Update Datenschutz Nr. 74 | Update Compliance 7/2020
Kein Auskunftsanspruch über Daten aus Backups?
Das Landgericht Heidelberg hat den Anspruch eines Arbeitnehmers auf Auskunft über die Verarbeitung seiner personenbezogenen Daten durch den Arbeitgeber insoweit abgelehnt, als diese sich lediglich in Backup-Dateien seines E-Mail-Kontos befinden. Die Wiederherstellung solcher Daten stelle für den Verantwortlichen im Einzelfall einen unverhältnismäßigen Aufwand dar (Urteil v. 06.02.2020 – 4 O 6/19).
Zuletzt hatten das Landesarbeitsgericht Baden-Württemberg und das Oberlandgericht Köln den Umfang des Auskunftsanspruches nach Art. 15 DSGVO noch sehr weit ausgelegt.
In dem der Entscheidung des LG Heidelberg zugrunde liegenden Sachverhalt begehrte der Kläger als ehemaliges Vorstandsmitglied des Verantwortlichen von diesem gemäß Art. 15 DSGVO Auskunft sowie Aushändigung einer Kopie aller verfügbaren verarbeiteten personenbezogenen Daten (Hauptantrag) sowie hilfsweise Auskunft über alle verarbeiteten personenbezogenen E-Mail-Daten für einen bestimmten, ca. einjährigen Zeitraum. Die Besonderheit des Falls bestand darin, dass der Verantwortliche inzwischen insolvent war und inzwischen sowohl sämtliche Daten aus der Amtszeit des Klägers (ca. zehn Jahre zuvor) als auch die entsprechende Hardware an einen Dritten übergeben wurden. Um dem Auskunftsanspruch nachzukommen, hätte der Insolvenzverwalter des Verantwortlichen erst die Daten aus den Backups mit einem (geschätzten) finanziellen Aufwand von ca. EUR 4.000 wieder herstellen müssen.
Das LG Heidelberg lehnte die Auskunftsansprüche aufgrund der nachfolgenden Gründe vollumfänglich ab:
1. Fehlende Bestimmtheit des Haupt-Auskunftsanspruchs
Das Gericht lehnte unter Bezugnahme des Erwägungsgrundes 63 der DSGVO zunächst den umfassenden Hauptantrag mangels Bestimmtheit des Auskunftsanspruchs, in welchem der Betroffene lediglich den Gesetzeswortlaut des Art. 15 DSGVO wiedergegeben hatte, ab. Die Unbestimmtheit des Anspruchs begründete das Gericht damit, dass der Kläger nicht beschrieben habe, auf welche Bereiche oder Kategorien er seine Auskunft erstrecken lassen wolle. Laut Ansicht des Gerichts müsse die betroffene Person – wie es auch der genannte Erwägungsgrund vorsehe – im Rahmen des Auskunftsersuchens klarstellen, an welchen konkreten Informationen bzw. welchen Verarbeitungsvorgängen sie interessiert sei.
In Bezug auf den Hilfsanspruch, den das Gericht aufgrund der zeitlichen Beschränkung und Beschränkung auf die Datenkategorie „E-Mails“ als hinreichend bestimmt ansah, stellte es fest:
2. Daten aus Backups sind nicht zwingend vom Auskunftsanspruch umfasst
Laut des LG Heidelberg müsse bereits bezweifelt werden, ob der Verantwortliche die in den Backup gespeicherten Daten des Klägers tatsächlich noch im Sinne der DSGVO verarbeite. Denn der Verantwortliche müsse grundsätzlich keine Auskunft über Daten erteilen, über die er nicht mehr verfüge. Dies sei vorliegend der Fall gewesen, da die Daten an einen Dritten übergeben worden seien. Selbst wenn der Verantwortliche noch ein Zugriffsrecht auf diese Daten habe, verändere dies die Lage nicht zwangsläufig, da auch die Daten in Backups für ihn unter Umständen nicht unmittelbar greifbar seien. Das Gericht bezieht sich in diesem Zusammenhang auf die alte Vorschrift des BDSG, § 34 Abs. 7 i.V.m. § 33 Abs. 2 S. 1 Nr. 2 BDSG a.F, die besagte, dass eine Auskunftspflicht entfalle, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung unverhältnismäßigen Aufwand erfordere. Der Wegfall dieser Norm bedeute nicht, dass nun sämtliche Backups der Auskunftspflicht unterfielen. Vielmehr komme es auf den konkreten Aufwand des Verantwortlichen an, auf welchen es im Rahmen der weiteren Begründung näher eingeht:
3. Bereitstellung der Backups stellt gemessen an dem Informationsinteresse des Klägers unverhältnismäßigen Aufwand dar
Im vorliegenden Fall war das Gericht außerdem davon überzeugt, dass die Erteilung der Auskunft für den Verantwortlichen einen unverhältnismäßigen Aufwand darstelle. Aufgrund der erforderlichen Wiederherstellung der Daten sowie der Sichtung und Schwärzung der Daten würden unverhältnismäßige Ressourcen gebunden und insbesondere erhebliche Kosten produziert. Diese Tatsache setzte das Gericht in Relation zu dem – nach Ansicht des Gerichts wenn überhaupt als gering einzustufenden – Informationsinteresse des Klägers und stellte im Ergebnis fest, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand darstelle. Das Gericht sah es als relevant an, dass die vom Kläger angefragten Daten bereits neun bis zehn Jahre alt waren, das verantwortliche Unternehmen in seiner damaligen Form nicht mehr existiere, der Kläger seit neun Jahren nicht mehr für den Verantwortlichen tätig gewesen sei und der Anspruch somit erst Jahre nach der Beendigung der Tätigkeit geltend gemacht worden sei. Zuletzt hob das Gericht auch hervor, dass es nachteilige Schlüsse für den Kläger in Bezug auf dessen fehlendes bzw. geringes Informationsinteresse aus der Tatsache gezogen habe, dass dieser der mündlichen Verhandlung unentschuldigt ferngeblieben sei.
Bewertung
Das Urteil des LG Heidelberg bezieht sich auf den Sonderfall, dass der Betroffene Auskunft über Daten verlangt, die sich zum Zweck der Datensicherung nur noch in Backups des Verantwortlichen befinden.
Dem grundsätzlich bestehenden Auskunftsanspruch sowie der Auskunftspflicht bezüglich personenbezogener Daten, die sich noch im System des Verantwortlichen befinden, steht die Entscheidung des LG Heidelberg damit nicht entgegen. Nach der DSGVO ist dem Auskunftsanspruch nachzukommen, sofern kein Missbrauch vorliegt oder schutzwürdige Rechte und Freiheiten Dritter gefährdet sind. Eine Ausnahme aufgrund eines unverhältnismäßigen Aufwandes ist im Wortlaut des Art. 15 DSGVO nicht enthalten.
Für seine Entscheidung, die Bereitstellung von Backup-Daten einer Verhältnismäßigkeitsprüfung zu unterziehen, die vormaligen und nicht mehr gültigen Vorschriften des § 34 Abs. 7 i.V.m. § 33 Abs. 2 S. 1 Nr. 2 BDSG a.F. zu Rate, die für diesen Sonderfall der Datensicherung vorsahen, dass der Auskunftsanspruch entfällt, wenn die Auskunft für den Verantwortlichen einen unverhältnismäßigen Aufwand erfordert. Ob die Herleitung einer solchen Verhältnismäßigkeitsabwägung über die vormaligen Vorschriften des BDSG weiteren gerichtlichen Prüfungen standhält, bleibt allerdings abzuwarten.
Diese Entscheidung ist die erkennbar erste, die sich mit dem Thema Backups im Kontext der Betroffenenrechte auseinandersetzt. Ihre Wertung sowie der weitere Umgang mit dieser dürfte sich auch auf die Diskussion auswirken, ob im Rahmen des Löschanspruches (Art. 17 DSGVO) auch Daten aus Backups zu löschen sind. Denn wenn die Auskunft über Backup-Daten als unverhältnismäßig gilt, muss erst Recht die Löschung dieser Daten, für die ebenfalls die vorherige Wiederherstellung erforderlich ist, unverhältnismäßig sein. Entsprechend entfiele bei zukünftigen Löschanfragen für Verantwortliche die Pflicht, die Löschung auch in ihren Backups durchzuführen.
Praxishinweis
Zusammenfassend kann festgehalten werden, dass die Entscheidung des LG Heidelbergs besondere Relevanz für Auskunftsansprüche hat, die sich auf Daten aus Backups beziehen. In solchen Fällen ist es in Zukunft ratsam zu prüfen, ob die Wiederherstellung der Daten im konkreten Fall einen unverhältnismäßigen Aufwand darstellen. Im Rahmen dieser Abwägung können beispielsweise die Wiederherstellungskosten, zusätzliche Kosten (wie die Kosten der Schwärzung) sowie das Auskunftsinteresse des Betroffenen berücksichtigt werden. Ebenfalls kann aus dem Urteil abgeleitet werden, dass auch Löschanfragen hinsichtlich Daten aus Backups, die eine vorherige Wiederherstellung der Daten erfordern würden, im Einzelfall wegen unverhältnismäßigem Aufwand abgelehnt werden können.
Unabhängig davon ändert das dargestellte Urteil jedoch nichts an der grundsätzlich bestehenden Möglichkeit von Standard-Auskunftsanfragen über personenbezogene Daten, die sich noch im System des Verantwortlichen befinden. Diesen steht die Entscheidung des LG Heidelberg nicht entgegen; dies gilt auch in Bezug auf Daten aus internen Ermittlungen. Die Beantwortung entsprechender Anfragen kann auch nicht durch das Verschieben personenbezogener Daten ins Backup umgangen werden, da dies nicht nur erhebliche technische Einschränkungen des Betriebsablaufs mit sich bringen würde, sondern außerdem von Gerichten als missbräuchlich bewertet werden dürfte. Das Urteil macht jedoch deutlich, dass bei solchen Standard-Auskunftsansprüchen darauf geachtet werden sollte, das Auskunftsverlangen möglichst im Sinne des Erwägungsgrundes 63 der DSGVO durch Datenkategorien und Zeiträume zu präzisieren.