Wegweisendes Urteil: Unternehmen müssen akribische Selbstauskunft liefern

Auch Notizen in Gesprächen und am Telefon fallen unter personenbezogene Daten. Denn mit dem Anspruch gem. Art. 15 DSGVO ist das Recht Betroffener verknüpft, umfangreich Auskunft dazu zu verlangen, ob personenbezogene Daten zu ihnen gespeichert sind. Und, wenn ja, welche. Doch hier scheint die Klarheit bereits zu enden: Welche Daten können konkret mit Recht abgefragt werden?

Versicherter verlangt Auskunft zu Telefonprotokollen

In seinem Urteil vom Juli 2019 hat das Oberlandesgericht Köln (Az.20 U 75/18) konkretisiert, wie weit ein solcher Auskunftsanspruch reicht. Eine Entscheidung, die für alle Unternehmen, die personenbezogene Daten erheben und verarbeiten, mehr Arbeitsaufwand bedeutet. Der Zankapfel: Ein Mann hatte eine Berufsunfähigkeits-Zusatzversicherung bei einer Lebensversicherung abgeschlossen. Während deren Laufzeit stritt man sich, weil der Versicherte vollständige Auskunft über sämtliche personenbezogene Daten forderte, die die Versicherung zu ihm gespeichert, verwendet und verarbeitet hatte. Darunter waren auch Gesprächsnotizen und Telefonprotokolle, angefertigt während der Kommunikation bei der Beantragung von Policen-Darlehen.

Nur Stammdaten statt umfangreicher Auskunft

Das Versicherungsunternehmen verweigerte diese Selbstauskunft im verlangten Umfang. So erhielt der Kläger lediglich eine Aufstellung personenbezogener Daten aus einer "zentralen Datenverarbeitung" plus eine Aufstellung personenbezogener Daten aus seinem "Lebensversicherungsvertrag Nr. XY", also die so genannten Stammdaten. Begründung: Ein so umfangreicher Auskunftsanspruch, wie ihn der Mann geltend mache, sei nicht durch Artikel 15 DSGVO gedeckt. Zumal es dem Unternehmen wirtschaftlich nicht zumutbar sei, hier umfangreiche Datenbestände zu durchforsten.

Selbstauskunft im Sinne des Art. 4 Nr. 1 DSGVO: Alles muss auf den Tisch!

Im speziellen Fall hatte das Landgericht Köln im April 2018 die Klage gegen den Versicherer abgewiesen. Damals hatte sich der Auskunftswunsch des Klägers noch auf § 34 BDSG gestützt. Dieser ging in Berufung. Das OLG Köln urteilte jetzt auf Grundlage der neuen DSGVO anders: Die Versicherung muss hier Auskunft geben. Denn Art. 15 Abs. 1 DSGVO verbriefe das Recht jedes Betroffenen, eine Bestätigung dazu zu erhalten, ob der Verantwortliche personenbezogene Daten, die ihn betreffen, verarbeite. Falls ja, umfasse das Recht auf Selbstauskunft im Sinne des Art. 4 Nr. 1 DSGVO sämtliche Informationen, die sich auf natürliche Personen beziehen, die identifizierbar sind. Dazu zählen laut Gericht:

- persönliche Informationen wie Identifikationsmerkmale (Name, Anschrift, Geburtsdatum etc.)
- äußere Merkmale (Geschlecht, Augenfarbe, Größe, Gewicht)
- innere Zustände (wie Meinungen, Wünsche, Überzeugungen, Motive und Werturteile)
- Sachinformationen wie z. B. zu Vermögens- und Eigentumsverhältnissen,
- Informationen zu Kommunikations- und Vertragsbeziehungen
- Informationen zu sonstigen Beziehungen Betroffener zu Dritten und zu ihrer Umwelt
- Aussagen, die eine subjektive und/oder objektive Einschätzung zu identifizierten oder identifizierbaren Personen liefern

Urteilsbegründung: Es gibt keine belanglosen Daten

Moderne Informationstechnologie mit ihren zahlreichen Verarbeitungs- und Verknüpfungsoptionen mache die Existenz belangloser Daten inzwischen faktisch unmöglich, so das Gericht. Was bedeutet, dass Unternehmen wie die betreffende Versicherung die geforderte Selbstauskunft nicht unter Berufung auf die Datenschutzgrundverordnung verweigern dürfen. Auch nicht, wenn es "nur" um Telefonnotizen geht! Denn auch diese sind personenbezogene Daten im Sinne von Art. 15 DSGVO. Mit einfach zu ermittelnden Stammdaten muss sich also niemand abspeisen lassen, denn der Datenbegriff der DSGVO geht über solche Selbstauskunft Datensätze weit hinaus.

Selbstauskunft erhalten: Wirtschaftlicher Aufwand kein Argument

Sie möchten wissen, was ein Unternehmen über Sie gespeichert hat? Dann muss sich diese Firma an die Arbeit machen - und akribisch alle Daten eruieren, die einen Personenbezug zu Ihnen aufweisen. Dabei spielt wirtschaftlicher Aufwand keine Rolle, schließlich sei es Aufgabe von Firmen, so das Gericht, Datenverarbeitung so zu organisieren, dass diese mit der Rechtsordnung vereinbar sei und dem Datenschutz und Rechten Dritter Rechnung trage.

Auskunftsersuchen mit Verweis auf das Geschäftsgeheimnis abgelehnt?

Auch das müssen Sie nicht hinnehmen. Denn auch ein weit gefasster Datenbegriff verletzt dieses nicht. Das hat einen sehr offensichtlichen Grund: Schließlich haben Sie als Verbraucher - ebenso wie der Kläger im aktuellen Fall - diese Angaben einst gegenüber dem Unternehmen selbst gemacht. Wie können solche Daten dann schutzwürdig sein? Ein Urteil, das im Kontext Selbstauskunft, Auskunftsanspruch und DSGVO wegweisenden Charakter hat. Unternehmen, die nur unvollständig Auskunft erteilen - etwa, weil sie den Aufwand scheuen -, riskieren gem. Art. 83 Abs. 5 lit. b DSGVO schmerzhafte Geldbußen. Weshalb sich die zeitnahe Investition in organisatorische Planung, um ordnungsgemäß Auskunft zu geben, durchaus rechnet!

Diese Artikel könnten Sie auch interessieren Tschüss, EC-Karte, hallo Debitcard? Warum Debitkarten den Schufa-Score senken Wohnung besichtigen? Nur noch mit Schufa-Selbstauskunft im Voraus Kredit beantragen: Warum Beamte lachen - und Selbstständige jetzt aufpassen müssen Nicht alles muss stimmen, was in der Schufa Selbstauskunft steht Selbstauskunftspflicht für Crowdfunding-Plattformen: Neues Gesetz auf dem Weg KFZ-Versicherung mit einem Schufaeintrag Schuldneratlas 2021: Unternehmen und Verbrauchern geht es besser - wirklich? Immer wieder umstritten - die Datenqualität der Schufa Selbstauskunft: Polizist bekämpft Schufa Meine Daten gehören mir! Recht auf Auskunft wahrnehmen