Artikel 15 der EU-Datenschutzgrundverordnung (DSGVO) gewährt Betroffenen ein umfassendes Recht auf Auskunft über die von einem Verantwortlichen (z.B. Arbeitgeber) verarbeiteten personenbezogenen Daten. Das schließt auch den Erhalt einer Kopie dieser Daten ein (Art. 15 Abs. 3 DSGVO).
Der konkrete Umfang dieses Auskunftsrechts im Arbeitsverhältnis ist Gegenstand intensiver Diskussionen in der Literatur und wird auch von der bisherigen Rechtsprechung unterschiedlich beurteilt. Diese Frage ist jedoch im bestehenden Arbeitsverhältnis – und noch mehr im Zuge einer nicht einvernehmlichen Beendigung – von zunehmender praktischer Bedeutung.
Vor dem Hintergrund, dass bei Verstößen gegen datenschutzrechtliche Vorgaben nicht nur Bußgelder in erheblicher Höhe drohen, sondern die Betroffenen unter Umständen auch Schadensersatzansprüche geltend machen können, lohnt ein kritischer Blick auf die gesetzlichen Regelungen und die aktuelle Rechtsprechung.
Arbeitgeber sollten in jedem Fall ihre Datenschutzprozesse einmal dahingehend kritisch hinterfragen, ob sie auf einen geltend gemachten Auskunftsanspruch zeitgerecht und anhand der nachfolgend dargestellten Kriterien reagieren könnten.
I.Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO
Angesichts der erheblichen möglichen Konsequenzen für Verantwortliche bei nicht korrekter Erfüllung des Auskunftsanspruches ist die Regelung in Art. 15 DSGVO missglückt. Das zeigt sich schon allein darin, wie heterogen die Interpretationen der Vorschrift ausfallen.
Die einschränkende Ansicht will den Anspruch auf die wesentlichen im Laufe eines Arbeitsverhältnisses erhobenen und verarbeiteten personenbezogenen Daten (verkürzt ausgedrückt die Stammdaten und der Inhalt der Personalakte) beschränken, zumindest so lange nicht ganz konkret beispielsweise der Inhalt einer bestimmten E-Mail-Kommunikation gefragt ist (vgl. AG München, Urt. v. 4.9.2019 – 155 C 1510/18 oder LG Köln, Urt. v. 19.6.2019 – 26 S 13/18). Insbesondere soll nicht verlangt werden können, dass beispielsweise jede E-Mail, in die ein Betroffener im Verlaufe seines Beschäftigungsverhältnisses einkopiert war, herausgesucht und übergeben werden muss oder umfassende interne Vorgänge überlassen werden müssten.
Demgegenüber vertritt eine sehr extensive Ansicht mehr oder weniger das glatte Gegenteil, nämlich eine Pflicht zur Information und Überlassung sämtlicher personenbezogenen Daten, die ein Verantwortlicher über einen Betroffenen besitzt, dazu sollen auch alle E-Mails, internen Vermerke etc. gehören (vgl. OLG Köln, Urt. v. 26.7.2019 – 20 U 75/18: „Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.“ und „Faktisch gewährt Art. 15 DS-GVO nun jedoch ein der US-amerikanischen „discovery“ angenähertes Auskunftsrecht natürlicher Personen zu den über sie vorhandenen personenbezogenen Daten.“). In der genannten Entscheidung des OLG Köln ging es zwar nicht um Auskunft im Rahmen eines Arbeitsverhältnisses, sondern um einen Versicherungsvertrag. Allerdings sind die Ausführungen des OLG zu dieser Frage eher grundsätzlicher Natur und daher prinzipiell durchaus auf Arbeitsverhältnisse übertragbar.
Im Wesentlichen stützt es seine Argumentation auf den Wortlaut von Art. 15 DSGVO, der den Begriff der „personenbezogenen Daten“ in keiner Weise einschränke, weshalb damit der legal definierte Begriff aus Art. 4 Nr. 1 DSGVO zugrunde zu legen sei.
Das LG Köln hat in der Folge dieser Entscheidung seine ursprünglich eher enge Interpretation von Art. 15 DSGVO offenbar wieder erweitert (z.B. Urt. v. 11.11.2020 – 23 O 172/19) und sich der Auffassung des OLG Köln deutlich angenähert.
II.Schadensersatz bei nicht ordnungsgemäßer Auskunftserteilung
Im alten Datenschutzrecht noch nicht enthalten war der nun in die DSGVO aufgenommene Anspruch auf den Ersatz immaterieller Schäden durch Verletzungen des Datenschutzrechts in Art. 82 Abs. 1 DSGVO. Abhängig von der Interpretation dieses Begriffes im Zusammenhang mit Datenschutzverletzungen durch die Rechtsprechung eröffnet sich hier ein weites Feld für künftige Rechtsstreitigkeiten.
Im Hinblick auf einen Schadensersatzanspruch hat das ArbG Düsseldorf (Urt. v. 5.3.2020 – 9 Ca 6557/18) einem Arbeitnehmer einen Anspruch auf 5.000 EUR wegen eines erlittenen immateriellen Schadens zugesprochen, der sich im Wesentlichen in der Ungewissheit des Klägers über die Verarbeitung seiner personenbezogenen Daten begründet. Hierbei war das ArbG jedoch in der Interpretation der Reichweite des Auskunftsanspruches eher zurückhaltend. In der Begründung überzeugt die Entscheidung dennoch nicht, denn eine Summe von 5.000 EUR hinterlässt in Anbetracht der Tatsache, dass die Verstöße eher untergeordneter Natur waren, insgesamt noch eine erhebliche Rechtsunsicherheit im Hinblick auf die Reichweite des Auskunftsanspruchs und im Vergleich mit gängigen Schmerzensgeldsummen (für den Verlust von fünf Zähnen gab es beim LG Köln ebenfalls 5.000 EUR; LG Köln, Urt. v. 16.12.2020 – 3 O 326/18) ist dies doch reichlich hoch. Der DSGVO zur Geltung verholfen im Sinne von Art. 4 III EUV hätte auch eine angemessenere, niedrigere Summe.
Das ArbG Düsseldorf ist mit seiner Begründung bei der Annahme eines tauglichen immateriellen Schadens auch begrifflich sehr weit gegangen. Die Erwägungsgründe 75 und 85 der DSGVO nennen hierfür als Beispiele Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile, die an sich schon ein immaterieller Schaden sind, sich zudem zu einem materiellen Schaden verwirklichen können. Dass der Kläger im zu entscheidenden Fall aufgrund der Verspätung und inhaltlichen Unzulänglichkeit der Auskunft eine Zeit lang im Ungewissen über den Umfang der Datenverarbeitung bei der Beklagten war, lässt sich nach Ansicht des Verfassers unter keine der genannten Kategorien subsumieren. Die weitere Entwicklung der Rechtsprechung in dieser Frage wird zu beobachten sein.
III.Tipps für die Praxis
Um den dargestellten Unsicherheiten ein wirksames und praxistaugliches Konzept entgegenzusetzen, sollten Arbeitgeber hier nach einem auf Risikogesichtspunkten basierenden Kompromiss suchen und diesen im Wege eines standardisierten Prozesses implementieren. Wird ein Auskunftsbegehren geltend gemacht, bleibt keine Zeit für die Entwicklung eines solchen Prozesses, zumal die Möglichkeit der Verlängerung der Monatsfrist aus Art. 12 Abs. 3 DSGVO auf bis zu drei Monate nicht standardmäßig, sondern nur im begründeten Ausnahmefall in Anspruch genommen werden darf und die Gründe hierfür auch im Zweifel belegt werden müssen.
Im Wege dieses Prozesses müssen zunächst Zuständigkeiten definiert werden. Es muss eine Person bestimmt werden, bei der alle Informationen zusammenlaufen und die von allen Abteilungen bei der Informationsbeschaffung unterstützt wird.
Geht ein Auskunftsbegehren ein, sollte zunächst eine Auskunft entsprechend der oben beschriebenen eingeschränkten Ansicht erteilt werden, verbunden mit einem Hinweis, dass ohne genauere Präzisierung erst einmal die wesentlichen Informationen mitgeteilt würden. Erfolgt dann eine Präzisierung, müssten die Verweigerungsgründe des Art. 15 Abs. 4 DSGVO und § 34 BDSG geprüft werden. Das LG Heidelberg (Urt. v. 21.2.2020 – 4 O 6/19) hat beispielsweise die Wiederherstellung einer erheblichen Anzahl von E-Mails von externen Sicherungsservern und das entsprechende Sichten und Schwärzen von Inhalten in diesen Mails, die den Kläger nichts angehen, für unverhältnismäßig gehalten und einen entsprechenden Auskunftsanspruch abgelehnt.
Jan Schiller, Fachanwalt für Arbeitsrecht, Düsseldorf
