Datenschutz: Auskunftsanspruch nach Art. 15 DSGVO – Zusammenfassung der personenbezogenen Daten genügt nicht als „Kopie“
Europäischer Gerichtshof („EuGH“), Urteil vom 04.05.2023 – C‑487/21
Worum geht es?
Nach Art. 15 DSGVO hat der Betroffene den Anspruch auf Auskunft und Kopie über die verarbeiteten personenbezogenen Daten zu erhalten. Da der Arbeitgeber als Verantwortlicher zahlreiche Daten der Beschäftigten verarbeitet, sieht er sich diesem Auskunftsanspruch immer öfter ausgesetzt. Erschwerend kommt hinzu, dass ein Verstoß gegen die Auskunftspflicht unter Umständen Schadensersatzansprüche des Betroffenen oder auch Bußgelder der Behörde nach sich ziehen kann.
Nach Art. 15 DSGVO hat der Betroffene ein Auskunftsrecht gegenüber dem Verantwortlichen. Dieses Auskunftsrecht ist aufgeteilt in:
- Die Information, ob personenbezogene Daten verarbeitet werden (Art. 15 Abs. 1 Hs. 1 DSGVO).
- Auskunft über die verarbeiteten Daten (Art. 15 Abs. 1 Hs. 2 DSGVO) und
- Recht auf Kopie (Art. 15 Abs. 3 DSGVO).
Durch diese Rechte soll der Betroffene die Möglichkeit haben, zu überprüfen, ob seine Daten rechtmäßig verarbeitet werden.
Im Rahmen von Verhandlungen über einen Aufhebungsvertrag und Kündigungsschutzklagen wird der datenschutzrechtliche Auskunftsanspruch gerne genutzt, um den Einigungsdruck für Arbeitgeber zu erhöhen. Hintergrund ist, dass der Anspruch auf Kopie der verarbeiteten Daten eine umfangreichere Aufgabe für Unternehmen darstellt.
Der vom EuGH entschiedene Fall hat wiederum einen Österreich Bezug. Das österreichische Bundesverwaltungsgericht prüfte eine Klage gegen einen ablehnenden Bescheid einer Behörde. Dabei ging es um die Frage, welche Verpflichtungen in Art. 15 Abs. 3 Satz 1 DSGVO festgelegt sind und ob diese erfüllt werden, wenn die betroffenen personenbezogenen Daten als Tabelle in aggregierter Form übermittelt werden oder ob auch Auszüge aus Dokumenten oder Datenbanken bereitgestellt werden müssen.
Der Sachverhalt
CRIF ist eine Kreditauskunftei, die auf Verlangen ihrer Kunden Informationen über die Zahlungsfähigkeit Dritter liefert. Zu diesem Zweck verarbeitete sie die persönlichen Daten des Klägers des Ausgangsverfahrens, einer Privatperson. Der Kläger machte bei der CRIF auf der Grundlage der Datenschutz-Grundverordnung („DSGVO“) den Auskunftsanspruch über die ihn betreffenden personenbezogenen Daten geltend.
Daraufhin übermittelte CRIF dem Kläger n aggregierter Form eine Liste seiner personenbezogenen Daten, die Gegenstand der Verarbeitung waren. Der Kläger war jedoch der Ansicht, dass CRIF ihm eine Kopie sämtlicher seine Daten enthaltender Dokumente wie E-Mails und Auszüge aus Datenbanken hätte übermitteln müssen und reichte eine Beschwerde bei der Österreichischen Datenschutzbehörde ein. Die Behörde wies die Beschwerde mit der Begründung ab, dass CRIF das Recht des Klägers des Ausgangsverfahrens auf Auskunft über die personenbezogenen Daten nicht verletzt habe.
Das Bundesverwaltungsgericht (Österreich), das mit der Klage gegen den ablehnenden Bescheid dieser Behörde befasst war, prüfte, welche Verpflichtungen in Art. 15 Abs. 3 Satz 1 DSGVO festgelegt sind und ob diese erfüllt werden, wenn die betroffenen personenbezogenen Daten als Tabelle in aggregierter Form übermittelt werden oder ob auch Auszüge aus Dokumenten oder Datenbanken bereitgestellt werden müssen.
Das Bundesverwaltungsgericht in Österreich bat den EuGH um Klärung des Begriffs „Informationen“ in Art. 15 Abs. 3 Satz 3 DSGVO.
Die Entscheidung
Der EuGH urteilte, dass der betroffenen Person im Rahmen des Auskunftsanspruchs nach Art. 15 DS-GVO eine originalgetreue und verständliche Reproduktion all jener Daten zu übermitteln sei, die über ihn verarbeitet werden. Hierzu könne auch die Verpflichtung gehören, eine Kopie von ganzen Dokumenten oder von Auszügen von Dokumenten zur Verfügung zu stellen oder aber von Auszügen aus Datenbanken, die solche Daten enthalten, wenn dies erforderlich sei, damit die betroffene Person ihre betroffenen Rechte nach der DSGVO geltend machen kann.
Der Begriff „Informationen“ beziehe sich ausschließlich auf personenbezogene Daten, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 eine Kopie zur Verfügung stellen müsse.
Was heißt das?
Die Anknüpfung an den Begriff der Erforderlichkeit führt letztlich dazu, dass dem Arbeitgeber ein sehr weiter und schwer greifbarer Beurteilungsspielraum überlassen wird.
Diese Entscheidung reiht sich ein in eine Reihe von weiteren aktuellen Entscheidungen und Stellungnahmen im Kontext des Auskunftsanspruches nach Art. 15 DSGVO:
- Am 28.03.2023 aktualisierte der Europäische Datenschutzausschuss seine Richtlinien zum Auskunftsanspruch nach Art. 15 DSGVO. Im Hinblick auf die Zurverfügungstellung einer Kopie entspricht die dort vertretene Auffassung der jetzt auch vom EuGH entschiedenen Rechtslage, nämlich, dass nicht lediglich eine Zusammenfassung der Daten herauszugeben ist, sondern eine Kopie aller personenbezogenen Daten, wenn auch nicht notwendigerweise eine Reproduktion sämtlicher Originaldokumente (Seite 13).
- Am 12.01.2023 entschied der EuGH im Urteil zu C-154/21 „Österreichische Post“, dass zur Beantwortung des Auskunftsanspruchs erforderlich ist, die Empfänger der Daten nicht nur nach Kategorien zu benennen (also nicht nur nach den Schlagworten „Payroll Service“, „IT Provider“ und „Data Warehouse“), sondern die konkreten Empfänger der personenbezogenen Daten, somit also den externen Payroll Service, den externen IT Dienstleister und den externen Datenspeicherdienst jeweils mit Namen und Anschrift.
- Entgegen zum Teil anders lautender LAG-Rechtsprechung entschied am 25.01.2023 das LAG Nürnberg, dass bei Verstoß gegen den Auskunftsanspruch nach Art. 15 DS-GVO kein Anspruch auf Schadenersatz besteht.
Handlungsempfehlung Arbeitgeber sollten den Auskunftsanspruch nach Art. 15 DSGVO ernst nehmen. Dazu gehört es auch, eine Kopie jener personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Die betreffenden Daten müssen durchgesehen werden. Die Namen anderer Arbeitnehmer und Geschäftsgeheimnisse müssen geschwärzt werden. Außerdem empfiehlt es sich, sich bereits im Vorfeld etwaiger Auskunftsansprüche einen Überblick darüber zu verschaffen, in welchen Systemen und Netzwerken personenbezogene Daten von Arbeitnehmern gespeichert sind. In diesem Zusammenhang wird auch die Bedeutung eines strikten Löschkonzepts nochmal deutlich. Denn Daten, die zum Zeitpunkt, indem der Auskunftsanspruch geltend gemacht wird, bereits auf Basis eines Löschkonzepts gelöscht sind, müssen und können nicht herausgegeben werden. |
Die Rechtsprechung wird für Sie aufgearbeitet von Frau Dr. Felisiak von Eversheds Sutherland (Germany) Rechtsanwälte.