News

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.

 

Aussagen in der Entscheidung des EuGH

Im Rahmen der ersten Vorlagefrage hat sich der EuGH damit auseinandergesetzt, ob Art. 15 DSGVO Betroffenen auch dann einen Auskunftsanspruch verleiht, wenn mit dem Auskunftsantrag keine der in Erwägungsgrund 63 benannten klassischen „Datenschutz-Zwecke“ verfolgt werden. Bei der Beantwortung der zweiten Frage geht es darum, ob der deutsche Gesetzgeber die Kostenregelung für die Patientenakte aus § 630g Abs. 2 Satz 2 BGB auf Basis der Erlaubnis der Beschränkung des Auskunftsanspruchs aus Art. 23 Abs. 1 lit. i DSGVO treffen durfte und in der BGB-Vorschrift eine Ausnahme von der Grundregel „kostenlose erste Kopie“ regeln durfte. Im Rahmen der Klärung der letzten Vorlagefrage geht der EuGH darauf ein, wie weit das Recht auf Kopie reicht und wann ganze Dokumente oder Auszüge aus Dokumenten vom Kopieanspruch erfasst sind. Im Folgenden finden Sie eine Zusammenfassung unter Verweis auf das allgemeine Thema und die jeweils relevanten Randnummern in der EuGH-Entscheidung.

 

Thema: Relevante Vorschrift aus der DSGVO bei Rechtsmissbrauch

Randnummer im Urteil: 31 und 58

Zusammenfassung:

  • Vor dem Urteil war unklar, ob die Regelung aus Art. 12 Abs. 5 DSGVO (offensichtlich unbegründete oder exzessive Anträge) für rechtsmissbräuchliche Anfragen gilt oder nicht, weil dort „Rechtsmissbrauch“ o.ä. nicht explizit erwähnt wird
  • Der EuGH hat klargestellt, dass Unternehmen generell unter Berufung auf Art. 12 Abs. 5 DSGVO rechtmissbräuchliche Anfragen wegen offensichtlicher Unbegründetheit des Antrags oder wegen eines exzessiven Antrags ablehnen können
  • Zu den Voraussetzungen dafür, wann ein Auskunftsantrag rechtsmissbräuchlich ist, hat der EuGH keine Aussagen getroffen – der BGH ist in dem Fall davon ausgegangen, dass keine Rechtsmissbräuchlichkeit vorlag
  • Es ist davon auszugehen, dass der EuGH bei Anzeichen für einen rechtsmissbräuchlichen Antrag eine diesbezügliche Aussage getroffen hätte, um sein Auslegungsmonopol für die DSGVO zu wahren – ein Antrag auf Auskunft zur Nutzung der Informationen für die Geltendmachung von Haftungsansprüchen scheint deswegen nicht missbräuchlich zu sein

 

Thema: Die erste Kopie muss immer kostenlos sein

Randnummer im Urteil: 34

Zusammenfassung:

  • Der EuGH hat klargestellt, dass die erste Kopie der personenbezogenen Daten immer kostenlos sein muss
  • Ein Verantwortlicher kann nur dann (auf Grundlage von Art. 12 Abs. 5 lit. a DSGVO) ein Entgelt für eine Kopie verlangen, wenn zunächst eine erste Kopie kostenlos erteilt wurde

 

Thema: Verfolgung von Datenschutz-fremden Zwecken mit dem Erhalt der Kopie / Begründung des Auskunftsantrags

Randnummer im Urteil: 38 bis 43 und 51

Zusammenfassung:

  • In Erwägungsgrund 63 werden Zwecke des datenschutzrechtlichen Auskunftsanspruchs benannt
  • Mehrere Gerichte aus Deutschland haben in letzter Zeit vermehrt entschieden, dass bei Verfolgung von Datenschutz-fremden Zwecken (bspw. zur Geltendmachung von Haftungsansprüchen), die Auskunft nicht erteilt werden muss
  • Der EuGH hat klargestellt, dass ein Betroffener mit seiner Auskunftsanfrage nicht ein in Erwägungsgrund 63 benanntes Ziel verfolgen muss (in dem Fall wollte der Betroffene mit der Auskunft Haftungsansprüche ggü. dem Arzt geltend machen)
  • Es ist davon auszugehen, dass deutsche Gerichte in Zukunft nicht mehr so häufig das Bestehen eines Auskunftsanspruchs wegen der Verfolgung Datenschutz-fremder Zwecke ablehnen
  • Betroffene müssen ihren Antrag auf Auskunft nicht begründen und Unternehmen können nicht auf Basis von Art. 15 DSGVO Informationen zu den Motiven des Betroffenen verlangen
  • a. wegen der herausgehobenen Relevanz des Auskunftsanspruchs für das Recht auf Schutz personenbezogener Daten, kann ein Verantwortlicher nur dann einen Auskunftsantrag ablehnen oder ein Entgelt verlangen, wenn eine ausdrücklich in der DSGVO geregelte Ausnahme (allein in der DSGVO geregelt oder auf Basis von Art. 23 DSGVO in Kombination mit nationalem Recht) anwendbar ist

 

Thema: Geltung von Ausnahmen im nationalen Recht, die vor der DSGVO gesetzlich geregelt wurden

Randnummer im Urteil: 54 bis 56

Zusammenfassung:

  • Es war umstritten, ob auch schon vor der DSGVO im nationalen Recht geregelte Ausnahmen weiterhin für die DSGVO gelten können
  • Der EuGH hat geklärt, dass sich Unternehmen auch grundsätzlich auf Ausnahmen vom Auskunftsanspruch aus dem nationalen Recht berufen können, wenn diese vor der DSGVO erlassen wurden
  • Verschiedene spezialgesetzliche Ausnahmen aus verschiedenen deutschen Gesetzten, die vor der DSGVO erlassen wurden, können daher grundsätzlich weiterhin anwendbar sein

 

Thema: Kostenregelung aus § 630g Abs. 2 Satz 2 BGB

Randnummer im Urteil: 62 bis 68

Zusammenfassung:

  • Grundsätzlich ist es möglich, dass das Recht auf Erhalt einer kostenlosen Auskunft und Kopie im nationalen Recht eingeschränkt wird – dafür muss eine der Voraussetzungen aus Art. 23 Abs. 1 DSGVO erfüllt sein
  • Für den Fall wurde Art. 23 Abs. 1 lit. i DSGVO geprüft („den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“)
  • Laut Aussagen des BGH zielt die Kostenregelung im BGB vor allem auf den Schutz wirtschaftlicher Interessen des Arztes ab
  • Es ist laut dem EuGH nicht zum Schutz wirtschaftlicher Interessen des Verantwortlichen möglich, auf Basis von Art. 23 Abs. 1 lit. i DSGVO eine abweichende Kostenregelung vorzusehen
  • Der europäische Gesetzgeber hat in Art. 15 Abs. 4 DSGVO und Art. 12 Abs. 5 DSGVO bereits wirtschaftliche Interessen des Verantwortlichen berücksichtigt – deswegen kann es keine zusätzliche Kostenregelung in anderen Fällen als des Art. 12 Abs. 5 lit. a DSGVO zum Schutz wirtschaftlicher Interessen geben

 

Thema: Reichweite des Kopieanspruchs

Randnummer im Urteil: 71 bis 79

Zusammenfassung:

  • Der EuGH wiederholt seine Feststellungen zur Reichweite der Kopie aus der Rs. Österreichische Datenschutzbehörde und CRIF und verweist darauf, dass es ein Recht auf Erhalt der originalgetreuen Reproduktion der Daten ist, und betont, dass es primär um Kopien von Daten und nicht von Dokumenten geht
  • Insgesamt gibt es gegenüber den Aussagen in der Rs. Österreichische Datenschutzbehörde und CRIF so gut wie keine neuen Aussagen
  • Eine Kopie von Dokumenten oder Auszügen von Dokumenten ist dann für Verantwortliche verpflichtend, wenn dies für die Ausübung der weiteren Betroffenenrechte und Möglichkeit zur Prüfung der Rechtmäßigkeit der Datenverarbeitung für den Betroffenen erforderlich ist
  • Eine Kopie ganzer Dokumente oder von Auszügen aus Dokumenten ist dann verpflichtend, wenn dies für die Umsetzung der Anforderungen aus Art. 12 Abs. 1 DSGVO notwendig ist
  • Wenn Daten aus einer Patientenakte nicht kopiert, sondern nur übernommen und zusammengestellt werden würden, dann bestünde die Gefahr, dass Daten ausgelassen oder unrichtig wiedergegeben werden würden oder die Ausübung der Rechte für den Betroffenen erschwert werden würden – daraus lässt sich ableiten, dass der EuGH vermutlich eine Übernahme der Daten anstelle einer Kopie der Daten aus den Dokumenten nicht ausreichen lässt
  • Im Ergebnis bedeutet dies für das Patientenverhältnis, dass ein Recht auf Erhalt der Daten (nicht zwangsläufig der Dokumente) besteht, die in einer Patientenakte enthalten sind – welche Dokumente oder Auszüge aus Dokumenten kopiert werden müssen, wird erst der BGH entscheiden
  • Ob eine Kopie aller Dokumente in der Akte notwendig ist, muss im Einzelfall daran bestimmt werden, ob dies erforderlich ist, damit der Betroffene seine Rechte ausüben kann oder der Verantwortliche seine Pflichten aus Art. 12 Abs. 1 DSGVO vollständig erfüllen kann  

 

Folgen für die Praxis

Es ist davon auszugehen, dass deutsche Gericht in Zukunft nicht mehr so häufig einen Auskunftsanspruch ablehnen, wenn der Betroffene Datenschutz-fremde Zwecke verfolgt. Der BGH wird sich mit der Kostenregelung für die Patientenakte auseinandersetzen. Es steht jedenfalls fest, dass keine Kosten für eine erste Kopie verlangt werden können. Fernab dessen kann ein Verantwortlicher sich aber auch auf Ausnahmen von Betroffenenrechten berufen, die der nationale Gesetzgeber vor Geltung  der DSGVO erlassen hat. Tendenziell gehen wir davon aus, dass das Recht auf Kopie nach der Entscheidung des EuGH eher weiter verstanden wird als vorher. Auf diese Entscheidung des EuGH werden noch weitere Urteile zu selben und anderen Aspekten folgen. Wir halten Sie hierzu auf dem Laufenden.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Neue Auszeichnungen für unsere Kanzlei!

Wir freuen uns sehr, dass Piltz Legal weitere Auszeichnungen u.a. im Bereich Datenschutzrecht erhalten hat.

Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?

Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.

Meldepflichten nach dem geplanten BSIG (Umsetzung NIS-2)

Als Umsetzung des Art. 23 Abs. 4 S. 1 NIS-2-Richtlinie finden sich in § 32 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) Ausführungen zu Meldepflichten für besonders wichtige Einrichtungen sowie wichtige Einrichtungen. Das BSIG-E ist Teil des Entwurfs zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG

Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

Barrierefreiheitsstärkungsgesetz (Teil 2) – Für welche Apps und Websites gilt das BFSG?

In Teil 1 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) haben wir uns bereits mit den allgemeinen Anforderungen des BFSG befasst. In Teil 2 geht es darum, für welche Apps und Websites das BFSG gilt.

Piltz Legal Whitepaper zur KI-Verordnung

Die KI-Verordnung, auch bekannt als Artificial Intelligence Act („AI Act“), ist kürzlich in Kraft getreten. Erstmalig wird damit ein harmonisierter Rechtsrahmen auf europäischer Ebene zum Einsatz von Künstlicher Intelligenz (KI) geschaffen. Die Verordnung gilt aufgrund ihrer Rechtsnatur bereits mit ihrem Inkrafttreten unmittelbar in allen Mitgliedstaaten, ohne dass ein weiterer Vollzugsakt notwendig wird.