Noch immer herrscht in vielen Unternehmen so etwas wie Alarmstimmung, wenn Anträge auf Auskunft nach Artikel 15 Datenschutzgrundverordnung (DSGVO) eingehen. Das gilt besonders bei Auskunftsbegehren von gekündigten Mitarbeitern – oder solchen, die diesen Status anstreben. Der Schrecken liegt dabei weniger in der Aufzählung der Kategorien der verarbeiteten Daten mitsamt der Verarbeitungszwecke, da dies bei einem gepflegten Verarbeitungsverzeichnis keine große Sache sein sollte. Kopfzerbrechen bereitet vielmehr regelmäßig die mit dem Auskunftsersuchen verbundene Forderung nach Kopien der personenbezogenen Daten im Sinne des Artikel 15 Absatz 3 DSGVO. Bei Anträgen von langjährigen Mitarbeitern, Geschäftspartnern oder Kunden ist schon der Aufwand beim Sammeln der relevanten Dokumente immens. Da E-Mails, Briefe, Protokolle etc. wiederum regelmäßig personenbezogene Daten von Dritten sowie ggf. Geschäftsgeheimnisse beinhalten, wird in der Praxis meistens dann noch viel Zeit investiert, um Wörter und Passagen zu schwärzen. Die Frage ist, ob dieser ganze Aufwand wirklich immer nötig ist.
Das Recht des Betroffenen nach Artikel 15 Absatz 3 DSGVO
Nach Artikel 15 Absatz 3 DSGVO stellt der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“. Form und Frist zu diesem Anhängsel zur Auskunft ergeben sich aus Artikel 12 DSGVO. Ansonsten ist rund um das Recht auf Datenkopie einiges umstritten. Der wesentliche Streit dreht sich darum, was denn eigentlich Kopie in diesem Sinne bedeutet: Müssen ganze Dokumente oder gar Datenbanken zur Verfügung gestellt werden oder genügt es, wenn das konkrete personenbezogene Datum ohne Kontext mitgeteilt wird.
Der Betroffene soll durch die Auskunft des Verantwortlichen die Rechtmäßigkeit der Verarbeitungen überprüfen können. Zu diesem Zweck erzwingt Art. 15 DSGVO eine weitestgehende Transparenz, wozu auch der Einblick in die konkreten Verarbeitungen gehörten soll.
Die Meinung des EuGH…
Der EuGH hat nun in seinem Urteil vom 04.05.2023 (Az. C‑487/21) festgehalten, dass der Betroffene gemäß Art. 15 DSGVO das Recht hat, eine originalgetreue und verständliche Reproduktion aller vorhandenen Daten zu erhalten. Allerdings: Dokumente bzw. Datenbanken ganz oder in Auszügen muss man nur dann in Kopie herausgeben, wenn es unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. „Kopie“ meint in diesem Zusammenhang nämlich nicht das Dokument an sich, sondern die personenbezogenen Daten, die darin zu finden sind.
…und warum das eine gute Nachricht für Verantwortliche ist
Die verantwortlichen Unternehmen werden darüber nicht auf den ersten Blick jubeln. Schließlich obliegt die Einschätzung dieser Unerlässlichkeit natürlich zunächst dem Verantwortlichen, weil er auf die Anfrage des Betroffenen reagieren muss. Es droht immer noch der Aufwand, bei jedem einzelnen Dokument, in dem ein personenbezogenes Datum des Betroffenen zu lesen ist, prüfen zu müssen, ob die Rechtmäßigkeit der Verarbeitung nur mittels des gesamten oder Teil des Dokuments geprüft werden kann.
Andererseits muss man bedenken, dass Unternehmen nun dazu neigen können, die ganze Sache erheblich zu vereinfachen: Der Betroffene erhält nur eine Darstellung der konkreten personenbezogenen Daten als Kopie, Dokumente dazu werden zunächst gar nicht herausgerückt – möge doch der Betroffene im zweiten Schritt darlegen, warum er den gesamten Kontext für seine Einschätzung der Rechtmäßigkeit braucht. Gerade im Streit mit Arbeitnehmern, die sich im Kündigungsprozess über den Kopieanspruch brisante Informationen besorgen möchten, könnte man dank EuGH den Informationsgehalt der Unterlagen erheblich reduzieren. Das DSGVO-Schwert, das Rechtsanwälte gern vorm Arbeitsgericht schwingen, würde zusehends stumpfer werden.
Betroffene sehen schwarz
Wenig hilfreich erscheint der Tipp des EuGH, dass bei der Auskunftserteilung die Rechte und Freiheiten anderer zu berücksichtigen sind – das steht so auch schon in Art. 15 Absatz 4 DSGVO. Auch der Hinweis, dass diese Berücksichtigung nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird, steht im Satz 6 des 63. Erwägungsgrunds zur DSGVO. Wann nun geistiges Eigentum, Geschäftsgeheimnisse oder schlicht personenbezogen Daten Dritter dazu führen dürfen, dass Wörter und ganze Passagen in einem Dokument geschwärzt werden, kann man mit diesen Allgemeinplätzen nicht im Einzelfall beantworten.
Andererseits hilft die Festlegung des EuGH in Bezug auf den Kopie-Begriff bei der vorzunehmenden Abwägung: Wenn der Betroffene die personenbezogenen Daten eines Dritten z.B. in einer E-Mail nicht sehen muss, um zu ergründen, ob sein Datum rechtmäßig verarbeitet wird, spricht nichts dagegen, die Daten des Dritten zu schwärzen, da sie gar nicht Teil der Datenkopie sein müssen. Man darf davon ausgehen, dass diese und ähnliche Fragen die Gerichte noch viele Jahre beschäftigen werden.
Sonderfall Patientenakte?
Eine der Fälle, die in Zukunft auch noch vom EuGH entschieden werden müssen, basiert auf dem Vorlagebeschluss des BGH vom 29.08.2022 (Az. VI ZR 1352/20). Da geht es u.a. um die für Ärzte nicht unerhebliche Frage, ob man Patienten für eine Kopie der Patientenakte zur Kasse bitten darf (so ausdrücklich § 630g Absatz 2 Satz 2 BGB) oder ob die Kostenfreiheit aus Artikel 12 Absatz 5 Satz 1 DSGVO vorgeht. Vor dem Hintergrund der oben dargestellten EuGH-Entscheidung möchte man folgende Antwort orakeln: Da eine Kopie der Daten nicht unbedingt ein ganzes Dokument darstellen muss, müsste der Arzt den Patienten vor die Wahl stellen dürfen: Kopien von Daten aus der Patientenakte mit mehr oder weniger Kontext gibt es kostenlos, eine komplette Aktenkopie gibt es nur gegen Entgelt. Dass der gemeine Bürger bei einer solchen Auswahl verwirrt den Kopf schütteln wird, scheint gewiss – aber so ist es in rechtlichen Dingen leider oft.
Fazit
Unternehmen, die zur Beantwortung von Auskunftsanfragen bereits Prozesse aufgesetzt haben, sollten diese nach den letzten EuGH-Urteilen auf den Prüfstand stellen – die anderen sollten einen solchen Prozess dringend aufsetzen. Zunächst muss man sich fragen, wie unter Berücksichtigung aller geschäftlichen Umstände des Verantwortlichen grundsätzlich mit Forderung nach Kopien umgegangen werden muss: Bei welchen Verarbeitungen von Mitarbeiter- oder Kundendaten liegt es in der Natur der Sache, dass die reinen Daten ohne das sie beinhaltende Dokument nicht ausreichend sein werden? Sodann muss man festlegen, ob man im Rahmen der Bearbeitung eines konkreten Kopiebegehrens eher eine rechtssichere aber dafür aufwändigere Reaktion zeigen möchte, die eben weiter die Übermittlung ganzer Dokumente vorsieht, oder ob dies eher zur Ausnahme gekürt werden soll. Egal, ob es um diese grundlegenden Weichenstellungen oder um die Hilfe bei der konkreten Auskunft geht: Wir von MKM stehen Ihnen immer professionell und kompetent mit Rat und Tat zur Seite.