Auskunft auch über Gesprächsnotizen und Telefonvermerke?
Das Urteil zum Auskunftsanspruch nach der Datenschutz-Grundverordnung (DSGVO) wird auch außerhalb der Datenschutz-Szene für Gesprächsstoff sorgen. Im vorliegenden Fall wirkt es sich auf die Versicherungsbranche aus.
Wichtiger Nebenkriegsschauplatz: der Auskunftsanspruch
Der Rechtsstreit, um den es im Ausgangspunkt geht, ist relativ kompliziert. Es handelt sich um eine versicherungsrechtliche Geschichte. Der Kläger verlangt Leistungen aus einer Versicherung gegen Berufsunfähigkeit.
Die Frage nach dem Auskunftsanspruch gemäß Art. 15 DSGVO ist verglichen damit ein Nebenkriegsschauplatz, allerdings ein sehr brisanter.
Prozessbeginn vor der DSGVO
Begonnen hatte der Prozess noch vor Geltung der DSGVO. Deshalb berief sich der Kläger in der ersten Instanz auch noch nicht auf sie, sondern auf die damals geltende Regelung, also den Auskunftsanspruch gemäß § 34 des „alten“ Bundesdatenschutzgesetzes (BDSG).
Unter Hinweis auf diese Vorschrift verlangte er eine vollständige Auskunft über alle ihn betreffenden personenbezogenen Daten, die das Versicherungsunternehmen gespeichert, genutzt und verarbeitet hat.
Auskunftserteilung über „Stammdaten“
Nach längerem Hin und Her hatte das Versicherungsunternehmen ihm eine „Aufstellung Ihrer personenbezogenen Daten aus der zentralen Datenverarbeitung“ sowie eine „Aufstellung Ihrer personenbezogenen Daten aus dem Lebensversicherungsvertrag Nr. …“ übersandt.
Dabei ging es jeweils um die sogenannten „Stammdaten“. Damit sind Basisdaten gemeint, die bei jedem Versicherungsnehmer vorliegen und auf die er im Normalfall mittels EDV leicht zugreifen kann.
Weitergehende Forderung des Klägers
Das stellte den Kläger jedoch nur teilweise zufrieden. Er forderte noch mehr, nämlich insbesondere Auskunft über sämtliche bei der Versicherung vorhandenen Daten über Telefon- und Gesprächsnotizen, die im Rahmen der Kommunikation zwischen dem Kläger und dem Versicherungsunternehmen entstanden sind.
Insbesondere verlangte der Kläger dabei Auskunft über alle derartigen Notizen, die im Vorfeld der Gewährung von Policendarlehen und von Beitrags-Freistellungen entstanden sind.
Gegenargumente der Beklagten
Das verweigerte das Versicherungsunternehmen. Seine Weigerung begründete es mit diversen Argumenten. Unter anderem verwies es darauf, es sei ihm aus wirtschaftlichen Gründen nicht zuzumuten, umfangreiche Datenbestände entsprechend zu durchsuchen.
Urteilsspruch des Gerichts
Mit dieser Argumentation drang das Versicherungsunternehmen beim Oberlandesgericht (OLG) Köln freilich nicht durch. Es verurteilte das Versicherungsunternehmen dazu,
„dem Kläger über die mit Schreiben vom 10.8.2018 bereits erfolgte Übersendung einer „Aufstellung Ihrer Personendaten aus der zentralen Datenverarbeitung“ sowie „Aufstellung Ihrer Personendaten aus dem Lebensversicherungsvertrag Nr. … hinaus Auskunft zu sämtlichen weiteren diesen betreffenden personenbezogenen Daten, insbesondere auch in Gesprächsnotizen und Telefon vermerken, zu erteilen, welche die Beklagte gespeichert, genutzt und verarbeitet hat.“
Mit anderen Worten: Die Auskunft darf sich nicht nur auf leicht ermittelbare „Stammdaten“ beschränken, die gewissermaßen auf Knopfdruck zur Verfügung stehen.
Zum Auskunftsnaspruch im Arbeitsverhältnis lesen Sie Auskunftsanspruch contra Geheimhaltungsinteresse
Vielmehr muss das Unternehmen sorgfältig alle Daten ermitteln, die sich in irgendeiner Form auf den Kläger beziehen.
Vier relevante Fragen
Zu diesem Ergebnis gelangt das Gericht, nachdem es sich mit vier Fragen befasst hat:
- Frage 1: Ist die DSGVO hier überhaupt anwendbar, obwohl der Rechtsstreit schon begonnen hat, bevor die DSGVO galt?
- Frage 2: Liegen personenbezogene Daten im Sinn der DSGVO auch dann vor, wenn es um Telefonnotizen und Gesprächsnotizen geht, die sich auf die Kommunikation mit dem Kläger beziehen?
- Frage 3: Spielt es eine Rolle, dass es für das Versicherungsunternehmen mit großem Aufwand verbunden wäre, diese Telefonnotizen und Gesprächsnotizen herauszusuchen?
- Frage 4: Ist der Auskunftsanspruch unter dem Aspekt beschränkt, dass möglicherweise die Rechte und Freiheiten anderer Personen oder grundrechtlich garantierte Interessen des Versicherers betroffen sind?
Frage 1: Anwendbarkeit der DSGVO
Frage 1 (Anwendbarkeit der DSGVO) ist nicht so banal, wie es zunächst scheint. Im Ergebnis gilt normalerweise: Wenn sich das Recht ändert, während ein Zivilprozess läuft, ist das Recht in der Fassung anzuwenden, die zum Zeitpunkt der gerichtlichen Entscheidung gilt.
Das bedeutet im vorliegenden Fall: Das Urteil der ersten Instanz erging zwar am 9. April 2018, und die DSGVO galt erst ab dem 25. Mai 2018. Gleichwohl muss das Oberlandesgericht Köln als Berufungsgericht bei seiner Entscheidung nunmehr die DSGVO anwenden.
Die rechtliche Begründung dafür ist relativ kompliziert. Das Gericht beruft sich dabei auf eine Entscheidung des Bundesgerichtshofs aus den 1950 er Jahren. Demnach ist neu erlassenes Recht dann auf Sachverhalte aus der Vergangenheit anwendbar, wenn es diese Sachverhalte erkennbar erfassen wollte.
Kritik an der Sicht des Gerichts
Ob das bei der DSGVO wirklich auch länger zurückliegende Sachverhalte erfassen wollte, scheint entgegen der Auffassung des Gerichts keineswegs sicher.
Immerhin legt Art. 99 Abs. 2 DSGVO ausdrücklich fest, dass die DSGVO erst ab dem 25. Mai 2018 gilt. Das Gericht spricht insoweit fälschlicherweise davon, die DSGVO sei am 25.5.2018 „in Kraft getreten“.
Die Begriffe „Geltung“ und „Inkrafttreten“ sind im EU-Recht jedoch keineswegs identisch. Erst wenn eine Rechtsnorm „gilt“, muss sie beim rechtlichen Handeln berücksichtigt werden. Vorher ist dies gerade nicht der Fall.
Es ist davon auszugehen, dass über dieser Frage eine Diskussion entstehen wird. Sollte sie zu dem Ergebnis führen, dass die DSGVO auf den Sachverhalt doch nicht anwendbar ist, wären alle weiteren Überlegungen des Gerichts hinfällig.
Frage 2: Vorliegen von personenbezogenen Daten
Frage 2 (Vorliegen von personenbezogenen Daten) ist aus der Sicht des Gerichts eindeutig zu bejahen. Es weist darauf hin, dass dieser Begriff nach Art. 4 Nr. 1 DSGVO alle Informationen umfasst, die sich auf eine identifizierbare natürliche Person beziehen.
Dies bedeutet nach seiner Auffassung, dass eben nicht nur wie immer definierte „Stammdaten“ als personenbezogen anzusehen sind.
Vielmehr liege ein Personenbezug auch dann vor, wenn in Gesprächsvermerken oder Telefonnotizen entweder Aussagen des Klägers selbst oder Aussagen etwa von Sachbearbeitern über den Kläger festgehalten sind.
Für diese Auffassung spricht, dass die Definition des Begriffs „personenbezogene Daten“ in der DSGVO sehr weit gefasst ist. Sie enthält keine Einschränkung für Daten, die in einer bestimmten Form festgehalten sind, etwa in Form einer Notiz.
Frage 3: Unzumutbarer Aufwand beim Heraussuchen?
Frage 3 (Aufwand für das Heraussuchen von Daten) ist aus der Sicht des Gerichts schlicht irrelevant. Es macht hierzu zwei Aussagen:
- „Soweit die Beklagte meint, es sei für Großunternehmen, die wie Sie einen umfangreichen Datenbestand verwalten würden, mit denen ihr zur Verfügung stehenden Ressourcen wirtschaftlich unmöglich, Daten auf personenbezogene Daten zu durchsuchen und zu sichern, verfängt dies nicht.“
- „Es ist Sache der Beklagten, die sich der elektronischen Datenverarbeitung bedient, diese im Einklang mit der Rechtsordnung zu organisieren und insbesondere dafür Sorge zu tragen, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen wird.“
Geltung der DSGVO für Daten auf Papier?
An dieser Begründung erscheint ein – allerdings wichtiges – Detail problematisch.
Bei der Datenschutz-Grundverordnung kommt es nicht darauf an, ob Daten in elektronischer Form oder in anderer Form (etwa auf Papier) gespeichert sind.
Dies gilt jedenfalls dann, wenn die nicht automatisierte Verarbeitung darauf abzielt, die Daten in einem Dateisystem zu speichern.
Das Gericht hätte sich mit der einschlägigen Regelung des Art. 2 Abs. 1 DSGVO und dem zugehörigen Erwägungsgrund 15 zur DSGVO auseinandersetzen müssen. Dazu hätte es feststellen müssen, ob die Aktenvermerke und Telefonnotizen dazu bestimmt waren, systematisch geordnet festgehalten zu werden. Nur dann ist die DSGVO anwendbar.
Zwar ist es wahrscheinlich, dass eine solche systematisch geordnete Speicherung vorgenommen wurde. Sicher ist dies ohne entsprechende Feststellung des Gerichts jedoch nicht. Auch über diesen Punkt der Entscheidung wird es daher zu Diskussionen kommen.
Frage 4: Beschränkungen wegen Rechten Dritter?
Frage 4 (Beschränkung des Auskunftsanspruchs wegen der Rechte oder Interessen anderer) handelt das Gericht recht knapp ab.
Es geht ersichtlich davon aus, dass dies vorliegend von vornherein kaum eine Rolle spielen kann.
Sein Argument: Die vom Kläger geforderte Auskunft bezieht sich ausschließlich auf personenbezogene Daten, die ihn selbst betreffen. Sofern Belange von Dritten berührt sein sollten, wäre es Sache der Beklagten, diese Interessen im Einzelfall zu berücksichtigen.
Die Aussage ist in dieser allgemeinen Form relativ mutig.
Allerdings muss man dem Gericht zugeben: Solange die beklagte Versicherung keine näheren Ausführungen dazu macht, welche Rechte oder Interessen anderer Personen berührt oder gar verletzt sein sollen, kann sich das Gericht damit auch nicht auseinandersetzen.
Bewertung der Entscheidung
Insgesamt gesehen legt die Entscheidung den Auskunftsanspruch sehr weit aus. Gleichwohl überzeugt sie, weil der Wortlaut des Art. 15 DSGVO für diese Auffassung spricht.
Als offen anzusehen ist die Frage, ob die DSGVO hier überhaupt angewandt werden kann. Darüber wird es intensive Diskussionen geben.
Insofern ist jedenfalls für Sachverhalte aus der Vergangenheit, die sich vor Geltung der DSGVO ab dem 25. Mai 2018 abgespielt haben, das letzte Wort noch nicht gesprochen.
Das Urteil des OLG Köln vom 26.7.2019 – 20 U 75/18 ist abrufbar unter https://openjur.de/u/2177719.html.
Aus der sehr umfangreichen Entscheidung mit insgesamt 117 Randnummern sind datenschutzrechtlich unmittelbar bedeutsam lediglich die Randnummern 1–4, 18, 19 (dort nur Ziffer 6), 32/33 und 71–82.