Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

im Jahr 2019 erreichten die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) insgesamt über 12.500 schriftliche Eingaben. Im Jahr 2018 waren es gerundet 12.000, im Jahr 2017 etwa 4.400 Eingaben. Diese Zahlen hat die Aufsichtsbehörde am 12. Mai 2020 in ihrem 25. Datenschutzbericht für das Jahr 2019 vorgestellt. Von den 12.500 erfassten Eingaben im Jahr 2019 seien 2.235 Meldungen Datenpannen nach Art. 33 DSGVO gewesen. Bei den übrigen Eingaben habe es sich zu etwa 80 Prozent um Beschwerden nach Art. 77 DSGVO und zu etwa 20 Prozent um Beratungsanfragen gehandelt. Die Zahlen zeigen, dass Datenschutzrecht weiterhin an Bedeutung gewinnt und dass das Bewusstsein für den Datenschutz in der Bevölkerung steigt.

Derzeit sorgt die Corona-Pandemie auch hinsichtlich des Schutzes personenbezogener Daten für neue Herausforderungen. Seit Juni 2020 gibt es eine Corona Warn-App, die dabei helfen soll, die Ausbreitung des Coronavirus einzudämmen. Die App haben wir für Sie in datenschutzrechtlicher Hinsicht genauer untersucht und berichten darüber in unserem Schwerpunktthema.

Außerdem berichten wir in gewohnter Weise auch über andere aktuelle Geschehnisse aus dem Datenschutzrecht, zum Beispiel über neue Hinweise der Datenschutzkonferenz zu dem Einsatz von Google Analytics.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Corona-Warn-Apps

Die Corona Warn-App, die vom Robert Koch Institut herausgegeben und von der Deutschen Telekom gemeinsam mit SAP entwickelt wurde, ist mittlerweile mehr als 15 Millionen Mal heruntergeladen und installiert worden. Eine der zentralen Funktionen der App ist die Risiko-Ermittlung, die darauf basiert, dass bewertet wird, in welchem Umfang Kontakt mit Personen bestanden hat, die später positiv auf Covid-19 getestet wurden. Eine sichere Bewertung bietet die Corona Warn-App jedoch nicht, da bei der Risikobewertung unter anderem nur solche Kontaktpersonen berücksichtigt werden, die ebenfalls die App nutzen und dort ihren positiven Befund angeben. Je höher die Verbreitung und Nutzung der App ist, desto aussagekräftiger ist aber natürlich die Risikobewertung der App.

Einige datenschutzrechtliche Aspekte der Nutzung der App in Unternehmen haben wir genauer untersucht und fassen unsere Einschätzung im Folgenden für Sie zusammen.

Zum vollständigen Schwerpunktthema

BfDI: Positionspapier zur Anonymisierung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat am 29. Juni 2020 ein Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche veröffentlicht.

Anonymisierung wird von dem BfDI definiert als ein Vorgang, der darauf gerichtet ist, den Personenbezug von Daten aufzuheben. Es solle mit dem Einsatz von Anonymisierungstechniken also erreicht werden, dass die betroffene Person nicht mehr identifiziert werden könne.

In Fällen, in denen eine Analyse von abstrakten Datensätzen ohne Personenbezug ausreichend sei, gebiete der Grundsatz der Datenminimierung, Daten nur in anonymisierter Form zu verarbeiten. Die Anonymisierung könne auch als ein Mittel angesehen werden, im Einzelfall eine Verarbeitung von Daten gar erst zu ermöglichen, wenn die Verarbeitung bei bestehendem Personenbezug datenschutzrechtlich unzulässig wäre. Eine Verpflichtung zur unverzüglichen Löschung sei außerdem durch eine Anonymisierung erfüllbar.

Der BfDI äußert sich in seinem Positionspapier dazu, ab wann eine Anonymisierung als hinreichend angesehen werden kann. Ausreichend sei es in der Regel, wenn eine Re-Identifizierung praktisch nicht durchführbar sei, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden könne. Verantwortliche dürften allerdings nicht vorschnell von einer hinreichenden Anonymisierung ausgehen.

Damit Daten ihren Personenbezug verlieren, müssten sie in der Regel im Sinne des Art. 4 Nr. 2 Var. 7 bzw. Var. 10 DSGVO verändert oder verwendet werden. Die Anonymisierung stelle aus diesem Grund eine Datenverarbeitung dar und bedürfe als solche einer Rechtsgrundlage. Je nach Kontext und Zweck der Anonymisierung kämen mehrere Rechtsgrundlagen in Betracht, im Bereich der DSGVO insbesondere der Tatbestand der kompatiblen Weiterverarbeitung (Art. 6 Abs. 4 DSGVO i.V.m. der ursprünglichen Rechtsgrundlage) und die Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 S. 1 lit. c) DSGVO.

In dem Positionspapier wird außerdem darauf hingewiesen, dass vor einer Anonymisierung in der Regel eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies sei durch das in der Regel hohe Risiko für die Rechte und Freiheiten natürlicher Personen begründet, weil bei der Anonymisierung regelmäßig Daten in großem Umfang verarbeitet und neue Technologien genutzt würden. Bei der Anonymisierung soll es sich schließlich um eine komplexe Aufgabe des Verantwortlichen handeln, die viele Fehlerquellen berge. In Einzelfällen mag diese Bewertung zutreffend sein, verallgemeinern lässt sich die Einschätzung in der Form aber nicht.

Unternehmen sollten bei der Anonymisierung von Daten die Hinweise des Bundesdatenschutzbeauftragten beachten. Es ist außerdem sicherzustellen, dass betroffene Personen transparent über die Anonymisierung, insbesondere über deren Zwecke und die Rechtsgrundlage, informiert werden.

Hinweise der DSK zum Einsatz von Google Analytics

Die Datenschutzkonferenz („DSK“), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, hat in einem Beschluss Hinweise für den Einsatz von Google Analytics im nicht-öffentlichen Bereich herausgegeben. Nach eigenen Angaben hat die DSK den Einsatz von Google Analytics vor dem Hintergrund des Rechtsrahmens unter Geltung der DSGVO neu bewertet. In ihrem Beschluss beschreibt die DSK die datenschutzrechtlichen Mindestanforderungen für den Einsatz von Google Analytics, die von Seitenbetreibern zwingend eingehalten werden müssen.

Zunächst wird herausgestellt, dass bei dem Einsatz von Google Analytics immer personenbezogene Daten der Nutzer verarbeitet werden. Es handele sich bei Google und dem Google-Analytics-Anwender zudem um gemeinsam für die Datenverarbeitung Verantwortliche, da der Anwender nicht allein über die Zwecke und Mittel der Datenverarbeitung entscheide, sondern diese teilweise ausschließlich von Google vorgegeben würden. Es seien folglich die Anforderungen des Art. 26 DSGVO zu beachten.

Hinsichtlich der Rechtsgrundlage führt die DSK aus, dass der Einsatz von Google Analytics in der Regel nicht auf eine Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden könne, da die Interessen des Nutzers regelmäßig die Interessen des Website-Betreibers überwiegen würden. Ein rechtmäßiger Einsatz von Google Analytics sei in der Regel nur aufgrund einer wirksamen Einwilligung des Nutzers möglich. Diese Auffassung deckt sich mit der Auffassung des Europäischen Gerichtshofs (vgl. EuGH, Entscheidung vom 01.10.2019, Az. C‑673/17), nach der für den Einsatz von Werbe- und Trackingcookies die Einholung aktiver Einwilligungen der Nutzer erforderlich ist. Dieser Auffassung hat sich der Bundesgerichtshof kürzlich in einem Urteil (BGH, Urt. v. 28.05.2020, Az.: I ZR 7/16) angeschlossen (wir berichteten).

Sodann zählt die DSK verschiedene Maßnahmen auf, die bei der Verwendung von Google Analytics umgesetzt werden sollen. Der Websitebetreiber müsse etwa sicherstellen, dass die Einwilligung die konkrete Datenverarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasse. Es müsse außerdem deutlich darüber informiert werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolge und die Daten nicht anonym seien. Außerdem sei zu beschreiben, für welchen Zweck Google Analytics verwendet werde und welche Daten verarbeitet würden. Es solle zudem deutlich gemacht werden, dass die Nutzungsdaten von Google LLC verarbeitet und in den USA gespeichert werden und sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben. Die Nutzer müssen nach Auffassung der DSK auch darüber informiert werden, dass Google die Daten zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie sie mit anderen Daten des Nutzers, die Google zu diesem Nutzer vorliegen, verknüpft.

Um die Anforderungen an eine wirksame Einwilligung umzusetzen, werden weitere Gestaltungshinweise gegeben. Es solle etwa eine klare, nicht irreführende Überschrift gewählt und der Zugriff auf die Datenschutzerklärung und das Impressum nicht beschränkt sein. Die Einwilligung müsse außerdem aktiv und freiwillig erteilt werden. Darüber hinaus müsse es einen einfachen und immer zugänglichen Mechanismus zum Widerruf einer einmal erteilten Einwilligung geben. Das von Google zur Verfügung gestellte Browser-Add-On zur Deaktivierung von Google Analytics stelle keine hinreichende Widerrufsmöglichkeit dar, da dadurch der Widerruf nicht so einfach wie die Erteilung der Einwilligung gestaltet sei und der Nutzer zum Herunterladen von weiteren Programmen gezwungen werde.

Als zusätzliche Maßnahme zum Schutz der Nutzer solle der Anwender von Google Analytics durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen, indem auf jeder Internetseite mit einer Google Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ ergänzt wird. Diese Maßnahme führe jedoch nicht zu einer vollständigen Anonymisierung, da neben der IP-Adresse weitere personenbezogene Daten erhoben würden.

Die Stellungnahmen der DSK haben zwar keinen verbindlichen Rechtscharakter, geben aber Hinweise dazu, wie die Aufsichtsbehörden einzelne Regelungen der DSGVO auslegen werden. Angesichts der Hinweise ist Anwendern von Google Analytics zu empfehlen, die eigene Umsetzung in datenschutzrechtlicher Hinsicht zu überprüfen und sie zumindest an die Anforderungen der DSK anzupassen. Insbesondere sollte auf die Einholung von aktiven und freiwilligen Einwilligungen der Nutzer geachtet werden, wobei die Nutzer transparent über die Datenverarbeitung zu informieren sind.

Tätigkeitsbericht des LDI NRW

In dem Datenschutzbericht für das Jahr 2019 berichtet die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW über ihre Tätigkeit und Entwicklungen zu Fragen des Datenschutzes. Anhand der Datenschutzberichte lässt sich relativ gut die Position der Aufsichtsbehörden zu den aktuellen Themen ablesen und erkennen, welche Themen besonders im Fokus der Aufsichtsbehörden stehen.

Ein Thema des Berichts ist die Prüfung des Beschäftigtendatenschutzes bei Leiharbeitsunternehmen und Personalvermittlern. Die Datenschutzbeauftragte berichtet, dass sie im Jahr 2019 eine Initiativprüfung im Bereich Beschäftigtendatenschutz bei Personaldienstleistern und Leiharbeitsunternehmen vorbereitet und Anfang 2020 in die Wege geleitet habe.

Die Überprüfung von Zeitarbeitsunternehmen ist auch uns bereits zu Beginn des Jahres bekannt geworden, weshalb wir in unserem Newsletter im April 2020 über das Thema berichteten. Personaldienstleistern und Zeitarbeitsunternehmen ist angesichts der Aktivitäten der Aufsichtsbehörde zu raten, ihre Datenverarbeitungsprozesse kritisch zu überprüfen und angemessene Maßnahmen zum Schutz von personenbezogenen Daten zu treffen.

LfDI Baden-Württemberg: Zoom reagiert auf Hinweise des Datenschutzbeauftragten

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), Dr. Stefan Brink, hatte im April 2020 anlässlich eines Datensicherheitsvorfalls an einer Freiburger Schule vor der Nutzung des Videokonferenzdienstes Zoom im Schulunterricht gewarnt. In einer Pressemitteilung vom 24.06.2020 berichtet er nun über eine positive Reaktion von Zoom.

Zwischen dem LfDI und Zoom habe es intensive Gespräche zu den Sicherheitslücken, für welche Zoom bereits in der Vergangenheit in der Kritik stand, sowie zu weiteren Themen wie dem Tracking und der Nutzerfreundlichkeit gegeben. Im Verlauf der Gespräche habe Zoom deutlich den Willen zur Verbesserung des Dienstes gezeigt und nun auch tatsächlich nachgebessert.

Zoom habe gegenüber dem LfDI eine Änderung bei dem Umgang mit Datensicherheitsfragen glaubhaft machen können und dies durch mehrere zwischenzeitlich durchgeführte Updates zu der Version Zoom 5.0 belegt. Teil davon seien Verbesserungen bei nutzer- und datenschutzfreundlichen Voreinstellungen („Privacy by Default“), indem etwa die Einrichtung eines Warteraums sowie eine passwortgeschützte Einwahl mittlerweile voreingestellt seien. Außerdem werde eine Verwendung der Nutzerdaten zu wirtschaftlichen Zwecken von Zoom jetzt ausdrücklich ausgeschlossen. Es sei zudem angekündigt worden, die Video-Kommunikation zukünftig zumindest in der kostenpflichtigen Version für Geschäftskunden Ende-zu-Ende zu verschlüsseln. Zoom als Unternehmen ohne Niederlassung in Europa habe nun außerdem einem Vertreter in der EU benannt, was für die Erreichbarkeit des Unternehmens und die Durchsetzung von Betroffenenrechten wichtig sei. Aus der Sicht des LfDI sei allerdings noch zu klären, inwieweit Daten zu unternehmenseigenen Zwecken verwendet werden.

Die Aufsichtsbehörde bezeichnet die Maßnahmen als „guten Weg, den Zoom hier eingeschlagen hat“ und nimmt die Fortschritte nach eigenen Angaben positiv zur Kenntnis, weshalb kein Anlass mehr bestehe, seine an die Schulen in Baden-Württemberg ausgesprochene Warnung länger aufrechtzuerhalten. Inwieweit die Verbesserung des Datenschutzniveaus bei Zoom wirklich auf die Tätigkeit der Aufsichtsbehörde zurückgeführt werden können oder ohnehin bereits geplant waren, mag dahinstehen; jedenfalls hat sich damit die Bewertung von Zoom durch die Maßnahmen deutlich verbessert. Die Aufsichtsbehörde weist in dem Kontext aber auch darauf hin, dass aus ihrer Sicht nahezu alle Videokonferenzsysteme im Datenschutz noch Nachbesserungsbedarf aufweisen. Uneingeschränkt empfohlen werden könne bisher nur BigBlueButton, da bei diesem Dienst alle Daten der Lehrer und Schüler unter der Kontrolle von Landeseinrichtungen bleiben und nicht an Drittunternehmen oder Dienstleister außerhalb des Geltungsbereichs europäischen Datenschutzrechts übermittelt würden.

Berliner Datenschutzbeauftragte: Kurzprüfung von Videokonferenzdiensten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter auf ihrer Internetseite veröffentlicht. Die Kurzprüfung der Dienste hat die Berliner Datenschutzbeauftragte nach eigenen Angaben vorgenommen, um den für Datenverarbeitungstätigkeiten verantwortlichen Stellen in Berlin angesichts der Corona-Pandemie die Prüfung der Rechtmäßigkeit der Nutzung verschiedener Lösungen zu erleichtern.

Geprüft wurden die Auftragsverarbeitungsverträge, die die Verantwortlichen mit den Videokonferenz-Dienstanbietern standardmäßig schließen. Soweit die Auftragsverarbeitungsverträge von der Behörde als rechtskonform angesehen wurden, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste. Die Bewertung wurde mithilfe eines Ampelsystems vorgenommen, bei dem die Anbieter abhängig von dem Vorhandensein von Mängeln in drei Kategorien eingeteilt wurden.

Unternehmen, die Videokonferenzdienste nutzen möchten, kann die Prüfung der Berliner Datenschutzbeauftragten als Orientierung bei der Bewertung und Auswahl der verschiedenen Tools dienen.

LfDI Baden-Württemberg: 1.240.000 Euro Bußgeld gegen die AOK

Das LfDI Baden-Württemberg hat mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1.240.000 Euro wegen eines Verstoßes gegen die Pflichten zur Sicherheit der Datenverarbeitung nach Art. 32 DSGVO verhängt. Hierüber berichtet die Pressestelle des LfDI auf dessen Internetseite.

Bei verschiedenen Gewinnspielen in den Jahren 2015 bis 2019, die von der AOK Baden-Württemberg veranstaltet wurden, habe die AOK personenbezogene Daten der Teilnehmer, etwa deren Kontaktdaten und Krankenkassenzugehörigkeit, erhoben. Nach Angaben des LfDI wollte die AOK diese Daten mit entsprechenden Einwilligungen der Teilnehmer auch zu Werbezwecken nutzen. Dabei sollte durch technische und organisatorische Maßnahmen sichergestellt werden, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam darin eingewilligt hatten. Die von der AOK zu diesem Zweck festgelegten technischen und organisatorischen Maßnahmen hätten nach Auffassung der Aufsichtsbehörde jedoch nicht den gesetzlichen Anforderungen genügt, weshalb in der Folge die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet worden seien.

Unmittelbar nach Bekanntwerden des Vorwurfs habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt. Zudem sei eine Arbeitsgruppe für Datenschutz im Vertrieb des Unternehmens gegründet worden. Die AOK habe auch die Einwilligungserklärungen und die internen Prozesse und Kontrollstrukturen angepasst. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Die konstruktive Zusammenarbeit der AOK mit dem LfDI habe sich nach Angaben der Behörde innerhalb des Bußgeldrahmens nach Art. 83 Abs. 4 DSGVO zu Gunsten der AOK ausgewirkt. Bei der Bemessung des Bußgeldes habe die Aufsichtsbehörde neben der Größe und Bedeutung der AOK Baden-Württemberg auch berücksichtigt, dass sie als gesetzliche Krankenversicherung ein Bestandteil des Gesundheitssystems ist. Bei der Bestimmung einer verhältnismäßigen Bußgeldhöhe sei sicherzustellen, dass die Erfüllung der gesetzlichen Aufgabe der AOK, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern, nicht gefährdet werde. Hierbei seien auch die gegenwärtigen Herausforderungen für die AOK infolge der Corona-Pandemie in besonderem Maße berücksichtigt worden.

Unternehmen ist zu empfehlen, angemessene technische und organisatorische Maßnahmen zur Datensicherheit zu treffen und diese regelmäßig zu überprüfen, um dauerhaft ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Der Fall zeigt außerdem, dass sich eine kooperative Zusammenarbeit mit der Aufsichtsbehörde positiv auf etwaige Bußgelder auswirken kann.

Landesgericht für Zivilrechtssachen Wien: 500 Euro Schadensersatz wegen mangelnder Auskunftserteilung

Das Landesgericht für Zivilrechtssachen Wien hat entschieden, dass die Facebook Ireland Limited dem österreichischen Datenschutzaktivisten Max Schrems einen Schadensersatz in Höhe von 500 Euro zahlen muss, weil sie ihren Auskunftspflichten aus der DSGVO nicht nachgekommen ist (Az. 3 Cg 52/14k – 91). Außerdem wird das Unternehmen dazu verpflichtet, dem Kläger innerhalb von 14 Tagen kostenlos und vollständig Auskunft über alle von ihm verarbeiteten personenbezogenen Daten zu geben.

Der Kläger Max Schrems hatte im Jahr 2011 ein erstes Auskunftsbegehren an Facebook gestellt und daraufhin eine PDF-Datei mit einem Umfang von 18 Seiten sowie eine CD mit einer weiteren PDF-Datei im Umfang von 1.222 Seiten erhalten. Anschließend hat er wiederholt neuerliche Auskunft begehrt, erhielt aber keine weiteren Daten, sondern wurde von Facebook auf dessen Auskunft- und Download-Tools verwiesen. In diesen Tools stellt das Unternehmen allerdings nur die verarbeiteten Daten zur Verfügung, die es für relevant und interessant für den Nutzer hält.

Aus Art. 15 DSGVO ergibt sich nach Auffassung des Gerichts die Verpflichtung, in angemessenen Abständen über sämtliche personenbezogene Daten, die Gegenstand der Verarbeitung sind, Auskunft zu erteilen und nicht nur über die, die die Beklagte für den Nutzer für relevant und interessant hält. Gegen diese Pflicht habe Facebook verstoßen. Dadurch habe der Kläger keinen Überblick über sämtliche über ihn gespeicherten Daten und könne etwa sein Recht auf Berichtigung der Daten nicht ausüben.

Abgesehen von der unvollständig erteilten Auskunft stellte das Gericht keine rechtswidrigen Datenverarbeitungsvorgänge, für die Facebook verantwortlich sei, fest. Der Beklagte habe trotz der ihm bekannten Nutzungsbedingungen einen Vertrag mit Facebook abgeschlossen, sodass Facebook die Daten dementsprechend so lange verarbeiten dürfe, bis er sein Konto lösche. Max Schrems kündigte an, Berufung gegen das Urteil einzulegen.

LAG Nürnberg zu dem Streitwert eines Auskunftsanspruchs

Das Landesarbeitsgericht Nürnberg (LAG Nürnberg) hat entschieden, dass der Streitwert für Auskunftsansprüche nach Art. 15 DSGVO grundsätzlich bei 500 Euro liegt, sofern nicht besondere Umstände hinzutreten (LAG Nürnberg, Beschl. v. 28.05.2020 - Az.: 2 Ta 76/20).

Die Klägerin machte gegen ihren Arbeitgeber einen datenschutzrechtlichen Auskunftsanspruch geltend. Für diesen legte das LAG Nürnberg einen Streitwert von 500 Euro fest. Es schloss sich damit der Auffassung des LAG Düsseldorf an, das in der Vergangenheit einen Gegenstandswert von 500 Euro ebenfalls für angemessen gehalten hat (LAG Düsseldorf, Beschluss vom 16.12.2019 – Az. 4 Ta 413/19).

Zur Begründung führte das Gericht aus, es sei in dem vorliegenden Fall nicht erkennbar, dass das Persönlichkeitsrecht der Betroffenen „in einer Weise berührt wäre, die über den schlichten, massenhaft gewährten Auskunftsanspruch hinausginge, der ein allgemeines Informationsinteresse befriedigen soll“. Da es sich um einen einfachen, in der Sache nicht streitigen und nicht schwierig zu beurteilenden Streitpunkt handele, ergebe sich auch aus der Schwierigkeit und dem Umfang der Rechtssache kein Grund für eine höhere Wertfestsetzung. Bei seiner Beurteilung berücksichtigte das Gericht außerdem die wirtschaftlichen Auswirkungen des Begehrens und den auf Seiten des Beklagten zu tätigenden Aufwand, der mit Blick auf die durchgängig vorhandene EDV-Technik als ausgesprochen geringfügig eingeschätzt wurde.