Es gibt verschiedene Möglichkeiten, im Beschäftigungsverhältnis die Arbeitszeit zu erfassen. Dies kann beispielsweise die klassische Stechkarte sein, schriftliche Aufzeichnungen auf Papier, eine Excel-Tabelle, eine Zeiterfassungssoftware oder aber auch die elektronische Zeiterfassung per Chipkarte. Mit einer Neuerung auf diesem Gebiet, nämlich der Arbeitszeiterfassung per Fingerprint, musste sich das Arbeitsgericht Berlin (Urteil vom 16.10.2019, Az. 29 Ca 5451/19) befassen. Das Urteil zeigt, dass Arbeitgeber auch hierbei das Datenschutzrecht zu beachten haben.

Sachverhalt

In dem Urteil geht es um einen Arbeitnehmer, der u. a. zweimal von seinem Arbeitgeber abgemahnt wurde, weil er sich geweigert hatte, seine Arbeitszeit per Fingerprint zu erfassen.

Die Mitarbeiter des Arbeitgebers hatten ihre geleisteten Arbeitszeiten ursprünglich handschriftlich notiert.

Zum 1. August 2018 führte der Arbeitgeber dann die Zeiterfassung per Fingerprint ein. Zu diesem Zweck werden zunächst aus dem Fingerabdruck sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert und in einem Datensatz im Zeiterfassungsterminal gespeichert. Bei der An- und Abmeldung des Mitarbeiters wird dann der Minutiendatensatz zum Abgleich des Fingerabdrucks verwendet.

Die Entscheidung des Gerichtes

Das Arbeitsgericht Berlin hat den Arbeitgeber verurteilt, die Abmahnungen aus der Personalakte zu entfernen, da der klagende Arbeitnehmer nicht verpflichtet war, die Zeiterfassung per Fingerprint zu nutzen. Denn für diese Art der Zeiterfassung gab es keine Rechtsgrundlage.

Das Gericht stellt in seinem Urteil zunächst fest, dass es sich bei dem Minutiendatensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG handelt. Erlaubnistatbestände aus Art. 9 Abs. 2 DSGVO, die nach Ansicht des Gerichtes eine Verarbeitung rechtfertigen würden, insbesondere eine Einwilligung oder eine Kollektivvereinbarung, liegen nicht vor.

Das Arbeitsgericht Berlin führt die rechtliche Prüfung mit § 26 BDSG fort, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. § 26 Abs. 1 S. 1 BDSG stellt Voraussetzungen für die Verarbeitung personenbezogener Daten auf, während § 26 Abs. 3 S. 1 BDSG spezielle Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten enthält. Das Gericht trennt letztendlich nicht zwischen diesen beiden Absätzen, sondern führt unter Bezugnahme auf den Verhältnismäßigkeitsgrundsatz eine gemeinsame Prüfung durch, ob die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich ist. Dies wird vom Gericht verneint.

Zur Begründung führt das Arbeitsgericht Berlin aus, dass der Arbeitgeber weder vorgetragen habe, dass in der Vergangenheit bei der handschriftlichen Aufzeichnung der Arbeitszeiten erheblicher Missbrauch betrieben worden wäre, noch habe er darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems, bei dem keine biometrische Daten gespeichert werden, Missbrauch in erheblichem oder auch nur in nennenswertem Umfang zu befürchten wäre. Der Arbeitgeber habe auch nicht behauptet, dass der klagende Arbeitnehmer in der Vergangenheit durch falsche Arbeitszeitangaben aufgefallen wäre.

Das Gericht kommt somit zu dem Ergebnis, dass es für die Zeiterfassung per Fingerprint keine Rechtsgrundlage gab.

Stellungnahme und Empfehlungen für die Praxis

Dem Urteil ist zuzustimmen, auch wenn die Urteilsbegründung etwas unsystematisch ist.

Das Arbeitsgericht Berlin hat darauf hingewiesen, dass es zwei alternative Rechtsgrundlagen gibt, auf die die Verarbeitung besonderer Kategorien personenbezogener Daten gestützt werden kann, nämlich eine Einwilligung oder eine Kollektivvereinbarung. Da diese im entschiedenen Fall nicht vorlagen, sollen sie nachfolgend dargestellt werden.

Die Voraussetzungen für eine Einwilligung ergeben sich aus § 26 Abs. 3 S. 2 i. V. m. Abs. 2 BDSG. Die Einwilligung ist allerdings mit zwei Problemen verbunden.

Als erstes Problem stellt sich die Frage nach der Freiwilligkeit ihrer Abgabe. Um dies zu prüfen, enthält § 26 Abs. 2 BDSG mehrere Kriterien. Danach ist für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Laut dem Gesetzestext kann Freiwilligkeit insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Das zweite Problem liegt darin, dass die Einwilligung jederzeit vom Arbeitnehmer widerrufen werden kann.

Vor diesem Hintergrund ist einem Arbeitgeber davon abzuraten, eine Einwilligung für die Zeiterfassung per Fingerprint einzuholen. Denn das Risiko ist zu groß, dass die Einwilligung mangels Freiwilligkeit unwirksam ist. Darüber hinaus kann ein Arbeitnehmer jederzeit seine Meinung ändern und die Einwilligung widerrufen.

Nach § 26 Abs. 4 BDSG ist die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner laut dem Gesetzestext Art. 88 Abs. 2 DSGVO zu beachten. Nach dieser Vorschrift sind die menschliche Würde, die berechtigten Interessen und die Grundrechte der betroffenen Person zu wahren. Einen vergleichbaren Regelungsgehalt hat § 75 Abs. 2 S. 1 BetrVG. Danach haben Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Zum Schutz des aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG abgeleiteten allgemeinen Persönlichkeitsrechts des Arbeitnehmers bedeutet dies im Ergebnis eine Prüfung des Verhältnismäßigkeitsgrundsatzes und somit auch der Erforderlichkeit wie sie bereits weiter oben dargestellt wurde. Eine Betriebsvereinbarung, die die Zeiterfassung per Fingerprint erlaubt, wäre somit unwirksam gewesen. Dies zeigt, dass auch eine Kollektivvereinbarung nicht jede Verarbeitung besonderer Kategorien personenbezogener Daten rechtfertigen kann.

Fazit und Ausblick

Die Arbeitszeiterfassung per Fingerprint erscheint einfach, ist aber mit erheblichen rechtlichen Problemen verbunden. Deshalb ist von ihr abzuraten.

Mit der Arbeitszeiterfassung müssen sich in Zukunft voraussichtlich alle Arbeitgeber beschäftigen. Denn der Europäische Gerichtshof (Urteil vom 14.05.2019, Az. C-55/18) hat im vergangenen Jahr entschieden, dass die EU-Mitgliedstaaten Arbeitgeber verpflichten müssen, ein System zur Arbeitszeiterfassung einzuführen. Pressemeldungen zufolge plant der deutsche Gesetzgeber aktuell, das Urteil in nationales Recht umzusetzen. In Deutschland besteht bisher nur die Pflicht, Überstunden sowie Sonn- und Feiertagsarbeit zu dokumentieren. Daneben gibt es eine generelle Aufzeichnungspflicht der Arbeitszeiten nur in bestimmten Bereichen.

Die Datenschutzaufsichtsbehörden haben in den vergangenen Wochen zwei hohe Bußgelder verhängt, weil aus ihrer Sicht gegen die DSGVO verstoßen wurde: Ein Wohnungskonzern soll 14,5 Millionen Euro und ein Telekommunikationsdienstleister 9,55 Millionen Euro zahlen. Die Bußgelder sind ein guter Anlass, sich die Voraussetzungen für die Verhängung eines Bußgeldes wegen eines Verstoßes gegen die DSGVO mal etwas genauer anzuschauen.

Mehrere Optionen

Um zunächst das Vorliegen eines Verstoßes gegen die DSGVO zu prüfen und ggf. festzustellen, räumt Art. 58 Abs. 1 DSGVO den Aufsichtsbehörden verschiedene Untersuchungsbefugnisse ein. Dazu gehören z. B. die Anweisungsbefugnis zur Informationsbereitstellung oder das Recht, Datenschutzüberprüfungen durchzuführen.

Wenn eine Aufsichtsbehörde der Meinung ist, dass tatsächlich gegen die DSGVO verstoßen wurde, dann stehen ihr gemäß Art. 58 Abs. 2 DSGVO unterschiedliche Abhilfebefugnisse zur Verfügung. So hat sie z. B. das Recht, eine Verwarnung zu erteilen, die Verarbeitung personenbezogener Daten zu beschränken oder zu verbieten oder die Löschung personenbezogener Daten anzuordnen. Zu den Rechten der Aufsichtsbehörde gehört aber auch die Verhängung einer Geldbuße gemäß Art. 83 DSGVO und zwar, je nach den Umständen des Einzelfalls, zusätzlich zu oder anstelle von den übrigen Abhilfebefugnissen.

Die Voraussetzungen des Art. 83 DSGVO

Der Verweis auf Art. 83 DSGVO spannt den Bogen zu dem eigentlichen Thema dieses Beitrages, nämlich zu den Voraussetzungen für die Verhängung eines Bußgeldes.

Ein Blick in Art. 83 Abs. 4 bis 6 DSGVO zeigt, dass die meisten Verstöße gegen die DSGVO mit einer Geldbuße bedroht sind.

Art. 83 Abs. 4 DSGVO sanktioniert Verstöße gegen formelle administrative Pflichten. Darunter fallen gemäß Art. 83 Abs. 4 Buchstabe a DSGVO auch Verstöße gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Der eingangs genannte Bußgeldbescheid gegen den Wohnungskonzern basiert u. a. auf einem angeblichen Verstoß gegen Art. 25 Abs. 1 DSGVO und die Grundlage für den Bußgeldbescheid gegen den Telekommunikationsdienstleister ist Art. 32 DSGVO. Der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO beträgt bis zu 10 000 000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Art. 83 Abs. 5 DSGVO sanktioniert u. a. Verstöße gegen materielle Grundsätze der DSGVO, gegen Betroffenenrechte, gegen Bestimmungen über den Drittlandtransfer und Verstöße gegenüber den Aufsichtsbehörden. Der Wohnungskonzern soll auch gegen Art. 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) verstoßen haben, was unter Art. 83 Abs. 5 Buchstabe a DSGVO fällt. Praktische Relevanz hat insbesondere die Sanktionierung von Verstößen gegen die Betroffenenrechte. Wer also z. B. gegen die Informationspflicht gemäß Art. 13 DSGVO verstößt, geht das Risiko eines Bußgeldes gemäß Art. 83 Abs. 5 Buchstabe b DSGVO ein. Der Bußgeldrahmen des Art. 83 Abs. 5 DSGVO beträgt bis zu 20 000 000 EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Der gleiche Bußgeldrahmen gilt auch für Art. 83 Abs. 6 DSGVO. Diese Regelung sanktioniert die Nichtbefolgung einer Anweisung einer Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO.

Die vorstehenden Ausführungen haben einen Überblick darüber gegeben, wegen welcher Verstöße gegen die DSGVO ein Bußgeld verhängt werden kann. Als Nächstes soll auf die ersten beiden Absätze des Art. 83 DSGVO eingegangen werden.

In Art. 83 Abs. 2 DSGVO wird zunächst etwas wiederholt, was schon in Art. 58 Abs. 2 DSGVO geregelt wird und zwar, dass Geldbußen je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von den übrigen Abhilfebefugnissen des Art. 58 Abs. 2 DSGVO verhängt werden. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag ist eine ganze Reihe von Kriterien gebührend zu berücksichtigen, die in Art. 83 Abs. 2 DSGVO aufgezählt werden. Wichtig ist in diesem Kontext Art. 83 Abs. 1 DSGVO. Danach stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Zu den Kriterien des Art. 83 Abs. 2 DSGVO gehören beispielsweise Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, etwaige einschlägige frühere Verstöße, der Umfang der Zusammenarbeit mit der Aufsichtsbehörde und jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Das Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen

Die deutschen Datenschutzaufsichtsbehörden haben anhand der Vorgaben des Art. 83 DSGVO ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen entwickelt und veröffentlicht. Es findet keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und es ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Es entfaltet ferner keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.

Die Grundlage für das Konzept ist der Umsatz des jeweiligen Unternehmens. Knapp zusammengefasst bedeutet das Konzept, dass auf Basis des Jahresumsatzes ein Tagessatz gebildet wird, der dann mit einem Faktor für den Schweregrad der Tat multipliziert wird. Der so errechnete Betrag wird dann anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht bei dem Schweregrad berücksichtigt wurden.

Der Umsatz als Grundlage für die Ermittlung der Bußgeldhöhe führt, wie die eingangs genannten Beträge in Höhe von 14,5 Millionen Euro und 9,55 Millionen Euro zeigen, zu sehr hohen Bußgeldern.

Auf einige Kritikpunkte an dem Konzept der Datenschutzaufsichtsbehörden und an Art. 83 DSGVO soll nachfolgend eingegangen werden.

Kritik

Art. 83 DSGVO muss sich am Bestimmtheitsgrundsatz, der auch für Bußgeldtatbestände gilt, messen lassen. Nach diesem Grundsatz müssen strafrechtliche Normen so konkret sein, dass Tragweite und Anwendungsbereich des Tatbestandes zu erkennen sind und sich durch Auslegung ermitteln lassen. Der Bestimmtheitsgrundsatz ist im deutschen Verfassungsrecht in Art. 103 Abs. 2 GG normiert und ergibt sich im Unionsrecht aus dem Gesetzlichkeitsprinzip, das auf Art. 7 Abs. 1 EMRK und Art. 49 Abs. 1 GRCh beruht. Es ist durchaus fraglich, ob der Bestimmtheitsgrundsatz immer eingehalten wird. Als Beispiel für die Problematik kann Art. 83 Abs. 5 Buchstabe a DSGVO i. V. m Art. 5 DSGVO dienen. Die in Art. 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten sind zumindest teilweise sehr weit gefasst und es zumindest teilweise unklar, was vom europäischen Gesetzgeber konkret gefordert wird.

Nach dieser grundsätzlichen Problematik sollen beispielhaft noch zwei wichtige Probleme bei der Auslegung des Art. 83 DSGVO kurz dargelegt werden.

So ist es streitig, ob die Aufsichtsbehörden ein in seinen Einzelheiten ebenfalls streitiges Ermessen haben, ob sie eine Geldbuße verhängen oder nicht oder ob die Verhängung einer Geldbuße verpflichtend ist. Die letztere Ansicht lässt als Ausnahme von der Pflicht nur Satz 2 des Erwägungsgrundes 148 der DSGVO zu. Danach kann im Falle eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, anstelle einer Geldbuße eine Verwarnung erteilt werden.

Zu dem Kriterienkatalog des Art. 83 Abs. 2 DSGVO gehört auch die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Es ist streitig, ob Vorsätzlichkeit oder Fahrlässigkeit stets vorliegen müssen oder ob die Verhängung einer Geldbuße auch möglich ist, wenn weder vorsätzlich noch fahrlässig gehandelt wurde.

Beim Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen dient der Umsatz als Grundlage für die Ermittlung der Bußgeldhöhe. Dies ist kritikwürdig. Denn der Umsatz des Unternehmens wird in dem Kriterienkatalog des Art. 83 Abs. 2 DSGVO nicht genannt. Es wird also ein Kriterium verwendet, das der Gesetzeswortlaut nicht vorsieht. Es ist daher zweifelhaft, bei der Ermittlung der Bußgeldhöhe stets primär auf den Umsatz des Unternehmens abzustellen. Der Umsatz als Anknüpfungspunkt führt außerdem zu sehr hohen Bußgeldern. Beträge in Höhe von 14,5 Millionen Euro und 9,55 Millionen Euro lassen es fraglich erscheinen, ob sie wirklich verhältnismäßig i. S. v. Art. 83 Abs. 1 DSGVO sind. Zudem ist zu beachten, dass das Vorbild für die Systematik des Art. 83 DSGVO zwar das Kartellrecht ist. Dort ist der Umsatz allerdings nur für den Bußgeldrahmen entscheidend. Einzelne Bußgelder werden dagegen auf der Grundlage des Umsatzes verhängt, der mit Waren oder Dienstleistungen erzielt wird, deren Absatz durch den Kartellrechtsverstoß gefördert wird. Eine vergleichbare Differenzierung fehlt jedoch im Konzept der Datenschutzaufsichtsbehörden, da immer auf den Umsatz als solchen abgestellt wird.

Fazit

Der Wohnungskonzern und der Telekommunikationsdienstleister haben gegen die Bußgeldbescheide Einspruch eingelegt. Damit dürften am Ende die Gerichte über die beiden Sachen entscheiden. Und damit werden hoffentlich zumindest einige der vielen Rechtsfragen zur DSGVO geklärt.

Die beiden hohen Geldbußen zeigen auch, dass man sich auf jeden Fall durch einen Rechtsanwalt beraten lassen sollte, wenn man von einer Datenschutzaufsichtsbehörde mit dem Vorwurf konfrontiert wird, gegen die DSGVO verstoßen zu haben.

In der datenschutzrechtlichen Praxis spielt das Auskunftsrecht nach Art. 15 DSGVO eine große Rolle. Allerdings gibt es dabei oft Unklarheiten hinsichtlich der Voraussetzungen und der Rechtsfolgen des Art. 15 DSGVO. In diesem Kontext ist ein Urteil des OLG Köln von Interesse. Das Oberlandesgericht sieht in Art. 15 Abs. 1 DSGVO einen umfangreichen Auskunftsanspruch und kommt damit zu einem anderen Ergebnis als das LG Köln.

Die Norm

Wenn man sich mit Art. 15 DSGVO beschäftigt, dann sollte man sich zunächst die Struktur dieser Norm vor Augen führen.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Falls das der Fall ist, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf eine ganze Reihe von Informationen, die in Art. 15 Abs. 1 DSGVO aufgezählt werden. Wenn personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, so hat die betroffene Person gemäß Art. 15 Abs. 2 DSGVO das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Allerdings heißt es in Art. 15 Abs. 4 DSGVO einschränkend, dass das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf.

Das Urteil

In dem vom OLG Köln (Urteil vom 26.07.2019, Az. 20 U 75/18) entschiedenen Fall geht es um einen Versicherungsnehmer als Kläger, der mehrere Ansprüche gegen ein Versicherungsunternehmen als Beklagte geltend macht, darunter einen Anspruch auf eine „vollständige Datenauskunft im Sinne von Art. 15 DS-GVO zu den ihn betreffenden personenbezogenen Daten“. Aus Sicht des Klägers war eine im Laufe des Rechtsstreits erteilte Aufstellung seiner Personendaten aus der zentralen Datenverarbeitung sowie eine Aufstellung seiner Personendaten aus dem Lebensversicherungsvertrag nicht ausreichend. Während der Kläger mit seinen übrigen Ansprüchen nicht erfolgreich ist, wird die Beklagte vom Oberlandesgericht verurteilt, dem Kläger über die beiden Aufstellungen hinaus Auskunft zu sämtlichen weiteren diesen betreffenden personenbezogenen Daten, insbesondere auch in Gesprächsnotizen und Telefonvermerken, zu erteilen.

Die Begründung

Diese Entscheidung ist folgerichtig, wenn man die Ausführungen des Gerichtes zu dem Begriff der personenbezogenen Daten liest:

„Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Unter die Vorschrift fallen damit sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (z.B. Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt […]. Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizierten oder identifizierbaren Person liefern, weisen einen Personenbezug auf […].“

Das Gericht widerspricht der Ansicht der Beklagten deutlich, den Begriff der personenbezogenen Daten auf die Stammdaten zu begrenzen:

„Soweit die Beklagte den Begriff der personenbezogenen Daten auf die bereits mitgeteilten Stammdaten begrenzt sehen möchte und meint, eine Verpflichtung zur Beauskunftung über insbesondere elektronisch gespeicherter Vermerke zu mit dem Kläger geführten Telefonaten und sonstigen Gespräche bestehe nicht, ist ein entsprechendes Verständnis mit dem der DS-GVO zugrundeliegenden weit gefassten Datenbegriff nicht in Einklang zu bringen. Denn durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr (so bereits BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83 – zitiert nach juris). Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers oder Aussagen über den Kläger festgehalten sind, handelt es sich hierbei ohne weiteres um personenbezogene Daten.“

Die Beklagte scheint mit Art. 15 Abs. 4 DSGVO und dem Erwägungsgrund 63 S. 5 argumentiert zu haben. Das überzeugt das Gericht nicht:

„Die Beklagte kann sich demgegenüber auch nicht mit Erfolg darauf berufen, dass ein entsprechend weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würde. Ungeachtet aller sonstigen sich stellenden Fragen gilt dies schon deshalb, weil Angaben, die der Kläger selbst gegenüber seiner Versicherung gemacht hat, diesem gegenüber nicht schutzbedürftig und damit auch nicht ihr Geschäftsgeheimnis sein können.“

Das Gericht lässt auch keine praktischen Einwände der Beklagten gelten und weist auf ihre Pflicht hin, sich an Gesetze zu halten:

„Soweit die Beklagte meint, es sei für Großunternehmen, die wie sie einen umfangreichen Datenbestand verwalten würden, mit den ihr zur Verfügung stehenden Ressourcen wirtschaftlich unmöglich, Dateien auf personenbezogene Daten zu durchsuchen und zu sichern, verfängt dies nicht. Es ist Sache der Beklagten, die sich der elektronischen Datenverarbeitung bedient, diese im Einklang mit der Rechtsordnung zu organisieren und insbesondere dafür Sorge zu tragen, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen wird.“

Das OLG Köln sieht keinen Grund, die Auskunftserteilung einzuschränken:

„Es besteht auch kein Anlass, die Verurteilung der Beklagten zur Auskunftserteilung im Tenor dahingehend einzuschränken, dass “die Herausgabe nur Daten/Informationen betrifft, die nicht die Rechte und Freiheiten anderer Personen gemäß Art. 15 Abs. 4 DS-GVO und die grundrechtlich garantierten Interessen des Versicherers betrifft“. Unabhängig davon, dass die Aufnahme einer entsprechenden Einschränkung die Frage der hinreichenden Bestimmtheit eines solchen Tenors aufwerfen würde, bedarf es einer solchen nicht. Die ausgeurteilte Verpflichtung zur Auskunftserteilung bezieht sich ausschließlich auf die den Kläger betreffenden personenbezogenen Daten. Es ist auch insoweit selbstverständlich Sache der Beklagten, diese Verpflichtung im Einklang mit der Rechtsordnung und insbesondere den Regelungen der DS-GVO zu erfüllen und den sich daraus ergebenden datenschutzrechtlichen Belangen Dritter zu erteilen. Eine Einschränkung ihrer Verpflichtung zur Auskunftserteilung ist damit nicht verbunden.“

Anscheinend waren die Parteien der Ansicht, dass der Kläger nicht nur einen Anspruch nach Art. 15 Abs. 1 DSGVO, sondern auch nach Art. 15 Abs. 3 DSGVO geltend gemacht hätte. Das Gericht sieht das anders:

„Ob – womit sich die Beklagte im Rahmen ihres nach Ablauf der Schriftsatzfrist bis zum 09.07.2019 eingegangenen Schriftsatzes vom 16.07.2019 ausführlich auseinandersetzt – ein Anspruch auf Herausgabe von Unterlagen oder Kopien nach Art. 15 Abs. 3 DS-GVO besteht und inwieweit ein solcher nach Art. 15 DS-GVO Einschränkungen erfahren würde, bedarf vorliegend keiner Entscheidung, da ein solcher Anspruch vom Kläger nicht geltend gemacht wird.“

Die Stellungnahme

Die Argumentation des OLG Köln lässt sich einfach zusammenfassen: Es muss zu sämtlichen personenbezogenen Daten Auskunft nach Art. 15 Abs. 1 DSGVO erteilt werden. Dabei ist es gleichgültig, wo die personenbezogenen Daten gespeichert werden. Dementsprechend umfasst die Auskunft auch Gesprächsnotizen und Telefonvermerke, wenn dort personenbezogene Daten gespeichert werden. Dieses Urteil ist nicht überraschend, wenn man sich die Legaldefinition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO und den Wortlaut des Art. 15 Abs. 1 DSGVO durchliest.

Allerdings kam das LG Köln in zwei anderen Entscheidungen (Teilurteil vom 18.03.2019, Az. 26 O 25/18 und Urteil vom 19.06.2019, Az. 26 S 13/18) zu einem gegenteiligen Ergebnis. In den beiden Entscheidungen heißt es, dass sich der Auskunftsanspruch nicht auf sämtliche internen Vorgänge, wie z. B. Vermerke, beziehen würde. Nach dem Urteil des OLG Köln kann man an dieser Ansicht nicht mehr festhalten. Es muss stattdessen vollständig Auskunft erteilt werden.

Aus dem Urteil des OLG Köln wird auch deutlich, dass der Verantwortliche für die Vollständigkeit der Auskunft entsprechend Sorge tragen muss. Deshalb ist es nicht nur für große Organisationen notwendig, genau zu wissen, wo personenbezogene Daten gespeichert werden. Es ist daher dringend angeraten, nicht nur für die Erfüllung des Auskunftsrechts, sondern auch für die Gewährleistung der übrigen Betroffenenrechte die erforderlichen organisatorischen Vorkehrungen zu treffen.

Das OLG Köln legt den Antrag des Klägers, „ihm eine vollständige Datenauskunft im Sinne von Art. 15 DS-GVO zu den ihn betreffenden personenbezogenen Daten zu erteilen“, dahingehend aus, dass er nur einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend gemacht hätte und nicht auch einen Anspruch auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO. Die Parteien waren anscheinend der gegenteiligen Ansicht. Das genaue Verhältnis von Art. 15 Abs. 1 und 3 DSGVO ist umstritten. Das gilt auch für die Frage, was unter einer Kopie i. S. v. Art. 15 Abs. 3 DSGVO genau zu verstehen ist. Für die Praxis empfiehlt es sich für den Betroffenen, gegenüber dem Verantwortlichen nicht nur eine Auskunft, sondern auch explizit eine Kopie der personenbezogenen Daten zu verlangen und, falls es zu einem Rechtsstreit kommt, auch explizit bei Gericht zu beantragen.

Wenn das OLG Köln der Meinung ist, dass ein Anspruch auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO nicht geltend gemacht worden ist, dann stellt sich die Frage, warum es überhaupt noch auf Art. 15 Abs. 4 DSGVO eingeht. Denn Art. 15 Abs. 4 DSGVO bezieht sich nach seinem Wortlaut nur auf Art. 15 Abs. 3 DSGVO und nicht auch auf Art. 15 Abs. 1 DSGVO. Es wird allerdings in der Fachliteratur die Ansicht vertreten, dass die Einschränkung des Art. 15 Abs. 4 DSGVO nicht nur auf Art. 15 Abs. 3 DSGVO, sondern auch auf Art. 15 Abs. 1 DSGVO anzuwenden ist. Das Gericht äußert sich dazu aber nicht.

Das Fazit

Das OLG Köln kommt mit einer guten Begründung zu dem Urteil, dass eine Auskunft nach Art. 15 Abs. 1 DSGVO zu sämtlichen personenbezogenen Daten zu erteilen ist. Allerdings bleiben noch weitere Fragen zu Art. 15 DSGVO offen. Gegen eines der beiden oben genannten Urteile des LG Köln (Urteil vom 19.06.2019, Az. 26 S 13/18) ist Revision beim Bundesgerichtshof (Az. IV ZR 179/19) eingelegt worden. Die Auslegung des Art. 15 DSGVO wird damit höchstrichterlich geklärt.