Der datenschutzrechtliche Auskunftsanspruch ist umfassend. Betroffene erhalten Einblick in alle sie betreffenden Unterlagen, die ein Unternehmen vorhält. Der Auskunftsanspruch wird daher zunehmend von (künftigen) Prozessgegnern genutzt, um die eigene Position in gerichtlichen Streitigkeiten zu verbessern: Kläger begehren etwa Auskunft gegen den (künftigen) Beklagten, um Unterlagen zur Untermauerung von Schadensersatzklagen zu erhalten. Auch an der Tagesordnung sind Ansprüche der Beklagtenseite, die mehr über die klägerische Prozesstaktik in Erfahrung bringen wollen.
Aber welche Daten müssen in einem solchen Fall wirklich herausgegeben werden? Sind Kopien von allen internen Schreiben, E-Mails und Vermerken, auch mit Fallbewertungen, herauszugeben, in denen die Erfolgsaussichten einer „Klage von Frau Schmitz“ festgehalten sind? Müssen dann womöglich sogar Informationen über die Prozesstaktik und Schwachstellen der eigenen Verteidigung herausgegeben werden? Höhlt der DSGVO-Auskunftsanspruch damit womöglich sogar den Beibringungsgrundsatz aus? Was können Unternehmen tun, um einer Herausgabepflicht solcher Unterlagen unter Art. 15 DSGVO vorzubeugen und sich in drohenden Rechtsstreitigkeiten nicht selbst zu schwächen?
Weiter Auskunftsanspruch
Viele Unternehmen haben die Erfahrung bereits gemacht: Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO ist nahezu allumfassend. Betroffenen, die Auskunft begehren, sind nicht nur Informationen über die Art und Weise der verarbeiteten Daten mitzuteilen. Sie müssen auch Kopien aller vorhandenen personenbezogenen Daten erhalten (wir berichteten etwa hier).
Der Begriff der personenbezogenen Daten ist dabei in Art. 4 Nr. 1 DSGVO weit zu verstehen. Erfasst werden alle Informationen die sich auf eine identifizierte oder identifizierbare Person beziehen. Als identifizierbar gilt eine Person dann, wenn die vorhandene Information eine Zuordnung zu der dahinterstehenden natürlichen Person ermöglicht. Die Auskunft ist also nicht nur hinsichtlich einer ausdrücklich namentlichen Nennung zu erteilen, sondern auch dann, wenn die betroffene Person mithilfe von Aktenzeichen oder anderen Referenzdaten ermittelt werden kann.
Der Auskunftsanspruch birgt damit die Gefahr der „Zweckentfremdung“: Betroffene können die Herausgabe sämtlicher personenbezogenen Daten nicht nur aus Gründen des Datenschutzes verlangen, sondern auch um Informationen zu erlangen, die der Durchsetzung von außerhalb des Datenschutzrechts liegenden Ansprüchen dienen. Unternehmen sind damit in der misslichen Lage, gegebenenfalls auch solche Daten herausgeben zu müssen, die anschließend in anderem Zusammengang (vor Gericht) gegen sie verwendet werden könnten.
„Pre-trial discovery“ statt Beibringung?
Diese Situation gleicht dem im angelsächsischen Rechtssystem vorhandenen Grundsatz der sogenannten „pre-trial discovery“, wonach die Parteien verpflichtet sind sich gegenseitig die für den Prozess relevanten Informationen zukommen zu lassen. Im deutschen Zivilprozessrecht ist ein solches Verfahren nicht vorgesehen. Nach dem hier maßgeblichen Beibringungsgrundsatz muss jede Partei grundsätzlich selbst die für sie günstigen Tatsachen vorbringen. Gelingt ihr das nicht, verliert sie den Prozess.
Die hiesige Rechtsprechung hat bisher keinen einheitlichen Umgang mit der Geltendmachung des datenschutzrechtlichen Auskunftsanspruchs zur taktischen „Ausforschung“ des Gegners etabliert. Das LG Köln hat hierauf bezogene Einwände mit der Begründung für unbeachtlich gehalten, dass der Anspruch aus Art. 15 DSGVO unabhängig von der dahinterstehenden Motivation bestünde.
Keine Auskunft über rechtliche Bewertungen
In einem Urteil des BGH hat der 6. Zivilsenat den Auskunftsanspruch jedoch dahingehend eingeschränkt, dass interne Bewertungen einer Versicherung zu den Ansprüchen des Versicherten gegen die Versicherung nicht herauszugeben seien. Konkret bezog der BGH dies auf rechtliche Analysen: Diese könnten zwar personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO enthalten (etwa den Namen eines Anspruchstellers), die auf Grundlage dieser personenbezogenen Daten vorgenommene rechtliche Analyse selbst stelle jedoch keine Information über den Betroffenen dar und sei folglich auch nicht herauszugeben.
Dabei stützt sich der BGH auf ein noch zur Datenschutzrichtlinie, die von der DSGVO abgelöst wurde, ergangenes Urteil des EuGH. In dem der EuGH-Entscheidung zugrundeliegenden Fall verlangte ein Asylbewerber nach Ablehnung einer beantragten Aufenthaltserlaubnis die Einsicht in den Entscheidungsentwurf, der der Ablehnung zugrunde lag. In diesem Entwurf waren Name, Geburtsdatum, Staatsangehörigkeit, Geschlecht, ethnische Zugehörigkeit, Religion und Sprache des Asylbewerbers angeführt. Ferner enthielt der Entwurf Angaben zum Verfahrensverlauf, vorgelegten Unterlagen, rechtlichen Bestimmungen sowie eine rechtliche Beurteilung dieser Angaben. Diese rechtliche Beurteilung stellte nach Ansicht des EuGH kein personenbezogenes Datum (mehr) dar. Der Entwurf musste nicht herausgegeben werden. Begründet wurde dies mit dem Schutzzweck der Datenschutzrichtlinie, wonach die Privatsphäre der Betroffenen bei der Verarbeitung personenbezogener Daten geschützt werden solle. Nicht vom Schutzzweck erfasst sei jedoch ein Recht auf Zugang zu solchen internen Dokumenten, die die rechtliche Analyse betragen.
In diesem Sinne urteilte auch das LG Köln in seinem zu dem vorgenannten Rechtsstreit zwischen Versicherer und Versichertem ergangenen Berufungsurteil mit der saloppen Bemerkung, dass der Auskunftsanspruch „nicht der vereinfachten Buchführung des Betroffenen [diene]“. Er solle vielmehr sicherstellen, dass der Betroffene Umfang und Inhalt der personenbezogenen Daten beurteilen kann. Der BGH bestätigte dies in der Sache.
Auch wenn die Hintergründe und Grundlagen der Entscheidung durchaus berechtigter Kritik ausgesetzt sind, ist das Urteil für die Praxis höchst relevant: Es begrenzt den Auskunftsanspruch höchstrichterlich. Rechtliche Analysen sind nicht herauszugeben, auch dann nicht, wenn sie einzelne Angaben mit Personenbezug enthalten.
Herauszugeben sind allerdings nach dem vom BGH entschiedenen Rechtsstreit interne Vermerke wie Telefon-, Gesprächs- und Bewertungsvermerke zum Versicherungsverhältnis, welche von dem Auskunftsanspruch gegen die Versicherung umfasst sind.
Zu bedenken ist bei alledem, dass Betroffene stets einen hinreichend bestimmten Antrag stellen müssen – ohne einen solchen gibt es ebenfalls gute Gründe, von einer Übermittlung zu umfassender Auskünfte abzusehen (siehe dazu hier). Grundsätzlich kann von dem Betroffenen verlangt werden, dass er sein Auskunftsbegehren präzise formuliert. Nach Erwägungsgrund 63 der DSGVO gilt dies insbesondere, wenn eine große Menge an Informationen über die betroffene Person verarbeitet werden.
Keine Auskunft bei Geheimhaltungsbedürfnis
Ein Auskunftsanspruch ist ferner dann begrenzt, wenn durch eine Auskunftserteilung Rechte Dritter (auch solcher des Unternehmens, das die Auskunft erteilt) verletzen würde (Art. 15 Abs. 4 i.V.m. Erwägungsgrund 63 Satz 5 DSGVO und § 29 Abs. 1 Satz 2 BDSG): Das Auskunftsrecht soll keine „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums“ beeinträchtigen, geheimhaltungsbedürftige Informationen bleiben geheim.
In der bisherigen Diskussion werden diese Ausnahmen sehr restriktiv gehandhabt, nur wenige Fälle sind sicher anerkannt. Erforderlich ist ein überwiegendes rechtliches, wirtschaftliches oder ideelles Interesse an der Geheimhaltung. Die Verteidigung vor außerhalb des Datenschutzrechts liegenden Leistungsansprüchen wird von der Literatur in diesem Zusammenhang regelmäßig nicht als hinreichender Grund erwähnt. Zumeist fallen hierunter Fälle, in denen bei Erfüllung des Auskunftsanspruches auch personenbezogene Daten Dritter erfasst wären. Im Einzelfall sollte indes genau geprüft werden, ob die Herausgabe bestimmter Informationen nach diesen Vorschriften unterbleiben darf oder sogar muss.
Als dem Auskunftsanspruch entgegenstehende Rechtsvorschriften kommen etwa auch die uns Rechtsanwälte treffenden Geheimhaltungsvorschriften in Betracht (§ 203 StGB oder § 43a Abs. 2 BRAO). Diese sind jedenfalls unmittelbar einschlägig, wenn sich das Auskunftsersuchen gegen den Rechtsanwalt selbst richtet, bei Auskunftsanfragen gegen Unternehmen ggf. unter dem Aspekt privilegierter Anwaltskommunikation. Hierfür spricht, dass die Rechtsordnung solcher Kommunikation einen besonderen Schutz gewährt.
Was tun?
In der Praxis sollten Auskunftsersuchen, die der Vorbereitung oder Verteidigung von bzw. in Prozessen oder anderen, zweckfremden Zielen dienen, genau analysiert werden, gerade auch mit Blick auf die Motivlage des Antragstellers
Von vornherein kann die Auskunft nach Art. 12 Abs. 5 DSGVO verweigert werden, wenn ein Auskunftsbegehren offensichtlich unbegründet oder missbräuchlich ist (bei exzessiven und häufig gestellten Anträgen). In diesen Fällen muss jedoch das Unternehmen die Tatsachen für die offensichtliche Unbegründetheit oder den exzessiven Charakter des Antrages nachweisen. Die Grenzen sind hoch gesteckt, nur wenige Fälle in der Praxis sind tatsächlich derart unbegründet oder missbräuchlich.
Bedeutsamer sind in der Praxis die weiteren, oben skizzierten Grenzen:
- Ist der Antrag bestimmt genug gestellt oder kann man von dem Antragsteller eine zeitliche, inhaltliche oder sonstige Konkretisierung erwarten?
- Können womöglich einzelne Dokumente als „rechtlichen Analysen“ von der Beauskunftung ausgeklammert werden?
- Besteht ein hinreichend valides Geheimhaltungsinteresse bezogen auf Rechte Dritter oder Betriebs- und Geschäftsgeheimnisse?
Je nach Beantwortung der vorstehenden Fragen sind die zu beauskunftenden Dokumente zu reduzieren (neben der stets zu gebenden allgemeinen Auskunft über die verarbeiteten Daten nach Maßgabe des Katalogs in Art. 15 Abs. 1 DSGVO).
Übrigens: In den Niederlanden verlangte ein Unternehmen von Personen, die ihre Betroffenenrechte aus der DSGVO geltend machten, eine Kopie des Personalausweises zur Identifizierung. Dies aber geht trotz Identifizierungspflicht den Niederländern zu weit: Die niederländische Datenschutzbehörde sah in dem konkreten Vorgehen einen Verstoß gegen Art. 12 Abs. 2 DSGVO und setzte ein Bußgeld in Höhe von 525.000 Euro fest.
Im Kern ging es um die Reichweite der Identifizierungspflicht: Nach Art. 12 Abs. 6 DSGVO müssen Unternehmen sicherstellen, dass die Auskunft, Löschung oder Berichtigung begehrende Person auch die ist, die sie vorgibt zu sein. Danach sind aber nur solche Identifizierungsmaßnahmen zulässig, die auch wirklich erforderlich sind. Im zu entscheidenden Fall war dies nicht mehr der Fall. Die „Ausweispflicht“ führte vielmehr nach Ansicht der Behörde dazu, dass die Ausübung der Betroffenenrechte entgegen Art. 12 Abs. 2 DSGVO erschwert wurde.