Auskunftsverlangen, die sich auf interne Korrespondenz und Vermerke des Versicherers beziehen, sind keine Ausnahme. Insbesondere in der D&O-Versicherung verfolgen die Beteiligten damit das Ziel, nähere Informationen über Stand und Ergebnis der Anspruchsprüfung oder Zugriff auf verteidigungsrelevanten Unterlagen zu erhalten – oder den Druck auf den Versicherer zu erhöhen und eine Schadensregulierung zu bewirken. Seit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) greifen die Beteiligten vermehrt auf datenschutzrechtliche Auskunftsansprüche zurück, um Einblick in Schadensakten zu erhalten. Ein Anspruch auf Herausgabe interner Dokumente lässt sich daraus jedoch nicht ableiten.
Ziel des Auskunftsrechts nach Artikel 15 Absatz 1 DS-GVO ist es, der betroffenen Person Transparenz hinsichtlich des Ob und Wie der Verarbeitung ihrer personenbezogenen Daten zu verschaffen. Der Anspruch auf Auskunft bezieht sich ausschließlich auf personenbezogene Daten im Sinne von Artikel 4 Nr. 1 DS-GVO. Zwar ist der Begriff der personenbezogenen Daten grundsätzlich weit auszulegen, doch darf er nicht grenzenlos verstanden werden.
Vielmehr ist im Einzelfall zu prüfen, ob es sich tatsächlich um personenbezogene Daten handelt. Reine Rechtsanalysen oder internen Kalkulationsdaten fallen nicht darunter. Sie stehen in keinem Zusammenhang mit dem Zweck des Auskunftsrechts, nämlich der betroffenen Person die Datenverarbeitung personenbezogenen Daten bewusst zu machen und so eine Überprüfung zu ermöglichen.
Bezieht sich ein Auskunftsverlangen nicht auf personenbezogene Daten, kann es abgelehnt werden. Bei besonders umfangreichen Anfragen ist der Versicherer berechtigt, zunächst eine allgemeine Auskunft zu erteilen und den Anspruchssteller zur Konkretisierung seines Begehrens aufzufordern. Der Auskunftsanspruch nach Artikel 15 Absatz 1 DS-GVO gilt nicht uneingeschränkt. Versicherer dürfen die Auskunft verweigern, wenn das Begehren offensichtlich unbegründeten oder exzessiven ist (vgl. Paragraf 12 Absatz 5 DS-GVO) – etwa bei schikanöser Geltendmachung oder mehrfach identischen Anfragen.
Darüber hinaus können berechtigte Geheimhaltungsinteressen eine Verweigerung rechtfertigen (vgl. Paragraf 15 Absatz 4 DS-GVO, Paragraf 29 BDSG). Dies betrifft insbesondere den Schutz von Geschäftsgeheimnissen, strategische Überlegungen im Rahmen laufender Verfahren oder vertrauliche anwaltliche Korrespondenz. Auch ein unverhältnismäßiger Aufwand (Paragraf 34 BDSG) kann die Auskunftspflicht einschränken – etwa bei archivierten Akten oder Sicherungskopien.
Im Rahmen datenschutzrechtlicher Auskunftsbegehren wird häufig die Vorlage von Dokumentenkopien oder ganzer Vertragsakten verlangt. Der Europäische Gerichtshof (EuGH) stellt jedoch klar: Artikel 15 Absatz 3 DS-GVO regelt ausschließlich die Modalitäten der Auskunft. Kopien sind nur dann herauszugeben, wenn sie zur Verständlichkeit der personenbezogenen Daten zwingend erforderlich sind – was in der Praxis meist nicht der Fall ist. Inhalte, die nicht unter die personenbezogenen Daten fallen – insbesondere rechtliche Einschätzungen des Versicherers – dürfen geschwärzt werden.
Zwar kann die Herausgabe vollständiger Akten den Bearbeitungsaufwand reduzieren, sie birgt jedoch erhebliche Risiken, etwa die unbeabsichtigte Offenlegung nicht relevanter Informationen. Daher hat sich in der Praxis bewährt, personenbezogene Daten aus der Schadensakte strukturiert – beispielsweise in Form von Tabellen oder Aktenspiegeln – zur Verfügung zu stellen.
Artikel 15 DS-GVO beschränkt sich auf die Auskunft über personenbezogene Daten. Über diesen Auskunftsanspruch können daher weder Informationen zum Stand oder Ergebnis der Anspruchsprüfung noch sonstige Inhalte eingefordert werden, von denen sich der Anspruchssteller persönliche Vorteile verspricht. Wird ein Versicherer mit einem datenschutzrechtlichen Auskunftsverlangen konfrontiert, hat er sorgfältig zu prüfen, ob und in welchem Umfang personenbezogenen Daten betroffen sind und in welcher Form Auskunft zu erteilen ist. Eine weitergehende Offenlegung – etwa über interne Vorgänge und Bewertungen – ist durch Artikel 15 DS-GVO nicht gedeckt und daher nicht geschuldet.
Dr. Florian Weichselgärtner
Dieser Beitrag ist erstmals am 25. August 2025 im Versicherungsmonitor erschienen. Hier gelangen Sie zum Originalbeitrag.
