Hier noch kurz eine Zusammenfassung zum BAG-Urteil vom 27. April 2021 (Az. 2 AZR 342/20). Zum Thema Art. 15 DSGVO hat sich das BAG nicht konkret geäußert, sondern nach meinem Verständnis nur zur E-Mail-Herausgabe im Sinne einer Akteneinsicht in einem Zivilprozess.
Aber die Vorinstanz, das LAG Niedersachsen, äußert sich dazu wie folgt (Urteil vom 9. Juni 2020, Az. 9 Sa 608/19): " […]
Der Anspruch auf Erteilung einer Kopie geht nicht weiter als die in Art. [15] Abs. 1 DSGVO geregelten Pflichtangaben (vgl. Wybitul/Brams, NZA 2019, 672/675). Ein Anspruch auf die Überlassung gesamter Inhalte (z. Bsp. von Personalakten) besteht nicht, da es sich insoweit nicht um personenbezogene Daten i. S. v. Art. [15] DSGVO handelt. Die weitergehende Auffassung, die den Anspruch auf ganze Datensätze erstreckt (OLG Köln vom 26.07.2019, [20 U 75/18], Rn. 299 ff. ) überzeugt nicht. Der Wortlaut von Art. [15] Abs. 3 DSGVO spricht lediglich von Daten, die „Gegenstand der Verarbeitung“ sind, bezieht sich also auf Art. [15] Abs. 1 DSGVO. Es ist ein gewisser Grad an Aussagekraft der Daten über die betroffene Person zu fordern. Das ergibt sich aus Erwägungsgrund 63 zur DSGVO. Danach kann der Verantwortliche dann, wenn er eine große Menge von Informationen über die betroffene Person verarbeitet, verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Über dies beschränkt sich der Auskunftsanspruch auf solche Dokumente, die den Auskunftsersuchenden nicht bereits vorliegen hin." (Quelle: https://openjur.de/u/2303518.html)
Der letzte Punkt ist m.E. gut nachzuvollziehen, da in Analogie zu Art. 13 Abs. 4 die Informationspflicht auch nur dann greift, wenn der betroffenen Person die Informationen/Daten nicht schon vorliegen. Das kann insb. bei E-Mails der Fall sein, die vom und an den Adressaten (aus) gingen. Was ist aber mit E-Mails “über” eine betroffene Person?
Das Hauptproblem ist m.E. die Ansicht, dass es personenbezogene Daten i. S. v. Art. 15 gibt, zu denen E-Mails dann wohl scheinbar nicht gehören, insb. im Gegensatz zur Ansicht des OLG Köln, wo selbst “Gesprächsnotizen” dazugehören sollten. Welche personenbezogenen Daten sind denn nun “Gegenstand der Verarbeitung” und welche nicht?
EG 63 spricht sogar explizit von einem Auskunftrecht über “Daten in […] Patientenakten”, aber das LAG Niedersachen verneint die Auskunft über “[…] Überlassung gesamter Inhalte (z. Bsp. von Personalakten)”.
Bezüglich „Gegenstand der Verarbeitung“: Werden E-Mails nicht im Verzeichnis von Verarbeitungstätigkeiten als Verarbeitungsvorgang geführt? In der Praxis gibt es bei E-Mails auch keine “Informationspflicht”, denn sonst müsste jede (eingehende) E-Mail umgehend mit den Datenschutzinformationen beantwortet werden. Sind E-Mails einfach zu allgegenwärtig, zu “dezentral” organisiert, dass man hier ggf. von “unsortierten” Daten sprechen könnte, die dann keine personenbezogenen Daten “im Sinne der DSGVO” wären? Sind E-Mails also personenbezogene Daten “zweiter Klasse”?
Scheinbar bietet MS 365 genau eine solche Funktion, im Rahmen eines Auskunftsersuchen “alle E-Mails” einer Person, die um Auskunft bittet, exportieren zu lassen. Das so etwas bei einer zentralen E-Mail-Verwaltung in der Cloud einfacher ist als wenn ich in der Firma alle 10.000 Mitarbeiter fragen muss, ob bspw. ggf. in “lokalen” Outlook-Ordnern E-Mails bezüglich einer betroffenen Person gespeichert sind, steht außer Frage.
Selbstverständlich gibt es noch andere “Abwehrmöglichkeiten”, E-Mails herauszugeben, bspw. Geschäftsgeheimnisse, schutzwürdige Interessen anderer Personen (insb. wenn es um E-Mails geht, wo A und B über die betroffene Person in der E-Mail kommunizieren) etc.
So könnte man als Vorschlag zur Güte festlegen, dass in Auskunftsersuchen neben den “Pflichtangaben”, also einer etwas erweiterten Datenschutzinformation, mind. ein “Beispieldatensatz” genannt wird, woran die betroffene Person dann die Verarbeitung “überprüfen” kann, ohne dass der Verantwortliche ggf. unnötig Arbeit hat, alle bspw. 4500 E-Mails zusammenzustellen (wobei ja jede einzele auf schutzwürdige andere Interessen hin zu überprüfen wäre), sofern in jedem Beispieldatensatz sichergestellt ist, dass das “Maximum” der Datenverarbeitung abgebildet ist.
Beispiel: Zeiterfassung: Person A ist heute nicht da. Oder Person A ist heute nicht da, da “krank”.
In den Urteilen ging es aber wohl in erster Linie darum, sicherzustellen, dass man mit einem Anspruch nach Art. 15 DSGVO auf wohlmöglich “alle” E-Mails nicht die “zu spezifizierende Akteneinsicht” nach ZPO unterlaufen können soll. Sicherlich findet man bei der Durchsicht “aller” Akten etwas mehr als wenn man schon im Voraus wissen muss, wonach man sucht, die klagende Partei erhoffte sich hier wohl Material, die ihre Position untermauert.
Die “bürgerrechtlich” (“Open Data”) motivierte DSGVO mag hier einen anderen Ansatz haben als die Zivilprozessordnung und die Ansicht “was der andere nicht weiß, macht ihn nicht heiß…”