Dr. Rainer Knyrim / Dr. Johannes P. Willheim, M.B.L.-HSG, LL.M., FCIArb
Das datenschutzrechtliche Auskunftsrecht nach Art 15 DSGVO wird in der Praxis immer wieder bemüht, um zu versuchen, Zugang zu Verwaltungsakten sowie zu Informationen und Kopien für Zwecke der Beweismittelbeschaffung zu erhalten. Für diesen sachfremden Zweck ist es jedoch nur beschränkt geeignet. Der Erlangung von für Beweiszwecke geeigneten Informationen und Kopien stehen dem Auskunftsrecht nach Art 15 DSGVO inhärente Schranken sowie grundrechtlich und einfachgesetzlich geschützte Rechte des datenschutzrechtlich Verantwortlichen sowie Dritter entgegen.
Original article published on 18.11.2021 in “RdW 2021/600”, Heft 11/2021:
Dr. Rainer Knyrim ist Rechtsanwalt und Partner bei Knyrim Trieb Rechtsanwälte, einer auf Datenschutzrecht und IT-Recht spezialisierten Anwaltskanzlei. Dr. Knyrim ist Herausgeber des im Verlag Manz in 4. Auflage erschienenen „Praxishandbuch Datenschutzrecht“, Herausgeber Datenschutzkommentars „DatKomm“ im Verlag Manz sowie Autor zahlreicher Fachartikel zum Datenschutzrecht und Vortragender auf diesem Gebiet. Er ist von der International Association for Privacy Professionals geprüfter CIPM, CIPT und CIPP/E sowie zertifizierter Experte für das europäische Datenschutz-Gütesiegel „EuroPriSe“.
Foto: Stephan Huger
Dr. Johannes P. Willheim, M.B.L-HSG, LL.M. FCIArb ist österreichischer und deutscher Rechtsanwalt. Er ist Partner in der Global Disputes Praxis der internationalen Sozietät Jones Day und auf die Parteienvertretung in österreichischen und internationalen Schieds-, Gerichts- und Behördenverfahren, vor allem auch vor den Gerichtshöfen der EU und vor der EU Kommission, spezialisiert. Dr. Willheim ist auch als Schiedsrichter tätig und Gastprofessor für internationale Schiedsgerichtsbarkeit und integriertes Dispute Management am Strauss Institute der Pepperdine University, der University of Chicago Law School sowie der Peking University.
Foto: privat
1. Einleitung
Die Durchsetzbarkeit privatrechtlicher Ansprüche im Zivilprozess hängt in der Praxis maßgeblich von der Beweisbarkeit anspruchsbegründender oder -vernichtender Tatsachen ab. Im österreichischen Zivilprozess trägt grds die beweisbelastete Partei das Risiko der Unaufklärbarkeit des Sachverhalts (non liquet).1 Befinden sich relevante Beweismittel in den Händen des Prozessgegners, besteht in zivilrechtlichen Jurisdiktionen wie Österreich im Rahmen der prozessualen Mitwirkungspflicht eine nur eingeschränkte Verpflichtung der nicht beweisbelasteten Partei, diese Beweismittel im Prozess vorzulegen.2 Eine Verpflichtung, bereits vor Prozessbeginn Zugang zu Informationen, die als Beweis in den Prozess eingeführt werden könnten, zu gewähren, ist dem österreichischen Zivilprozess fremd. Das Beweisrecht zivilrechtlicher Jurisdiktionen unterscheidet sich damit maßgeblich vom US-amerikanischen Prozessrecht, das dem Prozessgegner ein Recht auf “pre-trial discovery” gewährt. Dabei handelt es sich im Wesentlichen um ein dem Prozess vorgeschaltetes Verfahren, in dem dem Prozessgegner sämtliche zur Rechtsdurchsetzung erforderlichen Informationen – und damit auch Urkunden – zugänglich zu machen sind.3 In Schiedsverfahren gibt es durch die sogenannte “document production”, die entweder von den Parteien vereinbart oder vom Schiedsgericht angeordnet werden kann, auch in Verfahren, die an einem Schiedsort in einer zivilrechtlichen Jurisdiktion abgehandelt werden, eine abgeschwächte Form einer discovery während des Verfahrens, durch die eine Verfahrenspartei unter bestimmten Voraussetzungen dazu verpflichtet werden kann, dem Verfahrensgegner Dokumente im weitesten Sinn herauszugeben.4
Da die Beweisbarkeit anspruchsbegründender oder -vernichtender Tatsachen häufig für den Ausgang eines Verfahrens entscheidend ist, werden immer wieder neue Wege gesucht, um an Beweismittel in der Sphäre des Prozessgegners heranzukommen. So wird auch im Kontext zivilrechtlicher Rechtsstreitigkeiten der datenschutzrechtliche Auskunftsanspruch nach Art 15 DSGVO immer wieder zweckentfremdet als Mittel der Beweisbeschaffung und zur Erhöhung des Drucks auf die Gegenseite herangezogen. Ob er sich rechtlich dazu eignet, ist Gegenstand dieses Beitrags.
2. Das Recht auf Auskunft nach Art 15 DSGVO
2.1. Überblick
Art 15 DSGVO gewährt “betroffenen Personen”, dh Personen, deren personenbezogene Daten5 verarbeitet werden,6 ein Recht auf Auskunft gegenüber dem Verantwortlichen.7 Art 15 Abs 1 DSGVO gewährt der betroffenen Person das Recht, eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und, falls ja, ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf in Art 15 Abs 1
DSGVO taxativ aufgezählte Informationen.8 Art 15 Abs 2 DSGVO normiert für den Fall, dass personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, ein Recht der betroffenen Person, über die geeigneten Garantien gem Art 46 DSGVO9 unterrichtet zu werden. Art 15 Abs 3 DSGVO verpflichtet den Verantwortlichen, der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
2.2. Geografische Anwendbarkeit des Auskunftsrechts
Nach dem Entfall des § 3 DSG durch das Kompetenzentflechtungspaket 2018 ist davon auszugehen, dass das DSG dann anwendbar ist, wenn der Verantwortliche in Österreich situiert ist.10 Auch wenn der räumliche Anwendungsbereich der DSGVO neben dem Niederlassungsprinzip des Art 3 Abs 1 DSGVO auch das Marktortprinzip des Art 3 Abs 2 DSGVO umfasst,11 beschränken sich die nachfolgenden Ausführungen auch aus DSGVO-Sicht auf Verantwortliche, die in Österreich situiert sind.
2.3. Sachlicher Anwendungsbereich des Auskunftsrechts
Durch die räumliche Anwendbarkeit sowohl der DSGVO als auch des DSG kommt es zu einem sachlichen Schutz der Daten sowohl natürlicher als auch juristischer Personen. Nach Art 2 Abs 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen. Somit ist nicht nur die elektronische Datenverarbeitung von einem möglichen Auskunftsersuchen erfasst, sondern auch Dateisysteme in Papierform. Art 2 lit c der früheren Datenschutz-Richtlinie verwendete in der englischen Sprachfassung den Begriff “Filing System”, was etwa Karteikarten sein können, aber auch eine strukturierte Form von Papierordnern, die nach bestimmten Kriterien geordnet sind. Nicht nach bestimmten Kriterien geordnete – und somit unstrukturierte – Akten oder Aktensammlungen, inklusive Deckblättern, fallen deshalb nicht in den Anwendungsbereich der DSGVO, und schon zum früheren DSG 2000 gab es ausführliche Judikatur, wonach Papierakte (wie insb Gerichtsakten) vom sachlichen Anwendungsbereich nicht erfasst werden, ebenfalls bloß mündliche, akustische oder visuell erlangte Daten, sofern diese nicht gespeichert werden sollen.12
Eine Besonderheit in der österreichischen Datenschutzrechtsordnung, die es schon im alten DSG 2000 gab, ist, dass nach dem Grundrecht auf Datenschutz, das in § 1 DSG als Verfassungsbestimmung normiert ist, jedermann, insb auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Nach dem DSG steht dieser Anspruch auch juristischen Personen zu. Auch wenn der daraus resultierende Schutz juristischer Personen der DSGVO zu widersprechen scheint, ist festzuhalten, dass der Harmonisierungsanspruch der DSGVO sich nur auf natürliche Personen bezieht und juristische Personen ausklammert. Da trotz mehrfachen Anlaufs keine Verfassungsmehrheit für die Änderung des § 1 DSG im österreichischen Nationalrat zu erzielen war, schützt § 1 DSG auch weiterhin die personenbezogenen Daten juristischer Personen.13 Unter den Grundrechtsschutz des § 1 DSG fallen nicht nur juristische Personen, sondern auch Daten von Personengemeinschaften, was bei einem Auskunftsersuchen zu solchen Daten daher zu berücksichtigen ist.14
2.4. Ausschluss des Auskunftsrechts im Haushaltsbereich?
Eine Rechtsfrage, die bei Auskunftsersuchen im Bereich des Haushalts – etwa iZm Scheidungs- und unterhaltsrechtlichen Verfahren, allenfalls auch iZm Familienunternehmen – aufgeworfen wird, ist die Frage, ob der Anwendbarkeit der DSGVO die sogenannte “Haushaltsausnahme” des Art 2 Abs 2 lit c DSGVO entgegensteht. Diese Bestimmung regelt nämlich, dass die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen bei Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet. Bei familiären Auseinandersetzungen gehört es mittlerweile zum “Standardrepertoire”, dass Streitereien, gezielte Provokationen und Drohun-
gen durch verschiedenste Aufnahmegeräte wie Handys, Laptops, Aufnahme von Videokonferenzen bis hin zu versteckten Bild- und Ton-“Wanzen” sowie Chatverläufe dokumentiert werden. Nach einer Entscheidung der österreichischen Datenschutzbehörde15 fallen derartige Datensammlungen,16 wenn sie zum Zweck der Vorlage als Beweismittel in einem Verfahren angefertigt werden, nicht unter die Haushaltsausnahme.
2.5. “Recht auf Kopie” im Rahmen der Auskunft
Art 15 Abs 3 DSGVO verpflichtet den Verantwortlichen, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Ob sich das “Recht auf Kopie” bereits aus Art 15 Abs 1 DSGVO ergibt und damit Grundtatbestand der Auskunftserteilung ist oder eine Sonderform, die sich aus Art 15 Abs 3 ergibt, wird in der Literatur kontroversiell diskutiert.17 Davon hängt es nämlich ab, ob Kopien im Auskunftsersuchen explizit gefordert werden müssen oder nicht. Die österreichische Datenschutzbehörde sieht in ihrem Auskunftsmuster explizit die Anforderung von Kopien vor.18
Noch kontroversieller ist die Frage, was mit “Kopie” gemeint ist. Handelt es sich dabei um eine “Kopie” im Sinne einer 1:1-Kopie des originalen Datenträgers, also etwa um die auf einem Kopiergerät angefertigte Duplizierung eines Schriftstückes, oder um eine elektronische Kopie, etwa einer E-Mail, eines Chat-Verlaufs oder einer Bild- und Tonaufnahme, oder ist mit “Kopie” nur ein Exzerpt der darin enthaltenen personenbezogenen Daten gemeint?
Nach einer Entscheidung der österreichischen Datenschutzbehörde besteht kein Anspruch auf die Herausgabe ganzer Dokumente und somit auch nicht auf die Herausgabe ganzer Tonbandaufnahmen oder SMS/WhatsApp-Verläufe.19 Nach Auffassung der Datenschutzbehörde normiert Art 15 Abs 3 DSGVO lediglich das Recht auf Erhalt einer “Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind”.20 Unter Zugrundelegung dessen kann auf Basis von Art 15 Abs 3 DSGVO nicht die Herausgabe von zB E-Mails, Kontaktlisten und Tonaufnahmen begehrt werden, da dies dem Wortlaut dieser Bestimmung – anders als etwa Art 20 Abs 1 DSGVO – nicht zu entnehmen ist.21
Mittlerweile hat das BVwG22 dem EuGH zu Art 15 Abs 3 DSGVO vier Vorlagefragen zur Auslegung des Begriffs “Kopie” in Art 15 Abs 3 DSGVO und des Umfangs des in Art 15 Abs 3 DSGVO normierten Auskunftsrechts an den EuGH zur Vorabentscheidung nach Art 267 AEUV vorgelegt. Konkret fragte das BVwG – neben der generellen Frage nach der Auslegung des Begriffs “Kopie” in Art 15 Abs 3 DSGVO -, ob es sich bei Art 15 Abs 3 DSGVO um eine Modifizierung des Auskunftsrechts nach Art 15 Abs 1 DSGVO handelt oder ein darüber hinausgehender Anspruch auf ein/e Fotokopie/Faksimile oder elektronische Kopie begründet wird, ob im Fall einer restriktiven Auslegung im Einzelfall zumindest Textteile zur Verfügung gestellt werden müssen und ob sich “Informationen” allein auf die personenbezogenen Daten oder auch auf Informationen gem Art 15 Abs 1 lit a-h DSGVO oder sogar auf darüber hinausgehende Metadaten beziehen. Das BVwG lässt dabei durchblicken, dass aus seiner Sicht aus Art 15 DSGVO kein generelles Recht auf den Erhalt von Dokumenten abgeleitet werden kann, einzelne Textpassagen hingegen verlangt werden können, wenn dies erforderlich und zweckmäßig ist.
2.6. Welche Daten könnten Gegenstand des Rechts auf Datenkopie sein?
Die DSGVO und das DSG sind vollkommen “technikneutral”. Somit könnten jegliche Arten von Daten, sofern sie personenbezogen oder personenbeziehbar23 sind und in automationsgestützter oder in teilweiser automationsunterstützter Form sowie in strukturierter Form in nicht-elektronischer Form vorliegen, Gegenstand eines auf “Datenkopie” gerichteten Auskunftsersuchens sein.
Selbst dann, wenn nicht eine 1:1-Kopie des Dokumentes oder der Datei zu beauskunften wäre, müssten in der Praxis dann immer noch sämtliche in diesen enthaltene personenbezogene Daten beauskunftet werden, die sich etwa in Textdokumenten finden (Word-Dokumente, Excel-Dateien sowie elektronische Datenbanken mit Firmendaten oder personenbezogenen Daten), Kommunikationsdaten (E-Mails, Chat-Nachrichten vom Computer oder von Handy-Apps wie WhatsApp), Ton- und Bildaufnahmen, GPS-Daten (zB aus Handy-Apps, Fahrzeugen oder sonstigen GPS-Geräten), Daten von Smart Watches oder Fitness-Trackern, Daten aus strukturierten Papieraufzeichnungen wie Personalakten, Geschäftsunterlagen wie Sitzungsprotokolle, Abstimmungsprotokolle, Aktenvermerke über Besprechungen oder Beschlüsse, Log Files von Computersystemen, insb hinsichtlich der Internetnutzung oder angesehener Internetseiten, Fotosammlungen auf Festplatten, USB-Sticks oder Cloud-Speicherorten etc, sofern und in dem Ausmaß, in dem nicht Eigeninteressen des Verantwortlichen oder Dritter beeinträchtigt werden.24 Meist geht es in der Praxis aber um Geschäftsunterlagen, Kommunikationsdaten und Audio- und Videoaufnahmen.
Wenn es in einem Auskunftsersuchen um Daten geht, die in einem Unternehmen, etwa über die eigene Geschäftsgebarung oder über Mitarbeiter vorliegen, stellt sich die Frage, welche Daten überhaupt (noch) vorhanden sein können. Die Antwort ergibt sich im Groben aus den Grundsätzen für die Verarbeitung personenbezogener Daten in Art 5 DSGVO, der auch den Rahmen für die Datenverarbeitung in Unternehmen und Personengemeinschaften bildet, weil deren Datenverarbeitung fast immer die Verarbeitung personenbezogener Daten beinhaltet.
Nach dem Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO dürfen Daten nur für festgelegte eindeutige und legitimierte Zwecke erhoben werden, sodass juristische Personen und Personengemeinschaften grds nur Daten verarbeiten sollten, die etwas mit dem Unternehmensgegenstand zu tun haben, weil eine Verarbeitung “beliebiger” Daten nicht rechtmäßig wäre. Weiters dürfen aufgrund des Grundsatzes der Datenminimierung in Art 5 Abs 1 lit c personenbezogene Daten nur verarbeitet werden, soweit sie dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Ebenso müssen die Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art 5 Abs 1 lit d DSGVO). Am wichtigsten ist jedoch der Grundsatz der Speicherbegrenzung, der vorsieht, dass Daten nicht länger gespeichert werden dürfen, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art 5 Abs 1 lit e DSGVO).25
Dementsprechend sollten Unternehmen eigentlich nur (mehr) die für den Unternehmenszweck tatsächlich notwendigen Daten in aktueller Form und nur für den tatsächlich notwendigen Zeitraum verfügbar haben, um diese zu beauskunften. Die Praxis zeigt allerdings, dass auch mehr als drei Jahre nach Inkrafttreten dieser Grundsätze26 Daten oft in großer Zahl und großer Menge und sehr lang in die Vergangenheit zurück gespeichert sind.
Für Unternehmen ist für die Speicherpflicht etwa die siebenjährige Aufbewahrungspflicht für Geschäftskorrespondenz und Geschäftsunterlagen nach § 212 UGB27 relevant. Diese bedeutet aber nicht, dass sämtliche Daten im Unternehmen so lang gespeichert werden müssen. Im Umkehrschluss sollten die meisten Daten nicht länger als sieben Jahre gespeichert werden, sofern nicht andere rechtliche Gründe (etwa noch laufendes Vertragsverhältnis [Art 6 Abs 1 lit b DSGVO] oder Notwendigkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen [Art 9 Abs 2 lit f DSGVO]) eine längere Speicherung erfordern. In der Praxis bestehen oft keine Speicher- und Löschkonzepte in Unternehmen oder sind diese zwar am Papier existent, in der Praxis aber nicht umgesetzt, sodass alle Daten sieben Jahre und oft noch viel länger gespeichert werden. Konsequenz daraus ist, dass im Fall einer Auskunft dann alle diese vorhandenen Daten potenziell beauskunftet werden müssen.
Natürlich besteht dann im Auskunftsfall die Versuchung, allenfalls “zu viel” oder schon zu lang vorhandene Daten zu löschen, um diese nicht beauskunften zu müssen. Dazu hat die Datenschutzbehörde bereits ausgesprochen, dass eine solche Löschung der Daten nach Einlangen eines Auskunftsersuchens eine Verarbeitung gegen “Treu und Glauben” und damit ein Verstoß gegen das Rechtsmäßigkeitsprinzip des Art 5 Abs 1 lit a DSGVO wäre und eine solche Löschung damit unzulässig ist.28
2.7. Handhabung der “Datenkopie” in der Praxis
Geht man – wie derzeit die österreichische Datenschutzbehörde29 – davon aus, dass der Inhalt des “Rechts auf Datenkopie” auf das Recht auf Erhalt einer “Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind”, also nur die in einem Dokument oder einer Datei enthaltenen personenbezogenen Daten, beschränkt ist, führt das in der Praxis häufig zu einem exzessiven Aufwand, der den Verantwortlichen dazu berechtigt, die Auskunft gänzlich zu verweigern.30 Zunächst müssen nämlich sämtliche infrage kommenden Textdateien, Datenbanken, Datensätze, Audio- und Videoaufnahmen und Kommunikationsverläufe durchgesehen werden, was teilweise schon an den zu schützenden Rechten Dritter (insb Brief- und Kommunikationsgeheimnis, siehe im nächsten Punkt) scheitert, dann müss(t)en die weiteren, im nächsten Punkt beschriebenen Beschränkungen berücksichtigt werden. Soweit danach eine zu beauskunftende “Masse” übrig bleibt, müssen aus dieser in der Folge die jeweiligen enthaltenen personenbezogenen Daten “extrahiert” werden, sei es aus Textdokumenten wie Protokollen, Beschlüssen oder Verträgen, elektronischen Datenbanken oder Video- oder Audiodateien. Solange dieser Prozess nicht teilautomatisiert wurde (falls dies überhaupt möglich ist), muss dieser in reiner Handarbeit in Dutzenden oder Hunderten Arbeitsstunden – je nach zu beauskunftender Menge und Art der Daten – durchgeführt werden.
3. Beschränkungen des datenschutzrechtlichen Auskunftsrechts
3.1. Notwendigkeit und Rechtsgrundlagen von Beschränkungen
Das Recht auf Schutz personenbezogener Daten ist kein uneingeschränktes Recht, sondern muss unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte, die die DSGVO schützen soll,31 abgewogen werden.32 Demnach ist bei Anwen-
dung der DSGVO das durch die DSGVO besonders geschützte Recht auf Schutz personenbezogener Daten33 gegenüber allen anderen Freiheiten und Grundsätzen, die in der Charta der Grundrechte der Europäischen Union34 und in den Europäischen Verträgen verankert sind, wie etwa die Achtung des Privatlebens, der Kommunikation, die Freiheit der Meinungsäußerung und die unternehmerische Freiheit, abzuwägen.35 Dementsprechend sieht die DSGVO entweder unmittelbare Beschränkungen des Grundrechts auf Datenschutz und der damit verbundenen Rechte Betroffener vor oder ermöglicht den nationalen Gesetzgebern der Mitgliedstaaten durch die Öffnungsklausel in Art 23 DSGVO die einfachgesetzliche Beschränkung der in den Art 12-22 und Art 43 sowie Art 5 DSGVO normierten Pflichten und Rechte, sofern sie den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Sicherstellung taxativ aufgelisteter Ziele, darunter auch der Schutz der Rechte und Freiheiten anderer Personen, darstellt.36
Beschränkungen des Auskunftsrechts nach Art 15 DSGVO ergeben sich insb aus dem Verbot der rechtsmissbräuchlichen Geltendmachung dieses Rechts, der ausdrücklichen Anordnung in Art 15 Abs 4 DSGVO, dass das Recht auf Erhalt einer Kopie der Kategorien personenbezogener Daten, die verarbeitet werden,37 nicht die Rechte und Freiheiten anderer Personen beeinträchtigen darf, sowie für das österreichische Recht aus diversen nationalen Rechtsvorschriften, insb dem Recht auf Schutz der Privatsphäre (§ 16 ABGB), des Telekommunikations- und Briefgeheimnisses (§ 93 Abs 3 TKG) sowie von Geschäfts- und Betriebsgeheimnissen (§ 4 Abs 6 DSG).38
3.2. Kein Auskunftsrecht nach Art 15 DSGVO bei Rechtsmissbrauch
3.2.1. Der unionsrechtliche Missbrauchsvorbehalt
Das Unionsrecht steht unter einem allgemeinen Missbrauchsvorbehalt.39 Demzufolge dürfen nationale Gerichte und Behörden objektiv missbräuchlichem Verhalten Rechnung tragen, indem sie die Ausübung der eingeräumten Rechtsposition versagen, wobei die mit der jeweiligen Rechtsvorschrift verfolgten Ziele zu berücksichtigen sind.40 Der EuGH hat auf dieser Basis auch bereits den Auskunftsanspruch nach der Datenschutzrichtlinie beschränkt, wenn der Betroffene offensichtlich nicht beabsichtigt, Datenschutzrechte auszuüben.41
3.2.2. Kein Auskunftsanspruch bei offenkundiger Verfolgung sachfremder Zwecke
Sinn und Zweck des Rechts auf Auskunft nach Art 15 DSGVO ist, einer betroffenen Person zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit zu überprüfen.42 Ein Anspruch auf Auskunft nach Art 15 DSGVO besteht aufgrund des unionsrechtlichen Missbrauchsverbots nicht, wenn mit einem Antrag auf Auskunft offensichtlich sachfremde Ziele verfolgt werden. Auskunftsanträge, deren Zweck nicht die Überprüfung der Rechtmäßigkeit der Datenverarbeitung ist,43 sondern die sachfremde Ziele bezwecken, sind als offensichtlich unbegründet abzulehnen.44
In der Rs C-142/12, Y. S., qualifizierte der EuGH das Ziel, Zugang zu Verwaltungsdokumenten zu sichern, als ein der Datenschutzrichtlinie 95/4645 sachfremdes Ziel46 und stellte unter Verweis auf seine Entscheidung in der Rs Kommission/Bavarian Lager 47 klar, dass die Datenschutzrichtlinie im Gegensatz zur Verordnung Nr 1049/200148 nicht darauf abziele, für das Recht auf Zugang zu Dokumenten für die Transparenz des Entscheidungsprozesses staatlicher Stellen zu sorgen und eine gute Verwaltungspraxis zu fördern. Es ging in der Rs C-142/12 um die Verarbeitung personenbezogener Daten im Rahmen einer rechtlichen Analyse der niederländischen Einwanderungsbehörde, wobei der Zugang dem Betroffenen auf Grundlage der Datenschutzrichtlinie letztlich verwehrt wurde, da die Verschaffung eines Aktenzugangs zu Verwaltungsakten eben kein von der Datenschutzrichtlinie geschütztes Ziel ist.
Die Gewährung des Zugangs zu Dokumenten mit personenbezogenen Daten für Zwecke der Beweisführung in gerichtlichen oder schiedsgerichtlichen Verfahren zur Durchsetzung privatrechtlicher Ansprüche ist wie die Gewährung des Zugangs zu Akten von Verwaltungsbehörden der Europäischen Union kein von der DSGVO geschütztes Ziel. Anders als die Gewährung des Zugangs zu Akten der Verwaltungsbehörden der Europäischen Union ist die Gewährung des Zugangs zu Dokumenten für Zwecke der Beweisführung in Zivilverfahren überhaupt kein unionsrechtliches Ziel. Eine Ausdehnung des datenschutzrechtlichen Auskunftsrechts ausschließlich zu Zwecken der Beweismittelbeschaffung in zivilrechtlichen Auseinandersetzungen würde daher nicht nur ohne sachliche Rechtfertigung über die in ErwGr 63 der DSGVO angeführten Ziele des datenschutzrechtlichen Auskunftsanspruchs hinausgehen, sondern auch unrechtmäßig
in die Autonomie der Mitliedstaaten zur Regelung der Beweislastverteilung und der Beweisführung in zivilrechtlichen Auseinandersetzungen, die dem Anwendungsbereich ihres materiellen Rechts sowie ihres Verfahrensrechts unterliegen, eingreifen. Eine sachliche Rechtfertigung einer differenzierenden Behandlung einer unzulässigen Berufung auf das datenschutzrechtliche Auskunftsrecht für Zwecke der Erlangung des Zugangs zu Akten einer Verwaltungsbehörde und einer Berufung auf dieses Recht, um Zugang zu Dokumenten für Zwecke der Beweisführung in einem Zivilverfahren zu erlangen, ist nicht erkennbar.
Rechtsprechung des EuGH, ob ein Auskunftsrecht nach Art 15 DSGVO besteht, wenn es offensichtlich ausschließlich zu dem Zweck ausgeübt wird, dem Betroffenen Zugang zu Beweismitteln zur Durchsetzung oder Abwehr zivilrechtlicher Ansprüche zu erhalten, gibt es – soweit ersichtlich – noch nicht. Der Court of Appeal von England und Wales hat in der Rs Durant v Financial Services Authority bereits zur Datenschutzrichtlinie 95/46 entschieden, dass einer natürlichen Person das Auskunftsrecht nicht zur Seite stehen soll, um bspw die Offenlegung von Dokumenten zu erwirken, die dieser bei Rechtsstreitigkeiten oder Beschwerden gegen Dritte zustattenkommen könnten.49 Die Erwägung, dass sachfremde, im Gewand des Auskunftsrechts versteckte “Discovery”-Absichten nicht schützenswert sind, wurde seither wiederholt aufgegriffen, etwa in der Rs Ittihadieh v 5-11 Cheyne Gardens RTM Company Ltd 50 vom Court of Appeal von England und Wales.
Von einer offenkundigen und damit rechtsmissbräuchlichen Ausübung des datenschutzrechtlichen Auskunftsrechts für den sachfremden Zweck der Beweismittelbeschaffung ist dann auszugehen, wenn ein Antrag nach Art 15 DSGVO in einem personellen, zeitlichen und inhaltlichen, allenfalls auch örtlichen Kontext zu einem Rechtsstreit steht. Ein personeller Kontext besteht dann, wenn der Antrag auf Auskunftserteilung von einer potenziell beweisbelasteten Partei (zB der Klägerin) bei einer potenziellen Verfahrensbeteiligten (zB der beklagten Partei oder einem potenziellen Streitgenossen), die personenbezogene Daten der Antragstellerin als Verantwortliche verarbeitet, gestellt wird. Ein zeitlicher Kontext ist dann gegeben, wenn das Auskunftsersuchen im erkennbaren Vorlauf einer möglichen51 oder während einer (schieds)gerichtlichen Auseinandersetzung gestellt wird.52 Inhaltlich besteht insb dann ein Kontext zu einem Rechtsstreit, wenn der Antrag auf Auskunft nach Art 15 DSGVO inhaltlich auf Dokumente im weitesten Sinn53 und Themen abstellt, die von Personen als Verfassern stammen oder an Personen als Empfänger übermittelt wurden, die iZm dem Rechtsstreit stehen.
Ein unter Berücksichtigung der Umstände des Einzelfalls ausreichendes Indiz für die Verfolgung sachfremder Zwecke kann auch die Tatsache sein, dass ein Auskunftsantrag erstmals in einem zeitlichen Kontext mit einem (schwelenden) Rechtsstreit gestellt wird. So wird in der Literatur beispielhaft von einem Missbrauch des Auskunftsrechts nach Art 15 DSGVO durch Verfolgung eines offensichtlich sachfremden Zwecks ausgegangen, wenn ein ausgeschiedener Geschäftsleiter sich jahrelang nicht für die Verarbeitung seiner Daten interessiert hat und das geäußerte Auskunftsinteresse zeitlich mit der Geltendmachung von Schadenersatzansprüchen zusammenfällt.54 In diesem Fall wird von einer missbräuchliche Geltendmachung ausgegangen, wenn der Auskunftsanspruch vor dem Hintergrund laufender Auseinandersetzungen vorrangig deshalb geltend gemacht wird, um den Verhandlungsdruck zur Erzielung einer möglichst hohen Abfindung unzulässig zu erhöhen bzw die Gegenseite generell zu einem Entgegenkommen bei Verhandlungen zu veranlassen.55
3.2.3. Das Recht auf Verweigerung bei offenkundig unbegründeten oder exzessiven Auskunftsersuchen
Art 12 Abs 5 lit b DSGVO berechtigt den Verantwortlichen, sich zu weigern, aufgrund eines offenkundig unbegründeten oder exzessiven Antrags auf Auskunft nach Art 15 DSGVO tätig zu werden. Der Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Auskunftsantrags ist vom Verantwortlichen zu erbringen.56 Art 12 Abs 5 DSGVO wird als einfachgesetzliche Ausprägung des allgemeinen europäischen Missbrauchsverbots ausgelegt.57
Wann ein Antrag auf Auskunft nach Art 15 DSGVO offenkundig unbegründet oder exzessiv ist, wird in der DSGVO nicht konkretisiert. Von einem offenkundig unbegründeten Antrag ist jedenfalls auszugehen, wenn er offenkundig ausschließlich zur Verfolgung sachfremder Ziele gestellt wird.58 Offensichtlich unbegründet wird ein Auskunftsantrag auch dann sein, wenn er von einem Betroffenen gestellt wird, der Kenntnis von der Verarbeitung ihn betreffender personenbezogener Daten durch den Verantwortlichen sowie sämtlichen nach Art 15 DSGVO zu erteilenden Informationen hat. Das kann etwa für einen Geschäftsleiter oder Datenschutzverantwortlichen eines Unternehmens zutreffen, wohl aber auch auf eine Person, die bereits mehrfach einen Auskunftsantrag nach Art 15 DSGVO in kurzen zeitlichen Intervallen, innerhalb derer sich nichts an der Bearbeitung personenbezogener Daten geändert haben kann, gestellt hat. Häufig wiederholte Anträge werden in Art 12 Abs 5 Satz 2 DSGVO auch als Beispiel
für exzessive Anträge angeführt. Allgemein wird ein Antrag auf Auskunftserteilung nach Art 15 DSGVO als exzessiv zu beurteilen sein, wenn der zu dessen Erfüllung notwendige Aufwand unverhältnismäßig zur Wahrung der durch die DSGVO geschützten Interessen der Betroffenen (Bewusstsein über die Verarbeitung sie betreffender personenbezogener Daten und Überprüfung der Rechtmäßigkeit) ist. Davon ist zB bei der Verarbeitung der personenbezogenen Daten eines auch operativ tätigen Geschäftsleiters eines internationalen Konzerns auszugehen, wenn der Auskunftsantrag auf sämtliche Verarbeitungen im Konzern, inklusive jeglicher Kommunikation, in der personenbezogene Daten vorkommen, und die Zurverfügungstellung einer Kopie dieser Daten nach Art 15 Abs 3 DSGVO gerichtet ist. Bei einem entsprechenden Antrag muss der Verantwortliche nämlich sämtliche Daten mit personenbezogenen Daten des Betroffenen durchforsten und daraufhin sichten, ob durch die beantragte Auskunftserteilung Recht Dritter oder Eigeninteressen gefährdet werden und, wenn ja, jene Vorkehrungen treffen, die rechtlich zur Wahrung dieser Interessen geboten sind.59 Selbst bei vorbildlicher Organisation der Datenverarbeitung kann der Aufwand für einen Verantwortlichen, um einem so umfassenden Auskunftsantrag zu entsprechen, enorm sein, während der daraus zu erwartenden Erkenntnisgewinn des Betroffenen in Bezug auf sein Bewusstsein über die Verarbeitung seiner personenbezogenen Daten und der Rechtmäßigkeit der Datenverarbeitung kaum größer sein wird als ein gezielt auf die Erreichung dieser Ziele gerichteter Antrag auf Auskunft nach Art 15 DSGVO. Im Zweifel kann bei allumfassenden oder extrem weit gefassten Auskunftsanträgen davon ausgegangen werden, dass sie exzessiv iSd Art 12 Abs 5 DSGVO sind, sofern nicht ein erkennbarer Grund vorliegt, warum ein entsprechend umfassend gefasster Antrag insb zur Überprüfung der Rechtmäßigkeit der Verarbeitung seiner Daten durch den Betroffenen notwendig ist.
Nach der Spruchpraxis von Datenschutz-Aufsichtsbehörden der EU-Mitgliedstaaten sind datenschutzrechtliche Auskunftsbegehren, die vor dem Hintergrund eines Konflikts nicht datenschutzrechtlicher Art gestellt werden und auf eine “Sanktionswirkung” abzielen, als exzessiv iSv Art 12 Abs 5 Satz 2 DSGVO einzuordnen und verströmen geradezu den “Geruch des Rechtsmissbrauchs”.60
3.2.4. Schutz von Betriebs- und Geschäftsgeheimnissen und geistigem Eigentum
Nach Art 15 Abs 4 DSGVO darf das Recht auf Erhalt einer Kopie gem Art 15 Abs 3 DSGVO nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Durch die normative Anordnung “darf nicht” geht Art 15 Abs 4 DSGVO über ein bloßes Verweigerungsrecht des Verantwortlichen hinaus und legt ihm stattdessen eine Verpflichtung auf, dem Betroffenen keine Kopien zur Verfügung zu stellen, wenn dadurch Rechte und Freiheiten Dritter verletzt werden.
Art 15 Abs 4 DSGVO soll die Privatsphäre sowie Geschäfts- und Betriebsgeheimnisse oder Rechte am geistigen Eigentum (insb das Urheberrecht an Software) des Verantwortlichen oder eines Dritten schützen,61 wobei die Wahrung von legitimen Eigeninteressen und Rechten und Freiheiten anderer nicht dazu führen darf, dass das Auskunftsrecht schlichtweg verneint wird.62
Auch wenn die Verpflichtung zum Schutz der Rechte und Freiheiten Dritter, inklusive des Verantwortlichen, in Art 15 Abs 4 DSGVO ausdrücklich nur in Bezug auf die Verpflichtung, eine Kopie zur Verfügung zu stellen, geregelt ist, gilt sie für den gesamten Anwendungsbereich des Art 15 DSGVO. Dies ergibt sich zum einen aus dem allgemein zu beachtenden Verhältnismäßigkeitsgrundsatz63 sowie für Österreich aus auf Basis der Öffnungsklausel des Art 23 DSGVO erlassenen nationalen einfachgesetzlichen Beschränkungen. So besteht nach § 4 Abs 6 DSG das Recht auf Auskunft der betroffenen Person gem Art 15 DSGVO unbeschadet anderer gesetzlicher Beschränkungen dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw Dritter gefährdet würde.
Weder Art 15 Abs 4 DSGVO noch § 4 Abs 6 DSG konkretisieren den Begriff des Geschäfts- und Betriebsgeheimnisses. § 4 Abs 6 DSG wurde aufgrund eines Abänderungsantrags zum Initiativantrag IA 189/A 26. GP beschlossen (BGBl I 2018/24). Aus der Begründung des Abänderungsantrags geht eindeutig hervor, dass der Begriff nicht auf ein enges Verständnis von Betriebs- und Geschäftsgeheimnissen einzuschränken ist: “Mit der Formulierung wird klargestellt, dass sowohl Geschäfts- und Betriebsgeheimnisse selbst als auch andere Daten, wenn eine Auskunft über diese Daten ein Geschäfts- und Betriebsgeheimnis gefährden würde, vom Auskunftsrecht ausgenommen sind.” Für den Begriff des Betriebs- und Geschäftsgeheimnisses an sich kann entsprechend dem Grundsatz der Einheit der Rechtsordnung auf § 26b UWG, der Art 2 Z 1 Geheimnisschutz-RL (EU) 2016/943 umsetzt, zurückgegriffen werden. Demzufolge ist ein Geschäftsgeheimnis eine Information, die geheim ist, weil sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Information zu tun haben, allgemein bekannt noch ohne Weiteres zugänglich ist und von kommerziellem Wert ist, weil sie geheim ist, und Gegenstand von den Umständen entsprechenden allgemeinen Geheimhaltungsmaßnahmen durch die Person ist, welche die rechtmäßige Verfügungsgewalt über diese Information ausübt.
Unternehmensinterne Informationen über laufende Rechtsstreitigkeiten sind auch vom Begriff des Geschäftsgeheimnisses umfasst, weil sie nur einem eingeschränkten unternehmens-
internen Personenkreis einschließlich zur Verschwiegenheit verpflichteter Berater bekannt sind. Sie haben auch kommerziellen Wert, da sie den Prozessausgang beeinflussen können und werden gewöhnlich geheim gehalten, indem der Zugang zu diesen Informationen auf die von dem Rechtsstreit unmittelbar Betroffenen und zur Verschwiegenheit verpflichteten Vertreter und Berater beschränkt wird. Zu den vom Auskunftsrecht erfassten Geschäfts- und Betriebsgeheimnissen zählt daher insb auch der unternehmensinterne Austausch von Erwägungen und Strategien iZm einem Rechtsstreit. Dies gilt insb dann, wenn es sich um einen Rechtsstreit mit einer Führungskraft und/oder einem Gesellschafter handelt. So muss es zB für Führungskräfte in Unternehmen möglich sein, sich über Strategien in Bezug auf Streitigkeiten mit (ehemaligen) Gesellschaftern auszutauschen und (digitale) Notizen darüber anzufertigen, ohne dass die Streitgegner das Datenschutzrecht missbrauchen, um Kenntnis von vertraulichen Gesprächen zu erzwingen. Ganz allgemein ist davon auszugehen, dass kein Recht auf Auskunft nach Art 15 DSGVO in Bezug auf Daten, deren Offenlegung in einem laufenden Rechtsstreit die Position des Auskunftspflichtigen gefährden könnten, besteht.
3.2.5. Schutz des Datenschutzrechts Dritter, der Privatsphäre und des Briefgeheimnisses
Zu den Rechten, die nach ErwGr 63 DSGVO im Allgemeinen und nach Art 15 Abs 4 DSGVO im Besonderen nicht durch die Ausübung des Auskunftsrechts nach Art 15 DSGVO gefährdet werden sollen, zählen das durch die europäische Grundrechts-Charta garantierte Recht auf Datenschutz (Art 8 GRC),64 das Recht auf Achtung des Privatlebens sowie der Kommunikation (Art 7 GRC). Kern des Rechts auf Achtung der Kommunikation ist der Schutz der Vertraulichkeit der Kommunikation.65 Jede Weitergabe von personenbezogenen Daten an Dritte stellt einen Eingriff in Art 7 (und Art 8 – Recht auf Datenschutz) GRC dar.66
Der österreichische Gesetzgeber schützt die Rechte und Freiheiten anderer Personen insb durch das Grundrecht auf Datenschutz, einschließlich des Rechts auf Privat- und Familienleben, und als Ausdruck des allgemeinen Persönlichkeitsrechts (§ 16 ABGB) das Brief- und Telekommunikationsgeheimnis. Die so geschützte Kommunikationsfreiheit, seine Gedanken über andere frei auszutauschen, geht dem Recht auf Auskunft vor. Ein Recht, zu wissen, “wer, was, wann und bei welcher Gelegenheit über eine bestimmte Person weiß”, somit ein unbegrenztes Recht der Beherrschung aller die eigene Person betreffenden Informationen besteht nicht.
Nach der Spruchpraxis der österreichischen Datenschutzbehörde ist eine Auskunftserteilung über den Inhalt etwa von E-Mails und SMS nicht geboten.67 § 93 Abs 3 TKG beschränkt unter der Überschrift “Kommunikationsgeheimnis” die Weitergabe von Nachrichteninhalten elektronischer Kommunikation ohne Einwilligung der beteiligten Benutzer. Bei Fehlen dieser Voraussetzung besteht ein überwiegendes berechtigtes Interesse des Dritten (des Kommunikationspartners des Beschwerdegegners) und dieses bildet einen berechtigten Grund für die Nichterteilung der Auskunft.
3.2.6. Schutz vor Selbstbelastung
Soweit ein Auskunftsbegehren seiner Wirkung nach den Schutz davor, sich selbst belasten zu müssen, umgeht, ist es unzulässig. In seiner zivilprozessualen Ausgestaltung ergibt sich dies aus §§ 303 ff ZPO, wonach Urkunden nur unter engen spezifischen Voraussetzungen auf Verlangen des Prozessgegners vorgelegt werden müssen. Gem § 304 Abs 1 ZPO müssen Urkunden nur dann vorgelegt werden, wenn man sich selbst darauf berufen hat, wenn man nach zivilrechtlichen Regeln gegenüber dem Prozessgegner zur Herausgabe verpflichtet ist, oder wenn es sich um eine gemeinschaftliche Urkunde handelt. Eine Urkunde ist gem § 304 Abs 2 ZPO gemeinschaftlich, wenn sie im Interesse der jeweiligen Personen errichtet worden ist oder gegenseitige Rechte bekundet, sowie zwischen den Beteiligten ausgetauschte Verhandlungsdokumente. Hingegen werden insb Aufzeichnungen und Notizen, die im Rahmen der Verhandlung zu privaten Zwecken einer Person, zB zur Vorbereitung des Verhandlungsprotokolls, verfasst werden, Aktenvermerke einer Partei oder Notizen eines Rechtsanwalts nicht als “gemeinschaftlich” qualifiziert.
Gem § 305 ZPO kann die Vorlage eine Urkunde verweigert werden, wenn der Inhalt Angelegenheiten des Familienlebens betrifft, die Vorlage der Urkunde eine Ehrenpflicht verletzen würde, das Bekanntwerden der Urkunde der Partei oder dritten Personen zur Schande gereichen oder die Gefahr strafgerichtlicher Verfolgung nach sich ziehen würde, die Partei durch die Vorlage ein Kunst- oder Geschäftsgeheimnis verletzen würde oder wenn andere gleich wichtige Gründe vorhanden sind, welche die Verweigerung der Vorlage rechtfertigen.
4. Fazit
Eine Analyse der Ziele, des Gegenstands und des genauen Umfangs des datenschutzrechtlichen Auskunftsanspruchs nach Art 15 DSGVO ergibt, dass dieser nur beschränkt als Mittel zur Beweisbeschaffung zur Durchsetzung zivilrechtlicher Ansprüche geeignet ist. Einerseits besteht dieser Anspruch dann nicht, wenn er einem sachfremden Ziel (etwa der Beweisbeschaffung) dient, offenkundig unbegründet oder exzessiv ist. Aber selbst wenn grds ein Auskunftsanspruch besteht, wird eine beweisbelastete Partei kaum darüber an jene Informationen gelangen, die sie für Beweiszwecke nutzen kann. Zum einen tendiert die Entscheidungspraxis aktuell dazu, den Anspruch auf eine Kopie gem Art 15 Abs 1 und 3 DSGVO auf eine Kopie der personenbezogenen Daten des Betroffen und nicht der gesamten Unterlagen, in denen diese Daten enthalten sind, zu beschränken, wobei zur Klärung des genauen Umfang dieses Anspruchs kürzlich seitens des BVwG ein Vorabentscheidungsersuchen an den EuGH
gerichtet wurde. Andererseits sind im Rahmen der Auskunftsgewährung die schutzwürdigen Eigeninteressen des Verantwortlichen (inklusive seiner Prozessstrategie im Rechtsstreit mit dem Betroffenen) sowie Dritter zu berücksichtigen, was im Ergebnis wiederum zu einer starken Einschränkung bzw Reduktion der als Beweis verwertbaren Informationen, die über den datenschutzrechtlichen Auskunftsanspruch erlangt werden können, führt. Der datenschutzrechtliche Auskunftsanspruch ist daher das, wofür er normiert wurde: ein Mittel für Betroffene, Kenntnis über die Verarbeitung ihrer personenbezogenen Daten durch einen Verantwortlichen zu erlangen und die Rechtmäßigkeit dieser Datenverarbeitung zu überprüfen; nicht mehr und nicht weniger.
Wilfinger in Spitzer/Wilfinger, Beweisrecht § 303 Rz 1.
Wilfinger in Spitzer/Wilfinger, Beweisrecht § 303 Rz 2 mwN.
Vgl zB IBA Rules on the Taking of Evidence in International Arbitration (Version 17. 12. 2020) Art 3 Rz 2 ff.
Wie in Art 4 Z 1 DSGVO legal definiert.
Art 4 Z 2 DSGVO.
Verantwortlicher ist nach Art 4 Z 7 DSGVO die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.
Informationen über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insb bei Empfängern in Drittländern oder bei internationalen Organisationen, über die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, über das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung, über das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde, über die Herkunft der Daten, wenn diese nicht bei der betroffenen Person erhoben werden, sowie über das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling gem Art 22 Abs 1 und 4 DSGVO, und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung über die betroffene Person.
Art 46 DSGVO sieht vor, dass falls für ein Drittland außerhalb des EWR kein expliziter sogenannter Angemessenheitsbeschluss der EU-Kommission vorliegt, ein Datentransfer nur dann stattfinden kann, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorgesehen hat. Solche Garantien können ua verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln der EU oder von einer nationalen Aufsichtsbehörde genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen sein. Nach erfolgter Genehmigung durch die zuständige Aufsichtsbehörde können es auch Vertragsklauseln sein, die zwischen dem Datenexporteur und dem Datenimporteur vereinbart wurden. Siehe dazu näher Knyrim in Knyrim, DatKomm Art 46 Rz 15 ff.
Leissler/Wolfbauer in Knyrim, DatKomm Art 3 Rz 32 (Stand März 2021).
Siehe dazu näher Leissler/Wolfbauer in Knyrim, DatKomm Art 3 Rz 13 ff.
Heißl in Knyrim, DatKomm Art 2 Rz 53 ff mwN.
Lachmayer in Knyrim, DatKomm Art 1 Rz 79, 81 (Stand Februar 2019); Knyrim in Knyrim, DatKomm Titelei Rz 17 ff (Stand 2. Ausgabe).
Eberhard in Korinek/Holubek et al § 1 DSG Rz 25.
DSB 10. 8. 2020, 2020-0.204.456 (DSB-D124.339), Dako 2020/61 (Knyrim).
Konkret ging es in diesem Fall um Tonaufnahmen (mit Handy und Laptop) und SMS- und WhatsApp-Nachrichten. Siehe die Glosse Knyrim, Dako 2020/16, sowie Knyrim/Eustacchio, Geheime Aufnahmen im Streit: Datenschutz verletzt, Die Presse 2020/47/05.
Haidinger in Knyrim, DatKomm Art 15 Rz 35/4 mwN [Stand 2022].
https://www.dsb.gv.at/dam/jcr:b233fd1e-3c44-4559-8502-28dd85cb9897/Antrag_an_den_Verantwortlichen_Recht_auf_Auskunft_Art_15.pdf (abgefragt am 10. 10. 2021).
DSB 10. 8. 2020, 2020-0.204.456 (DSB-D124.339), Dako 2020/61 (Knyrim).
DSB 10. 8. 2020, 2020-0.204.456 (DSB-D124.339), Dako 2020/61 (Knyrim).
Zur Sicht des OGH siehe Bergauer/Jahnel, Das Recht auf Erhalt einer Kopie im Gefüge des Art 15 DSGVO – mit Anmerkungen zu OGH 17. 12. 2020, 6 Ob 138/20t, jusIT 2021/62.
Als identifizierbar wird eine Person nach Art 4 Z 1 DSGVO angesehen, die direkt oder indirekt, insb mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Siehe dazu Abschnitt 3. unten.
Art 83 Abs 5 lit a DSGVO sanktioniert die Nichteinhaltung dieser Grundsätze mit 20 Mio € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
Diese Datenschutzgrundsätze bestanden im Wesentlichen aber auch schon davor, nämlich seit 1980, in der österreichischen Datenschutzrechtsordnung.
Siehe dazu etwa DSB 28. 5. 2018, DSB-D216.471/0001-DSB/2018.
DSB 27. 6. 2019, DSB-D124.071/0005-DSB/2019.
DSB 10. 8. 2020, 2020-0.204.456 (DSB-D124.339), Dako 2020/61 (Knyrim).
Siehe im Detail dazu Abschnitt 3.2.3.
Art 1 Abs 2 DSGVO.
ErwGr 4 DSGVO.
ErwGr 1 DSGVO mit Verweis auf die Charta der Grundrechte der Europäischen Union, 2000/c 364/01.
ErwGr 4 DSGVO.
Art 23 Abs 1 lit i DSGVO.
Art 15 Abs 3 iVm Art 15 Abs 1 lit 1b DSGVO.
Siehe dazu Abschnitt 3.2.4. und 3.2. unten.
Sinngemäß Korch/Chatard, Der datenschutzrechtliche Auskunftsanspruch in Geschäftsleiterhaftungsfällen, NZG 2020, 893 (898).
Korch/Chatard, NZG 2020, 893 (898).
EuGH 17. 7. 2014, C-141/12 und C-372/12, Y. S. und Minister voor Immigratie, Integratie en Asiel, Rn 38 ff, insb Rn 46 f zu Art 12 lit a der RL 95/46; vgl auch Schlussanträge der Generalanwältin Kokott vom 20. 7. 2017, C-434/16, Rn 43 und 44.
ErwGr 63 DSGVO.
Siehe ErwGr 63 Satz 1 DSGVO.
Sinngemäß Zöll/Kielkowski, Glosse zu LG Heidelberg, Urteil vom 21. 2. 2020 – 4 O 6/19, ZD 2020, 313 (315).
Der Vorgängerrichtlinie zur DSGVO.
EuGH 17. 7. 2014, C-141/12 und C-372/12, Y. S. und Minister voor Immigratie, Integratie en Asiel, Rn 46.
EuGH 29. 6. 2010, C-28/08 P, Rn 49.
Verordnung (EG) Nr 1049/2001 des Europäischen Parlamentes und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission.
England and Wales Court of Appeal (Civil Division) 8. 12. 2003, [2003] EWCA Civ 1746, Durant v Financial Services Authority, Rn 27.
England and Wales Court of Appeal (Civil Division) 3. 3. 2017, [2017] 3 WLR 81, Ittihadieh v 5-11 Cheyne Gardens RTM Company Ltd, Rn 63.
Indizien dafür sind etwa Forderungsanmeldungen einer Partei, anwaltliche Anspruchsschreiben, Verhandlungen oder Mediationsversuche.
Zumindest solange das Beweisverfahren noch offen oder eine Wiedereröffnung möglich ist.
Kommunikation, wie Briefe, E-Mails, Textnachrichten, Akteninhalte uÄ.
Sinngemäß Korch/Chatard, NZG 2020, 893 (899); LG Heidelberg 21. 2. 2020, 4 O 6/19.
Kühling/Buchner/Bäcker, DS-GVO3 (2020) Art 15 Rz 42; Lembke, Der datenschutzrechtliche Auskunftsanspruch im Anstellungsverhältnis, NJW 2020, 1841 (1845); Härting, Was ist eigentlich eine “Kopie”? Zur Auslegung des Art 15 Abs 3 Satz 1 DSGVO, CR 2019, 219 (223); Schulte/Welge, Der datenschutzrechtliche Kopieanspruch im Arbeitsrecht, NZA 2019, 1110 (1114).
Art 12 Abs 5 letzter Satz DSGVO.
Korch/Chatard, NZG 2020, 893 (899) mwN in FN 58; Suchan, Der “qualitative” Exzess nach Art 15 DSGVO, ZD 2021, 198 (200).
Im Detail dazu Abschnitt 3.2.2. oben.
Siehe dazu Abschnitt 3.2.4.-3.2.6.
Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe zum Recht auf Auskunft nach der Datenschutz-Grundverordnung, Version 1.0 (Stand 1. 12. 2019) Rz 175.
Vgl Haidinger/Illibauer in Knyrim, Paxishandbuch Datenschutzrecht4 Rz 8.57 mit Verweis auf ErwGr 63 Satz 5 DSGVO.
Vgl Haidinger/Illibauer in Knyrim, Paxishandbuch Datenschutzrecht4 Rz 8.57 mit Verweis auf ErwGr 63 Satz 6 DSGVO.
Im Detail dazu Abschnitt 3.1. oben.
Pavlidis in Holoubek/Lienbacher, GRC-Kommentar Art 7 Rz 48.
EuGH 16. 7. 2020, C-311/18, Schrems II, Rn 170 mwN.
DSB 17. 12. 2015, DSB-D122.259/0008-DSB/2015..