Das OLG Köln hat sich im Rahmen des Urteils vom 26.07.2019 (Az. 20 U 75/18) genauer mit dem Auskunftsanspruch aus Art.15 DS-GVO und seinem Schutz- bzw. Geltungsbereich befasst.
Zentral ging es darum, was genau nach Inkrafttreten der DSGVO als personenbezogene Daten vom Auskunftsrecht gem. Art. 15 DS-GVO umfasst wird.
Der Kläger machte geltend, dass die Vorinstanz (Landgericht Aachen) seinen Auskunftsanspruch zu Unrecht verneint hatte und verlangte von der Beklagten, einem Versicherungskonzern, die Auskunftserteilung aller personenbezogener Daten. Dazu zählte insbesondere die Auskunftserteilung über die Telefon- und Gesprächsnotizen, der zwischen den beiden Parteien geführten Kommunikation.
Telefon- und Gesprächsnotizen personenbezogene Daten i. S. d. DSGVO?
Die Beklagte vertrat die Ansicht, dass intern aufgezeichnete Telefonvermerke keine personenbezogenen Daten im Sinne der DS-GVO darstellen. Dies sah das OLG Köln gänzlich anders. In dessen Ausführung heißt es:
Nach Art. 15 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u.a. ein Recht auf Auskunft über diese personenbezogenen Daten.
Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.
Unter die Vorschrift fallen damit sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (z.B. Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstiger Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt. […] Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizieren oder identifizierbaren Person liefern, weisen einen Personenbezug auf […].
Das Gericht führte ferner aus, dass die personenbezogenen Daten sich nicht einzig auf die Stammdaten begrenzen und widersprach damit der Ansicht der Beklagten. Das OLG fand dafür klare Worte:
Denn durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr. Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers oder Aussagen über der Kläger festgehalten sind, handelt es sich hierbei ohne weiteres um personenbezogene Daten.
Folglich sind Notizen, welche im Telefongespräch mit dem Beklagten im Rahmen seines Versicherungsverhältnis stattgefunden haben, unter den personenbezogenen-Daten-Begriff nach Art. 4 Nr. 1 DSGVO zu subsumieren und somit im Rahmen des Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO offenzulegen.
Gibt es Ausnahmen, wie Geschäftsgeheimnisse oder mangelnde Ressourcen, die von einer Auskunft nach Art. 15 DSGVO entbinden?
Die Beklagte führte weiterhin an, dass ein weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würden. Dies ließ das OLG Köln jedoch nicht gelten, da der Kläger selbst die Angaben gegenüber dem Versicherungskonzern gemacht hatte und diesem gegenüber nicht schutzbedürftig sei. Es obliegt der Beklagten selbst im Einklang mit der Rechtsordnung einschließlich den Vorgaben der DSGVO einem Auskunftsanspruch nachzukommen und dabei auch die Belange Dritter (Art. 15 Abs. 4 DSGVO) zu berücksichtigen.
Auch die Behauptung der Beklagten, es sei bei einem umfangreichen Datenbestand wirtschaftlich unmöglich ihre Systeme auf personenbezogene Daten zu durchsuchen und zu sichern, ließ das Gericht nicht gelten:
Es ist Sache der Beklagten, die sich der elektronischen Datenverarbeitung bedient, diese im Einklang mit der Rechtsordnung zu organisieren und insbesondere dafür Sorge zu tragen, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen wird.
Mit der Frage der Herausgabe einer Datenkopie nach Art. 15 Abs. 3 DSGVO musste sich das OLG Köln im vorliegenden Urteil nicht beschäftigen, da die klagende Partei von diesem Anspruch keinen Gebrauch gemacht hatte.
Fazit
Aus dem Urteil des OLG Köln geht vor allem eins hervor: Der Begriff des personenbezogenen Datums gemäß Art. 4 Nr. 1 DSGVO ist umfassend zu verstehen.
Anders als das OLG Köln legte das LG Köln in einem Urteil vom 18.03.2019 (26 O 25/18) den Datenbegriff enger aus. Die Kammer des LG Köln bezog den Auskunftsanspruch nicht auf sämtliche internen Vorgänge, wie z.B. Vermerke; mit der Begründung, dass (rechtliche) Bewertungen oder Analysen keine personenbezogene Daten i. S. d. Art. 4 Nr. 1 DSGVO darstellen.
Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.
Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.
Aufgrund des eher problematischen Tatbestandsaufbaus des Auskunftsanspruches nach Art. 15 DSGVO und dem Zusammenspiel zwischen Auskunftsanspruch und Herausgabe einer Datenkopie wird es sehr wahrscheinlich noch weitere divergierende Rechtsprechungen geben.
Nach den Ausführungen des OLG Kölns sind sämtliche personenbezogene Daten vertraulich, diskret und sicher digital festzuhalten. Das Urteil verdeutlicht nochmals, wie wichtig ein gut funktionierendes Datenschutzmanagement im Unternehmen ist, um den strengen Regelungen der DSGVO, insbesondere den Betroffenenrechten, nachzukommen.
Dabei ist darauf zu achten, dass vom Auskunftsanspruch auch personenbezogene Daten und Notizen umfasst sein können, wenn die Daten automatisiert bzw. nichtautomatisiert in einem Datensystem verarbeitet werden. Neben elektronischer Verarbeitungen in IT-Systemen fallen auch manuelle Verarbeitungen wie z.B. Aktensammlungen darunter, sofern diese nach bestimmten Kriterien geordnet sind.
Wird eine Vielzahl von personenbezogenen Daten durch den Verantwortlichen verarbeitet, kann dieser den Auskunftsersuchenden bitten, seine Auskunft zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge diese sich bezieht (Siehe ErwG 63 der DSGVO).
MIND AND I/Shutterstock.com
