Schwarze Schafe im Datenschutzrecht: Wegweisende Urteile

*Hinweis: Eine verkürzte Fassung dieses Artikels erschien bereits im IHK-Journal Ausgabe 03/04 2024.

In dem Rechtsstreit hatte der Kläger der Beklagten Bewerbungsunterlagen auf eine ausgeschriebene Stelle zukommen lassen. Über 6(!) Jahre später begehrte der Kläger mit Schreiben per E-Mail von der Beklagten Auskunft darüber, ob und welche Daten zu seiner Person gespeichert seien, und setzte der Beklagten eine Frist von 2 Wochen. Nach erfolglosem Fristablauf erinnerte der Kläger die Beklagte an den Auskunftsanspruch. Die Beklagte gewährte einige Tage später eine Negativauskunft mit dem Inhalt, dass keine Daten des Klägers bei ihr gespeichert seien. Daraufhin forderte der Kläger die Beklagte zur Zahlung einer Geldentschädigung in Höhe von 1.000 Euro wegen behaupteter Verletzung des Art 12 DS-GVO auf, die er auch klageweise weiterverfolgte. Das zuständige Gericht entschied in Teilen im Sinne des Klägers, bejahte hier eine Rechtsverletzung aufgrund verspäteter Auskunft und sprach dem Kläger einen Schadensersatz in Höhe von 750,00 € zu.

Dabei ist unter dem Begriff unverzüglich – angelehnt an § 121 BGB, ein Handeln „ohne schuldhaftes Zögern“ zu verstehen. Da unverzüglich weder sofort bedeutet, noch damit eine starre Zeitvorgabe verbunden ist, kommt es auf eine verständige Abwägung der beiderseitigen Interessen an. Nach einer Zeitspanne von mehr als einer Woche ist aber ohne das Vorliegen besonderer Umstände grundsätzlich keine Unverzüglichkeit mehr gegeben (BAG, Urteil v. 27.2.2020 — 2 AZR 390/19 im Fall Auskunftsansprüchen von Arbeitnehmern und Bewerbern).

Zwar konkretisiert Art. 12 Abs. 3 S. 1 DS-GVO die mögliche Dauer eines Auskunftsanspruchs mit dem Höchstmaß von einem Monat, der vom Zeitpunkt des Eingangs eines solchen Antrags bis zur Erteilung der Auskunft vergehen darf, jedoch sollte die eingeräumte „Monatsfrist“ für die Beantwortung bzw. Bearbeitung von Betroffenenanfragen wie oben geschildert stets ausgereizt werden.

Sollten die Verantwortlichen im Unternehmen auf das Auskunftsersuchen nicht in der vorgegebenen Zeit (oder gar nicht) reagieren, so wird behauptet, sie befänden sich „im Verzug“ und hätte die daraus resultierenden Kosten zu tragen. Bei Erhalt einer solchen Aufforderung gilt es genau zu prüfen, ob etwaige Daten zu der Person im Unternehmen vorliegen. Die Prüfung sollte genau und tiefergehend erfolgen, nicht nur in E-Mails und CRM, sondern auch im File-System, in der Finanzbuchhaltung oder sonstigen Systemen.

Gesetzte Fristen des Antragstellers von unter 14 Tagen können ignoriert werden, jedoch sollte der Zugang einer solchen Anfrage dem Antragsteller schnellstmöglich bestätigt werden, zusammen mit der Antwort, dass der Vorgang geprüft und binnen einer angemessenen Frist eine Rückmeldung erfolgen werde.

Daher sollte eine Negativauskunft stets angeben, dass „mit Ausnahme der personenbezogenen Daten, die der Antragsteller im Zusammenhang mit seinem Auskunftsersuchen mitgeteilt hat, keine personenbezogenen Daten zu seiner Person gespeichert sind.“

Oft wird das Auskunftsersuchen auch als Schreiben einer E-Mail beigefügt, die möglicherweise im Spam-Ordner landet oder im Büroalltag nicht mit der gebotenen Priorität und Beachtung weiterverfolgt wird.

Der Europäische Gerichtshof (EuGH) hat in 4 Entscheidungen im Jahr 2023 die Rechtsprechung zu Auskunftsersuchen weiter fortgeführt und konkretisiert:

In dieser Sache hat der EuGH eine Klage gegen die Österreichische Post genutzt, um die Reichweite des möglichen Auskunftsanspruchs zu konkretisieren. Die verantwortliche Stelle hat auf Antrag hin anzugeben, entweder, welche Kategorien von Empfängern die personenbezogenen Daten erhalten und weiterverarbeitet haben oder die Empfänger selbst zu benennen. Dass dieses Unterfangen nicht stets möglich ist, hat das Gericht bestätigt und Einschränkungen aufgeführt und somit die Reichweite des Auskunftsanspruchs eingeschränkt.

Hier klagte ein Betroffener auf Auskunft und Erhalt von Kopien sämtlicher Unterlagen, die seine personenbezogenen Daten beinhalten könnten. Denn die Beklagte übermittelte dem Kläger auf Antrag zunächst in aggregierter Form eine Liste seiner personenbezogenen Daten.  Diese Art der Auskunft wurde als unzureichend abgeurteilt. Denn die betroffene Person habe eine originalgetreue und verständliche Reproduktion all dieser Daten zu erhalten. Aus diesem Unterlassen wurde dem Kläger aber kein Entschädigungsanspruch nach Art. 82 DS-GVO zugesprochen, denn ein konkreter Schaden wurde vom Kläger nicht hinreichend dargelegt.

In diesem Verfahren verklagte ein ehemaliger Mitarbeiter einer finnischen Bank seinen ehemaligen Arbeitgeber u.a. auf Auskunft darüber, welche Mitarbeitenden der Beklagten Zugriff auf dessen personenbezogene Daten gehabt habe, da seine Daten ungewöhnlich oft abgefragt worden seien. Die Reichweite des Auskunftsanspruchs hat der EuGH hier dahingehend eingegrenzt, dass der Kläger zwar Informationen zu erhalten habe, die im Zusammenhang mit der Abfrage seiner Kunden- und Personaldaten stehen, etwa Zeitpunkt und Zweck der Abfrage. Dagegen habe der Kläger kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer*innen der Beklagten, die diese Vorgänge unter Aufsicht und im Einklang mit den Weisungen der Beklagten ausgeführt haben. Diese Informationen seien nur dann zu erteilen, wenn sie unerlässlich sind, um dem Kläger zu ermöglichen, seine Rechte unter angemessenerer Berücksichtigung der Rechte und Freiheiten der Arbeitnehmer*innen geltend machen zu können.

In dieser lesenswerten Entscheidung hat der Kläger die unentgeltliche Herausgabe seiner Patientenakte, bei der ihn bis dahin behandelnden beklagten Zahnarztpraxis erfolgreich verlangt. Der EuGH führte dazu aus, dass im Rahmen eines Arzt-Patienten-Verhältnisses ebenfalls das Recht auf Erhalt einer vollständigen Kopie der personenbezogenen Daten besteht, so dass der Kläger eine originalgetreue und verständliche Reproduktion aller Daten zu erhalten habe. Nur so werde der Kläger in die Lage versetzt, die Daten auf Richtigkeit und Vollständigkeit zu überprüfen und die Verständlichkeit der Daten zu bestätigen. Dieses Recht schließe Informationen wie Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu vorgenommenen Behandlungen oder Eingriffen an dem Kläger mit ein.