Was das OLG Frankfurt zur automatisierten Beauskunftung entschieden hat
Die Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO gehört zu den aufwendigsten Aufgaben im Datenschutzmanagement. Besonders Unternehmen mit einer hohen Zahl an Betroffenenanfragen sehen sich häufig mit erheblichem administrativem Aufwand konfrontiert. Digitale Lösungen, die die Beauskunftung automatisieren, erscheinen daher als effiziente Alternative. Ob eine solche automatisierte Auskunft rechtlich zulässig ist, hat das Oberlandesgericht (OLG) Frankfurt am Main in einer aktuellen Entscheidung geklärt.
Hintergrund: Streit um die Auskunft über ein Self-Service-Tool
Im entschiedenen Fall betrieb die Beklagte eine bekannte Social-Media-Plattform („X“, vormals Twitter). Ein Nutzer der Plattform verlangte über seinen Rechtsanwalt Auskunft über sämtliche ihn betreffenden personenbezogenen Daten gemäß Art. 15 DSGVO. Die Betreiberin erteilte eine allgemeine Information zur Datenverarbeitung und verwies im Übrigen auf ein Online-Self-Service-Tool, über das der Nutzer selbst eine Kopie seiner Daten abrufen könne.
Der Kläger sah hierin keine ordnungsgemäße Erfüllung seines Auskunftsanspruchs, da er zur Nutzung eines solchen Tools nicht verpflichtet sei. Er argumentierte, dass eine aktive Handlung seinerseits – das Aufrufen des Portals – nicht dem gesetzlichen Anspruch auf Auskunft durch den Verantwortlichen entspreche. Das OLG Frankfurt hatte daher zu prüfen, ob die Bereitstellung eines Self-Service-Portals als rechtmäßige Form der Auskunftserteilung gelten kann.
Entscheidung des OLG Frankfurt: Digitale Auskunft ist zulässig
Das OLG Frankfurt (Urteil vom 27. September 2023 – 13 U 13/23) bestätigte die Zulässigkeit digitaler Auskunftssysteme und stellte klar, dass die Erfüllung des Auskunftsanspruchs über ein Self-Service-Tool mit Art. 15 DSGVO vereinbar ist. Das Gericht verwies auf Erwägungsgrund 63 DSGVO, der ausdrücklich vorsieht, dass Verantwortliche nach Möglichkeit einen sicheren Fernzugang bereitstellen sollen, über den die Betroffenen ihre personenbezogenen Daten direkt einsehen können.
Entscheidend sei, dass die betroffene Person in angemessener Weise Zugang zu den relevanten Informationen erhält. Eine zusätzliche Einwilligung zur Nutzung des Tools sei nicht erforderlich, solange die Bereitstellung sicher, verständlich und technisch zumutbar erfolge. Da der Kläger ein Nutzerkonto besitze und somit über die technischen Voraussetzungen verfüge, sei die Bereitstellung über das Self-Service-Tool ausreichend.
Bemerkenswert ist die Feststellung des Gerichts, der Kläger sei kein „analoger Eremit“, der keinen Zugang zu digitalen Anwendungen habe – eine pointierte Formulierung, die die Erwartung einer gewissen digitalen Grundkompetenz betont.
Bedeutung für Unternehmen
Die Entscheidung ist richtungsweisend für Unternehmen, die Prozesse zur Wahrnehmung von Betroffenenrechten effizient gestalten möchten. Sie verdeutlicht, dass die DSGVO den Einsatz technischer Lösungen ausdrücklich zulässt, sofern der Grundsatz der Transparenz und der Zugang der betroffenen Person zu ihren Daten gewährleistet bleibt.
Self-Service-Portale können somit ein wirksames Mittel zur Standardisierung und Automatisierung von Datenschutzprozessen sein. Besonders in Unternehmen mit einer hohen Zahl gleichartiger Anfragen kann der Einsatz solcher Systeme Ressourcen sparen, Fehlerquoten senken und die Reaktionszeit deutlich verkürzen.
Gleichwohl sollten Unternehmen sicherstellen, dass ihre Tools sämtliche Anforderungen des Art. 15 Abs. 1 und 3 DSGVO erfüllen, insbesondere die Bereitstellung vollständiger Datenkopien und die Wahrung der Datensicherheit. Zudem sollten alternative Kommunikationswege für Betroffene ohne digitalen Zugang verfügbar bleiben.
Fazit
Das Urteil des OLG Frankfurt liefert eine praxisnahe und fortschrittliche Auslegung der DSGVO: Die automatisierte Bereitstellung von Betroffenenauskünften über Self-Service-Tools ist zulässig, solange Transparenz, Sicherheit und Zugänglichkeit gewährleistet sind. Damit erhalten Unternehmen einen klaren rechtlichen Rahmen für den Einsatz digitaler Lösungen zur Wahrnehmung von Betroffenenrechten – und zugleich einen Impuls, ihre Datenschutzprozesse zu modernisieren.
Anmerkung zur Formulierung „analoger Eremit“
Mit der Formulierung „kein analoger Eremit“ bedient sich das OLG Frankfurt einer bewusst zugespitzten Ausdrucksweise, um den technischen und tatsächlichen Kontext zu verdeutlichen. Der Begriff ist kein juristischer Terminus, sondern eine rhetorische Figur, die den Wandel hin zu einer digital geprägten Rechtswirklichkeit verdeutlicht.
Das Gericht nutzt den Ausdruck, um darauf hinzuweisen, dass Personen, die digitale Dienste aktiv verwenden – etwa durch das Betreiben eines Social-Media-Kontos – nicht gleichzeitig geltend machen können, der digitale Zugang zu ihren Daten sei unzumutbar. Insofern verknüpft die Formulierung das Prinzip der Zumutbarkeit technischer Nutzung mit der tatsächlichen digitalen Teilhabe der betroffenen Person.
Dogmatisch lässt sich diese Sichtweise auf den allgemeinen Grundsatz der Verhältnismäßigkeit und den Erwägungsgrund 63 DSGVO zurückführen, der ausdrücklich digitale Zugangsformen zur Wahrnehmung von Betroffenenrechten fördert. Die Entscheidung des OLG zeigt, dass Gerichte zunehmend bereit sind, den datenschutzrechtlichen Anspruch im Lichte der digitalen Realität auszulegen.
Gleichzeitig bleibt die Bemerkung bemerkenswert, weil sie ein neues Spannungsfeld öffnet: Zwischen der berechtigten Erwartung einer gewissen digitalen Selbstständigkeit und der Pflicht des Verantwortlichen, auch barrierearme Alternativen bereitzuhalten.
Anmerkung: Diesen Ausdruck werde ich nicht mehr aus meinem Kopf verbannen können.
Quellen:
Oberlandesgericht Frankfurt am Main. (2023, 27. September). Urteil 13 U 13/23. juris.
Datenschutz-Grundverordnung (DSGVO). (2016). Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Amtsblatt der Europäischen Union L 119.
Europäische Kommission. (2018). Erwägungsgründe der Datenschutz-Grundverordnung – Erwägungsgrund 63. EUR-Lex.