In den Art. 12 ff. Datenschutzgrundverordnung (DSGVO) sind die Rechte der betroffenen Personen geregelt. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Personen, dessen Reichweite und Grenzen schon einige Gerichte beschäftigt hat und auch in Zukunft noch beschäftigen wird.
Das Bundesverwaltungsgericht (Urteil vom 16.9.2020, Az. 6 C 10.19) hat nun entschieden, dass der Insolvenzverwalter vom Finanzamt keine Auskunft über das Steuerkonto des Insolvenzschuldners, dessen Vermögen er verwaltet, verlangen kann, weil er nicht betroffene Person im Sinne der DSGVO ist.
Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die personenbezogenen Daten identifiziert oder identifizierbar ist.
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und die in Art. 15 Abs. 1 DSGVO genannten Informationen (z.B. Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden). Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person ferner das Recht auf den Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.
Das Auskunftsrecht ist ein höchstpersönliches Recht der betroffenen Person und gehört als solches nicht zur Insolvenzmasse und geht deshalb nicht mit Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über. Als höchstpersönliches Recht ist es auch nicht darauf gerichtet, Dritten Informationen über die bei staatlichen Stellen vorhandenen Informationen zu verschaffen.
Eine Erweiterung des Auskunftsrechts auf den Insolvenzverwalter stehe dem Sinn und Zweck der Betroffenenrechte entgegen. Denn diese dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dafür muss sich die betroffene Person von der Richtigkeit der Daten und der Zulässigkeit der Verarbeitung vergewissern können, was mit dem Auskunftsanspruch erreicht werden kann. Der Insolvenzverwalter wollte damit jedoch potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse ermitteln und damit Auskunft über Informationen mit vermögensrechtlichem Bezug.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Recht des Einzelnen manifestiert, dass seine personenbezogenen Daten zu einem, zu bestimmenden, Zeitpunkt wieder gelöscht werden müssen. Unterschieden wurde in Art. 17 DSGVO zwischen unveröffentlichten Daten (Abs. 1) und veröffentlichten Daten (Abs. 2).Grundgedanke der Regelung des Art. 17 Abs. 2 DSGVO war dabei, dass Informationen über Personen nur so lange öffentlich auffindbar sein sollen, wie diese auch benötigt werden. Es war ein Versuch den Ausspruch: „Das Internet vergisst nicht“ umzukehren und dem Verantwortlichen die Pflicht aufzuerlegen, einmal veröffentlichte Daten auch wieder zu „ent-öffentlichen“.
Sowohl selbstständig veröffentlichende Verantwortliche, insbesondere (Online-)Zeitungen oder auch Verbände und Unternehmen mittels Pressemitteilungen als auch Suchmaschinenbetreiber, die lediglich bereits online vorhandene Informationen darstellen, sind in diesem Zusammenhang besonders gefordert: Wann müssen Informationen über Personen gelöscht werden, welche Informationen über Personen dürfen nicht (mehr) angezeigt werden?
Rechtsprechung des Bundesgerichtshofs (BGH)
Mit seinem jüngsten Urteil hat der BGH nun die Grenzen des Rechts auf Vergessenwerdens aufgezeigt. Im Verfahren VI ZR 405/18 ging es darum, dass ein ehemaliger Geschäftsführer eines Verbands erreichen wollte, dass ein erschienener Artikel über finanzielle Unregelmäßigkeiten in der Ergebnisliste eines Internet-Suchdienstes nicht mit seinem Namen in Verbindung gebracht werden sollte. Während das oberste deutsche Gericht (BGH) bislang davon ausging, dass die Schutzinteressen der betroffenen Personen regelmäßig Vorrang genießen, wies es nun darauf hin, dass bei Prüfung eines Löschverlangens zwischen den Interessen der betroffenen Personen und denen der Öffentlichkeit abgewogen werden müssen. Darüber hinaus könne sich die betroffene Person im Rahmen der Grundrechtsabwägung nicht auf nationale Vorschriften berufen, da das Datenschutzrecht abschließend Europäisch geregelt ist und damit Anwendungsvorrang genießt. Die Klage blieb hier erfolglos, da die Berichterstattung im konkreten Fall rechtmäßig war.
Im Rahmen eines weiteren Verfahrens VI Z8R 476/18 kam es gerade auf die Rechtmäßigkeit der Berichterstattung an. Hier bestritten die betroffenen Personen die Rechtmäßigkeit einer Berichterstattung und verlangten die Löschung ihrer Namen und Bilder vom beklagten Suchmaschinen-Betreiber. In diesem Fall legte der BGH dem EuGH zwei Fragen zur Vorabentscheidung vor:
- Darf in einer vorzunehmenden Grundrechtsabwägung maßgeblich darauf abgestellt werden, dass der betroffenen Person andere Rechtsmittel (etwa eine einstweilige Verfügung gegen den Webseitenbetreiber, zu dem ein Link führt) zur Verfügung stehen?
- Muss bei einer Bildersuche der Kontext einer Berichterstattung mit berücksichtigt werden auch wenn der Kontext nicht mit angezeigt wird?
Bewertung
Durch das erste Verfahren wurde seitens des BGH der europäische Kontext der Datenschutz-Grundverordnung gestärkt. Er hat deutlich gemacht, dass Europäische Normen nur im Europäischen Wertekontext zu messen sind. Darüber hinaus hat das Gericht jedoch auch deutlich gemacht, dass bei der Kollision zwischen verschiedenen europäischen Grundrechten eine Abwägung im Einzelfall vorzunehmen ist, ebenso wie dies bei nationalen Grundrechten auf nationaler Ebene der Fall ist. Das Gericht ebnet damit den Weg zu einer einheitlichen Europäischen Rechts- und damit Werteordnung.
Die Entscheidung des EuGHs zu den beiden Vorabfragen darf mit Spannung erwartet werden. Insbesondere bei Bejahung der zweiten Frage wäre die Entwicklung künstlicher Intelligenz zur Feststellung eines Kontextes, in dem ein Bild veröffentlicht wird, offensichtlich stark gefordert.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Spätestens das In-Kraft-Treten der Datenschutzgrundverordnung (DSGVO) und die damit verbundene Androhung drastischer Bußgelder sollte Unternehmen dazu motivieren, ihre Praxis der Datenverarbeitung zu überprüfen und anzupassen.
Dennoch erhielt ein Unternehmen von der Bundesnetzagentur nun ein Bußgeld von 300.000 €, weil es Telefonnummern betroffener Personen ohne deren ausdrückliche Einwilligung für Werbezwecke genutzt hatte.
Zwar kann Direktwerbung als ein berechtigtes Interesse des werbenden Unternehmens betrachtet werden (Erwägungsgrund 47 der DSGVO). Aber auch mit Inkrafttreten der DSGVO gilt § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin. Daher muss nach wie vor die Einwilligung der betroffenen Personen eingeholt werden, wenn man deren Daten zum Zwecke der Telefonwerbung verarbeiten möchte. Ohne Einwilligung ist Telefonwerbung nur in sehr restriktivem Maße erlaubt.
Darüber hinaus erhob das Unternehmen die Daten der betroffenen Personen wohl teilweise bei unseriösen Quellen, übermittelte die Daten in Drittstaaten ohne angemessenes Datenschutzniveau und soll mitunter Subunternehmen für die Datenverarbeitung eingesetzt haben, die bereits negativ wegen entsprechender Praktiken aufgefallen waren.
Ergebnis der unbefugten Datenverarbeitung war, dass die Angerufenen „äußerst hartnäckig, aggressiv, beleidigend und teilweise bedrohend“ werblich angesprochen worden sein sollen. Auch ihr Recht aus Art. 21 Abs. 2 DSGVO, einer solchen Datenverarbeitung zu Werbezwecken zu widersprechen, wurde laut Bundesnetzagentur ignoriert: So wurden betroffene Personen „häufig mehrmals kontaktiert, obwohl sie weitere Anrufe bereits im ersten Gespräch untersagt hatten“.
Der Bußgeldbescheid der Bundesnetzagentur ist noch nicht rechtskräftig (Stand: 10.12.2018). Der weitere Fortgang des Bußgeldverfahrens bleibt daher abzuwarten.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.