Die allgemeine Auskunft über gespeicherte Daten, die nach DSGVO von Betroffenen bei Unternehmen verlangt werden können, umfasst auch die Herkunft der Daten und alle Angaben über die Mittel, mit denen diese personenbezogenen Daten erhoben wurden. Das entschied ganz klar das Landgericht Mosbach im Januar 2020. Anders nämlich als das alte Bundesdatenschutzgesetz verlangt die DSGVO stets die Auskunft über „alle verfügbaren Informationen über die Herkunft“ der Daten in „genügender Tiefe“ – wenn diese Daten nicht bei den Betroffenen selbst erhoben wurden.
Das macht klar, dass man als Unternehmen stets transparent erklären können sollte, woher etwa E-Mail-Adressen stammen, mit denen – egal ob B2B oder B2C – (potenzielle) Kunden kontaktiert werden. Das Stichwort „genügende Tiefe“ bedeutet zudem, dass es eben nicht ausreicht, nur darüber zu informieren, woher man selbst die Daten bezogen hat, man muss möglicherweise auch ergründen und mitteilen, wie diese Quelle die personenbezogenen Daten erlangt hat.
Im verhandelten Fall ist daher die Angabe einer Schuldnerin, die Daten seien aus einem Bezahlvorgang einer namentlich benannten GmbH erhoben worden, schlicht nicht hinreichend. Und die Verweigerung der Auskunft mit Hinweis darauf, es handele sich nicht um Daten des Klägers (Gläubiger) sogar fehlerhaft. Denn, dass es sich nicht um Daten des Gläubigers handele, könne nicht daraus abgeleitet werden, dass diese von einem Dritten eventuell missbräuchlich verwandt worden waren.
Zusammenfassend lässt sich feststellen: Von der Auskunftsverpflichtung erfasst sind alle Daten wie Namen oder Geburtsdatum, genauso wie jegliche Merkmale, die eine Identifizierung einer Person ermöglichen können, zum Beispiel Gesundheitsdaten, Kontonummer usw. Laut einer Entscheidung des Oberlandesgerichts Köln vom Juli 2019 ist sogar Auskunft über interne Gesprächsvermerke und Telefonnotizen zu erteilen.
Besonders im Bereich E-Commerce teilen wahrscheinlich alle Menschen mit einem E-Mail-Account das gleiche Schicksal. Ständig flattern Werbe-Mails ins Postfach, ohne dass man sich tatsächlich dafür angemeldet hat. Damit man dieser Sache auf den Grund gehen kann, hat die Datenschutzgrundverordnung eben diesen speziellen Auskunftsanspruch verankert.
Unternehmen weigern sich aber manchmal, die Karten auf den Tisch zu legen. Die Entscheidung zeigt, dass derjenige, der datenschutzrechtlich zur Auskunft verpflichtet ist, diese Verpflichtung nicht auf die leichte Schulter nehmen sollte. Immerhin sind in dem Fall, dass Berechtigte wegen unvollständiger oder falscher Angaben über die Datenschutzbeauftragten der Länder vorgehen, möglicherweise ein Zwangsgeld von bis zu 25.000 Euro, Zwangshaft oder ersatzweise Zwangshaft bis 6 Monate möglich.
Urteil des Landgericht Mosbach, Beschluss vom 27.1.2020; AZ – 5 T 4/20 –
Foto: thodonal