Das OLG Köln hat in einem Urteil vom 26.07.2019 den Auskunftsanspruch aus der Datenschutzgrundverordnung sehr weit ausgelegt. Auch wenn das Urteil eigentlich kein IT-Recht betrifft, so ist es sehr relevant für das Datenschutzrecht und somit gerade auch auf alle IT-Unternehmen, die oft schon wegen der Natur der Sache viele Nutzerdaten speichern, sehr relevant.
Unter Abweisung der Klage im Übrigen wird die Beklagte verurteilt, dem Kläger über die mit Schreiben vom 10.08.2018 bereits erfolgte Übersendung einer “Aufstellung Ihrer Personendaten aus der zentralen Datenverarbeitung” sowie “Aufstellung Ihrer Personendaten aus dem Lebensversicherungsvertrag Nr…. hinaus Auskunft zu sämtlichen weiteren diesen betreffenden personenbezogenen Daten, insbesondere auch in Gesprächsnotizen und Telefonvermerken, zu erteilen, welche die Beklagte gespeichert, genutzt und verarbeitet hat.
Das Gericht beschäftigt sich unter anderem sehr umfangreich mit den Voraussetzungen und vor allem der Reichweite des Auskunftsanspruches, den der Kläger in diesem Fall unter anderem zur Substantiierung seiner eigentlichen Ansprüche geltend machte.
Das Bestehen eines entsprechenden Auskunftsanspruch ist dabei – anders als noch erstinstanzlich – an Art. 15 der Datenschutzgrundverordnung zu bemessen.
[…]
Nach Art. 15 DSGVO hat jede betroffene Person, nach Art. 4 Nr. 1 DSGVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten.
Der Begriff der “personenbezogenen Daten” nach Art. 4 DSGVO ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.
Unter die Vorschrift fallen damit sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (z.B. Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt. Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizierten oder identifizierbaren Person liefern, weisen einen Personenbezug auf.
Besonders relevant ist dabei folgende Passage:
Soweit die Beklagte den Begriff der personenbezogenen Daten auf die bereits mitgeteilten Stammdaten begrenzt sehen möchte und meint, eine Verpflichtung zur Beauskunftung über insbesondere elektronisch gespeicherter Vermerke zu mit dem Kläger geführten Telefonaten und sonstigen Gespräche bestehe nicht, ist ein entsprechendes Verständnis mit dem der DSGVO zugrundeliegenden weit gefassten Datenbegriff nicht in Einklang zu bringen. Denn durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr. Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers oder Aussagen über den Kläger festgehalten sind, handelt es sich hierbei ohne weiteres um personenbezogene Daten.
Das gilt ebenso für die Frage des Schutzes von Geschäftsgeheimnissen:
Die Beklagte kann sich demgegenüber auch nicht mit Erfolg darauf berufen, dass ein entsprechend weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würde. Ungeachtet aller sonstigen sich stellenden Fragen gilt dies schon deshalb, weil Angaben, die der Kläger selbst gegenüber seiner Versicherung gemacht hat, diesem gegenüber nicht schutzbedürftig und damit auch nicht ihr Geschäftsgeheimnis sein können.
Wichtig ist zudem, dass das Gericht ausführt, dass ein zur Auskunft verpflichteter sich NICHT, dass es ihm unmöglich wäre, auf bestimmte Daten zuzugreifen oder nach diesen zu suchen. Jeder muss intern die Möglichkeit schaffen, einem umfangreichen Auskunftsanspruch nachzukommen.
Soweit die Beklagte meint, es sei für Großunternehmen, die wie sie einen umfangreichen Datenbestand verwalten würden, mit den ihr zur Verfügung stehenden Ressourcen wirtschaftlich unmöglich, Dateien auf personenbezogene Daten zu durchsuchen und zu sichern, verfängt dies nicht. Es ist Sache der Beklagten, die sich der elektronischen Datenverarbeitung bedient, diese im Einklang mit der Rechtsordnung zu organisieren und insbesondere dafür Sorge zu tragen, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen wird.
Es besteht auch kein Anlass, die Verurteilung der Beklagten zur Auskunftserteilung im Tenor dahingehend einzuschränken, dass “die Herausgabe nur Daten/Informationen betrifft, die nicht die Rechte und Freiheiten anderer Personen gemäß Art. 15 Abs. 4 DSGVO und die grundrechtlich garantierten Interessen des Versicherers betrifft”. Unabhängig davon, dass die Aufnahme einer entsprechenden Einschränkung die Frage der hinreichenden Bestimmtheit eines solchen Tenors aufwerfen würde, bedarf es einer solchen nicht. Die ausgeurteilte Verpflichtung zur Auskunftserteilung bezieht sich ausschließlich auf die den Kläger betreffenden personenbezogenen Daten. Es ist auch insoweit selbstverständlich Sache der Beklagten, diese Verpflichtung im Einklang mit der Rechtsordnung und insbesondere den Regelungen der DSGVO zu erfüllen und den sich daraus ergebenden datenschutzrechtlichen Belangen Dritter zu erteilen. Eine Einschränkung ihrer Verpflichtung zur Auskunftserteilung ist damit nicht verbunden. Es ist auch nicht Aufgabe des Gerichts, im vorliegenden Rechtsstreit festzulegen, wie genau die Auskunftserteilung im Einzelfall zu geschehen hat. Dies wäre im Übrigen auch nicht möglich, insbesondere da die Beklagte im Rechtsstreit trotz Nachfrage jeglichen Vortrag dazu, was genau bei ihr über die vorgehaltenen Stammdaten des Klägers hinaus gespeichert und verarbeitet hat, vermissen lassen hat.