News

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.

 

Aussagen in der Entscheidung des EuGH

Im Rahmen der ersten Vorlagefrage hat sich der EuGH damit auseinandergesetzt, ob Art. 15 DSGVO Betroffenen auch dann einen Auskunftsanspruch verleiht, wenn mit dem Auskunftsantrag keine der in Erwägungsgrund 63 benannten klassischen „Datenschutz-Zwecke“ verfolgt werden. Bei der Beantwortung der zweiten Frage geht es darum, ob der deutsche Gesetzgeber die Kostenregelung für die Patientenakte aus § 630g Abs. 2 Satz 2 BGB auf Basis der Erlaubnis der Beschränkung des Auskunftsanspruchs aus Art. 23 Abs. 1 lit. i DSGVO treffen durfte und in der BGB-Vorschrift eine Ausnahme von der Grundregel „kostenlose erste Kopie“ regeln durfte. Im Rahmen der Klärung der letzten Vorlagefrage geht der EuGH darauf ein, wie weit das Recht auf Kopie reicht und wann ganze Dokumente oder Auszüge aus Dokumenten vom Kopieanspruch erfasst sind. Im Folgenden finden Sie eine Zusammenfassung unter Verweis auf das allgemeine Thema und die jeweils relevanten Randnummern in der EuGH-Entscheidung.

 

Thema: Relevante Vorschrift aus der DSGVO bei Rechtsmissbrauch

Randnummer im Urteil: 31 und 58

Zusammenfassung:

  • Vor dem Urteil war unklar, ob die Regelung aus Art. 12 Abs. 5 DSGVO (offensichtlich unbegründete oder exzessive Anträge) für rechtsmissbräuchliche Anfragen gilt oder nicht, weil dort „Rechtsmissbrauch“ o.ä. nicht explizit erwähnt wird
  • Der EuGH hat klargestellt, dass Unternehmen generell unter Berufung auf Art. 12 Abs. 5 DSGVO rechtmissbräuchliche Anfragen wegen offensichtlicher Unbegründetheit des Antrags oder wegen eines exzessiven Antrags ablehnen können
  • Zu den Voraussetzungen dafür, wann ein Auskunftsantrag rechtsmissbräuchlich ist, hat der EuGH keine Aussagen getroffen – der BGH ist in dem Fall davon ausgegangen, dass keine Rechtsmissbräuchlichkeit vorlag
  • Es ist davon auszugehen, dass der EuGH bei Anzeichen für einen rechtsmissbräuchlichen Antrag eine diesbezügliche Aussage getroffen hätte, um sein Auslegungsmonopol für die DSGVO zu wahren – ein Antrag auf Auskunft zur Nutzung der Informationen für die Geltendmachung von Haftungsansprüchen scheint deswegen nicht missbräuchlich zu sein

 

Thema: Die erste Kopie muss immer kostenlos sein

Randnummer im Urteil: 34

Zusammenfassung:

  • Der EuGH hat klargestellt, dass die erste Kopie der personenbezogenen Daten immer kostenlos sein muss
  • Ein Verantwortlicher kann nur dann (auf Grundlage von Art. 12 Abs. 5 lit. a DSGVO) ein Entgelt für eine Kopie verlangen, wenn zunächst eine erste Kopie kostenlos erteilt wurde

 

Thema: Verfolgung von Datenschutz-fremden Zwecken mit dem Erhalt der Kopie / Begründung des Auskunftsantrags

Randnummer im Urteil: 38 bis 43 und 51

Zusammenfassung:

  • In Erwägungsgrund 63 werden Zwecke des datenschutzrechtlichen Auskunftsanspruchs benannt
  • Mehrere Gerichte aus Deutschland haben in letzter Zeit vermehrt entschieden, dass bei Verfolgung von Datenschutz-fremden Zwecken (bspw. zur Geltendmachung von Haftungsansprüchen), die Auskunft nicht erteilt werden muss
  • Der EuGH hat klargestellt, dass ein Betroffener mit seiner Auskunftsanfrage nicht ein in Erwägungsgrund 63 benanntes Ziel verfolgen muss (in dem Fall wollte der Betroffene mit der Auskunft Haftungsansprüche ggü. dem Arzt geltend machen)
  • Es ist davon auszugehen, dass deutsche Gerichte in Zukunft nicht mehr so häufig das Bestehen eines Auskunftsanspruchs wegen der Verfolgung Datenschutz-fremder Zwecke ablehnen
  • Betroffene müssen ihren Antrag auf Auskunft nicht begründen und Unternehmen können nicht auf Basis von Art. 15 DSGVO Informationen zu den Motiven des Betroffenen verlangen
  • a. wegen der herausgehobenen Relevanz des Auskunftsanspruchs für das Recht auf Schutz personenbezogener Daten, kann ein Verantwortlicher nur dann einen Auskunftsantrag ablehnen oder ein Entgelt verlangen, wenn eine ausdrücklich in der DSGVO geregelte Ausnahme (allein in der DSGVO geregelt oder auf Basis von Art. 23 DSGVO in Kombination mit nationalem Recht) anwendbar ist

 

Thema: Geltung von Ausnahmen im nationalen Recht, die vor der DSGVO gesetzlich geregelt wurden

Randnummer im Urteil: 54 bis 56

Zusammenfassung:

  • Es war umstritten, ob auch schon vor der DSGVO im nationalen Recht geregelte Ausnahmen weiterhin für die DSGVO gelten können
  • Der EuGH hat geklärt, dass sich Unternehmen auch grundsätzlich auf Ausnahmen vom Auskunftsanspruch aus dem nationalen Recht berufen können, wenn diese vor der DSGVO erlassen wurden
  • Verschiedene spezialgesetzliche Ausnahmen aus verschiedenen deutschen Gesetzten, die vor der DSGVO erlassen wurden, können daher grundsätzlich weiterhin anwendbar sein

 

Thema: Kostenregelung aus § 630g Abs. 2 Satz 2 BGB

Randnummer im Urteil: 62 bis 68

Zusammenfassung:

  • Grundsätzlich ist es möglich, dass das Recht auf Erhalt einer kostenlosen Auskunft und Kopie im nationalen Recht eingeschränkt wird – dafür muss eine der Voraussetzungen aus Art. 23 Abs. 1 DSGVO erfüllt sein
  • Für den Fall wurde Art. 23 Abs. 1 lit. i DSGVO geprüft („den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“)
  • Laut Aussagen des BGH zielt die Kostenregelung im BGB vor allem auf den Schutz wirtschaftlicher Interessen des Arztes ab
  • Es ist laut dem EuGH nicht zum Schutz wirtschaftlicher Interessen des Verantwortlichen möglich, auf Basis von Art. 23 Abs. 1 lit. i DSGVO eine abweichende Kostenregelung vorzusehen
  • Der europäische Gesetzgeber hat in Art. 15 Abs. 4 DSGVO und Art. 12 Abs. 5 DSGVO bereits wirtschaftliche Interessen des Verantwortlichen berücksichtigt – deswegen kann es keine zusätzliche Kostenregelung in anderen Fällen als des Art. 12 Abs. 5 lit. a DSGVO zum Schutz wirtschaftlicher Interessen geben

 

Thema: Reichweite des Kopieanspruchs

Randnummer im Urteil: 71 bis 79

Zusammenfassung:

  • Der EuGH wiederholt seine Feststellungen zur Reichweite der Kopie aus der Rs. Österreichische Datenschutzbehörde und CRIF und verweist darauf, dass es ein Recht auf Erhalt der originalgetreuen Reproduktion der Daten ist, und betont, dass es primär um Kopien von Daten und nicht von Dokumenten geht
  • Insgesamt gibt es gegenüber den Aussagen in der Rs. Österreichische Datenschutzbehörde und CRIF so gut wie keine neuen Aussagen
  • Eine Kopie von Dokumenten oder Auszügen von Dokumenten ist dann für Verantwortliche verpflichtend, wenn dies für die Ausübung der weiteren Betroffenenrechte und Möglichkeit zur Prüfung der Rechtmäßigkeit der Datenverarbeitung für den Betroffenen erforderlich ist
  • Eine Kopie ganzer Dokumente oder von Auszügen aus Dokumenten ist dann verpflichtend, wenn dies für die Umsetzung der Anforderungen aus Art. 12 Abs. 1 DSGVO notwendig ist
  • Wenn Daten aus einer Patientenakte nicht kopiert, sondern nur übernommen und zusammengestellt werden würden, dann bestünde die Gefahr, dass Daten ausgelassen oder unrichtig wiedergegeben werden würden oder die Ausübung der Rechte für den Betroffenen erschwert werden würden – daraus lässt sich ableiten, dass der EuGH vermutlich eine Übernahme der Daten anstelle einer Kopie der Daten aus den Dokumenten nicht ausreichen lässt
  • Im Ergebnis bedeutet dies für das Patientenverhältnis, dass ein Recht auf Erhalt der Daten (nicht zwangsläufig der Dokumente) besteht, die in einer Patientenakte enthalten sind – welche Dokumente oder Auszüge aus Dokumenten kopiert werden müssen, wird erst der BGH entscheiden
  • Ob eine Kopie aller Dokumente in der Akte notwendig ist, muss im Einzelfall daran bestimmt werden, ob dies erforderlich ist, damit der Betroffene seine Rechte ausüben kann oder der Verantwortliche seine Pflichten aus Art. 12 Abs. 1 DSGVO vollständig erfüllen kann  

 

Folgen für die Praxis

Es ist davon auszugehen, dass deutsche Gericht in Zukunft nicht mehr so häufig einen Auskunftsanspruch ablehnen, wenn der Betroffene Datenschutz-fremde Zwecke verfolgt. Der BGH wird sich mit der Kostenregelung für die Patientenakte auseinandersetzen. Es steht jedenfalls fest, dass keine Kosten für eine erste Kopie verlangt werden können. Fernab dessen kann ein Verantwortlicher sich aber auch auf Ausnahmen von Betroffenenrechten berufen, die der nationale Gesetzgeber vor Geltung  der DSGVO erlassen hat. Tendenziell gehen wir davon aus, dass das Recht auf Kopie nach der Entscheidung des EuGH eher weiter verstanden wird als vorher. Auf diese Entscheidung des EuGH werden noch weitere Urteile zu selben und anderen Aspekten folgen. Wir halten Sie hierzu auf dem Laufenden.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Erneut Auszeichnung von der WirtschaftsWoche

Wir freuen uns, dass wir erneut durch die WirtschaftsWoche ausgezeichnet wurden.

Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte

Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.

Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff

Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.

Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.

Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten

Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.

 

Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet

Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.