News

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.

 

Aussagen in der Entscheidung des EuGH

Im Rahmen der ersten Vorlagefrage hat sich der EuGH damit auseinandergesetzt, ob Art. 15 DSGVO Betroffenen auch dann einen Auskunftsanspruch verleiht, wenn mit dem Auskunftsantrag keine der in Erwägungsgrund 63 benannten klassischen „Datenschutz-Zwecke“ verfolgt werden. Bei der Beantwortung der zweiten Frage geht es darum, ob der deutsche Gesetzgeber die Kostenregelung für die Patientenakte aus § 630g Abs. 2 Satz 2 BGB auf Basis der Erlaubnis der Beschränkung des Auskunftsanspruchs aus Art. 23 Abs. 1 lit. i DSGVO treffen durfte und in der BGB-Vorschrift eine Ausnahme von der Grundregel „kostenlose erste Kopie“ regeln durfte. Im Rahmen der Klärung der letzten Vorlagefrage geht der EuGH darauf ein, wie weit das Recht auf Kopie reicht und wann ganze Dokumente oder Auszüge aus Dokumenten vom Kopieanspruch erfasst sind. Im Folgenden finden Sie eine Zusammenfassung unter Verweis auf das allgemeine Thema und die jeweils relevanten Randnummern in der EuGH-Entscheidung.

 

Thema: Relevante Vorschrift aus der DSGVO bei Rechtsmissbrauch

Randnummer im Urteil: 31 und 58

Zusammenfassung:

  • Vor dem Urteil war unklar, ob die Regelung aus Art. 12 Abs. 5 DSGVO (offensichtlich unbegründete oder exzessive Anträge) für rechtsmissbräuchliche Anfragen gilt oder nicht, weil dort „Rechtsmissbrauch“ o.ä. nicht explizit erwähnt wird
  • Der EuGH hat klargestellt, dass Unternehmen generell unter Berufung auf Art. 12 Abs. 5 DSGVO rechtmissbräuchliche Anfragen wegen offensichtlicher Unbegründetheit des Antrags oder wegen eines exzessiven Antrags ablehnen können
  • Zu den Voraussetzungen dafür, wann ein Auskunftsantrag rechtsmissbräuchlich ist, hat der EuGH keine Aussagen getroffen – der BGH ist in dem Fall davon ausgegangen, dass keine Rechtsmissbräuchlichkeit vorlag
  • Es ist davon auszugehen, dass der EuGH bei Anzeichen für einen rechtsmissbräuchlichen Antrag eine diesbezügliche Aussage getroffen hätte, um sein Auslegungsmonopol für die DSGVO zu wahren – ein Antrag auf Auskunft zur Nutzung der Informationen für die Geltendmachung von Haftungsansprüchen scheint deswegen nicht missbräuchlich zu sein

 

Thema: Die erste Kopie muss immer kostenlos sein

Randnummer im Urteil: 34

Zusammenfassung:

  • Der EuGH hat klargestellt, dass die erste Kopie der personenbezogenen Daten immer kostenlos sein muss
  • Ein Verantwortlicher kann nur dann (auf Grundlage von Art. 12 Abs. 5 lit. a DSGVO) ein Entgelt für eine Kopie verlangen, wenn zunächst eine erste Kopie kostenlos erteilt wurde

 

Thema: Verfolgung von Datenschutz-fremden Zwecken mit dem Erhalt der Kopie / Begründung des Auskunftsantrags

Randnummer im Urteil: 38 bis 43 und 51

Zusammenfassung:

  • In Erwägungsgrund 63 werden Zwecke des datenschutzrechtlichen Auskunftsanspruchs benannt
  • Mehrere Gerichte aus Deutschland haben in letzter Zeit vermehrt entschieden, dass bei Verfolgung von Datenschutz-fremden Zwecken (bspw. zur Geltendmachung von Haftungsansprüchen), die Auskunft nicht erteilt werden muss
  • Der EuGH hat klargestellt, dass ein Betroffener mit seiner Auskunftsanfrage nicht ein in Erwägungsgrund 63 benanntes Ziel verfolgen muss (in dem Fall wollte der Betroffene mit der Auskunft Haftungsansprüche ggü. dem Arzt geltend machen)
  • Es ist davon auszugehen, dass deutsche Gerichte in Zukunft nicht mehr so häufig das Bestehen eines Auskunftsanspruchs wegen der Verfolgung Datenschutz-fremder Zwecke ablehnen
  • Betroffene müssen ihren Antrag auf Auskunft nicht begründen und Unternehmen können nicht auf Basis von Art. 15 DSGVO Informationen zu den Motiven des Betroffenen verlangen
  • a. wegen der herausgehobenen Relevanz des Auskunftsanspruchs für das Recht auf Schutz personenbezogener Daten, kann ein Verantwortlicher nur dann einen Auskunftsantrag ablehnen oder ein Entgelt verlangen, wenn eine ausdrücklich in der DSGVO geregelte Ausnahme (allein in der DSGVO geregelt oder auf Basis von Art. 23 DSGVO in Kombination mit nationalem Recht) anwendbar ist

 

Thema: Geltung von Ausnahmen im nationalen Recht, die vor der DSGVO gesetzlich geregelt wurden

Randnummer im Urteil: 54 bis 56

Zusammenfassung:

  • Es war umstritten, ob auch schon vor der DSGVO im nationalen Recht geregelte Ausnahmen weiterhin für die DSGVO gelten können
  • Der EuGH hat geklärt, dass sich Unternehmen auch grundsätzlich auf Ausnahmen vom Auskunftsanspruch aus dem nationalen Recht berufen können, wenn diese vor der DSGVO erlassen wurden
  • Verschiedene spezialgesetzliche Ausnahmen aus verschiedenen deutschen Gesetzten, die vor der DSGVO erlassen wurden, können daher grundsätzlich weiterhin anwendbar sein

 

Thema: Kostenregelung aus § 630g Abs. 2 Satz 2 BGB

Randnummer im Urteil: 62 bis 68

Zusammenfassung:

  • Grundsätzlich ist es möglich, dass das Recht auf Erhalt einer kostenlosen Auskunft und Kopie im nationalen Recht eingeschränkt wird – dafür muss eine der Voraussetzungen aus Art. 23 Abs. 1 DSGVO erfüllt sein
  • Für den Fall wurde Art. 23 Abs. 1 lit. i DSGVO geprüft („den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“)
  • Laut Aussagen des BGH zielt die Kostenregelung im BGB vor allem auf den Schutz wirtschaftlicher Interessen des Arztes ab
  • Es ist laut dem EuGH nicht zum Schutz wirtschaftlicher Interessen des Verantwortlichen möglich, auf Basis von Art. 23 Abs. 1 lit. i DSGVO eine abweichende Kostenregelung vorzusehen
  • Der europäische Gesetzgeber hat in Art. 15 Abs. 4 DSGVO und Art. 12 Abs. 5 DSGVO bereits wirtschaftliche Interessen des Verantwortlichen berücksichtigt – deswegen kann es keine zusätzliche Kostenregelung in anderen Fällen als des Art. 12 Abs. 5 lit. a DSGVO zum Schutz wirtschaftlicher Interessen geben

 

Thema: Reichweite des Kopieanspruchs

Randnummer im Urteil: 71 bis 79

Zusammenfassung:

  • Der EuGH wiederholt seine Feststellungen zur Reichweite der Kopie aus der Rs. Österreichische Datenschutzbehörde und CRIF und verweist darauf, dass es ein Recht auf Erhalt der originalgetreuen Reproduktion der Daten ist, und betont, dass es primär um Kopien von Daten und nicht von Dokumenten geht
  • Insgesamt gibt es gegenüber den Aussagen in der Rs. Österreichische Datenschutzbehörde und CRIF so gut wie keine neuen Aussagen
  • Eine Kopie von Dokumenten oder Auszügen von Dokumenten ist dann für Verantwortliche verpflichtend, wenn dies für die Ausübung der weiteren Betroffenenrechte und Möglichkeit zur Prüfung der Rechtmäßigkeit der Datenverarbeitung für den Betroffenen erforderlich ist
  • Eine Kopie ganzer Dokumente oder von Auszügen aus Dokumenten ist dann verpflichtend, wenn dies für die Umsetzung der Anforderungen aus Art. 12 Abs. 1 DSGVO notwendig ist
  • Wenn Daten aus einer Patientenakte nicht kopiert, sondern nur übernommen und zusammengestellt werden würden, dann bestünde die Gefahr, dass Daten ausgelassen oder unrichtig wiedergegeben werden würden oder die Ausübung der Rechte für den Betroffenen erschwert werden würden – daraus lässt sich ableiten, dass der EuGH vermutlich eine Übernahme der Daten anstelle einer Kopie der Daten aus den Dokumenten nicht ausreichen lässt
  • Im Ergebnis bedeutet dies für das Patientenverhältnis, dass ein Recht auf Erhalt der Daten (nicht zwangsläufig der Dokumente) besteht, die in einer Patientenakte enthalten sind – welche Dokumente oder Auszüge aus Dokumenten kopiert werden müssen, wird erst der BGH entscheiden
  • Ob eine Kopie aller Dokumente in der Akte notwendig ist, muss im Einzelfall daran bestimmt werden, ob dies erforderlich ist, damit der Betroffene seine Rechte ausüben kann oder der Verantwortliche seine Pflichten aus Art. 12 Abs. 1 DSGVO vollständig erfüllen kann  

 

Folgen für die Praxis

Es ist davon auszugehen, dass deutsche Gericht in Zukunft nicht mehr so häufig einen Auskunftsanspruch ablehnen, wenn der Betroffene Datenschutz-fremde Zwecke verfolgt. Der BGH wird sich mit der Kostenregelung für die Patientenakte auseinandersetzen. Es steht jedenfalls fest, dass keine Kosten für eine erste Kopie verlangt werden können. Fernab dessen kann ein Verantwortlicher sich aber auch auf Ausnahmen von Betroffenenrechten berufen, die der nationale Gesetzgeber vor Geltung  der DSGVO erlassen hat. Tendenziell gehen wir davon aus, dass das Recht auf Kopie nach der Entscheidung des EuGH eher weiter verstanden wird als vorher. Auf diese Entscheidung des EuGH werden noch weitere Urteile zu selben und anderen Aspekten folgen. Wir halten Sie hierzu auf dem Laufenden.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig