DSGVO: Telefon- und Gesprächsnotizen sind personenbezogene Daten

DSGVO:Telefon- und Gesprächsnotizen sind personenbezogene Daten

©Carmen Steiner – Fotolia.com

Der Auskunftsanspruch nach Art. 15 DSGVO gibt der betroffenen Person das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja welche sie betreffenden personenbezogenen Daten verarbeitet werden.

Seit der Einführung dieses Auskunftsanspruches besteht jedoch Uneinigkeit darüber, welche konkreten Daten vom Betroffenen berechtigterweise abgefragt werden können. Nun hat das OLG Köln in einem Urteil vom  26.07.2019 konkretisiert, wie weit dieser Auskunftsanspruch reicht (OLG Köln, Urteil v. 26.07.2019, Az. 20 U 75/18). Für alle Unternehmen, die personenbezogene Daten erheben oder verarbeiten, bedeutet das Urteil vor allem eins: mehr Aufwand.

Aukunftsverlangen gegen Versicherungsunternehmen

In dem Streit hatte der Kläger bei der Beklagten eine Lebensversicherung nebst Berufsunfähigkeits-Zusatzversicherung abgeschlossen. Während der Laufzeit kam es zu einer Auseinandersetzung zwischen den Parteien, in deren Rahmen der Kläger eine vollständige Auskunft über alle ihn betreffenden personenbezogenen Daten, die das Versicherungsunternehmen gespeichert, genutzt und verarbeitet hat, verlangte. Er begehrte u.a. Auskunft über sämtliche bei der Versicherung vorhandene Gesprächsnotizen und Telefonprotokolle, die im Rahmen der Kommunikation zwischen dem Kläger und dem Versicherungsunternehmen speziell im Hinblick auf die Beantragung von Policen-Darlehen entstanden sind.

Der Versicherungskonzern verweigerte die Auskunft in dem geforderten Umfang und übersandte dem Kläger lediglich eine Aufstellung der personenbezogenen Daten „aus der zentralen Datenverarbeitung“ sowie eine Aufstellung der personenbezogenen Daten aus dem „Lebensversicherungsvertrag Nr. …“ (sog. Stammdaten). Der Versicherungskonzern vertrat die Auffassung, dass sich ein derart weitreichender Auskunftsanspruch nicht aus Art. 15 DSGVO ergäbe. Unter anderem verwies das Unternehmen darauf, es sei ihm aus wirtschaftlichen Gründen nicht zuzumuten, umfangreiche Datenbestände zu durchsuchen.

Der vorherige Prozessverlauf

Da die DSGVO zu dieser Zeit noch nicht in Kraft getreten war, stützte der Kläger sein Auskunftsbegehren auf § 34 BDSG. Das LG Köln wies die Klage inklusive des Auskunftsanspruchs vollumfänglich ab (LG Köln, Urteil v. 09.04.2018, Az. 26 O 360/16). Der Kläger legte daraufhin Berufung ein.

OLG Köln: Es gibt keine belanglosen Daten mehr

Das OLG Köln gab der Klage statt und verurteilte die Versicherung zur Auskunft. Es stellte zunächst klar, dass das bei der Abfassung der zu treffenden Berufungsentscheidung geltende Recht, also die neue DSGVO anzuwenden ist.

Nach Art. 15 Abs. 1 DSGVO habe jede betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sei dies der Fall, so habe sie u.a. ein Recht auf Auskunft über diese personenbezogenen Daten. Der Begriff „personenbezogene Daten“ i.S.d. Art. 4 Nr. 1 DSGVO umfasse  alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen:

“Unter die Vorschrift fallen damit sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (z.B. Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (…).

Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizierten oder identifizierbaren Person liefern, weisen einen Personenbezug auf (…).”

Durch die umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten der modernen Informationstechnologie „gebe es faktisch keine „belanglosen Daten“ mehr, so das Gericht.

Auch Telefonvermerke und Gesprächsnotizen

Insofern stehe die Auffassung des Versicherungsunternehmens nicht mit der DSGVO in Einklang. Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers selbst oder etwa von Sachbearbeitern über den Kläger festgehalten sind, handele es sich ohne weiteres um personenbezogene Daten im Sinne des Art. 15 DSGVO.

Eine Begrenzung auf leicht ermittelbare „Stammdaten“ sei mit dem weit gefassten Datenbegriff der DSGVO nicht zu vereinbaren. Die Beklagte muss sorgfältig alle Daten ermitteln, die einen Personenbezug zum Kläger aufweisen.

Kein Geschäftsgeheimnis

Das Versicherungsunternehmen könne sich auch nicht mit Erfolg darauf berufen, dass ein entsprechend weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würde. Dies gilt schon deshalb, weil der Kläger die Angaben gegenüber seiner Versicherung selbst gemacht habe. Diese Angaben sind damit nicht schutzbedürftig und können auch kein Geschäftsgeheimnis darstellen.

Unzumutbarer Aufwand beim Heraussuchen?

Spielt es eine Rolle, dass es für das Großunternehmen mit großem wirtschaftlichem Aufwand verbunden wäre, diese Telefon- und Gesprächsnotizen herauszusuchen? Die Antwort des OLG Köln lautet: nein. Auch auf eine wirtschaftliche Unmöglichkeit in Bezug auf die Durchsuchung und Sicherung von Dateien auf personenbezogene Daten könne sich die Beklagte nicht berufen. Es sei ihre Sache, eine elektronische Datenverarbeitung im Einklang mit der Rechtsordnung zu organisieren und dem Datenschutz sowie den Rechten Dritter Rechnung zu tragen.

Fazit

Die Position des OLG Köln zur Reichweite des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO sowie die Ausführungen zur “wirtschaftlichen Unmöglichkeit” haben weitergehende Auswirkungen auf alle Unternehmen, die personenbezogene Daten erheben oder verarbeiten. Mit der Verpflichtung, sämtliche Telefonvermerke und Gesprächsnotizen über eine betroffene Person zu ermitteln und zu speichern ist unter Umständen ein erheblicher Zeit- und Arbeitsaufwand verbunden.

Bitte beachten Sie jedoch, dass unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen nach Art. 83 Abs. 5 lit. b DSGVO mit einer erheblichen Geldbuße bedroht sind. Es empfiehlt sich daher für alle Verantwortliche, rechtzeitig erforderliche organisatorische Vorkehrungen für zügige und ordnungsgemäße Auskunftserteilungen zu treffen.

Exit mobile version