Nach Artikel 15 DSGVO haben betroffene Personen ein Recht darauf, vom datenschutzrechtlich Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; wenn ja, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf allerhand Informationen. Streit vor Gericht gab es nun in zwei Fällen darüber, wie diese Auskunft zu erfolgen hat.
Dem Oberlandesgericht Frankfurt genügt dafür die Bereitstellung eines Self-Service-Tools. Im konkreten Fall wollte ein Nutzer eines sozialen Netzwerks über seinen Anwalt Auskunft über seine gespeicherten personenbezogenen Daten (sowie Schadensersatz) haben. Das soziale Netzwerk verwies den Kläger auf ein Self-Service-Tool, über das er seine Daten selbst einsehen und abfragen könne. Im konkreten Fall entschied das OLG, dass diese Bereitstellung den Auskunftsanspruch nach der DSGVO erfüllt; da davon auszugehen sei, dass Betroffene nicht „analog lebe“ oder nicht über die notwendigen technischen Kenntnisse verfüge. Für solche Personengruppen könnten Self-Servic-Tools unzureichend sein, so das Gericht.
Das Landgericht Ellwangen hat hingegen bestätigt, dass Artikel 15 einen Anspruch der betroffenen Person hergibt, sie betreffende Informationen in einem bestimmten Dateiformat (hier: Excel) zu verlangen, soweit hierdurch dem Verantwortlichen keine zusätzlichen Kosten entstehen.
Vor dem Amtsgericht Köln ging es nicht ums Wie, sondern was Teil der Auskunft ist – und was nicht: Gesprächsprotokolle und Schriftwechsel sind demnach keine der Verarbeitung unterliegenden personenbezogenen Daten – der Anspruch aus Art. 15 DSGVO diene nicht der vereinfachten Buchführung des Betroffenen, sondern soll eben sicherstellen, dass er den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.
Beim Landgericht Wiesbaden ging es um den nächsten Artikel der DSGVO: Score-Werte der Schufa sind dem Gericht zufolge keine (falschen oder richtigen) personenbezogenen Daten, sondern eine Meinungsäußerung, sodass kein Anspruch auf Berichtigung nach Art. 16 DSGVO besteht.
Endlich eine obergerichtliche Rechtsprechung zu Artikel 82 DSGVO vom Bundesgerichtshof: Nachdem schon bei zahlreichen kleineren Gerichten Klagen auf Schadenersatz geltend gemacht wurden – immer mit dem Argument, man habe infolge eines „Scrapings“ im April 2021 (als 1 von etwa 553 Millionen Nutzern eines sozialen Netzwerks) einen Kontrollverlust erlitten – entschied der BGH nun, dass tatsächlich bereits der bloße und vorübergehende Verlust der Kontrolle über personenbezogene Daten ausreicht, um einen Anspruch auf den Ersatz eines immateriellen Schadens gemäß Art. 82 DSGVO zu begründen. Bislang hatte der BGH Schadensersatzforderungen regelmäßig abgelehnt, wenn Kläger nur angaben, sich abstrakt zu fürchten oder sich geärgert zu haben, ohne dass konkrete negative (nachweisbare!) Folgen dargelegt wurden. Nun meint der BGH aber, dass keine besondere Beeinträchtigung durch die Betroffenen nachgewiesen werden muss. Allein der Kontrollverlust genüge, um einen immateriellen Schaden anzunehmen – dafür seien etwa 100 Euro Schadenersatz angemessen, so der BGH.
Das OLG Schleswig-Holstein wiederum befasste sich mit unverschlüsselten E-Mails: Ein Bauunternehmen hatte seine Abschlussrechnung über etwa 15.000 Euro auf diesem Wege an seinen (privaten) Auftraggeber geschickt. Bei dieser wurde „unterwegs“ die Bankverbindung manipuliert, sodass der Kunde die geforderte Summe unwissentlich an Kriminelle überwies. Das Bauunternehmen forderte ihn daher auf, erneut zu zahlen. Dies wies der Auftraggeber zurück und klagte auf Schadensersatzanspruch gem. Art. 82 DSGVO in gleicher Höhe, da die Rechnung ungeschützt per E-Mail versandt wurde und er dadurch einen Schaden erlitten habe. Das OLG gab ihm recht, da das Bauunternehmen mit dem Versand der Rechnung per einfacher E-Mail kein angemessenes Sicherheitsniveau gewährleistet habe. Eine reine Transportverschlüsselung reiche dafür nicht aus; vielmehr sei eine Ende-zu-Ende-Verschlüsselung erforderlich, so das Gericht. Eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung ergibt sich aus der Entscheidung allerdings nicht. Weitere Gedanken in ähnlicher Richtung hat sich auch das Landgericht Rostock gemacht.
Und zum Abschluss gehen wir noch auf die europäische Ebene zum EuGH, der dem Ganzen mal wieder die Krone aufsetzt: In Frage stand, ob die Anrede von der französischen Bahn SCNF zur Erfüllung des Beförderungsvertrags oder auf Basis einer Interessenabwägung verarbeitet werden darf. Das (zugegeben vorhersehbare) Ergebnis: Die Geschlechtsidentität des Kunden ist keine für den Erwerb eines Fahrscheins erforderliche Angabe. Die Erhebung von Daten hinsichtlich der Anrede der Kunden sei nicht objektiv unerlässlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren.
So weit, so nachvollziehbar. In der Urteilsbegründung steht aber auch: Wenn personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeitet werden (Art. 6 Abs. 1 lit. f) DSGVO), muss dem Betroffenen zum Zeitpunkt der Datenerhebung das geltend gemachte Interesse mitgeteilt werden (Art. 13 Abs. 1 lit. d) DSGVO). SNCF müsste also darüber informieren, warum es wissen möchte, ob der Fahrgast als Anrede „Herr“, „Frau“ oder eine neutrale Bezeichnung wünscht. Normalerweise wird das Interesse in den allgemeinen Datenschutzhinweisen angegeben.
Das Urteil verweist aber auf die Schlussanträge des Generalanwalts, in denen steht, dass ein allgemeiner Verweis auf ein berechtigtes Interesse in der Datenschutzerklärung den Anforderungen von Art. 13 Abs. 1 lit. d DSGVO nicht gerecht wird, da der Kunde diese ja gezielt suchen müsse. Der Generalanwalt interpretiert den Artikel aber so, dass das verfolgte berechtigte Interesse zum Zeitpunkt der Datenerhebung der Daten „unmittelbar“ dann dem Kunden mitzuteilen ist, wenn er die fraglichen ihn betreffenden Daten bereitstellt. Das klingt so, als wolle der EuGH, dass neben jedem Eingabefeld künftig separat steht, warum die Internetseite diese Angabe benötigt. Hoffen wir, dass der EuGH dies im Sinne der Praxistauglichkeit nochmals überdenkt – oder die EU-Kommission hier nochmal die DSGVO expliziter nachjustiert. Nicht, dass das noch Schule macht.