Nicht jedes auf Art. 15 DSGVO (Datenschutz-Grundverordnung) gestützte Auskunftsersuchen muss vom Verantwortlichen erfüllt werden. So entschied das Landgericht Wuppertal (LG Wuppertal), dass ein Auskunftsanspruch rechtsmissbräuchlich war, weil er überhaupt nicht an den Zweck des Datenschutzes gebunden war (Urteil vom 29. Juli 2021, Az.: 4 O 409/20).
Zum Sachverhalt
Der Kläger stritt sich mit seiner Versicherung um Prämienerhöhungen seiner privaten Kranken- und Pflegeversicherung. Unter anderem war Teil des Streits, ob dem Kläger ein Auskunftsanspruch über alle Beitragsanpassungen zusteht, die die beklagte Versicherung in dem zwischen den Parteien geschlossenen Vertrag in den Jahren 2014, 2015 und 2016 vorgenommen hat. Der Kläger wollte Unterlagen zur Verfügung gestellt haben, die mindestens Angaben zur Höhe der Beitragserhöhungen, die an den Kläger übermittelten Informationen in Form von Anschreiben und Nachträgen zum Versicherungsschein, die übermittelten Begründungen sowie Beiblätter zur Beitragserhöhung enthalten.
Hintergrund des Auskunftsersuchens war unter anderem, dass der Kläger – seinen eigenen Angaben nach – die Versicherungsscheine verloren hatte und diese nicht mehr auffindbar waren.
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Das Gericht prüfte mehrere Normen dahingehend, ob der vom Kläger geltend gemachte Auskunftsanspruch besteht. Im Ergebnis lehnten die Richter den Anspruch ab und führten dazu mehrere Aspekte aus:
Anspruch aus Treu und Glauben
Zunächst lehnte das Gericht einen Anspruch des Klägers aus Treu und Glauben (§ 242 BGB) ab. Es führt in seiner Begründung aus, dass der aus Treu und Glauben hergeleitete Anspruch neben der vertraglichen Sonderbeziehung eine – unverschuldete – Unkenntnis beim Anspruchssteller voraussetze. Dazu habe der Kläger indessen nichts vorgetragen. Er habe lediglich geltend gemacht, in Unkenntnis zu sein, da er die Versicherungsscheine verloren habe bzw. weil diese nicht mehr auffindbar seien. Wie es zu dem geltend gemachten Verlust der Papiere gekommen ist, trug er nicht vor, so dass eine unverschuldete Unkenntnis nicht feststellbar sei.
Datenschutzrechtlicher Auskunftsanspruch
Sodann ging das Gericht auf Art. 15 DSGVO als Rechtsgrundlage für den Auskunftsanspruch ein. Demnach hat eine betroffene Person das Recht, vom Verantwortlichen für eine Datenverarbeitung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn das der Fall ist, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten, auf weitere detaillierte Informationen und schlussendlich auch auf Erhalt einer Kopie der Daten.
Der Anspruch besteht allerdings nicht, wenn der Antrag missbräuchlich gestellt wird. Dies Regelt Art. 12 Abs. 5 DSGVO, der zwei Fallkonstellationen kennt. Zum einen den offenkundig unbegründeten Antrag und zum anderen den exzessiven Antrag. Relevant ist hier die zweite Konstellation.
Was unter einem exzessiven Antrag zu verstehen ist, ist nicht klar geregelt und in Teilen umstritten. Dies macht das Urteil umso spannender. Klar ist, dass nicht nur das von der DSGVO ausdrücklich erwähnte häufige Wiederholen von Anträgen darunterfällt, sondern es sich dabei nur um ein Beispiel handelt. Erforderlich ist vielmehr allgemein ein rechtsmissbräuchliches Verhalten durch das Stellen des Antrags.
Das LG Wuppertal sah im vorliegenden Fall einen solchen rechtsmissbräuchlichen Antrag auf Auskunft und begründete dies mit den Rechtsgrundsätzen des bürgerlichen Rechts (Grundsatz von Treu und Glauben aus § 242 BGB). Die Ausübung eines Rechts ist unter anderem nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat. Diese beiden Aspekte sah das Gericht kumulativ gegeben und kam daher zu einem treuwidrigen Verhalten des Klägers.
Im Detail führten die Richter aus:
„Nach dem Willen des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen. Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO.
Der Kläger hat keines der vorgenannten Interessen, dies nicht einmal als Reflex. Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz. Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunabhängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden (vgl. Erwägungsgrund 63 DSGVO).“
Datenschutzrechtliche Einschätzung
Die obenstehende Begründung des Gerichts lässt sich auf einen wesentlichen Punkt herunterbrechen:
Die Rechte, die das Datenschutzrecht betroffenen Personen zugesteht, dienen dazu, den effektiven Schutz der Rechte und Freiheiten dieser Personen zu gewährleisten. Es handelt sich im Wesentlichen um Grundrechtsschutz – denn Datenschutz ist ein Grundrecht. Wer die daraus herrührenden Rechte für Zwecke wahrnehmen möchte, die dem Datenschutzrecht fremd sind, handelt rechtsmissbräuchlich. Insbesondere dann, wenn er damit einen Anspruch, den ihm der Gesetzgeber ansonsten überhaupt nicht zubilligt, begründen möchte.
Dem ist im Ergebnis zuzustimmen. In der Praxis wird sich hier aber ein erhebliches Beweislastproblem ergeben. Art. 12 DSGVO legt die Beweislast für die missbräuchliche Geltendmachung des Rechts ausdrücklich dem Verantwortlichen auf. Einem Antragsteller, der seinen Anspruch aus datenschutzfremden Gründen geltend machen will, dies nachzuweisen, wird in den meisten Fällen nahezu unmöglich sein. Denn der Antragsteller muss überhaupt keine Gründe für den Anspruch nennen. Inhaltliche Anforderungen an den Antrag legt die DSGVO nicht fest.
Ein so klarer Fall wie in diesem Rechtsstreit wird selten vorliegen und man darf sicherlich auch hinterfragen, ob hier nicht ein etwas taktischeres Vorgehen oder ggf. eine bessere Beratung des Klägers in seiner Antragstellung zu einem anderen Ergebnis geführt hätten.
Bevor der Verantwortliche einen Antrag wegen Rechtsmissbräuchlichkeit ablehnt, sollte er sich dessen sehr sicher sein. Verstöße gegen die Artikel betreffend die Rechte der betroffenen Person (Art. 12 bis 22 DSGVO) fallen in den höchsten Sanktionsbereich der DSGVO. Nach Art. 83 Abs. 5 lit. b DSGVO können dafür Geldbußen von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Regelmäßig könnte zumindest die Herausgabe einer Kopie aber auch aufgrund einer Beeinträchtigung der Rechte und Freiheiten anderer Personen verweigert oder zumindest in Teilen unkenntlich gemacht werden. Umfasst sind davon nämlich auch die Rechte des Verantwortlichen, wie zum Beispiel dessen Geschäftsgeheimnisse – aber auch Prozessinteressen. Dies wäre im Vorliegenden Fall wohl auch als Verweigerungsgrund zumindest denkbar gewesen. Die schwierige Frage nach der Rechtsmissbräuchlichkeit wäre daher unter Umständen gar nicht nötig gewesen.
Wir empfehlen Verantwortlichen, die ein Auskunfts- oder Kopieersuchen erhalten, vor der Beantwortung und insbesondere vor einer Nicht-Beantwortung professionellen Rat einzuholen um keine unnötigen Risiken einzugehen.
Hinweis: Mittlerweile entschied das OLG Nürnberg in einem sehr ähnlich gelagterten Fall ebenso und verneinte das Auskunftsrecht, wenn es nicht um den Schutz personenbezogener Daten geht.