I. Einführung

1

Das Auskunfts­recht aus Art. 15 DSGVO zählt zu den elemen­taren subjek­tiven Daten­schutz­rechten, da erst die Kenntnis darüber, ob und in welchem Umfang ein Verant­wort­licher perso­nen­be­zogene Daten verar­beitet, die wirkungs­volle Ausübung anderer Betrof­fe­nen­rechte ermög­licht. Dieses notwendige Wissens­fun­dament errichtet der Auskunfts­an­spruch nach Art. 15 Abs. 1 DSGVO zusammen mit dem Recht auf Erhalt einer Kopie gem. Abs. 3. Ihre nicht zu überschät­zende praktische Bedeutung bezeugt die zeitnahe Befassung der Recht­spre­chung,¹ einschließlich zweier anhän­giger Verfahren bei den obersten Gerichten.² Auch im Schrifttum ist ein großes Interesse der Praxis wahrzu­nehmen,³ das angesichts der erheb­lichen Bußgeld- und Schadenser­satz­ri­siken für die Verant­wort­lichen kaum überrascht.⁴ Im scharfen Kontrast dazu stehen die vielen offenen Rechts­fragen rund um das Recht auf Erhalt einer Kopie, deren Klärung dieser Beitrag unter­nimmt. Dazu unter­sucht er zunächst die tatbe­stand­liche Weite des Rechts auf Erhalt einer Kopie (II.), um sodann dessen Grenzen zu vermessen (III.-IV.) und schließlich die bisher noch kaum betrachtete Exzess- und Missbrauchs­kon­trolle auszu­leuchten (V.-VI.).

II. Tatbe­stand des Kopie­an­spruchs aus Art. 15 Abs. 3 DSGVO

2

Mit Art. 15 Abs. 3 DSGVO ergänzt der Verord­nungs­geber das bereits in der Daten­schutz­richt­linie (DSRL) vorge­sehene⁵ und in Art. 15 Abs. 1, 2 DSGVO fortbe­ste­hende „Recht auf Auskunft“ um ein „Recht auf Erhalt einer Kopie“⁶. Die Debatte um das dogma­tische Verhältnis beider Rechte bleibt für den tatbe­stand­lichen Umfang des letzteren ohne Folgen: Auch nach denje­nigen, die Art. 15 Abs. 3 DSGVO nicht als selbst­stän­digen Anspruch,⁷ sondern lediglich als besondere Form der zu ertei­lenden Auskunft einordnen, muss der Verant­wort­liche zumindest die verar­bei­teten perso­nen­be­zo­genen Daten als Kopie zur Verfügung stellen.⁸

1. Anspruchs­umfang

3

Das Recht auf Erhalt „einer Kopie“⁹ erstreckt sich somit tatbe­standlich auf perso­nen­be­zogene Daten,¹⁰ soweit sie Gegen­stand einer Verar­beitung sind, ohne dass es darüber hinaus einer zusätz­lichen Begründung, eines berech­tigten Inter­esses oder eines Anlasses bedürfte.¹¹ Da nach dem weiten Verar­bei­tungs­be­griff des Art. 4 Nr. 2 DSGVO bereits die Speicherung perso­nen­be­zo­gener Daten genügt, beschränkt dieser allen­falls ausnahms­weise das Auskunfts­recht.¹² Ausge­nommen sind nicht einmal bloße Backup-Daten.¹³ Folge­richtig kommt dem Umfang des Tatbe­stands­merkmals „perso­nen­be­zogene Daten“ eine Schlüs­sel­rolle zu. Diese werden in Art. 4 Nr. 1 DSGVO legal­de­fi­niert als alle Infor­ma­tionen, die sich auf eine identi­fi­zierte oder identi­fi­zierbare natür­liche Person beziehen und schließen gemäß ErwGr. 63 S. 2 auch eigene gesund­heits­be­zogene Daten ein. Dazu gehören beispiels­weise Daten in einer Patien­tenakte, die Infor­ma­tionen wie Diagnosen, Unter­su­chungs­er­geb­nisse, Befunde der behan­delnden Ärzte und Angaben zu Behand­lungen und Eingriffen enthalten.¹⁴

4

Ausgehend von diesen norma­tiven Halte­punkten herrscht Einigkeit darüber, dass Stamm­daten wie Namen, Geburts­daten und Merkmale, welche die Identi­fi­zierung einer Person ermög­lichen (Gesund­heits­daten, Konto­nummer, ärztliche Unter­lagen, etc.) vom Auskunfts­recht umfasst sind.¹⁵ Hinzu­kommen Video- und Audio­auf­zeich­nungen.¹⁶ Lebhaft umstritten ist demge­genüber, ob auch Infor­ma­tionen aus internen Vorgängen des Verant­wort­lichen als perso­nen­be­zo­genes Datum quali­fi­ziert werden können. Erste unter­in­stanz­liche Entschei­dungen verneinen dies¹⁷ unter Beifall aus Teilen der Praxis.¹⁸ Das Auskunfts­recht umfasst nach dieser restrik­tiven Auffassung weder die der betrof­fenen Person bereits bekannte Korre­spondenz, einschließlich aller E‑Mails, noch interne Vermerke, wie Telefon- und Gesprächs­no­tizen. Auch recht­liche Bewer­tungen und Analysen sind demnach nicht Gegen­stand des Auskunfts­rechts. Demge­genüber steht ein exten­sives Verständnis,¹⁹ das sich auf zwei oberge­richt­liche Entschei­dungen zu stützen vermag. Danach enthält (...)