten im Zusammenhang mit ihrer Organisation, der Datenerfassung und –aufbewahrung, insbesondere auch der Achtung gesetzlicher Pflichten wie solchen gemäß § 147 AO sprechen, ist aber in keiner Weise geeignet, Zweifel dahingehend zu begründen, dass die Beklagte nicht sämtliche bei ihr vorhandene Daten und Unterlagen letztlich vollständig – also abgesehen von den, seitens des Klägers nicht begehrten Unterlagen der Rechtsabteilung – herausgegeben hat. Der sich aus dem Vortrag des Klägers allenfalls hinreichend substantiiert ergebende Vorwurf belegt mithin jedenfalls keine mangelnde Sorgfalt bei der Erteilung der Auskunft, sondern ggfls. im Vorfeld.

Damit kommt es auf die von der Beklagten aufgeworfene Frage eines Eingreifens der §§ 259 Abs. 3, 260 Abs. 3 BGB ebenso wenig an wie darauf, ob § 260 Abs. 2 BGB überhaupt auf einen Anspruch aus Art. 15 DS-GVO anwendbar ist (aufgeworfen von: BGH, Urteil vom 15.06.2021 – VI ZR 576/19, juris, Rn. 34).

4. Aufgrund der vorstehenden Ausführungen ist auch die erstinstanzliche Kostenentscheidung in keiner Weise zu beanstanden.

III. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.

Die Zulassung der Revision hat gemäß § 543 Abs. 2 Nr. 1 ZPO teilweise zu erfolgen: Hinsichtlich der datenschutzrechtlichen Ansprüche des Klägers auf Zahlung eines Schadenersatzes liegt eine grundsätzliche Bedeutung i.S.d. § 543 Abs. 2 Nr. 1 ZPO vor, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt sind und sich nicht unmittelbar aus den Regelungen der DS-GVO ergeben (vgl. auch BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, Rn. 20).

Hinsichtlich des Auskunftsanspruchs war die Zulassung der Revision hingegen nicht geboten, weil die Rechtssache insoweit keine grundsätzliche Bedeutung hat und eine Entscheidung des Revisionsgerichts weder zur Fortbildung des Rechts noch zur Sicherung einer einheitlichen Rechtsprechung erforderlich ist (§ 543 Abs. 1 ZPO). Eine Rechtssache hat grundsätzliche Bedeutung, wenn eine klärungsbedürftige Frage zu entscheiden ist, deren Auftreten in einer unbestimmten Vielzahl von Fällen zu erwarten ist und deshalb das abstrakte Interesse der Allgemeinheit an einheitlicher Entwicklung und Handhabung des Rechts berührt (BGH, Beschluss vom 04.07.2002 – V ZB 16/02, juris Rn. 4; Beschluss vom 04.07.2002 – V ZR 75/02, juris, Rn. 5). Klärungsbedürftig ist eine Rechtsfrage, wenn zu ihr unterschiedliche Auffassungen vertreten werden und noch keine höchstrichterliche Entscheidung vorliegt (BVerfG, Beschluss vom 08.12.2010 – 1 BvR 381/10, juris, Rn. 12). Die Frage, wann ein Auskunftsanspruch erfüllt ist, hat der BGH zwischenzeitlich in dem hier zugrunde gelegten Sinne entschieden. Ob im konkreten Fall Erfüllung eingetreten ist, ist dagegen eine Frage des Einzelfalls.

Der Streitwert für das Berufungsverfahren wird gemäß §§ 39, 43, 47, 48 Abs. 1 GKG, 3 ZPO auf 2.400,00 € festgesetzt.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Beschluss vom 24.04.2023
VG 1 K 227/22

Das VG Berlin hat entschieden, dass die Erfüllung eines Auskunftsanspruchs nach Art. 15 DSGVO verweigert werden kann, wenn sich der Anspruchsteller zu Klärung der Identität weigert, sein Geburtsdatum mitzuteilen.

Aus den Entscheidungsgründen:
Die beabsichtigte Klage, die bei Auslegung des Begehrens des Antragstellers nach § 88 VwGO darauf gerichtet ist, den Antragsgegner unter Aufhebung des Bescheides der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 16. Mai 2022 zu verpflichten, unter Beachtung der Rechtsauffassung des Gerichts erneut über die durch den Antragsteller erhobene Beschwerde gegen die W... zu entscheiden, hat offenkundig keine Aussicht auf Erfolg.

Der angegriffene Bescheid ist nicht rechtswidrig und verletzt den Antragsteller daher nicht in seinen Rechten, denn er hat keinen Anspruch auf Verpflichtung des Antragsgegners zu einer erneuten Entscheidung über seine Beschwerde.

Anspruchsgrundlage für das klägerische Begehren ist Art. 57 Abs. 1 lit. f) DSGVO. Erhebt eine betroffene Person – wie hier der Antragsteller – eine Beschwerde im Sinne von Art. 77 DSGVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DSGVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit aller gebotenen Sorgfalt und in angemessenem Umfang zu prüfen, wobei der Amtsermittlungsgrundsatz gilt. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16).

Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde erfüllt. Der Antragsgegner hat den Sachverhalt ermittelt. Er hat das Beschwerdevorbringen des Antragstellers zur Kenntnis genommen und die W... am 1. Juli 2021 und am 14. Dezember 2021 zur Stellungnahme aufgefordert. Der Antragsgegner hat den Sachverhalt anschließend bewertet und dem Antragssteller das Ergebnis seiner Prüfung mit Bescheid vom 16. Mai 2022 mitgeteilt.

Umstritten ist, ob eine weitergehende gerichtliche Überprüfung, ob die Beschwerdeentscheidung des Beklagten auch inhaltlich zutreffend ist, vorzunehmen ist. Dies hat die Kammer mit der Begründung verneint, dass das Beschwerderecht als Petitionsrecht ausgestaltet sei (vgl. Beschluss vom 28. Januar 2019 – VG 1 L 1.19, juris Rn. 5; so auch mit eingehender Begründung OVG Koblenz, a.a.O., Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mit weiteren Nachweisen; siehe zum Problem auch Will, ZD 2020, 97). Die Beantwortung dieser Rechtsfrage kann aber vorliegend offenbleiben, da der Anspruch des Antragstellers auch unter Zugrundelegung der Gegenmeinung erfüllt ist (ebenso Urteil der Kammer vom 7. April 2022, VG 1 K 391/20, juris, Rn. 40). Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich umfassend überprüfbar und durchsetzbar ist (Halder, jurisPRITR 16/2020 Anm. 6; VG Ansbach, Urteil vom 8. August 2019, AN 14 K 19.00272, juris, Rn. 43). Folgt man dem, hat das Gericht nicht nur Beschwerdeschreiben und Beschwerdeentscheidung zu prüfen, sondern den vollständigen Verfahrensakt einschließlich aller Stellungnahmen des Verantwortlichen und sonstigen Untersuchungsbefunde der Aufsichtsbehörde (Will, ZD 2020, 97, 98). Auch unter Zugrundelegung dieses Maßstabs ist aber der Anspruch des Antragstellers auf eine ermessenfehlerfreie Entscheidung über seine Beschwerde erfüllt.

Hinsichtlich des aufsichtsrechtlichen Vorgehens steht der Behörde ein weiter Ermessensspielraum zu (Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 77 DS-GVO, Rn. 5). Lediglich bei festgestellten Rechtsverstößen ist die Aufsichtsbehörde im Rahmen des ihr eröffneten Entschließungsermessens verpflichtet, hiergegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Ein Anspruch auf eine bestimmte Maßnahme besteht zudem nur im Fall einer Reduzierung auch des Auswahlermessens „auf Null“ (OVG Hamburg, Urteil vom 7. Oktober 2019 – 5 Bf 279/17, juris Rn. 72).

Diesen Maßgaben genügt das durch den Antragsgegner gewählte Vorgehen, der die W... zur Stellungnahme aufgefordert, den Sachverhalt beurteilt und die Beschwerde mangels eines erkennbaren Verstoßes gegen datenschutzrechtliche Bestimmungen zurückgewiesen hat. Der Antragsgegner ist insbesondere zutreffend davon ausgegangen, dass die W... dem Antragsteller gegenüber die begehrte Auskunft nach Art. 15 DSGVO deshalb zu Recht verweigert hat, weil die Voraussetzungen des Art. 12 Abs. 6 DSGVO vorlagen.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt. Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist. Der Verantwortliche hat seine Zweifel einzelfallbezogen darzulegen. Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften. Hintergrund der Regelung ist, dass die Informationen nur denjenigen zur Verfügung gestellt werden sollen, die auch tatsächlich durch die Datenverarbeitung betroffen sind (Schneider/Schwartmann, DS-GVO/BDSG 2. Auflage, Art. 12, Rn. 70).

Es bestanden jedoch in diesem Sinne Zweifel an der Identität des Antragstellers. Dabei war auch die Sensibilität der abgefragten Informationen zu berücksichtigen. Denn Wirtschaftsauskunfteien wie die W...speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen, wie etwa bestehende Verbindlichkeiten. Diese Daten wiederum sind ein kommerzialisiertes Wirtschaftsgut, weshalb ein Interesse Dritter an diesen Daten nicht von vornherein fernliegend oder ausgeschlossen ist. Mit Blick auf den Zweck des Art. 12 Abs. 6 DSGVO, die missbräuchliche Geltendmachung der Rechte nach Art. 15 bis 22 DSGVO durch unbefugte Dritte zu verhindern (Wybitul, Handbuch DS-GVO, 1. Auflage 2017, Art. 12-15, Rn. 17), ist es nicht zu beanstanden, dass die W... und mit ihr der Antragsgegner die Zweifel an der Identität des Antragstellers für begründet hielt.

Die W... hat dem Antragsgegner diesbezüglich nachvollziehbar mitgeteilt, dass eine zweifelsfreie Identifikation des Antragstellers nicht möglich gewesen sei, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab. Plausibel erscheint dies schon deshalb, weil Wirtschaftsauskunfteien personenbezogene Daten zahlreicher Personen speichern, so dass nicht unwahrscheinlich erscheint, dass Datensätze unterschiedlicher Personen gespeichert sind, die den gleichen Vor- und Nachnamen tragen. Zudem kann es durch einen Adress- oder Namenswechsel oder aufgrund von Zahlendrehern bzw. unrichtigen Schreibweisen zu Überschneidungen bei mehreren Datensätzen kommen, die letztlich ein- und derselben Person zuzuordnen sind.

Derart begründete Zweifel an der Identität des Antragstellers werden auch nicht durch die seinerseits behauptete empirische Seltenheit seines Namens oder durch seine Behauptung, er sei die einzige Person, die unter seinem Namen an seiner Wohnanschrift gemeldet sei, ausgeräumt. Denn bereits nach einer einfachen Internetrecherche existieren im Bundesgebiet zwei unterschiedliche Personen, die den Vor- und Nachnamen des Antragstellers tragen. Zum anderen besteht jedenfalls die Möglichkeit, dass Umzüge des Antragstellers oder Ungenauigkeiten bei der Schreibweise seines Namens zu der von der W...angegebenen Überschneidung mehrerer Datensätze geführt haben. Dass dies nicht vollkommen fernliegend ist, zeigt schon der Umstand, dass in einem Bescheid des Jobcenters Hamburg, den der Antragsteller zum Nachweis seiner wirtschaftlichen Verhältnisse übersandt hat, sein Nachname (wohl versehentlich) mit „ß“ geschrieben wird, während der Antragsteller selbst im vorliegenden Verfahren die Schreibweise mit „ss“ gewählt hat.

Aus der vom Antragsteller angeführten Entscheidung der Kammer vom 31. August 2020 (Urteil vom 31. August 2020 – VG 1 K 90.19, juris) folgt nichts anderes, da der vorliegende Sachverhalt wesentlich von dem damals zu entscheidenden abweicht. Die Kammer hat in jener Entscheidung zum einen darauf abgestellt, dass das Amtsgericht Tiergarten dem dortigen Kläger bereits mehrfach Entscheidungen unter seiner gegenwärtigen Adresse übersandt hatte. Zum anderen fehlten in jenem Verfahren Anhaltspunkte dafür, dass Dritte ein Interesse an der begehrten Auskunft gehabt haben könnten und sich durch Benutzung einer falschen Identität die Auskunft erschleichen könnten (a.a.O., juris Rn. 13). Vorliegend fehlt es dagegen an einer vorangegangenen Korrespondenz oder sonstigen Informationen, die eine zweifelsfreie Identifizierung hätten ermöglichen können; zudem war nicht sicher auszuschließen, dass Dritte ein Interesse daran hatten, an die sensiblen, bei der W...gespeicherten Informationen zu gelangen.

Hat der Verantwortliche begründete Zweifel an der Identität der betroffenen Person, so sollte er – wie sich aus Erwägungsgrund 64 Satz 1 DSGVO ergibt – alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen. Die Anforderung der W..., der Antragsteller möge zur Identifikation sein Geburtsdatum und gegebenenfalls frühere Anschriften nennen, stellt sich als in diesem Sinne vertretbare Maßnahme zur Identifikation dar (Wolff/Brink, Datenschutzrecht 2. Auflage 2022, DS-GVO Art. 12, Rn. 49). Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt, auch wenn es einen Missbrauch nicht gänzlich ausschließt (Wybitul, a.a.O., Art. 12-15, Rn. 17). Die Abfrage des Geburtsdatums steht zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten und dem aufgrund der Kommerzialisierung derartiger Daten gesteigerten Missbrauchspotential. Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage der W...reagiert.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.05.2023
C-487/21
Österreichische Datenschutzbehörde und CRIF

Der EuGH hat entschieden, dass das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO die originalgetreue und verständliche Reproduktion der personenbezogenen Daten des Betroffenen umfasst.

Tenor der Entscheidung:
1. Art. 15 Abs. 3 Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.

2. Art. 15 Abs. 3 Satz 3 der Verordnung 2016/679 ist dahin auszulegen, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.

Die Pressemitteilung des EuGH:
DSGVO: Das Recht, eine „Kopie“ der personenbezogenen Daten zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird

Dieses Recht impliziert das Recht, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die diese Daten enthalten, zu erlangen, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen

CRIF ist eine Kreditauskunftei, die auf Verlangen ihrer Kunden Informationen über die Zahlungsfähigkeit Dritter liefert. Zu diesem Zweck verarbeitete sie die persönlichen Daten des Klägers des Ausgangsverfahrens, einer Privatperson. Letzterer beantragte bei CRIF auf der Grundlage der Datenschutz-Grundverordnung1 Auskunft über die ihn betreffenden personenbezogenen Daten. Außerdem bat er um Zurverfügungstellung einer Kopie der Dokumente, nämlich E-Mails und Auszüge aus Datenbanken, die u. a. seine Daten enthalten, „in einem üblichen technischen Format“.

Daraufhin übermittelte CRIF dem Kläger des Ausgangsverfahrens in aggregierter Form eine Liste seiner personenbezogenen Daten, die Gegenstand der Verarbeitung waren. Da der Kläger des Ausgangsverfahrens der Ansicht war, dass CRIF ihm eine Kopie sämtlicher seine Daten enthaltender Dokumente wie E-Mails und Auszüge aus Datenbanken hätte übermitteln müssen, brachte er bei der Österreichischen Datenschutzbehörde eine Beschwerde ein. Diese Behörde wies die Beschwerde mit der Begründung ab, dass CRIF das Recht des Klägers des Ausgangsverfahrens auf Auskunft über die personenbezogenen Daten nicht verletzt habe.

Das Bundesverwaltungsgericht (Österreich), das mit der Klage des Klägers des Ausgangsverfahrens gegen den ablehnenden Bescheid dieser Behörde befasst ist, stellt sich die Frage der Tragweite der in Art. 15 Abs. 3 Satz 1 DSGVO vorgesehenen Verpflichtung, der betroffenen Person eine „Kopie“ ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Es fragt sich insbesondere, ob diese Verpflichtung erfüllt ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob sie auch die Übermittlung von Auszügen aus Dokumenten oder gar ganzen Dokumenten sowie von Auszügen aus Datenbanken umfasst, in denen diese Daten wiedergegeben werden. Das vorlegende Gericht bittet außerdem um Klarstellung, was der Begriff „Informationen“ in Art. 15 Abs. 3 Satz 3 DSGVO2 genau umfasst.

Mit seinem Urteil erläutert der Gerichtshof den Inhalt und den Umfang des Auskunftsrechts der betroffenen Person über ihre personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Insoweit vertritt er die Auffassung, dass das Recht, vom für die Verarbeitung Verantwortlichen eine „Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, nach Art. 15 Abs. 3 Satz 3 DSGVO bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind. Im Übrigen stellt der Gerichtshof klar, dass sich der im Sinne des Art. 15 Abs. 3 Satz 3 DSGVO verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.

Würdigung durch den Gerichtshof
In einem ersten Schritt nimmt der Gerichtshof eine grammatikalische, systematische und teleologische Auslegung von Art. 15 Abs. 3 Satz 1 DSGVO vor, der das Recht der betroffenen Person vorsieht, eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt zu bekommen. Zum Wortlaut von Art. 15 Abs. 3 Satz 1 DSGVO stellt der Gerichtshof fest, dass diese Bestimmung zwar keine Definition des Begriffs „Kopie“ enthält, dass aber der gewöhnliche Sinn dieses Begriffs zu berücksichtigen ist, der die originalgetreue Reproduktion oder Abschrift bezeichnet, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition entspräche. Außerdem ergibt sich aus dem Wortlaut dieser Bestimmung, dass sich die Mitteilungspflicht auf die personenbezogenen Daten bezieht, die Gegenstand der in Rede stehenden Verarbeitung sind. Nach der grammatikalischen Auslegung dieser Bestimmung geht der Gerichtshof davon aus, dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.

Zum Kontext, in den Art. 15 Abs. 3 Satz 1 DSGVO eingebettet ist, stellt der Gerichtshof fest, dass Art. 15 Abs. 1 DSGVO Gegenstand und Anwendungsbereich des der betroffenen Person zustehenden Auskunftsrechts festlegt. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem Verantwortlichen obliegenden Verpflichtung fest, indem er u. a. in Satz 1 die Form festlegt, in der dieser Verantwortliche die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellen muss, nämlich in Form einer „Kopie“. Daher kann Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen erläutert der Gerichtshof, dass sich der Begriff „Kopie“ nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen, bezieht. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind.

Zu den mit Art. 15 DSGVO verfolgten Zielen weist der Gerichtshof darauf hin, dass es der betroffenen Person durch die Ausübung des in diesem Artikel vorgesehenen Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende personenbezogene Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden.

Außerdem ergibt sich laut Gerichtshof aus der DSGVO3, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen hat, es sei denn, die betroffene Person verlangt, dass diese mündlich erteilt werden. Daraus folgt, dass die vom Verantwortlichen zur Verfügung stellende Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen muss, die es der betroffenen Person ermöglichen, ihre Rechte aus der DSGVO wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben muss.

Somit kann sich, um zu gewährleisten, dass die so bereitgestellten Informationen leicht verständlich sind, die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.

Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen sind die fraglichen Rechte und Freiheiten nach Auffassung des Gerichtshofs gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.

In einem zweiten Schritt befasst sich der Gerichtshof mit der Frage, was unter den Begriff „Informationen“ im Sinne des Art. 15 Abs. 3 Satz 3 DSGVO fällt. Diese Bestimmung erläutert zwar nicht, was unter dem Begriff „Informationen“ zu verstehen ist, aber aus ihrem Kontext ergibt sich, dass die von dieser Bestimmung erfassten „Informationen“ zwangsläufig den personenbezogenen Daten entsprechen, von denen der für die Verarbeitung Verantwortliche gemäß Art. 15 Abs. 3 Satz 1 DSGVO eine Kopie zur Verfügung stellen muss.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 20.04.2023
C‑307/22

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch aus Auskunft bzw. Überlassung von Kopien nach Art. 15 DSGVO nicht zwingend aus Gründen gemäß 63. Erwägungsgrund der DSGVO verlangt werden muss, sondern auch zu datenschutzfremden Zwecken begehrt werden kann. Einen Anspruch auf kostenlose Überlassung der vollständigen Kopie einer Patientenakte besteht jedoch nicht.

Aus den Schlussanträgen:
Nach alledem schlage ich dem Gerichtshof vor, die vom Bundesgerichtshof (Deutschland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:

Art. 12 Abs. 5 und Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Verantwortliche verpflichtet ist, der betroffenen Person eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DSGVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.

Eine nationale Regelung, die von Patienten, die Kopien ihrer in Patientenakten enthaltenen personenbezogenen Daten beantragen, verlangt, dass sie den Ärzten die entstandenen Kosten erstatten, ist nach Art. 23 Abs. 1 DSGVO zulässig, sofern die Beschränkung des Auskunftsrechts unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit der Ärzte erforderlich und verhältnismäßig ist. Das nationale Gericht hat insbesondere zu prüfen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind.

Der Ausdruck „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, in Art. 15 Abs. 3 DSGVO kann im Rahmen eines Arzt-Patienten-Verhältnisses nicht dahin ausgelegt werden, dass er der betroffenen Person ein allgemeines Recht darauf gewährt, eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Jedoch hat der Verantwortliche der betroffenen Person bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen, wenn dies erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage ist, zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.

Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.

Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

ArbG Oldenburg
Urteil 09.02.2023
3 Ca 150/21

Das Arbeitsgericht Oldenburg hat einem ehemaligen Arbeitnehmer 10.000 EURO immateriellen Schadensersatz aus Art. 82 DSGVO wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch den Arbeitgeber zugesprochen. Die Auskunftserteilung war über 20 Monate nicht erfolgt und das Gericht hielt 500 EURO pro Monat für angemessen. Das Gericht ist der Ansicht, dass Art. 82 DSGVO abschrecken und generalpräventiv wirken soll.

LAG Berlin-Brandenburg
Urteil vom 01.12.2022
21 Sa 390/22

Das LG Berlin Brandenburg hat entschieden, dass ein Handelsvertreter nach § 86 Absatz 1 HGB jeden Wettbewerb mit Geschäftsherrn zu unterlassen hat. Ferner hat das Gericht entschieden, dass die DSGVO der Vorlage von Kundenlisten in Prozess nicht entgegensteht.

Leitsätze des Gerichts:
1. Handelsvertreter*innen haben nach § 86 Absatz 1 HGB jeden Wettbewerb zu unterlassen, der geeignet ist, die Interessen ihrer Geschäftsherr*innen (Unternehmer*innen) zu beeinträchtigen. Verstoßen sie dagegen, machen sie sich schadensersatzpflichtig.

2. Zur Vorbereitung der Geltendmachung eines solchen Schadensersatzanspruches hat der oder die Unternehmer*in nach Treu und Glauben (§ 241 Absatz 2 BGB) einen Anspruch auf Auskunft, wenn der begründete Verdacht einer Vertragspflichtverletzung besteht und ein Schaden wahrscheinlich ist.

3. Um den Verdacht zu belegen, darf der oder die Unternehmer*in die Namen der Kund*innen, die aus seiner oder ihrer Betreuung ausgeschieden sind, sowie die Art der betroffenen Verträge in das gerichtliche Verfahren einführen und das Gericht diese Angaben verwerten. Dem steht weder das Recht der Kund*innen auf informationelle Selbstbestimmung noch das Datenschutzrecht entgegen.

4. Der Anspruch auf Auskunft umfasst alle Angaben, die für eine Bezifferung des Schadens, zumindest aber für dessen Schätzung nach § 287 ZPO notwendig sind. Soweit dies auch Angaben über Kund*innen des oder der Handelsvertreter*in erfordert, die zuvor von dem oder der Unternehmer*in betreut worden sind, steht dem deren Recht auf informationelle Selbstbestimmung oder das Datenschutzrecht ebenfalls nicht entgegen.

5. Darüber hinaus haben Handelsverterter*innen - unabhängig von einer Vertragspflichtverletzung - dem oder der Unternehmer*in im Rahmen ihrer Berichtspflicht nach § 86 Absatz 2 HGB und § 666 BGB Auskunft über alles zu geben, was für die Geschäftstätigkeit erforderlich ist. Das umfasst alle Auskünfte zu den Umständen, die für weitere Abschlüsse von Bedeutung sind, einschließlich der allgemeinen Marktlage. Die Pflicht besteht auch nach Beendigung des Vertragsverhältnisses fort, soweit es um Umstände geht, die während der Vertragslaufzeit entstanden sind. Sie findet ihre Grenze dort, wo die Auskunft für den oder die Unternehmer*in keine Bedeutung hat, oder für den oder die Handelsvertreter*in unzumutbar ist.

6. Handelsvertreter*innen sind aufgrund ihrer Berichtspflicht nicht gehalten, Auskünfte zu erteilen, die der Geltendmachung von Schadensersatzansprüchen gegenüber Dritten dienen. Dies gilt zumindest dann, wenn das Vertragsverhältnis beendet ist und der oder die Handesvertreter*in durch die Auskunft seine oder ihre berufliche Entwicklung gefährden würde. Unter diesen Umständen folgt ein Auskunftsanspruch auch nicht aus Treu und Glauben unter dem Gesichtspunkt einer nachvertraglichen Rücksichtnahmepflicht (§ 242 oder § 241 Absatz 2 BGB).

7. Macht der oder die Unternehmer*in gegenüber einem oder einer Handelsvertreter*in einen Auskunftsanspruch zur Vorbereitung von Schadensersatzansprüchen wegen Verletzung des Konkurrenzverbotes geltend, umfasst der Streitgegenstand auch die aus dem Vertragsverhältnis folgenden Berichtspflichten.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Urteil vom 24.10.2022
2 K 149/21

Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO gegen eine öffentlichen Stelle nach § 33 Abs. 1 Nr. 1 Buchst. b BDSG ein Geheimhaltungsinteresse entgegenstehen kann. Diese Vorschrift ist von der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchst. e DSGVO gedeckt.

II. Mit dem Antrag, dem Kläger Datenkopien der ihn betreffenden personenbezogenen Daten gemäß Art. 15 Abs. 3 DS-GVO zur Verfügung zu stellen, ist die Klage ebenfalls teilweise unzulässig und im Übrigen unbegründet.

Soweit die Beklagte die Einsicht in die ihn betreffenden Passagen des Dokuments Nr. 13 und in die Dokumente Nr. 26 und Nr. 36 (mit Ausnahme der das Abstimmungsverhalten im Verwaltungsrat betreffenden Passagen) zugesichert hat, fehlt dem Kläger das Rechtsschutzbedürfnis.

Im Übrigen steht ihm der Anspruch gemäß Art. 15 Abs. 3 DS-GVO nicht zu. Soweit das Dokument Nr. 13 Informationen über Vorgänge enthält, die den Kläger nicht betreffen, handelt es sich bereits nicht um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Der Übersendung einer Datenkopie der übrigen Dokumente steht § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 Buchst. b des Bundesdatenschutzgesetzes - BDSG - entgegen. Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DS-GVO nicht, wenn die Erteilung der Information die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

Zu dem hiernach geschützten „Wohle des Bundes“ zählen die Beziehungen der Bundesrepublik zur EPO und ihren Mitgliedstaaten. Aus dem oben Gesagten folgt, dass die Bekanntgabe der begehrten Informationen mit hinreichender Wahrscheinlichkeit einen Nachteil für diese Beziehungen haben kann (vgl. BVerwG, Beschluss vom 13. November 2020 – BVerwG 20 F 5/20 – NVwZ 2021, 415 Rn. 17 ff.). Dies gilt auch für die Dokumente Nr. 48 und CA/C 16/17, 17/17 und 19/17. Dokument Nr. 48 ist ein Vermerk des BMJV mit einer Zusammenfassung der 156. Sitzung des Verwaltungsrats. Insoweit gilt das oben Gesagte. Die Dokumente CA/C 16/17, 17/17 und 19/17 sind der Kategorie C zugeordnet, die gemäß Art. 13 Abs. 1, Art. 9 Abs. 3 GOVR der Vertraulichkeit unterliegen und gegen deren Bekanntgabe sich der Präsident des Verwaltungsrats mit Schreiben vom 24. August 2020 gewandt hat.

Das Interesse des Klägers an der Informationserteilung muss hinter dem Geheimhaltungsinteresse zurücktreten. Das Interesse der Beklagten, die positiven Beziehungen zur EPO und ihren Mitgliedstaaten zu schützen und die mit der Offenlegung verbundene Gefahr einer Beeinträchtigung der vertraulichen Zusammenarbeit, haben ein hohes Gewicht. Demgegenüber hat der Kläger nicht dargelegt, worin sein Informationsinteresse besteht. Er hat lediglich auf die Betroffenheit personenbezogener Daten hingewiesen.

§ 33 Abs. 1 Nr. 1 Buchst. b BDSG ist entgegen der Auffassung des Klägers von der Öffnungsklausel des Art. 23 Abs. 1 Buchst. e DS-GVO gedeckt (Eßer, in: Eßer/Kramer/v. Lewinski, DSGVO/BDSG, 6. Auflage 2018, § 32 Rn. 14; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage 2022, § 32 Rn. 26; Golla, in: Kühling/Buchner, DS-GVO/BDSG, 3. Auflage 2020, § 32 Rn. 13; Greve, in: Sydow, BDSG, 2020, § 32 Rn. 23). Der Begriff des „sonstigen wichtigen Ziels“ erfasst jedes wichtige Gemeinwohlziel, das in seinem Gewicht den in Art. 23 Abs. 1 Buchst. a–d DS-GVO oder den Regelbeispielen in Art. 23 Abs. 1 Buchst. e DS-GVO gleichkommt (Stender-Vorwachs/Wolff, in: BeckOK Datenschutzrecht, Stand: 2021, Art. 23 DS-GVO Rn. 37). Hierzu zählt das allgemeine öffentliche Interesse am Schutz internationaler Beziehungen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 12.01.2023
C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)

Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.

Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Die Pressemitteilung des EuGH:
Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden

Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist

Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.

Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 12.01.2023
C-132/21
Nemzeti Adatvédelmi és Információszabadság Hatóság

Der EuGH hat entschieden, dass sich zivilrechtliche und verwaltungsrechtliche Rechtsbehelfe bzw. Ansprüche der DSGVO einander nicht ausschließen und parallel geltend gemacht werden können.

Die Pressemitteilung des Gerichts:
Die in der Datenschutz-Grundverordnung vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

Es obliegt den Mitgliedstaaten, dafür zu sorgen, dass die parallele Einlegung dieser Rechtsbehelfe die gleichmäßige und einheitliche Anwendung dieser Verordnung nicht beeinträchtigt.

Im April 2019 nahm BE an der Hauptversammlung einer Aktiengesellschaft teil, deren Aktionär er ist, und richtete bei dieser Gelegenheit Fragen an die Mitglieder des Verwaltungsrats und an andere Teilnehmer. Im Anschluss forderte er die Gesellschaft auf, ihm den während der Hauptversammlung aufgezeichneten Tonmitschnitt zu übermitteln. Die Gesellschaft stellte ihm jedoch nur die Abschnitte der Aufzeichnung zur Verfügung, die seine eigenen Beiträge wiedergaben, nicht aber jene der anderen Teilnehmer, selbst wenn es sich hierbei um die Antworten auf seine Fragen handelte.

BE beantragte daraufhin bei der nach der Allgemeinen Datenschutzverordnung (DSGVO) zuständigen ungarischen Aufsichtsbehörde, der Gesellschaft aufzugeben, ihm die fragliche Aufzeichnung zu übermitteln. Da die Behörde seinen Antrag ablehnte, erhob BE eine verwaltungsrechtliche Klage gegen die ablehnende Entscheidung beim Hauptstädtischen Stuhlgericht Budapest. Parallel dazu erhob er auch bei den ungarischen Zivilgerichten eine Klage gegen die Entscheidung der Gesellschaft über die Verweigerung des Zugangs. Diese Klage stützte sich auf eine Bestimmung der DSGVO, die jeder Person, die der Ansicht ist, dass die ihr durch diese Verordnung garantierten Rechte verletzt wurden, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf verleiht. Das erste dieser Verfahren ist noch anhängig; die im zweiten Verfahren angerufenen ungarischen Zivilgerichte stellten jedoch bereits in einem rechtskräftig gewordenen Urteil fest, dass die Gesellschaft das Recht von BE auf Zugang zu seinen personenbezogenen Daten verletzt habe.

Das Hauptstädtische Stuhlgericht Budapest fragt den Gerichtshof, ob es im Rahmen der Überprüfung der Rechtmäßigkeit der Entscheidung der nationalen Aufsichtsbehörde an das rechtskräftige Urteil der Zivilgerichte gebunden sei, das sich auf denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die DSGVO durch die betreffende Gesellschaft beziehe. Da eine parallele Einlegung von verwaltungs- und zivilrechtlichen Rechtsbehelfen zu einander widersprechenden Entscheidungen führen könne, möchte das ungarische Gericht außerdem wissen, ob einer der Rechtsbehelfe gegenüber dem anderen Vorrang habe.

Der Gerichtshof erinnert daran, dass die DSGVO Personen, die einen Verstoß gegen deren Bestimmungen geltend machen, verschiedene Rechtsbehelfe bietet, wobei jeder dieser Rechtsbehelfe „unbeschadet“ der anderen eingelegt werden können muss. Somit sieht die Verordnung weder eine vorrangige oder ausschließliche Zuständigkeit noch einen Vorrang der Beurteilung der Aufsichtsbehörde oder eines Gerichts zum Vorliegen einer Verletzung der betreffenden Rechte vor. Folglich können die in der DSGVO vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden.

Was die Gefahr einander widersprechender Entscheidungen der betroffenen nationalen Verwaltungsbehörden und Gerichte betrifft, betont der Gerichtshof, dass es den Mitgliedstaaten obliegt, durch den Erlass der hierfür erforderlichen Verfahrensvorschriften und in Ausübung ihrer Verfahrensautonomie sicherzustellen, dass die in der DSGVO nebeneinander und unabhängig voneinander vorgesehenen Rechtsbehelfe weder die praktische Wirksamkeit und den effektiven Schutz der durch diese Verordnung garantierten Rechte noch die gleichmäßige und einheitliche Anwendung ihrer Bestimmungen oder das Recht auf einen wirksamen Rechtsbehelf bei einem Gericht in Frage stellen.

Den Volltext der Entscheidung finden Sie hier: