Inhalt und Umfang des Auskunftsanspruch

Mit Einführung der DSGVO wurde auch der Datenauskunftsanspruch als Teil der umfassenden Transparenz- und Informationspflichten implementiert. Der Anspruch umfasst zum einen den „allgemeinen“ Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO und zum anderen gem. Abs. 3 den Anspruch auf Herausgabe einer „Kopie“ der gesicherten Daten. Die Auskunft ist nur auf Antrag zu erteilen. Zur Bearbeitung läuft eine Frist von einem Monat; in besonderen Fällen kann die Frist um weitere 2 Monate verlängert werden. Die Erledigung sollte zu Nachweiszwecken – ggf. gegenüber der Behörde – dokumentiert werden.

Um den allgemeinen Auskunftsanspruch adäquat erfüllen zu können, legt die DSGVO den Umfang genau fest:

  • Verarbeitungszwecke
  • Kategorie personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern
  • Dauer der geplanten Speicherung
  • Bestehen eines Rechts auf Berichtigung oder Löschung der Daten
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • ggf. Informationen über die Herkunft der Daten
  • ggf. Informationen über die Drittlandsübermittlung
  • Kopie der personenbezogenen Daten

Derzeit herrscht allerdings Uneinigkeit darüber, ob es sich bei dem allgemeinen Auskunftsanspruch und dem Anspruch auf Herausgabe einer Datenkopie um einen einheitlichen Anspruch oder zwei getrennte Ansprüche handelt. Dies ist relevant für die Frage, in welchem Umfang ein Auskunftsersuchen beantwortet werden muss, sofern nicht beide Ansprüche in der Anfrage explizit genannt werden.

Nach der derzeit herrschenden Meinung sind der „allgemeine“ Auskunftsanspruch und der Anspruch auf Herausgabe einer Datenkopie getrennte Ansprüche. Der Europäische Datenschutzausschuss hat allerdings im Januar 2022 einen Leitfaden zum Datenauskunftsanspruch veröffentlicht, in dem der Auskunftsanspruch und der Kopie-Herausgabeanspruch als eine „Einheit“ angesehen wird. Die Neuerung hat zur Konsequenz, dass es zu einem erheblichen Aufwand führen würde. Sobald ein Auskunftsanspruch geltend gemacht wird, muss folglich immer auch gleich alles in Kopie mitgesandt werden, was an personenbezogenen Daten von dem Betroffenen vorliegt. Wir empfehlen derzeit, erst einmal die Entwicklung abzuwarten und bis dahin nicht sofort alles in Kopie direkt mitzusenden.

Besteht die Möglichkeit, ein Auskunftsersuchen abzulehnen?

Es besteht die Möglichkeit, ein Auskunftsersuchen in den folgenden Fällen abzulehnen:

  • Fehlender Identitätsnachweis des Antragsstellers
  • Offenkundig unbegründete Anträge
  • Exzessive Anträge (häufige Wiederholung/Rechtsmissbrauch)
  • Beeinträchtigung von Rechten Dritter
  • Unverhältnismäßiger Aufwand

Möchte man im Falle exzessiver Anträge die Auskunft dennoch erteilen, besteht die Möglichkeit diese nur gegen ein angemessenes Entgelt anzubieten.

Welche Risiken bestehen bei der Auskunftserteilung?

Bei der Auskunftserteilung besteht das Risiko, den falschen Empfänger zu wählen, der Kenntniserlangung eines unbefugten Dritte, ggf. auch, die Rechte Dritter zu verletzen oder bei der Auskunft Geschäftsgeheimnisse zu offenbaren. Die Auskunftserteilung sollte möglichst nur das beinhalten, was die DSGVO (siehe oben) fordert. Eine Einzelfallabwägung, was mitgeteilt wird, damit keine Geschäftsgeheimnisse etc. herausgegeben werden, ist in jedem Fall ratsam. Fragen Sie lieber noch einmal nach, ob Ihr Antwortschreiben ggf. sensible Daten enthält, die nicht ohne Weiteres an den Auskunftsersuchenden herausgegeben werden dürfen.

Welche Folgen können bei Verstößen gegen die Verpflichtung zur Auskunftserteilung entstehen?

Wenn das Auskunftsersuchen nicht oder nicht vollständig erfüllt wird, hat der Betroffene die Möglichkeit, die Auskunftserteilung klageweise durchzusetzen und Schadensersatz zu verlangen. Darüber hinaus kann eine Beschwerde bei der Datenschutzaufsichtsbehörde eingereicht werden. Die Nichterteilung der Auskunft ist bußgeldbewehrt.

Sie haben eine Anfrage erhalten, und nun?

Ignorieren Sie auf keinen Fall die Anfrage, bis die Frist abgelaufen ist. Bearbeiten Sie diese vielmehr schnellstmöglich, um die Frist einhalten zu können. Es ist erforderlich, die Zuständigkeit für die Bearbeitung in Ihrem Unternehmens und vor der Bearbeitung die Identität des Antragsstellers zu klären. Letzteres kann im Zweifel einige Zeit beanspruchen. Ist die Identität geklärt, sollten Sie ein Antwortschreiben vorbereiten und dieses im Zweifel von der Geschäftsleitung oder einem ebenfalls mit der Beantwortung von Auskunftsersuchen beauftragten Kollegen gegenlesen lassen. Sind Sie sich mit der Beantwortung sicher, kontrollieren Sie noch einmal die Angaben des Empfängers und schicken Ihr Antwortschreiben raus.

Die Mitarbeiter sollten hinsichtlich des richtigen Umgangs mit Auskunftsbegehren bzw. Betroffenenanfragen regelmäßig geschult werden. Bei einem hohem Anfragevolumen empfiehlt es sich, den Bearbeitungsprozess und die Antwortschreiben zu standardisieren, sodass immer der gleiche Umfang an Daten herausgegeben wird. Bei einer Ablehnung von Auskunftsersuchen ist auf den ggf. vorliegenden Rechtsmissbrauch und die ggf. entstehenden Kosten hinzuweisen.

Fazit:

Abschließend lässt sich somit der Umgang mit Datenauskünften wie folgt zusammenzufassen:

  • Der Auskunftsanspruch ist nach der aktuellen höchstrichterlichen Rechtsprechung denkbar weit
  • Auskunftsersuchen müssen grundsätzlich erfüllt werden à möglicher Grundsatz: so wenig wie möglich, aber so viel wie nötig
  • Rechtsmissbräuchliche Auskunftsanfragen können zurückgewiesen oder ggf. mit Hinweis auf Kosten vermieden werden à „zu viel Aufwand“ ist kein Grund für eine Ablehnung
  • Kopien von Daten müssen nur nach ausdrücklicher Aufforderung übermittelt werden à zu beachten sind dabei Rechte Dritter bzw. Geschäftsgeheimnisse
    à halten Sie unbedingt die aktuelle Entwicklung im Blick
  • Bei häufigen Auskunftsersuchen sollte ein standardisierter Auskunftsprozess eingerichtet werden

Haben Sie Rückfragen zum Umfang des Datenauskunftsanspruchs oder benötigen Sie Hilfe bei der Beantwortung eines Auskunftsbegehrens? Sprechen Sie uns gerne an!

– Dr. Thomas Riemann –