Blog-Layout

Die DSGVO-Auskunft, Rechtsprechung und Schadenersatz

DSGVO-Auskunft, Stand der Rechtsprechung und Schadenersatz


Einige Gerichtsurteile und Praxismythen ranken sich seit Geltung der Datenschutzgrundverordnung (DSGVO) um die DSGVO-Auskunft sowie das Auskunftsrecht. Auch wenn mit Artikel 15 der Verordnung ein umfassendes Recht auf Auskunft existiert, ist nach wie vor oft strittig, wann und in welchem Umfang eine Auskunft zu erteilen ist. In diesem Artikel werfen wir einen näheren Blick auf den aktuellen Stand der Rechtsprechung, das Recht auf Schadenersatz sowie die Auswirkungen für die betriebliche Praxis zum Umgang mit Auskunftsersuchen betroffener Personen.


Wofür das Recht auf Auskunft personenbezogener Daten steht


Betroffene haben zum Einen das Recht zu erfahren, ob personenbezogene Daten über sie gespeichert werden und können darüber eine Bestätigung vom Verantwortlichen verlangen. In der Praxis fällt dies zumeist mit der Ausübung des Rechts zusammen, so dass zumindest die Bestätigung über eine Datenverarbeitung in der Regel wenig Bedeutung für die betriebliche Praxis hat, sondern regelmäßig auch ein konkretes Auskunftsersuchen gestellt wird. Werden keine Daten verarbeitet, erfolgt in der Praxis hingegen eine sogenannte "Negativauskunft". Die DSGVO-Auskunft dient somit insbesondere dem Zweck, dass Betroffene die Rechtmäßigkeit der Verarbeitung ihrer eigenen Daten überprüfen können oder durch die Auskunft erst Kenntnis über das "dass" sowie über Reichweite und genaue Umstände der Verarbeitung erlangen können. Das Auskunftsrecht trägt somit maßgeblich zum „Recht auf informationelle Selbstbestimmung“ bei, das mit Urteil des Bundesverfassungsgericht bereits im Jahr 1983 hochstrichterlich verbrieft wurde (Urt. v. 15.12.1983 – Az. 1 BvR 209/83 u. A.). Betroffene haben seither einen grundsätzlichen Anspruch darauf, selbst zu bestimmen, welche personenbezogene Daten wie über sie verarbeitet werden..


Wissen Betroffene nicht, welche Daten verarbeitet werden?

Davon kann im Idealfall ausgegangen werden, wenn im Vorfeld über die genauen Umstände der Verarbeitung informiert wurde und davon auszugehen ist, dass diese Umstände Betroffenen genauestens bekannt sind. Häufig besitzen Datenschutzhinweise jedoch einen begrenzten Aussagewert, beispielsweise wenn Daten später aggregiert werden, oder auf Basis berechtigter Interessen, Einwilligungen oder mit technischen Besonderheiten in einer Art und Weise verarbeitet werden, die für Betroffene in Inhalt, Auswirkung und Reichweite zuvor nicht überschaubar sind. Der Datenverarbeitung geht somit regelmäßig ein Vertrauensvorschuss Betroffener voraus, so dass bei der Verarbeitung auch der Grundsatz von "Treu und Glauben" für die Rechtmäßigkeit zu berücksichtigen ist. Von dem Auskunftsrecht können zudem auch die sonstigen, internen Informationen dem Umfang nach erfasst sein, die im konkreten Einzelfall von einem Verantwortlichen verarbeitet werden. Es könnten darüber hinaus Verarbeitungen existieren, bei denen Daten ohne die Kenntnis Betroffener erst hinzu gespeichert werden, etwa wenn es sich um öffentlich verfügbare Daten handelt oder solche, bei denen davon ausgegangen wird, dass keine überwiegenden schutzwürdigen Interessen Betroffener am Ausschluss dieser Verarbeitung der Daten bestehen. Letzteres könnte etwa bei Profilen aus beruflichen Netzwerken oder öffentlichen Verzeichnissen der Fall sein. Die Möglichkeiten sind vielfältig, so dass es beim Auskunftsrecht  um umfassende Transparenz sowie das „Gesamtbild“ der Datenverarbeitung geht.


Inhalt und Reichweite des Auskunftsrechts nach Art. 15 DSGVO


Dass umfassende Transparenz geboten ist, ergibt sich aus einem Fall bei dem ein Versicherter gegen den Anbieter einer Kapital-Lebensversicherung rechtlich vorgegangen ist (BGH, Urt. v. 15.06.2021 – Az. VI ZR 576/19). Der Kläger bezog seinen Auskunftsanspruch insbesondere auf die "internen Daten", mit deren Hilfe er einen Rückzahlungsanspruch geleisteter Prämien erzielen wollte. Aus datenschutzrechtlicher Sicht ist somit besonders die Frage über die Reichweite des Auskunftsrechts von Relevanz. Denn der Betroffene verlangte nicht nur detaillierte Vertragsinformationen und -korrespondenz, sondern auch Auskunft über interne Telefon-, Gesprächs- und Bewertungsvermerke sowie die vollständigen Daten des Prämienkontos. Während die Vorinstanz des Landgerichts Köln die bereits erteilte Auskunft noch für ausreichend hielt, entschied der Bundesgerichtshof (BGH) in letzter Instanz jedoch anders und warf der Vorinstanz kurzum ein „fehlerhaftes Verständnis“ personenbezogener Daten vor. So beziehe sich das Auskunftsrecht im konkreten Fall auf alle gegenseitigen Schreiben, die einen Personenbezug zum Kläger aufweisen, auf Nachträge zu Versicherungsscheinen und auf Zweitschriften, auf die Daten des Prämienkontos sowie auf die "internen Vermerke", die Informationen über den Kläger enthalten. Dazu zählen somit auch sämtliche, vom Verantwortlichen dokumentierte, Äußerungen des Klägers sowie die internen Vermerke über dessen Gesundheitszustand. Das Auskunftsrecht nach Art. 15 DSGVO sieht nach Ansicht des BGH dementsprechend keine Einschränkungen vor. Diese höchstrichterliche Entscheidung avanciert in der Unternehmenspraxis somit zur Entscheidung mit der vielleicht höchsten Tragweite und Resonanz für das Betroffenenrecht.

Folgen bei verspäteter oder unvollständiger Auskunftserteilung


Zuvor wurde häufig die Ansicht vertreten, dass der "Informationskatalog" des Art. 15 DSGVO keinen vertieften Informationsanspruch umfasst, was in der Praxis häufig zu Informationen allgemeiner Natur führt. Dies ist dem Umstand geschuldet, dass seit Anwendung der DSGVO viele Rechtsunsicherheiten über Inhalt und Reichweite des Auskunftsrechts existierten und viele Betroffene nicht rechtlich dagegen vorgehen. Dies hat sich inzwischen geändert: So entschied etwa das Arbeitsgericht Düsseldorf (Urt. v. 05.03.2020 – Az. 9 Ca 6557/18) zuvor, dass die unrichtige Auskunft einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO bereits begründe. In dem Fall klagte ein Betroffener gegen seinen ehemaligen Arbeitgeber wegen unrichtiger und verspäteter Auskunft, die nach Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Stellung des Antrags, zu erfolgen hat. Die Vorschrift sieht zudem vor, dass die Frist im Einzelfall um zwei weitere Monate verlängert werden kann, wenn dies unter Berücksichtigung der Komplexität und Anzahl von Anträgen erforderlich ist und Betroffene über die Fristverlängerung unterrichtet werden. Das Gericht sprach dem Kläger in erster Instanz wegen unvollständiger und verspäteter Auskunft – unter Berücksichtigung der finanziellen Leistungsfähigkeit des Verantwortlichen – einen Schadenersatz in Höhe von 5.000 EUR zu und betont damit die abschreckende Wirkung der DSGVO-Sanktionen.


Das ArbG Neumünster (Urt. v. 11.08.2020 – 1 Ca 247 c/20) sprach einer betroffenen Person für jeden Monat der verspäteten Erteilung ein Schmerzensgeld i. H. v. 500 EUR, insgesamt einen Betrag von 1.500 EUR zu. Weitere Entscheidungen folgten. Das LAG Hamm (Urt. v. 11.05.2021 – 6 Sa 1260/20) sprach ein Schmerzensgeld i. H. v. 1.000 EUR wegen verspäteter Auskunft zu und das LAG Hannover (Urt. v. 22.10.2021 – Az. 16 Sa 761/20) wegen mangelhafter und verspäteter Auskunft ein Schmerzensgeld i. H. v. 1.250 EUR. Eine Erheblichkeitsschwelle oder Bagatellen werden von den Gerichten überwiegend verneint, insbesondere von den Landgerichten Hannover und Hamm ausdrücklich. Das Landgericht Bonn hingegen verneinte – zumindest im konkreten Fall – einen Schadenersatzanspruch wegen unvollständiger oder nicht fristgerechter Auskunftserteilung und sieht eine Spürbarkeitsschwelle für ein Schmerzensgeld als Voraussetzung. Die inhaltliche Reichweite des Anspruchs wurde hingegen nicht bestritten (Urt. v. 01.07.2021 – Az. 15 O 372/20), die sich in dem Fall sogar auf WhatsApp-Nachrichten bezog. Die Gerichte sind somit überwiegend zu einer abschreckenden, inhaltlich umfassenden und restriktiveren Rechtsprechung zum Auskunftsrecht übergegangen, was in der datenschutzrechtlichen Praxis für Sensibilität im Umgang mit Auskunftsverlangen sorgen dürfte.

WhatsApp und die DSGVO im Fokus von Unternehmen

DSGVO-Gefahren, die bei der Nutzung von WhatsApp lauern

13 Sept., 2023
Welche Sanktionsgefahren und DSGVO-Risiken sind bei der Nutzung von WhatsApp im Unternehmen zu beachten? Der Artikel beleuchtet die wichtigsten Aspekte.
Datenschutz ist im digitalen Überwachungszeitalter wichtig

Basics: Was ist Datenschutz und welche Bedeutung hat er?

13 Juni, 2023
Sie suchen einen fundierten Einstieg zum Thema Datenschutz und DSGVO? In diesem Artikel gehen wir auf die grundlegenden Aspekte und Basics ein.
Die Überwachung von Fluggästen nimmt an Fahrt auf

Gläserne Passagiere: 5 wichtige Hinweise zum Datenschutz

10 Apr., 2023
5 wichtige Hinweise zum Datenschutz, die Sie bei der nächsten Urlaubsplanung zum Schutz Ihrer Privatsphäre beachten sollten.
Im Home Office sind viele Aspekte des Datenschutzes zu beachten

New Work und Homeoffice: Und der Datenschutz?

12 Aug., 2022
Worauf sollten Unternehmen und Beschäftigte in Zeiten von New Work und Home Office achten? Ein kurzer Überblick wie Sie Ihr Unternehmen schützen können.
Der Datentransfer zwischen der EU und den USA steht zur Debatte

EU-US Privacy Shield 2.0: Ist das Warten vorbei?

28 März, 2022
Das Privacy Shield 2.0 und der transatlantische Datenschutzrahmen im Überblick. Was enthalten die neuen Rahmenbedingungen zum US-Datentransfer?
Das E-Mail-Marketing findet auf vielen Endgeräten und Kanälen statt

E-Mail-Marketing und DSGVO: Worauf ist zu achten?

21 Feb., 2022
Die rechtlichen Anforderungen im E-Mail-Marketing sind vielfältig. Neben der Einwilligung nach DSGVO zählt auch das Wettbewerbsrecht.
Die DSGVO ist für Vereine nach wie vor eine schwierige Herausforderung

Datenschutz im Verein, wie am besten umsetzen?

14 Feb., 2022
Wie lässt sich der Datenschutz im Verein am besten umsetzen? Hier finden Vereine mit Nachholbedarf wichtige Tipps für die Umsetzung der DSGVO.
Arbeitsplätze könnten in Zukunft noch intensiver überwacht werden als bisher

Entwurf eines Beschäftigtendatenschutzgesetzes des DGB

11 Feb., 2022
Was enthält der Entwurf für ein Beschäftigtendatenschutzgesetz des DGB? Eine näherer Blick auf die Entwicklung der digitalen Überwachung am Arbeitsplatz .
Das TTDSG setzt Anforderungen der EU-Richtlinie und Rechtsprechung um

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

01 Feb., 2022
Welche Neuerungen zur Einwilligung gelten nach dem TTDSG, was bedeutet das "PIMS" und wie geht es mit der ePrivacy-Verordnung weiter? Wir klären auf.
Google Analytics ist das bekannteste Tool für Webseitenebtreiber

Google-Analytics und DSGVO: Ist der Einsatz rechtswidrig?

21 Jan., 2022
Der US-Datentransfer ist nach der DSGVO und durch Schrems-II-Urteils zunehmend problematisch. Ist auch der Einsatz von Google Analytics rechtswidrig?
Weitere Beiträge
Share by: