Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » BGH zum Datenschutz: DSGVO gewährt jedem weitreichendes Auskunftsrecht
BGH zum Datenschutz :

DSGVO gewährt jedem weitreichendes Auskunftsrecht

In einem aktuellen Fall äußert sich der BGH zum Auskunfts- und Kopieanspruch nach Art. 15 DSGVO. Der Umfang des Anspruchs ist wohl eine der strittigsten Fragen der DSGVO. Der BGH hat nun im Fall eines Versicherungsnehmers entschieden, dass der Anspruch sehr weitreichend ist. WBS hilft Betroffenen der großen Datenleaks von Facebook, Klarna, LinkedIn und Spreadshirt ihren Auskunftsanspruch gelten zu machen.

Ein Versicherungsnehmer, der 1997 einen Vertrag über eine Lebensversicherung schloss, verlangte Datenauskunft von seinem Versicherungsunternehmen. Ursprünglich auf Grundlage des § 34 Bundesdatenschutzgesetz (BDSG), ab 2018 dann nach Art. 15 der Datenschutzgrundverordnung (DSGVO). Die Versicherung kam dem Auskunftsersuchen zwar immer nach, nach Ansicht des Anfragenden jedoch immer unzureichend. Der Bundesgerichtshof (BGH) gab dem Mann in der Revisionsinstanz nun Recht und bestätigte, dass das Versicherungsunternehmen sogar Auskunft über Korrespondenz mit dem Versicherungsnehmer selbst und auch zu internen Vermerken erteilen müsse (Urteil v. 15. Juni 2021, Az. VI ZR).

Das Bundesarbeitsgericht (BAG) hatte die Frage nach dem Umfang des Anspruchs aus Art. 15 DSGVO im April 2021 noch offengelassen (Urteil v. 27. April 2021, Az. 2 AZR 342/20) und die Vorinstanzen des vorliegenden Falls, das Amtsgericht Brühl und das Landgericht Köln, haben auch noch gegen den klagenden Versicherungsnehmer entschieden. Doch nun gibt es Klarheit durch den BGH: Datenverantwortliche müssen sehr umfassende Auskünfte erteilen, selbst über interne Vermerke und auch dem Betroffenen schon bekannte Vorgänge.

Die Relevanz des Auskunftsanspruch aus Art. 15 DSGVO

Der Art. 15 DSGVO gibt Betroffenen drei verschiedene Ansprüche. Zunächst kann das Vorliegen und die Verarbeitung personenbezogener Daten erfragt werden. Weiter kann dann eine Auskunft und als drittes noch eine Kopie der Daten angefordert werden. Der Auskunftsanspruch und der Anspruch auf Kopien haben dabei die gleiche Reichweite, wie groß diese ist, war jedoch bis zum Urteil des BGH unklar und strittig.

Der Anspruch auf Kopien der personenbezogenen Daten kann sehr praktische Auswirkungen haben. Denn die erhobenen Daten können vor allem in gerichtlichen Verfahren verwendet werden und entscheidende Vorteile bringen. Letztendlich ist das dann auch für finanzielle Interessen innerhalb der Rechtsstreitigkeiten von großer Relevanz. Dementsprechend waren die Meinungen zum Umfang des Anspruchs stets zweigteilt. Arbeitnehmer- und Verbraucherverbände fordern umfassende Auskünfte, währen Arbeitgeber und Unternehmer dem kritisch gegenüberstehen.

Was sind personenbezogene Daten?

In seinem Urteil geht der BGH zunächst auf den Begriff des personenbezogenen Datums ein. Dabei berücksichtigte er insbesondere die Rechtsprechung des Europäischen Gerichtshofs (EuGH), die es verbiete, eine teleologische Reduktion des Begriffs vorzunehmen. Demnach fallen nach Verständnis des Karlsruher Gerichts nicht nur „signifikante biografische Informationen, die im Vordergrund eines Dokuments stehen“ unter den Schutz der DSGVO, sondern alle personenbezogenen Daten, unabhängig von ihrer Sensibilität. Das entspricht auch dem Wortlaut des Art. 4 Nr. 1 Hs. 1 DSGVO.

Auskunftsanspruch auch über bekannte Daten

Auffällig an den Ausführungen zum Auskunftsanspruch ist, dass BGH den Anspruch auch für dem Betroffenen bekannte Daten annimmt. Unter den Begriff der personenbezogenen Daten falle beispielsweise auch der Briefverkehr zwischen dem Betroffenen und dem Verantwortlichen, den der Betroffene schon kennt. Grund dafür ist, dass ein Bekanntsein der Informationen eine spätere Verarbeitung durch den Verantwortlichen nicht ausschließt. Zudem liefert der BGH auch ein systematisches Argument für seine Argumentation: Da der Auskunftsanspruch nach Art. 15 DSGVO nicht nur einmalig besteht, würden durch die mehrmalige Abfrage auch stets Auskünfte erteilt, die dem Betroffenen schon bekannt sind.

Grenzen des Auskunftsanspruchs

Trotz seines weiten Verständnisses von personenbezogenen Daten und des Umfangs des Art. 15 DSGVO sieht der BGH auch Grenzen. Zum einen könne ein Betroffener ausschließlich interne Informationen des Verantwortlichen erfragen. Ein Anspruch auf externe Daten bestehe nach dem Sinn und Zweck der DSGVO laut BGH nicht. Des Weiteren umfasse der Auskunftsanspruch ausschließlich Tatsachen. Vermerke über interne Vorgänge, bei denen eine rechtliche Bewertung vorgenommen wird, müssten dem Auskunftsersuchenden nicht offenbart werden. Dabei stützt sich der BGH auch ausdrücklich auf die Rechtsprechung des EuGH.

WBS hilft Ihnen

Im Ergebnis bestätigt der BGH in seinem Urteil einen umfassenden Anspruch aus Art. 15 DSGVO. Das ist besonders erfreulich für die zahlreichen Verbraucher, die Opfer von riesigen Datenskandalen wurden.

Wir von WBS sind Experten für Datenschutzrecht und haben schon vielen Betroffenen erfolgreich zu Auskunftserteilungen und auch Schadensersatzzahlungen verholfen. Hier finden Sie unsere Auskunftsschreiben für die skandalösen Datenlecks bei Facebook, Klarna, LinkedIn und Spreadshirt.

Datenskandal bei Facebook

Beim Social-Media-Riesen Facebook gab es im April ein Datenleak, bei dem die persönlichen Daten von ca. 533 Millionen Usern weltweit verkauft wurden. Dabei hatten Hacker eine Funktion zur Suche von Facebook-Freunden für den Datenabgriff missbraucht. Sie griffen auf die Daten im Wege des so genannten Scraping zu. Scraping bezeichnet das automatisierte, massenhafte Abrufen öffentlich einsehbarer Daten. Im konkreten Fall lief die Methode so ab: Bekanntlich sind die Telefonnummern der Facebook-Nutzer nicht öffentlich verfügbar. Die Täter generierten daher hunderte Millionen zufällige Telefonnummern. Über ein Tool zu Freundesuche glichen sie die Handynummern mit den Daten von zahlreichen Facebook-Nutzern ab.

Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft gegenüber Facebook verlangen, ob sie vom Datenleck betroffen sind. Erteilt Facebook keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen von Facebook im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben. Prüfen Sie hier, ob sie betroffen sind. Alle weiteren Infos auch auf unserer gesonderten Seite unter: Facebook-Datenskandal

Checken Sie hier, ob Sie betroffen sind:

 


Datenskandal bei Klarna

Beim Zahlungsdienstleister Klarna kam es Ende Mai zum Skandal. Eine halbe Stunde lang konnten Nutzer nach dem Login die Profile anderer Nutzer und somit unter anderem deren Bankdaten, Adressen und Telefonnummern einsehen. Etliche Nutzer auf Twitter meldeten, dass sie sich beim Login in das eigene Klarna-Konto plötzlich im Konto anderer Personen wiedergefunden hätten. Dem nicht genug – sie hätten auch Einsicht in alle Informationen gehabt: Namen, Adressen, Telefonnummern, Daten über getätigte Zahlungen und Bankverbindungen seien einsehbar gewesen. Von dem massiven Datenleck waren circa 90.000 Nutzer betroffen.

Ein Daten-Desaster, das für uns einen deutlichen Verstoß gegen Datenschutzrecht darstellt und Sie als Betroffene in einem ersten Schritt zu einem Auskunftsanspruch und in einem zweiten Schritt zu einem Schadensersatzanspruch gegenüber Klarna berechtigt. Prüfen Sie hier, ob sie auch von dem Leak betroffen sind, indem Sie unser Formular ausfüllen! Alle Infos erhalten Sie auch in unserem gesonderten Beitrag. Klicken Sie dazu einfach auf den folgenden Link: Klarna-Datenskandal




LinkedIn

Auch Nutzer des Business-Netzwerks LinkedIn sind im Juni 2021 Opfer eines Datenskandals geworden. In Hackerforen werden für 5000 US-Dollar als Verhandlungsbasis nach wie vor Informationen über LinkedIn-Nutzer angeboten, von denen längst nicht alle öffentlich auf den Nutzerprofilen einsehbar sind. Und dieses Mal ist fast jeder betroffen. Von rund 756 Millionen Nutzern des sozialen Netzwerkes, sind die Daten von 700 Millionen Personen geleakt – das sind rund 93%! Angeboten werden vollständige Namen, Postadressen, E-Mail-Adressen, Telefonnummern, Standortdaten, LinkedIn-Nutzernamen und Profil-URLs sowie Angaben zu Geschlecht, persönlichem Werdegang und weiteren Social Media-Accounts der entsprechenden Nutzer.

Nutzen Sie hier unser kostenfreies Schreiben um ihren Auskunftsanspruch gegenüber LinkedIn zu verlangen. Alle Infos erhalten Sie auch in unserem gesonderten Beitrag. Klicken Sie dazu einfach auf den folgenden Link: LinkedIn-Datenskandal




Datenskandal bei Spreadshirt

Der neueste Daten-Skandal betrifft das Unternehmens Spread Group, zu dem auch die bekannte Marke Spreadshirt gehört. Dritte konnten laut eigenen Aussagen des Unternehmens auf „Adressdaten, vor 2014 gespeicherte Passwort-Hashes sowie Bankverbindung bzw. PayPal-Adressen“ zugreifen. Betroffene sind dabei Kunden, Mitarbeiter, externe Dienstleister und Partner des Unternehmens. Warum das Sicherheitsproblem auftreten konnte, ist noch nicht bekannt und wird nun sowohl vom Unternehmen selbst als auch von externen Cyber-Security-Spezialisten geklärt.

Nutzen Sie hier unser kostenfreies Schreiben, um Auskunft über ihre mögliche Betroffenheit zu erlangen!

Nutzen Sie unser Spreadshirt-Auskunftschreiben. Klicken Sie dazu auf den Link: Spreadshirt-Datenskandal