Tyskland: Domstol nekar registrerad skadestånd för överträdelse av artikel 15 GDPR

Domstolen Amtsgericht Pankow (AG Pankow) anser att en personuppgiftsansvarig kan vägra att besvara en begäran om tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen (GDPR) om den ansträngning som krävs för att uppfylla begäran är oproportionerlig i förhållande till den registrerades intresse av att få tillgång till uppgifterna.

Av domen framgår bland annat följande. Den personuppgiftsansvarige är ett järnvägsföretag. Företaget har installerat videokameror i vissa av sina tåg som är aktiva under tågens gång. Inspelningarna raderas automatiskt efter 48 timmar. Den registrerade gick ombord på ett av dessa tåg den 27 april 2021. Genom ett e-postmeddelande samma dag begärde den registrerade att företaget skulle överlämna videoinspelningarna och för detta ändamål inte radera dem. Företaget raderade dock uppgifterna inom gallringsfristen på 48 timmar och vägrade därför att ge den registrerade den begärda informationen. Som en följd av detta väckte den registrerade talan vid distriktsdomstolen i Pankow (Amtsgericht Pankow) och begärde ett skadestånd på 350 euro i enlighet med artikel 82 GDPR.

Domstolen avslog den registrerades krav. Enligt domstolen har företaget inte brutit mot artikel 15.1 GDPR då företagets vägran att besvara den registrerades begäran om tillgång var berättigad enligt § 275.2 i BGB (tysk civillag), enligt vilken en gäldenär kan vägra att fullgöra sina skyldigheter i den mån detta kräver en ansträngning som, med hänsyn till parternas rättsförhållande och kraven på god tro, är grovt oproportionerlig i förhållande till borgenärens intresse av att fullgöra sina skyldigheter. Domstolen drog slutsatsen att eftersom den registrerade redan var medveten om behandlingen, dess omständigheter och innehåll, var syftet med artikel 15 GDPR redan till stor del uppfylld. Vidare ansåg domstolen att det på grund av den korta lagringstiden på 48 timmar inte var uppenbart att den registrerade skulle förlora kontrollen över sina personuppgifter.

Den registrerade hade också begärt en begränsning av behandlingen enligt artikel 18.1 (c) GDPR för att förhindra att företaget raderar materialet medan begäran om tillgång behandlades. På denna punkt konstaterade domstolen att ett förhindrande av automatisk radering och filtrering av den registrerades inspelning skulle ha tagit mycket tid, kostnader och arbetskraft i anspråk för företaget, särskilt eftersom företaget inte hade någon programvara för ansiktsigenkänning. Domstolen fann därför inte heller att det skett någon överträdelse av artikel 18.1 (c) GDPR. Domstolen ansåg också att artikel 18.1 (c) GDPR kräver en avvägning av parternas intressen, medan särskilt sannolikheten för en rättstvist, vikten av de berörda kraven och den registrerades intressen måste beaktas.

Domstolens dom står i strid med EDPB:s riktlinjer 3/2019 om behandling av personuppgifter genom videoenheter och EDPB:s riktlinjer 1/2022 om den registrerades rättigheter – Rätt till tillgång. Även Berlins dataskyddsmyndighet har fattat ett motsatt beslut avseende ett klagomål från den registrerade i ett relaterat förfarande (521.13880.20, ej offentliggjort).

Du kan läsa domen (4 C 199/21), endast tillgänglig på tyska, här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.