Davor Brcic, Prokurist/Bereichsleiter Recht/Beauftragtenwesen, Volksbank in der Region eG
Prof. Dr. Roman Jordans, LL.M. (NZ), Rechtsanwalt (of Counsel) & Fachanwalt für Bank- und Kapitalmarktrecht, CBH Rechtsanwälte, Köln sowie Professor für Wirtschaftsrecht an der IU Internationale Hochschule, zuvor langjähriger Syndikus einer großen Sparkasse
Einleitung
Vermutlich wurde kaum eine Verordnung in jüngster Zeit so kontrovers diskutiert wie die Datenschutz-Grundverordnung. Bereits seit dem Jahr 1995 galt auf Ebene der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) aufgrund der EG-Datenschutzrichtlinie europaweit ein gemeinsames Datenschutz-Niveau. Eine unterschiedliche Auslegung in der Praxis führte zu unterschiedlichen Standards innerhalb des EWR.
DSGVO
Zur Modernisierung und Vereinheitlichung des Datenschutzrechts in Europa wurde daher eine umfassende Datenschutzreform vorgestellt, die auch der Digitalisierung Rechnung tragen sowie europaweit ein möglichst hohes Niveau im Bereich des Datenschutzes sicherstellen sollte. Die EU-Datenschutz-Grundverordnung (DSGVO) wurde damit ohne weiteren Umsetzungsakt in allen EU-Mitgliedsstaaten ab dem 25.05.2018 unmittelbar gültig. Die Mitgliedsstaaten konnten fortan grundsätzlich das Datenschutzniveau nicht durch nationale Regelungen abschwächen oder verstärken, wobei einzelne Konkretisierungsmöglichkeiten bestehen.
Bei aller – zum Teil auch berechtigter – Kritik an der DSGVO ist festzustellen, dass diese einen sehr hohen Datenschutzstandard sicherstellt. Die DSGVO dient heute weltweit als Maßstab für den Datenschutz.
Auskunftsanspruch nach DSGVO
Eines der Kernelemente der DSGVO ist, wie schon nach der bisherigen Rechtslage, ein Auskunftsanspruch. Betroffene Personen haben gem. Art. 15 (DSGVO) das Recht, von einem verantwortlichen Unternehmen Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen. Hierbei verpflichtet Art. 15 DSGVO einen Verantwortlichen, der jeweils betroffenen Person bestimmte Informationen auf Antrag hin zur Verfügung zu stellen. Zu beachten sind auch die maßgeblichen Erwägungsgründe 63 und 64, welche den Art. 15 und die damit verfolgten Ziele erläutern. Die Auskunftsrechte der betroffenen Personen aus Art. 15 DSGVO ergänzen somit die Informationspflichten, die der Verantwortliche gem. Art. 13 und Art. 14 DSGVO zu erfüllen hat.
Sinn und Zweck dieser Auskunftsregelung ist insbesondere die Erleichterung der Geltendmachung weiterer Rechte, z. B. auf Berichtigung, Löschung oder Einschränkung der Verarbeitung von Personenbezogenen Daten.
(Missbräuchliche) Nutzung des Auskunftsanspruchs nach DSGVO
Gesetzlich verankerte Ansprüche geltend zu machen, ist grundsätzlich legitim. In jüngster Zeit wird der Auskunftsanspruch nach DSGVO aber gerade im Bankrecht dazu herangezogen, um Informationen von Banken und Sparkassen zu erlangen, die dann zur Durchsetzung weiterer Ansprüche genutzt werden sollen.
Dies war und ist insbesondere im Zusammenhang mit dem Urteil des BGH vom 27.04.2021 zur Unwirksamkeit des AGB-Änderungsmechanismus über eine Zustimmungsfiktionsklausel zu beobachten.
Hier sind vermehrt Anbieter aktiv geworden und haben im Namen ihrer Kundschaft Kreditinstitute zur Auskunft über vereinnahmte Entgelte der Vergangenheit und – oft im gleichen Atemzug – Auskehrung aufgefordert.
Der geltend gemachte Auskunftsanspruch wurde dabei regelmäßig neben dem meist schon erfüllten Anspruch auf Erteilung von Entgeltinformationen auf Art. 15 DSGVO gestützt.
Wie aufgezeigt dient dieser Anspruch aber nur ganz bestimmten Zwecken.
Wer einen datenschutzrechtlichen Auskunftsanspruch jedoch erkennbar zur Verfolgung zivilrechtlicher Erstattungsansprüche verfolgt, handelt nach mittlerweile gefestigter Rechtsprechung rechtsmissbräuchlich (etwa LG Heidelberg, Urt. v. 21.02.2020 – 4 O 6/19; LG Wuppertal, Urt. v. 29.07.2021 – 4 O 409/20; siehe dazu ausführlich: Suchan, ZD 2021, 198).
PRAXISTIPPS
- Während die Geltendmachung datenschutzrechtlicher Auskunftsansprüche auch von Kreditinstituten als Anspruchsgegner grundsätzlich zu erfüllen ist, gibt es doch Fälle, in denen dies rechtsmissbräuchlich ist und die Erfüllung daher abgelehnt werden kann.
- Wenn von oder für Kunden datenschutzrechtliche Auskunftsansprüche geltend gemacht werden, sollten Kreditinstitute kritisch prüfen, welche Verteidigungsmöglichkeiten ihnen zur Verfügung stehen.
Beitragsnummer: 21848