News
EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023
Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.
Aussagen in der Entscheidung des EuGH
Im Rahmen der ersten Vorlagefrage hat sich der EuGH damit auseinandergesetzt, ob Art. 15 DSGVO Betroffenen auch dann einen Auskunftsanspruch verleiht, wenn mit dem Auskunftsantrag keine der in Erwägungsgrund 63 benannten klassischen „Datenschutz-Zwecke“ verfolgt werden. Bei der Beantwortung der zweiten Frage geht es darum, ob der deutsche Gesetzgeber die Kostenregelung für die Patientenakte aus § 630g Abs. 2 Satz 2 BGB auf Basis der Erlaubnis der Beschränkung des Auskunftsanspruchs aus Art. 23 Abs. 1 lit. i DSGVO treffen durfte und in der BGB-Vorschrift eine Ausnahme von der Grundregel „kostenlose erste Kopie“ regeln durfte. Im Rahmen der Klärung der letzten Vorlagefrage geht der EuGH darauf ein, wie weit das Recht auf Kopie reicht und wann ganze Dokumente oder Auszüge aus Dokumenten vom Kopieanspruch erfasst sind. Im Folgenden finden Sie eine Zusammenfassung unter Verweis auf das allgemeine Thema und die jeweils relevanten Randnummern in der EuGH-Entscheidung.
Thema: Relevante Vorschrift aus der DSGVO bei Rechtsmissbrauch
Randnummer im Urteil: 31 und 58
Zusammenfassung:
- Vor dem Urteil war unklar, ob die Regelung aus Art. 12 Abs. 5 DSGVO (offensichtlich unbegründete oder exzessive Anträge) für rechtsmissbräuchliche Anfragen gilt oder nicht, weil dort „Rechtsmissbrauch“ o.ä. nicht explizit erwähnt wird
- Der EuGH hat klargestellt, dass Unternehmen generell unter Berufung auf Art. 12 Abs. 5 DSGVO rechtmissbräuchliche Anfragen wegen offensichtlicher Unbegründetheit des Antrags oder wegen eines exzessiven Antrags ablehnen können
- Zu den Voraussetzungen dafür, wann ein Auskunftsantrag rechtsmissbräuchlich ist, hat der EuGH keine Aussagen getroffen – der BGH ist in dem Fall davon ausgegangen, dass keine Rechtsmissbräuchlichkeit vorlag
- Es ist davon auszugehen, dass der EuGH bei Anzeichen für einen rechtsmissbräuchlichen Antrag eine diesbezügliche Aussage getroffen hätte, um sein Auslegungsmonopol für die DSGVO zu wahren – ein Antrag auf Auskunft zur Nutzung der Informationen für die Geltendmachung von Haftungsansprüchen scheint deswegen nicht missbräuchlich zu sein
Thema: Die erste Kopie muss immer kostenlos sein
Randnummer im Urteil: 34
Zusammenfassung:
- Der EuGH hat klargestellt, dass die erste Kopie der personenbezogenen Daten immer kostenlos sein muss
- Ein Verantwortlicher kann nur dann (auf Grundlage von Art. 12 Abs. 5 lit. a DSGVO) ein Entgelt für eine Kopie verlangen, wenn zunächst eine erste Kopie kostenlos erteilt wurde
Thema: Verfolgung von Datenschutz-fremden Zwecken mit dem Erhalt der Kopie / Begründung des Auskunftsantrags
Randnummer im Urteil: 38 bis 43 und 51
Zusammenfassung:
- In Erwägungsgrund 63 werden Zwecke des datenschutzrechtlichen Auskunftsanspruchs benannt
- Mehrere Gerichte aus Deutschland haben in letzter Zeit vermehrt entschieden, dass bei Verfolgung von Datenschutz-fremden Zwecken (bspw. zur Geltendmachung von Haftungsansprüchen), die Auskunft nicht erteilt werden muss
- Der EuGH hat klargestellt, dass ein Betroffener mit seiner Auskunftsanfrage nicht ein in Erwägungsgrund 63 benanntes Ziel verfolgen muss (in dem Fall wollte der Betroffene mit der Auskunft Haftungsansprüche ggü. dem Arzt geltend machen)
- Es ist davon auszugehen, dass deutsche Gerichte in Zukunft nicht mehr so häufig das Bestehen eines Auskunftsanspruchs wegen der Verfolgung Datenschutz-fremder Zwecke ablehnen
- Betroffene müssen ihren Antrag auf Auskunft nicht begründen und Unternehmen können nicht auf Basis von Art. 15 DSGVO Informationen zu den Motiven des Betroffenen verlangen
- a. wegen der herausgehobenen Relevanz des Auskunftsanspruchs für das Recht auf Schutz personenbezogener Daten, kann ein Verantwortlicher nur dann einen Auskunftsantrag ablehnen oder ein Entgelt verlangen, wenn eine ausdrücklich in der DSGVO geregelte Ausnahme (allein in der DSGVO geregelt oder auf Basis von Art. 23 DSGVO in Kombination mit nationalem Recht) anwendbar ist
Thema: Geltung von Ausnahmen im nationalen Recht, die vor der DSGVO gesetzlich geregelt wurden
Randnummer im Urteil: 54 bis 56
Zusammenfassung:
- Es war umstritten, ob auch schon vor der DSGVO im nationalen Recht geregelte Ausnahmen weiterhin für die DSGVO gelten können
- Der EuGH hat geklärt, dass sich Unternehmen auch grundsätzlich auf Ausnahmen vom Auskunftsanspruch aus dem nationalen Recht berufen können, wenn diese vor der DSGVO erlassen wurden
- Verschiedene spezialgesetzliche Ausnahmen aus verschiedenen deutschen Gesetzten, die vor der DSGVO erlassen wurden, können daher grundsätzlich weiterhin anwendbar sein
Thema: Kostenregelung aus § 630g Abs. 2 Satz 2 BGB
Randnummer im Urteil: 62 bis 68
Zusammenfassung:
- Grundsätzlich ist es möglich, dass das Recht auf Erhalt einer kostenlosen Auskunft und Kopie im nationalen Recht eingeschränkt wird – dafür muss eine der Voraussetzungen aus Art. 23 Abs. 1 DSGVO erfüllt sein
- Für den Fall wurde Art. 23 Abs. 1 lit. i DSGVO geprüft („den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“)
- Laut Aussagen des BGH zielt die Kostenregelung im BGB vor allem auf den Schutz wirtschaftlicher Interessen des Arztes ab
- Es ist laut dem EuGH nicht zum Schutz wirtschaftlicher Interessen des Verantwortlichen möglich, auf Basis von Art. 23 Abs. 1 lit. i DSGVO eine abweichende Kostenregelung vorzusehen
- Der europäische Gesetzgeber hat in Art. 15 Abs. 4 DSGVO und Art. 12 Abs. 5 DSGVO bereits wirtschaftliche Interessen des Verantwortlichen berücksichtigt – deswegen kann es keine zusätzliche Kostenregelung in anderen Fällen als des Art. 12 Abs. 5 lit. a DSGVO zum Schutz wirtschaftlicher Interessen geben
Thema: Reichweite des Kopieanspruchs
Randnummer im Urteil: 71 bis 79
Zusammenfassung:
- Der EuGH wiederholt seine Feststellungen zur Reichweite der Kopie aus der Rs. Österreichische Datenschutzbehörde und CRIF und verweist darauf, dass es ein Recht auf Erhalt der originalgetreuen Reproduktion der Daten ist, und betont, dass es primär um Kopien von Daten und nicht von Dokumenten geht
- Insgesamt gibt es gegenüber den Aussagen in der Rs. Österreichische Datenschutzbehörde und CRIF so gut wie keine neuen Aussagen
- Eine Kopie von Dokumenten oder Auszügen von Dokumenten ist dann für Verantwortliche verpflichtend, wenn dies für die Ausübung der weiteren Betroffenenrechte und Möglichkeit zur Prüfung der Rechtmäßigkeit der Datenverarbeitung für den Betroffenen erforderlich ist
- Eine Kopie ganzer Dokumente oder von Auszügen aus Dokumenten ist dann verpflichtend, wenn dies für die Umsetzung der Anforderungen aus Art. 12 Abs. 1 DSGVO notwendig ist
- Wenn Daten aus einer Patientenakte nicht kopiert, sondern nur übernommen und zusammengestellt werden würden, dann bestünde die Gefahr, dass Daten ausgelassen oder unrichtig wiedergegeben werden würden oder die Ausübung der Rechte für den Betroffenen erschwert werden würden – daraus lässt sich ableiten, dass der EuGH vermutlich eine Übernahme der Daten anstelle einer Kopie der Daten aus den Dokumenten nicht ausreichen lässt
- Im Ergebnis bedeutet dies für das Patientenverhältnis, dass ein Recht auf Erhalt der Daten (nicht zwangsläufig der Dokumente) besteht, die in einer Patientenakte enthalten sind – welche Dokumente oder Auszüge aus Dokumenten kopiert werden müssen, wird erst der BGH entscheiden
- Ob eine Kopie aller Dokumente in der Akte notwendig ist, muss im Einzelfall daran bestimmt werden, ob dies erforderlich ist, damit der Betroffene seine Rechte ausüben kann oder der Verantwortliche seine Pflichten aus Art. 12 Abs. 1 DSGVO vollständig erfüllen kann
Folgen für die Praxis
Es ist davon auszugehen, dass deutsche Gericht in Zukunft nicht mehr so häufig einen Auskunftsanspruch ablehnen, wenn der Betroffene Datenschutz-fremde Zwecke verfolgt. Der BGH wird sich mit der Kostenregelung für die Patientenakte auseinandersetzen. Es steht jedenfalls fest, dass keine Kosten für eine erste Kopie verlangt werden können. Fernab dessen kann ein Verantwortlicher sich aber auch auf Ausnahmen von Betroffenenrechten berufen, die der nationale Gesetzgeber vor Geltung der DSGVO erlassen hat. Tendenziell gehen wir davon aus, dass das Recht auf Kopie nach der Entscheidung des EuGH eher weiter verstanden wird als vorher. Auf diese Entscheidung des EuGH werden noch weitere Urteile zu selben und anderen Aspekten folgen. Wir halten Sie hierzu auf dem Laufenden.
News
DSK zum datenschutzkonformen KI-Einsatz
Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.
Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen
In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.
Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht
Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen
Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.
FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)
FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)
- Worum ging es (Kurzfassung)?
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet