Kopien im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO

Hallo liebe Kollegen,

aufgrund einer eingegangenen Betroffenenanfrage (Auskunftsersuchen nach Art. 15 DSGVO) bin ich auf folgende zwei Fragen gestoßen:

1. Müssen bei einer “normalen” Auskunftsanfrage immer automatisch Kopien der personenbezogenen Daten mitgeschickt werden, auch wenn in der Anfrage der betroffenen Person kein Bezug auf eine Kopie und auch kein Bezug auf Art. 15 Abs. 3 DSGVO genommen wird?
2. Ein Auskunftsersuchen Wird im Rahmen eines arbeitsrechtlichen Rechtsstreits (Datenschutz und Arbeitsrecht ist doch eine schwierige Kombination) von Anwalt der gegnerischen Partei an das Unternehmen herangetragen, Vollmacht des Anwalts liegt vor. Da zu der betroffenen Person eine große Menge an personenbezogenen Daten vorliegt (mindestens 500 Seiten), wurde entsprechend EG 63 S. 7 zur DSGVO darum gebeten, die Anfrage zu präzisieren. Die Frist läuft zum Ende der Woche ab und eine Antwort auf die Anfrage zur Präzisierung ist noch nicht eingegangen. Wie soll nun damit umgegangen werden? “Einfach” alles an Informationen zur Verfügung stellen?

Ich bedanke mich bereits im Voraus herzlich für die Unterstützung und Antworten.

Liebe Grüße

Ein Anspruch muss immer konkret sein - wenn die Anfrage zu umfangreich ist kann diese abgelehnt werden.
Im Zweifel würde ich da nochmal nachfragen ob eine Kopie gewünscht ist, so sieht der Betroffene auch das man Anfragen ernst nimmt

Zu der zweiten Frage gab es erst vor kurzem ein BAG Urteil (auch wenn die Antwort dort nicht sehr hilfreich ist)
Der Dr. Datenschutz hat es in einem Blogartikel schön beschrieben:
https://www.dr-datenschutz.de/bag-entscheidet-nicht-ueber-recht-auf-kopie-des-e-mail-verkehrs/

… als grundsätzliche Aussage finde ich aus Sicht der Betroffenenrechte problematisch. Damit kann das Recht eines Betroffenen beschnitten werden, sich ein vollständiges Bild der Verarbeitung seiner pb Daten durch einen Verantwortlichen zu machen. Die Konkretisierung (oder die Präzisierung, wie es im Erwägungsgrund 63 heißt) stellt eher eine begründete Ausnahme dar, wenn der Verantwortliche eine “große Menge” an Daten verarbeitet (ohne, dass ich jetzt wüsste, was “groß” ist; so 500 Blatt Papier ist ja grad mal ein Päckchen Kopierpapier - ist das groß? Wie lang arbeitet der da schon? Was arbeitet der da?). Aber das schreibt @JesDSGVO ja selbst schon hier.
Wichtiger scheint mir der von @JesDSGVO geschilderte Kontext des Arbeitsrechtssrtreits, zumal die Expertisen und Urteile der letzten Jahre recht unterschiedlich ausfallen. Gerade auf dem Hintergrund eines Rechtsstreits würde ich meinem Mandanten eher Zurückhaltung (also in einem ersten Schritt schnell, aber struktiert-ausgewählte Daten liefern) empfehlen (mein Hintergrund z.B. hier: https://www.dr-datenschutz.de/das-auskunftsrecht-nach-art-15-dsgvo-als-prozesstaktisches-mittel/) - immerhin muss die Auskunft nicht nur innerhalb der Monatsfrist, sondern “unverzüglich” erfolgen … naja.
Als Begründung für die eingeschränkte Auslegung würde ich noch den Hessischen BfDI und seinen 47. Tätigkeitsbericht heranziehen (zusammengefasst hier: https://www.taylorwessing.com/de/insights-and-events/insights/2019/07/umfang-des-auskunftsanspruchs-nach-art-15-dsgvo-stellungnahme-des-hessischen-datenschutzbeauftragte), wo er deutlich macht, dass die weite Auslegung des Auskunftsanspruchs nicht dem Datenschutzziel des Art. 15 Abs. 3 entspricht. In diesem Geiste würde ich sagen: Auskunft umfassend, aber nicht radikal vollständig. Also so, dass die Betroffenen in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.

Ich kann mich einfach nicht kurz fassen

Grundsätzlich war es auch nicht so gemeint es ist schon weit zu verstehen. Nur als Beipiel wenn ein MA nun 30 Jahre in der Firma war und “alles” haben will wäre mir das zu viel und nicht konkret. Wenn er aber sagen würde gibt mir alles der letzten 10 Jahre oder alle Leistungsbewertungen wäre es was anderes.
Die Anmerkung war auch im SInne der “großen Menge” zu verstehen daher ja es war am EWG 63 ausgemacht.

Herzlichen Dank für die ausführliche Antwort. In diesem Fall finde ich es sehr gut, dass sich nicht kurz gefasst wurde
Ich denke, wann nun wirklich eine “große Menge” an Daten vorliegt, ist auch wieder ein Thema für “2 Juristen - 3 Meinungen”.
Das Thema Datenschutz im Rechtsstreit finde ich tatsächlich sehr schwierig. Insbesondere, wenn deutlich wird, dass der gegnerische Anwalt vom Thema Datenschutz eigentlich keine Ahnung hat und nur mal aufgeschnappt hat, dass man die gegnerische Partei damit in einem Rechtsstreit nochmal extra ärgern kann. Ich finde, da ist dringend Handlungsbedarf seitens der Behörden gegeben. Es kann doch nicht sein, dass man die Betroffenenrechte auf diese Art “missbraucht”.
Vielen Dank für die Quellen! Das schaue ich mir jetzt erstmal genauer an.

@joeDS Da stimme ich dir zu. Nach einer solch langen Zugehörigkeit zum Unternehmen sollte schon konkretisiert werden (müssen).

Hier noch kurz eine Zusammenfassung zum BAG-Urteil vom 27. April 2021 (Az. 2 AZR 342/20). Zum Thema Art. 15 DSGVO hat sich das BAG nicht konkret geäußert, sondern nach meinem Verständnis nur zur E-Mail-Herausgabe im Sinne einer Akteneinsicht in einem Zivilprozess.

Aber die Vorinstanz, das LAG Niedersachsen, äußert sich dazu wie folgt (Urteil vom 9. Juni 2020, Az. 9 Sa 608/19): " […]
Der Anspruch auf Erteilung einer Kopie geht nicht weiter als die in Art. [15] Abs. 1 DSGVO geregelten Pflichtangaben (vgl. Wybitul/Brams, NZA 2019, 672/675). Ein Anspruch auf die Überlassung gesamter Inhalte (z. Bsp. von Personalakten) besteht nicht, da es sich insoweit nicht um personenbezogene Daten i. S. v. Art. [15] DSGVO handelt. Die weitergehende Auffassung, die den Anspruch auf ganze Datensätze erstreckt (OLG Köln vom 26.07.2019, [20 U 75/18], Rn. 299 ff. ) überzeugt nicht. Der Wortlaut von Art. [15] Abs. 3 DSGVO spricht lediglich von Daten, die „Gegenstand der Verarbeitung“ sind, bezieht sich also auf Art. [15] Abs. 1 DSGVO. Es ist ein gewisser Grad an Aussagekraft der Daten über die betroffene Person zu fordern. Das ergibt sich aus Erwägungsgrund 63 zur DSGVO. Danach kann der Verantwortliche dann, wenn er eine große Menge von Informationen über die betroffene Person verarbeitet, verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Über dies beschränkt sich der Auskunftsanspruch auf solche Dokumente, die den Auskunftsersuchenden nicht bereits vorliegen hin." (Quelle: https://openjur.de/u/2303518.html)

Der letzte Punkt ist m.E. gut nachzuvollziehen, da in Analogie zu Art. 13 Abs. 4 die Informationspflicht auch nur dann greift, wenn der betroffenen Person die Informationen/Daten nicht schon vorliegen. Das kann insb. bei E-Mails der Fall sein, die vom und an den Adressaten (aus) gingen. Was ist aber mit E-Mails “über” eine betroffene Person?

Das Hauptproblem ist m.E. die Ansicht, dass es personenbezogene Daten i. S. v. Art. 15 gibt, zu denen E-Mails dann wohl scheinbar nicht gehören, insb. im Gegensatz zur Ansicht des OLG Köln, wo selbst “Gesprächsnotizen” dazugehören sollten. Welche personenbezogenen Daten sind denn nun “Gegenstand der Verarbeitung” und welche nicht?

EG 63 spricht sogar explizit von einem Auskunftrecht über “Daten in […] Patientenakten”, aber das LAG Niedersachen verneint die Auskunft über “[…] Überlassung gesamter Inhalte (z. Bsp. von Personalakten)”.

Bezüglich „Gegenstand der Verarbeitung“: Werden E-Mails nicht im Verzeichnis von Verarbeitungstätigkeiten als Verarbeitungsvorgang geführt? In der Praxis gibt es bei E-Mails auch keine “Informationspflicht”, denn sonst müsste jede (eingehende) E-Mail umgehend mit den Datenschutzinformationen beantwortet werden. Sind E-Mails einfach zu allgegenwärtig, zu “dezentral” organisiert, dass man hier ggf. von “unsortierten” Daten sprechen könnte, die dann keine personenbezogenen Daten “im Sinne der DSGVO” wären? Sind E-Mails also personenbezogene Daten “zweiter Klasse”?

Scheinbar bietet MS 365 genau eine solche Funktion, im Rahmen eines Auskunftsersuchen “alle E-Mails” einer Person, die um Auskunft bittet, exportieren zu lassen. Das so etwas bei einer zentralen E-Mail-Verwaltung in der Cloud einfacher ist als wenn ich in der Firma alle 10.000 Mitarbeiter fragen muss, ob bspw. ggf. in “lokalen” Outlook-Ordnern E-Mails bezüglich einer betroffenen Person gespeichert sind, steht außer Frage.

Selbstverständlich gibt es noch andere “Abwehrmöglichkeiten”, E-Mails herauszugeben, bspw. Geschäftsgeheimnisse, schutzwürdige Interessen anderer Personen (insb. wenn es um E-Mails geht, wo A und B über die betroffene Person in der E-Mail kommunizieren) etc.

So könnte man als Vorschlag zur Güte festlegen, dass in Auskunftsersuchen neben den “Pflichtangaben”, also einer etwas erweiterten Datenschutzinformation, mind. ein “Beispieldatensatz” genannt wird, woran die betroffene Person dann die Verarbeitung “überprüfen” kann, ohne dass der Verantwortliche ggf. unnötig Arbeit hat, alle bspw. 4500 E-Mails zusammenzustellen (wobei ja jede einzele auf schutzwürdige andere Interessen hin zu überprüfen wäre), sofern in jedem Beispieldatensatz sichergestellt ist, dass das “Maximum” der Datenverarbeitung abgebildet ist.

Beispiel: Zeiterfassung: Person A ist heute nicht da. Oder Person A ist heute nicht da, da “krank”.

In den Urteilen ging es aber wohl in erster Linie darum, sicherzustellen, dass man mit einem Anspruch nach Art. 15 DSGVO auf wohlmöglich “alle” E-Mails nicht die “zu spezifizierende Akteneinsicht” nach ZPO unterlaufen können soll. Sicherlich findet man bei der Durchsicht “aller” Akten etwas mehr als wenn man schon im Voraus wissen muss, wonach man sucht, die klagende Partei erhoffte sich hier wohl Material, die ihre Position untermauert.

Die “bürgerrechtlich” (“Open Data”) motivierte DSGVO mag hier einen anderen Ansatz haben als die Zivilprozessordnung und die Ansicht “was der andere nicht weiß, macht ihn nicht heiß…”

Das BAG hat in seiner Entscheidung lediglich ausgeführt, dass die Forderung eine Kopie aller personenbezogener Daten zu erhalten nicht konkretisiert genug ist, um einen vollstreckbaren Tenor daraus zu generieren. Das ist allerdings eine rein prozessual rechtliche Anforderung und keine datenschutzrechtliche. Für Art. 15 DSGVO an sich reicht allerdings der Antrag auf Kopie aller personenbezogenen Daten. Dieser Anspruch umfasst grundsätzlich auch alle personenbeziehbaren Daten also E-Mails und Vermerke, die Daten über den Betroffenen enthalten. Der materielle Anspruch bezieht sich nicht nur auf die Beauskunft der echten Identifikatoren wie Name, Adresse etc. Das hat jüngst der BGH ja auch festgestellt. Zuletzt handelt es sich beim Recht auf Kopie nicht um einen eigenständigen Anspruch, sondern lediglich um eine Formvorschrift. Die endgültige und vollständige Auskunft hat also in Form einer Kopie der personenbezogenen Daten zu erfolgen, selbst wenn das nicht ausdrücklich gewünscht wird. Trotzdem handelt es sich bei der Auskunftsbearbeitung ja um einen ganz normalen Verwaltungs-/Arbeitsprozess und da EG 63 eh schon ein gestuftes Verfahren zulässt, kann man das sinnvoller Weise immer so machen. Eine erste Stufe mit Identifikatoren/Stammdaten und den Pflichtinformationen aus Art. 15 Abs. 3 DSGVO und eine zweite Stufe mit der Kopie der Daten. Die zweite Stufe muss eigentlich auch dann erfolgen, wenn der Antragssteller nicht auf die Spezifizierungsbitte der ersten Stufe reagiert, allerdings wäre ich da nicht so streng. Wer nichts sagt, will vielleicht auch nicht mehr. Wäre aus meiner Sicht nur ein marginaler Verstoß gegen die DSGVO, wenn überhaupt. Bei E-Mails ansonsten auch immer an Art. 15 Abs. 4 DSGVO denken. Da könnten einige rausfallen.