Nicht übertreiben

Grenzen des Auskunftsrechts nach der DSGVO

Im Grunde steht jedermann das Recht auf Auskunft zu den über seine Person gespeicherten Daten zu. Dieses Recht kann aber auch entfallen, wenn es missbräuchlich genutzt wird. Wann das der Fall sein kann, beantworten mehrere Gerichtsurteile – ein höchstrichterliches steht noch aus.

Von Harald Büring

Für uns alle ist es sehr wichtig, erfahren zu können, welche personenbezogenen Daten Unternehmen über uns gespeichert haben. Die Datenschutzgrundverordnung (DSGVO) räumt deshalb weitgehende Auskunftsrechte ein, die unter anderem auch für Mitarbeiter gegenüber ihrem Arbeitgeber gelten (Art. 15 Abs. 1). Außerdem steht Betroffenen nach der DSGVO ein Recht auf Berichtigung oder auch Löschung ihrer Daten gegenüber dem jeweiligen Unternehmen zu.

Nur so können sie ihr Recht auf informationelle Selbstbestimmung als Teil ihres allgemeinen Persönlichkeitsrechts wahren, das vom Bundesverfassungsgericht Mitte der 80er-Jahre in den beiden berühmten Volkszählungsurteilen aus den Artikeln 1 Abs. 1 und 2 Abs. 1 der Verfassung hergeleitet wurde.

Allerdings geht es längst nicht jeder Person um den Schutz ihrer persönlichen Daten. Oft werden mit dem Auskunftsanspruch andere Interessen verfolgt. Dem einen geht es etwa darum, eventuelle Ansprüche auf Schadensersatz oder Schmerzensgeld durchzusetzen. Ein anderer bezweckt, den Auskunftspflichtigen zu schädigen, etwa indem er ihn mit dem Antrag zur Durchsicht von tausenden E-Mails und weiteren Unterlagen zwingen möchte und diesen Antrag womöglich mehrmals hintereinander stellt. In der Praxis stellt sich in solchen Fällen die Frage, wann das betroffene Unternehmen die Auskunft verweigern darf, weil der Betroffene sein Auskunftsrecht missbraucht.

Unzureichendes Gesetz

Im Gesetz finden sich lediglich unzureichende Regelungen. Dem Erwägungsgrund 63 der DSGVO ist lediglich zu entnehmen, dass dieses Recht die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen sollte. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder macht ebenfalls keine klare Aussage darüber, wann das Auskunftsrecht wegen Missbrauch ausgeschlossen ist (siehe ct.de/ysjh). Stattdessen verweist sie auf Einzelfallentscheidungen, letztlich also auf die Gerichte. Die stützen sich bei Entscheidungen zu der Frage, wann in konkreten Fällen ein Missbrauch vorliegt, der den Auskunftsanspruch ausschließen oder begrenzen kann, vor allem auf Art. 12 Abs. 5 Satz 2 Buchstabe b DSGVO. Demnach hat der Verantwortliche das Recht, die Auskunft zu verweigern, sofern der Antrag offensichtlich unbegründet oder es sich um einen exzessiven Antrag handelt. Was genau unter einem exzessiven Antrag zu verstehen ist, dazu gibt es allerdings keine gesetzliche Definition. Weitgehende Einigkeit besteht unter Juristen nur dahingehend, dass ein Antrag dann exzessiv ist, wenn das Unternehmen dadurch schikaniert werden soll oder der Betreffende zu häufig einen neuen Antrag stellt. Das Gleiche gilt, wenn die Bearbeitung des Auskunftsersuchens mit einem extrem hohen Aufwand verbunden ist.

Viele alte E-Mails

So war es in einem Fall, in dem ein ehemaliges Mitglied des Vorstandes eines Unternehmens viele Jahre später gegenüber dem Insolvenzverwalter eine Auskunft über die von ihm geführte und innerhalb eines Jahres verarbeitete E-Mail-Korrespondenz verlangte, die ungefähr 10.000 E-Mails umfasste. Darüber hinaus wollte er eine kostenlose Kopie dieser Daten erhalten. Als der Insolvenzverwalter sich weigerte, verklagte er ihn.

Das Landgericht Heidelberg wies die Klage ab (Urteil vom 21.02.2020, Az. 4 O 6/19, siehe ct.de/ysjh). Es begründete seine Entscheidung damit, dass der Aufwand unverhältnismäßig sei, weil eine Vielzahl von E-Mails gesichtet und geschwärzt werden müssten, um Interessen Dritter zu wahren. Für diese Aufbereitung müsste das Unternehmen mehrere Wochen Arbeitszeit aufwenden. Darüber hinaus verfügte es über viele Daten nicht mehr, weil diese inzwischen gelöscht worden waren. Die davon gemachten Backups auf einem Speichermedium befanden sich nicht mehr im Unternehmen. Die Wiederherstellung auf den alten Servern wäre mit Kosten von etwa 4000 Euro verbunden.

Begrenzte hier der erhebliche Aufwand den Anspruch, stellt sich in anderen Fällen die Frage, inwieweit ein Rechtsmissbrauch im Sinne des Art. 12 Abs. 5 Satz 2 DSGVO auch dann in Betracht kommt, wenn es dem Antragsteller nicht um den Datenschutz, sondern beispielsweise um die Durchsetzung von Forderungen oder die Verteidigung in einem Strafprozess geht.

Dazu liegen einige jüngere obergerichtliche Entscheidungen vor: In einem Fall war einem Arbeitnehmer fristlos wegen Betruges gekündigt worden. Sein Arbeitgeber warf ihm vor, dass er seine Fahrtkosten über den Zeitraum eines Jahres falsch abgerechnet habe. Nachdem der Mitarbeiter seine Kündigungsschutzklage vor den Arbeitsgerichten rechtskräftig verloren hatte, machte er einen Anspruch auf Erteilung einer Auskunft über die bezüglich seiner Person gespeicherten Daten geltend. Der Arbeitgeber verweigerte die Auskunft. Vor Gericht berief sich der Betroffene darauf, dass er die Auskunft benötige, um sich gegen den Vorwurf des Betruges im Rahmen des noch laufenden Strafverfahrens verteidigen zu können.

Das Hessische Landesarbeitsgericht entschied mit Urteil vom 10.06.2021 (Az. 9 Sa 1431/19, ct.de/ysjh), dass der Arbeitgeber dem Betroffenen die Auskünfte erteilen muss. Nach Auffassung der Richter gebe es keine Anhaltspunkte für Rechtsmissbrauch. Diese wären nur dann gegeben, wenn der ehemalige Mitarbeiter damit seinen Arbeitgeber unter Druck gesetzt hätte, um eine höhere Abfindung zu erhalten. Diese Möglichkeit scheide jedoch aus, weil er den Antrag auf Auskunft erst gestellt habe, nachdem über seine Kündigungsschutzklage bereits rechtskräftig entschieden war.

Demgegenüber stelle das mit dem Auskunftsanspruch verfolgte Ziel der Verteidigung in einem Strafverfahren keinen Rechtsmissbrauch dar. Denn ein anderer Beweggrund als der Schutz seiner personenbezogenen Daten führe nicht bereits dazu, dass die Verwendung als Rechtsmissbrauch anzusehen ist. Vielmehr müsste es sich hierzu offensichtlich um einen exzessiven oder unbegründeten Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO handeln, was die Richter in diesem Fall verneinten.

In einem weiteren Fall wollte der Kläger erreichen, dass seine private Krankenversicherung ihm Beiträge zurückzahlt, die er aufgrund von Beitragserhöhungen in den Jahren von 2013 bis 2016 gezahlt hatte. Um herauszufinden, ob überhaupt und in welcher Höhe die jeweiligen Beitragserhöhungen erfolgt waren, verlangte er Auskunft über alle Beitragsanpassungen in diesem Zeitraum. Als sich die Versicherung weigerte, verklagte er sie.

Damit hatte er allerdings keinen Erfolg. Das Oberlandesgericht Nürnberg entschied, dass er keinen Anspruch auf Auskunft hat (OLG Nürnberg, Urteil vom 14.03.2022, Az. 8 U 2907/21, ct.de/ysjh). Das begründeten die Richter damit, dass die beabsichtigte Vorbereitung einer Klage auf Zahlung als rechtsmissbräuchlich anzusehen sei. Denn die Überprüfung von Beitragsanpassungen sei nicht durch den Schutzzweck der Datenschutzgrundverordnung gedeckt. Das Gericht ließ keine Revision zu.

Ebenso entschied das Oberlandesgericht Dresden in einem Fall, in dem es um Beitragsanpassungen für die Jahre 2011 bis 2016 ging. Auch die Richter des OLG Dresden ließen zu dieser Frage keine Revision zu (OLG Dresden, Urteil vom 29.03.2022, Az. 4 U 1905/21, ct.de/ysjh).

Andere Ansichten

Anders sah dies jedoch das Oberlandesgericht Köln, das über einen ähnlichen Sachverhalt zu entscheiden hatte: Die Versicherung könne sich nach Auffassung des Gerichtes nicht darauf berufen, dass die Geltendmachung rechtsmissbräuchlich sei. Es sei statthaft, dass es dem Kläger vor allem um die Durchsetzung eines Zahlungsanspruches gehe. Dies ergebe sich daraus, dass es dem Gesetzgeber der DSGVO um den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten gegangen sei. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert sind.

Unbedenklich und grundsätzlich zu erfüllen sei deshalb ein Antrag auf Herausgabe von Kopien mit persönlichen Daten, mit denen die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen beschaffen wolle, auch wenn es dabei letztlich um andere Ansprüche als den Schutz der Daten gehe. Darüber hinaus ergäben sich keine Anhaltspunkte dafür, dass der Kläger die Versicherung schikanieren wolle. Er habe auch nicht etwa in einem kurzen Abstand erneut Auskunft begehrt (OLG Köln, Urteil vom 13.05.2022, Az. 20 U 198/21, ct.de/ysjh). Gegen dieses Urteil ist ein Revisionsverfahren vor dem Bundesgerichtshof anhängig (Az. BGH IV ZR 193/22).

Neben den noch nicht höchstrichterlich geklärten Rechtsfragen fällt es den Auskunftspflichtigen in der Praxis oft schwer nachzuweisen, dass ein Fall missbräuchlicher Antragstellung vorliegt. Zu begrüßen wäre es jedenfalls im Sinne einer besseren Rechtssicherheit und -klarheit für die Praxis, wenn der BGH abschließend klärt, inwieweit Verantwortliche Auskünfte nach Art. 15 DSGVO erteilen müssen, wenn es dem Betroffenen dabei um die Durchsetzung von Forderungen geht. Eine Entscheidung des höchsten Zivilgerichts in der genannten Sache dürfte jedoch frühestens gegen Ende des Jahres zu erwarten sein. (tig@ct.de)

Gesetze und Entscheidungen zum Auskunftsrecht: ct.de/ysjh