News

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.

 

Aussagen in der Entscheidung des EuGH

Im Rahmen der ersten Vorlagefrage hat sich der EuGH damit auseinandergesetzt, ob Art. 15 DSGVO Betroffenen auch dann einen Auskunftsanspruch verleiht, wenn mit dem Auskunftsantrag keine der in Erwägungsgrund 63 benannten klassischen „Datenschutz-Zwecke“ verfolgt werden. Bei der Beantwortung der zweiten Frage geht es darum, ob der deutsche Gesetzgeber die Kostenregelung für die Patientenakte aus § 630g Abs. 2 Satz 2 BGB auf Basis der Erlaubnis der Beschränkung des Auskunftsanspruchs aus Art. 23 Abs. 1 lit. i DSGVO treffen durfte und in der BGB-Vorschrift eine Ausnahme von der Grundregel „kostenlose erste Kopie“ regeln durfte. Im Rahmen der Klärung der letzten Vorlagefrage geht der EuGH darauf ein, wie weit das Recht auf Kopie reicht und wann ganze Dokumente oder Auszüge aus Dokumenten vom Kopieanspruch erfasst sind. Im Folgenden finden Sie eine Zusammenfassung unter Verweis auf das allgemeine Thema und die jeweils relevanten Randnummern in der EuGH-Entscheidung.

 

Thema: Relevante Vorschrift aus der DSGVO bei Rechtsmissbrauch

Randnummer im Urteil: 31 und 58

Zusammenfassung:

  • Vor dem Urteil war unklar, ob die Regelung aus Art. 12 Abs. 5 DSGVO (offensichtlich unbegründete oder exzessive Anträge) für rechtsmissbräuchliche Anfragen gilt oder nicht, weil dort „Rechtsmissbrauch“ o.ä. nicht explizit erwähnt wird
  • Der EuGH hat klargestellt, dass Unternehmen generell unter Berufung auf Art. 12 Abs. 5 DSGVO rechtmissbräuchliche Anfragen wegen offensichtlicher Unbegründetheit des Antrags oder wegen eines exzessiven Antrags ablehnen können
  • Zu den Voraussetzungen dafür, wann ein Auskunftsantrag rechtsmissbräuchlich ist, hat der EuGH keine Aussagen getroffen – der BGH ist in dem Fall davon ausgegangen, dass keine Rechtsmissbräuchlichkeit vorlag
  • Es ist davon auszugehen, dass der EuGH bei Anzeichen für einen rechtsmissbräuchlichen Antrag eine diesbezügliche Aussage getroffen hätte, um sein Auslegungsmonopol für die DSGVO zu wahren – ein Antrag auf Auskunft zur Nutzung der Informationen für die Geltendmachung von Haftungsansprüchen scheint deswegen nicht missbräuchlich zu sein

 

Thema: Die erste Kopie muss immer kostenlos sein

Randnummer im Urteil: 34

Zusammenfassung:

  • Der EuGH hat klargestellt, dass die erste Kopie der personenbezogenen Daten immer kostenlos sein muss
  • Ein Verantwortlicher kann nur dann (auf Grundlage von Art. 12 Abs. 5 lit. a DSGVO) ein Entgelt für eine Kopie verlangen, wenn zunächst eine erste Kopie kostenlos erteilt wurde

 

Thema: Verfolgung von Datenschutz-fremden Zwecken mit dem Erhalt der Kopie / Begründung des Auskunftsantrags

Randnummer im Urteil: 38 bis 43 und 51

Zusammenfassung:

  • In Erwägungsgrund 63 werden Zwecke des datenschutzrechtlichen Auskunftsanspruchs benannt
  • Mehrere Gerichte aus Deutschland haben in letzter Zeit vermehrt entschieden, dass bei Verfolgung von Datenschutz-fremden Zwecken (bspw. zur Geltendmachung von Haftungsansprüchen), die Auskunft nicht erteilt werden muss
  • Der EuGH hat klargestellt, dass ein Betroffener mit seiner Auskunftsanfrage nicht ein in Erwägungsgrund 63 benanntes Ziel verfolgen muss (in dem Fall wollte der Betroffene mit der Auskunft Haftungsansprüche ggü. dem Arzt geltend machen)
  • Es ist davon auszugehen, dass deutsche Gerichte in Zukunft nicht mehr so häufig das Bestehen eines Auskunftsanspruchs wegen der Verfolgung Datenschutz-fremder Zwecke ablehnen
  • Betroffene müssen ihren Antrag auf Auskunft nicht begründen und Unternehmen können nicht auf Basis von Art. 15 DSGVO Informationen zu den Motiven des Betroffenen verlangen
  • a. wegen der herausgehobenen Relevanz des Auskunftsanspruchs für das Recht auf Schutz personenbezogener Daten, kann ein Verantwortlicher nur dann einen Auskunftsantrag ablehnen oder ein Entgelt verlangen, wenn eine ausdrücklich in der DSGVO geregelte Ausnahme (allein in der DSGVO geregelt oder auf Basis von Art. 23 DSGVO in Kombination mit nationalem Recht) anwendbar ist

 

Thema: Geltung von Ausnahmen im nationalen Recht, die vor der DSGVO gesetzlich geregelt wurden

Randnummer im Urteil: 54 bis 56

Zusammenfassung:

  • Es war umstritten, ob auch schon vor der DSGVO im nationalen Recht geregelte Ausnahmen weiterhin für die DSGVO gelten können
  • Der EuGH hat geklärt, dass sich Unternehmen auch grundsätzlich auf Ausnahmen vom Auskunftsanspruch aus dem nationalen Recht berufen können, wenn diese vor der DSGVO erlassen wurden
  • Verschiedene spezialgesetzliche Ausnahmen aus verschiedenen deutschen Gesetzten, die vor der DSGVO erlassen wurden, können daher grundsätzlich weiterhin anwendbar sein

 

Thema: Kostenregelung aus § 630g Abs. 2 Satz 2 BGB

Randnummer im Urteil: 62 bis 68

Zusammenfassung:

  • Grundsätzlich ist es möglich, dass das Recht auf Erhalt einer kostenlosen Auskunft und Kopie im nationalen Recht eingeschränkt wird – dafür muss eine der Voraussetzungen aus Art. 23 Abs. 1 DSGVO erfüllt sein
  • Für den Fall wurde Art. 23 Abs. 1 lit. i DSGVO geprüft („den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“)
  • Laut Aussagen des BGH zielt die Kostenregelung im BGB vor allem auf den Schutz wirtschaftlicher Interessen des Arztes ab
  • Es ist laut dem EuGH nicht zum Schutz wirtschaftlicher Interessen des Verantwortlichen möglich, auf Basis von Art. 23 Abs. 1 lit. i DSGVO eine abweichende Kostenregelung vorzusehen
  • Der europäische Gesetzgeber hat in Art. 15 Abs. 4 DSGVO und Art. 12 Abs. 5 DSGVO bereits wirtschaftliche Interessen des Verantwortlichen berücksichtigt – deswegen kann es keine zusätzliche Kostenregelung in anderen Fällen als des Art. 12 Abs. 5 lit. a DSGVO zum Schutz wirtschaftlicher Interessen geben

 

Thema: Reichweite des Kopieanspruchs

Randnummer im Urteil: 71 bis 79

Zusammenfassung:

  • Der EuGH wiederholt seine Feststellungen zur Reichweite der Kopie aus der Rs. Österreichische Datenschutzbehörde und CRIF und verweist darauf, dass es ein Recht auf Erhalt der originalgetreuen Reproduktion der Daten ist, und betont, dass es primär um Kopien von Daten und nicht von Dokumenten geht
  • Insgesamt gibt es gegenüber den Aussagen in der Rs. Österreichische Datenschutzbehörde und CRIF so gut wie keine neuen Aussagen
  • Eine Kopie von Dokumenten oder Auszügen von Dokumenten ist dann für Verantwortliche verpflichtend, wenn dies für die Ausübung der weiteren Betroffenenrechte und Möglichkeit zur Prüfung der Rechtmäßigkeit der Datenverarbeitung für den Betroffenen erforderlich ist
  • Eine Kopie ganzer Dokumente oder von Auszügen aus Dokumenten ist dann verpflichtend, wenn dies für die Umsetzung der Anforderungen aus Art. 12 Abs. 1 DSGVO notwendig ist
  • Wenn Daten aus einer Patientenakte nicht kopiert, sondern nur übernommen und zusammengestellt werden würden, dann bestünde die Gefahr, dass Daten ausgelassen oder unrichtig wiedergegeben werden würden oder die Ausübung der Rechte für den Betroffenen erschwert werden würden – daraus lässt sich ableiten, dass der EuGH vermutlich eine Übernahme der Daten anstelle einer Kopie der Daten aus den Dokumenten nicht ausreichen lässt
  • Im Ergebnis bedeutet dies für das Patientenverhältnis, dass ein Recht auf Erhalt der Daten (nicht zwangsläufig der Dokumente) besteht, die in einer Patientenakte enthalten sind – welche Dokumente oder Auszüge aus Dokumenten kopiert werden müssen, wird erst der BGH entscheiden
  • Ob eine Kopie aller Dokumente in der Akte notwendig ist, muss im Einzelfall daran bestimmt werden, ob dies erforderlich ist, damit der Betroffene seine Rechte ausüben kann oder der Verantwortliche seine Pflichten aus Art. 12 Abs. 1 DSGVO vollständig erfüllen kann  

 

Folgen für die Praxis

Es ist davon auszugehen, dass deutsche Gericht in Zukunft nicht mehr so häufig einen Auskunftsanspruch ablehnen, wenn der Betroffene Datenschutz-fremde Zwecke verfolgt. Der BGH wird sich mit der Kostenregelung für die Patientenakte auseinandersetzen. Es steht jedenfalls fest, dass keine Kosten für eine erste Kopie verlangt werden können. Fernab dessen kann ein Verantwortlicher sich aber auch auf Ausnahmen von Betroffenenrechten berufen, die der nationale Gesetzgeber vor Geltung  der DSGVO erlassen hat. Tendenziell gehen wir davon aus, dass das Recht auf Kopie nach der Entscheidung des EuGH eher weiter verstanden wird als vorher. Auf diese Entscheidung des EuGH werden noch weitere Urteile zu selben und anderen Aspekten folgen. Wir halten Sie hierzu auf dem Laufenden.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden

Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.

Weiterer Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO

In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 05/2023) wurde ein weiterer Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.

Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten

Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.

Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an

In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert.

Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023

Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).

Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer

Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.