Gilt das Recht auf kostenlose Auskunft auch bei anderen legitimen Zwecken, aber datenschutzfremden Zwecken?

Diese Frage soll nun der EuGH klären. Anlass ist ein Vorlagebeschluss des Bundesgerichtshofs (BGH) vom 29.03.2022, Az. VI ZR 1352/20. Insbesondere soll geklärt werden, unter welchen Voraussetzungen und in welchem Umfang Ärzte ihren Patienten eine unentgeltliche Kopie der Patientenakte herausgeben müssen.

Im konkreten Fall verlangt der Patient für die Prüfung eines möglichen Behandlungsfehlers seiner Ärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei ihr existierender, ihn betreffender Krankenunterlagen und stützt sich hierbei auf die DSGVO. Die Ärtzin hingegen ist der Auffassung, dass sie nur gegen Erstattung der Kosten eine Kopie der Unterlagen zur Verfügung stellen müsse.

Mit der Begründung, der Patient könne sich auf sein Auskunftsrecht nach der DSGVO berufen, gaben sowohl das Amts- als auch das Landgericht dem Patienten Recht. Der BGH hat allerdings Zweifel, ob das Auskunftsrecht in der DSGVO auch dann greift, wenn es nicht mit dem Anspruch auf eine datenschutzrechtliche Prüfung im Sinne von Erwägungsgrund 63 der DSGVO begründet wird. Vorliegend möchte der Patient die Kopie seiner Daten in erster Linie zur Verfolgung von Schadensersatzansprüchen erhalten, nicht aber zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung.

In diesem Zusammenhang wird der EUGH insbesondere auch der Frage nachgehen, wie es sich mit den Kosten des Auskunftsanspruchs verhält. So ergibt sich aus Art. 15 Abs. 3 DSGVO ganz allgemein das Recht der betroffenen Person vom Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten. Hierbei muss die erste Kopie unentgeltlich erfolgen und erst für weitere Kopien kann ein angemessenes Entgelt gefordert werden. Aus § 630g Abs. 2 BGB ergibt sich hingegen das Recht des Patienten eine Abschrift der Patientenakte zu verlangen. Dies kann auch in elektronischer Form erfolgen. Dafür kann der Arzt jedoch die Erstattung der entstandenen Kosten verlangen. Dieses Recht auf eine Kopie ist für den Patienten nach dieser Regelung nicht kostenlos.

Es bleibt daher abzuwarten, ob das Recht auf eine kostenlose Kopie auch dann besteht, wenn der Betroffene die Kopie zur Verfolgung von legitimen Zwecken, aber datenschutzfremden Zwecken, begehrt.

Update: TTDSG, Cookies, Tracking und Google Analytics

Cookies, Tracking und Datenanalyse beschäftigt nach wie vor die Datenschützer. Einige neue Entwicklungen haben Bewegung in das Thema gebracht:

Am 1. 12.2021 trat das neue „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG) in Kraft. § 25 TTDSG enthält nun eine ausdrückliche Regelung zu Cookies.

Die deutschen Datenschutz-Aufsichtsbehörden haben am 20.12.2021 eine „Orientierungshilfe für Anbieter von Telemedien ab dem 1. Dezember 2021“ veröffentlicht, in der u.a. die aktuellen Anforderungen der Aufsichtsbehörden an Einwilligungen und Cookie-Banner zusammengefasst sind (https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf).

Die österreichische Datenschutzbehörde hält ausweislich einer Entscheidung vom Januar 2022 den Einsatz von Google Analytics wegen Datenübermittlungen in die USA für rechtswidrig (siehe https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf).

Mit Urteil vom 20.1.2022 hat das Landgericht München den Einsatz von Google Fonts untersagt und einem Website-Besucher 100,- € Schadensersatz zugesprochen, da aufgrund des Einsatzes von Google Fonts IP-Adressen an Google übertragen werden und es dafür an einer Rechtsgrundlage fehlt (LG München, Urt. v. 20.01.2022 – 3 O 17493/20). Allerdings ist umstritten, ob Website-Besucher derartige Ansprüche geltend machen können – das Landgericht Wiesbaden hat einen ähnlichen Anspruch mit Urteil vom 22.01.2022 abgelehnt (LG Wiesbaden, Urt. v. 22.01.2021 – 10 O 14/21).

Cookies, Tracking und Analytics-Maßnahmen erfordern zwingend eine Einwilligung. Gleiches gilt für die Einbindung externer Services (Videos, Chats, Schriftarten etc.). Der Einsatz von Cookie-Bannern bzw. Consent-Management-Tools ist damit Pflicht. Die Aufsichtsbehörden stellen extrem detaillierte und kleinteilige Anforderungen an die Gestaltung und technische Implementierung von Cookie-Bannern.

Das Thema steht derzeit verstärkt im Fokus der Aufsichtsbehörden. Aufgrund der leichten „Sichtbarkeit“ von Verstößen – jeder Nutzer der Website bzw. App kann die Einhaltung der gesetzlichen Vorgaben kontrollieren – drohen verstärkt Beschwerden, Abmahnungen und Klage von Nutzern und Verbraucherschützern.

Das neue TTDSG: Einwilligungspflichten für Cookies und App-Tracking

Mit dem neuen § 25 TTDSG hat der Gesetzgeber nun endlich Art. 5 Abs. 3 ePrivacy-RL in deutsches Recht umgesetzt. Das Einwilligungserfordernis bei Cookies ist nun auch ausdrücklich gesetzlich verankert.

Wir haben zum neuen TTDSG bereits in einem Artikel vom 22.12.2021 ausführlicher informiert (https://www.tcilaw.de/das-ttdsg-veraenderungen-beim-einsatz-von-cookies/).

Generell ist gemäß § 25 TTDSG eine Einwilligung immer dann notwendig, wenn Informationen in der „Endeinrichtung“ (also z.B. auf dem PC oder Mobilgerät) des Nutzers gespeichert oder ausgelesen werden – unabhängig davon, ob es um personenbezogene Daten geht.

Ein Speichern und Auslesen findet bei Cookies statt, aber z.B. auch beim Zugriff auf Daten in Mobilgeräten wie etwa Werbe-IDs (IDFA), Hardware-Gerätekennungen usw. Das Einwilligungserfordernis gilt damit nicht nur für Cookies auf Webseiten, sondern auch beim App-Tracking, bei dem regelmäßig Werbe-IDs oder ähnliche auf dem Gerät gespeicherte Identifier genutzt werden. Gleiches gilt für die Verwendung von local storage als Alternative zu Cookies. Die Aufsichtsbehörden wenden § 25 TTDSG sogar auf Browser-Fingerprinting an, soweit dabei Informationen verwendet werden, die über die standardmäßig im Rahmen von http-Requests übermittelten Daten hinausgehen. Auch bei der Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams) werden i.d.R. vom Drittanbieter Cookies gesetzt.

Eine Einwilligung ist dann nicht erforderlich, wenn der Zugriff bzw. die Speicherung „unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die Aufsichtsbehörden legen an die „unbedingte Erforderlichkeit“ einen äußerst strengen Maßstab an. So sind z.B. Cookies für eine Warenkorb-Funktion erforderlich –aber erst dann, wenn der Nutzer den Warenkorb auch tatsächlich verwendet. Cookies im Zusammenhang mit einem Chatbot auf der Website dürfen erst dann ohne Einwilligung gesetzt werden, wenn der Nutzer den Chatbot aktiv anklickt.

Ergänzende datenschutzrechtliche Anforderungen

Website- und App-Betreiber müssen zusätzlich zum § 25 TTDSG noch weitere datenschutzrechtliche Anforderungen beachten:

Zusätzliche datenschutzrechtliche Rechtsgrundlage erforderlich

§ 25 TTDSG gilt nur für das Setzen und Auslesen von Cookies oder anderen Informationen. Für die damit zusammenhängenden Datenverarbeitungen – also z.B. das Tracking oder die Analyse – ist eine zusätzliche Rechtsgrundlage nach der DSGVO erforderlich. 

Gleiches gilt für den Einsatz von Services, bei denen IP-Adressen an Dritte übertragen werden – also z.B. die Einbindung externer Schriftarten (siehe LG München, Urt. v. 20.01.2022 – 3 O 17493/20) oder die Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams).

Dies kann eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1a DSGVO sein (zusätzlich zur Einwilligung nach § 25 TTDSG!). Glücklicherweise können diese Einwilligungen zusammen eingeholt werden. Es muss jedoch klargestellt werden, dass sich die Einwilligung nicht nur auf die Verwendung von Cookies, sondern auch auf die damit verbundenen weiteren Verarbeitungen (also z.B. das Tracking) bezieht.

Datenübermittlungen in das Nicht-EU-Ausland sind rechtswidrig

Der EuGH hat in seinem „SchremsII“-Urteil vom 16.07.2020 klargestellt, dass Datentransfers an Empfänger im Nicht-EU-Ausland nur dann zulässig sind, wenn beim Empfänger ein „angemessenes Schutzniveau“ der Daten sichergestellt ist. Nach der EuGH-Entscheidung gibt es keine formalen Mittel mehr (wie z.B. den Abschluss von Verträgen wie den sog. EU-Standardvertragsklauseln), um Datenübermittlungen insbesondere in die USA zu legalisieren. 

Die österreichische Datenschutzbehörde hält deshalb den Einsatz von Google Analytics für rechtswidrig. Auch eine Einwilligung in die Auslandsübermittlung soll nach Auffassung der österreichischen und deutschen Aufsichtsbehörden nicht möglich sein.

Es ist deshalb äußerst fraglich, ob derzeit US-basierte Analyse- und Trackingtools rechtskonform eingesetzt werden können. Wir empfehlen deshalb, bis auf weiteres auf den Einsatz US-basierter Analyse- und Trackingtools zu verzichten (wie z.B. Google Analytics). Prüfen Sie, ob europäische Alternativen wie z.B. Matomo in Betracht kommen – insbesondere wenn Sie nur Aufrufstatistiken benötigen und nicht weitergehendes Werbe-Tracking einsetzen.

Neue Urteile zur Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO

Nach Art. 15 Abs. 1 der DSGVO sind Verantwortliche dazu verpflichtet, den Betroffenen auf Wunsch Auskunft darüber zu erteilen, welche Daten sie über sie erhoben haben und in welcher Form diese Daten verarbeitet werden.  Art. 15 Abs. 3 DSGVO regelt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Welche Daten der Auskunftsanspruch und das Recht auf eine Kopie genau umfasst, ist bisher nicht klar definiert.

Der Wortlaut der DSGVO schränkt den Auskunftsanspruch nicht wirklich ein. So kann der Verantwortliche dazu verpflichtet sein, umfassende Kopien aller Unterlagen herauszugeben, die personenbezogene Daten des Betroffenen enthalten. Das wird z. B. in arbeitsrechtlichen Auseinandersetzungen zunehmend genutzt, um den Druck auf den (ehemaligen) Arbeitgeber mit umfassenden Ansprüchen auf Herausgabe z. B. der gesamten E-Mail-Korrespondenz zu erhöhen.

In der Rechtslehre ist deshalb streitig, ob der Anspruch aus Art. 15 DSGVO nicht beschränkt werden kann. Zum Umfang des Anspruchs auf Datenkopie haben sich in letzter Zeit unter anderem das Bundesarbeitsgericht (BAG) und das Oberverwaltungsgericht Münster beschäftigt.

Urteil des BAG vom 27.04.2021 – 2 AZR 342/20

In seiner Entscheidung vom 27. April 2021 beschäftigte sich das BAG mit dem Auskunftsanspruch ehemaliger Arbeitnehmer.

Sachverhalt

Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten und verlangte zudem pauschal Kopien des E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie Kopien von allen E-Mails, in denen er namentlich erwähnt wurde.

Entscheidung

Das Bundesarbeitsgericht lehnte den Anspruch auf Erteilung einer Kopie der Daten in seinem Urteil ab. Als Begründung führte das Gericht aus, dass der Klageantrag zu unbestimmt sei. So könne sich der Auskunftsanspruch nicht auf eine unbestimmte Anzahl von E-Mails beziehen. Das Auskunftsbegehren müsse vielmehr auf bestimmte Dokumente und E-Mails konkretisiert werden. Anträge müssen vom Arbeitnehmer so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich die Verurteilung beziehe.

Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20

Wie weit der Auskunftsanspruch nach Art. 15 Abs. 3 reicht, zeigt auch das Urteil des Oberverwaltungsgericht Münster 8. Juni 2021 (Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20).

Sachverhalt

Ein Examenskandidat forderte die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege. Das Prüfungsamt war jedoch nur zur Übersendung der Kopien gegen eine Vorschusszahlung bereit. Der Kandidat reichte daraufhin Klage ein und begründete seinen  Anspruch auf Erhalt der Kopien nach Art. 15 Abs. 3 DSGVO i. V. m. Art. 12 Abs. 5 DSGVO. Das Gericht gab dem Kläger Recht und stellte fest, dass der gesamte Inhalt der Aufsichtsarbeiten des Klägers digital oder postalisch als Kopie unentgeltlich herauszugeben ist.

Entscheidung

Auch in der Berufungsinstanz wurde bestätigt, dass der Kläger einen Anspruch auf Zurverfügungstellung einer unentgeltlichen Datenkopie seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege habe.

Als Begründung führt das Gericht aus, dass sich dies aus der DSGVO, die vorliegend über die Regelungen im Landesdatenschutzgesetz NRW anwendbar sei, ergebe. Der damit aus Art. 15 Abs. 3 DSGVO folgende Anspruch auf Zurverfügungstellung einer Datenkopie umfasse eine unentgeltliche Kopie sämtlicher vom Landesjustizprüfungsamt verarbeiteter, den Kläger betreffender personenbezogener Daten, worunter auch die angefertigten Aufsichtsarbeiten einschließlich der Prüfergutachten fielen.

Das Recht aus Art. 15 Abs. 3 DSGVO unterliege keiner einschränkenden Auslegung auf bestimmte Daten oder Informationen. Weiter führt das Gericht aus, dass keine anderen  Gründe für einen Ausschluss des geltend gemachten Anspruchs vorlägen. Insbesondere seien keine Anhaltspunkte für ein rechtsmissbräuchliches Verhalten des Klägers zu erkennen. Auch lasse sich kein unverhältnismäßig großer Aufwand für das Landesjustizprüfungsamt feststellen.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.

Es bleibt hier abzuwarten, wie das Bundesverwaltungsgericht entscheiden wird.

Fazit

Die vor allem von Arbeitgebern erhoffte Klärung haben die Entscheidungen leider nicht geschaffen. Das BAG hat seine Klageabweisung in erster Linie prozessrechtlich begründet: um zu einem vollstreckbaren Titel zu kommen, muss der Klagegegenstand konkret bestimmt sein. Dem Grunde nach umfasst der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO aber offenbar auch nach Auffassung des BAG die gesamte E-Mail-Korrespondenz, soweit diese personenbezogene Daten des Klägers enthält (z. B. seinen Namen). Diese dem Grunde nach umfassende Herausgabepflicht von Dokumenten bestätigt die Entscheidung des OVG Münster.

Es bleibt zu hoffen, dass der Gesetzgeber das Auskunftsrecht aus Art. 15 DSGVO sinnvoll einschränkt.