(GS) Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden. Zudem kann gemäß Art. 15 Abs. 3 DS-GVO eine Kopie der betreffenden Daten angefordert werden. Neben dem Recht auf Löschung nach Art. 17 DS-GVO ist das Recht auf Auskunft das zentrale und in der Praxis relevanteste Betroffenenrecht der DS-GVO. Die Erfüllung eines Auskunftsersuchens stellt Verantwortliche regelmäßig vor Probleme, da die Bearbeitung umfangreich und komplex sein kann. Häufige Fehler bei der Auskunft nach Art. 15 DS-GVO sind z.B., dass die Auskunftsbegehren ignoriert oder zu spät bearbeitet werden, die Antwort nicht alle gesetzlich geforderten Angaben und Daten enthält oder die Antwort nicht rechtzeitig erfolgt. Um diese typischen Fehler zu vermeiden und eine zügige sowie vollständige Antwort zu gewährleisten, müssen Verantwortliche entsprechende Prozesse in ihrer Organisation etablieren. Der Prozess sollte die Information des Datenschutzbeauftragten, benötigte Dokumentenvorlagen und weitere klare Zuständigkeiten umfassen.

Eingang des Auskunftsbegehrens

Grundsätzlich kann ein Antrag auf Auskunft den Verantwortlichen über jeden angebotenen Kommunikationskanal erreichen. Das bedeutet, dass derlei Begehren bei allen Mitarbeitenden mit Außenkontakt eingehen könnten. Somit sollten die Mitarbeitenden bezüglich „Datenschutzanfragen“ sensibilisiert und ihnen die Prozesse (Weiterleitung an die zuständige Stelle in der Organisation) bekannt gemacht werden. Dies ist von besonderer Wichtigkeit, da mit Eingang des Antrags auch die Frist von einem Monat zur Beantwortung zu laufen beginnt.

Bearbeitung

Der erste Schritt der konkreten Bearbeitung der Anfrage sollte die eindeutige Identifizierung der betroffenen Person sein, da eine Auskunft an eine falsche, unberechtigte Person ebenfalls einen Verstoß gegen die Regelungen der DS-GVO darstellt. Die Auswahl der Identifizierungsmethode erfolgt dabei einzelfallbezogen. Je höher sich das Schutzniveau der möglichen Auskunftsdaten darstellt, desto sicherer sollte das Identifizierungsverfahren sein. In Betracht kommen z.B. die Anforderung einer geschwärzten Ausweiskopie, Geburtsdatum und Anschrift, Bestätigung einer bereits bekannten E-Mailadresse oder eine sichere Benutzerkennung.

Der Umfang der zu erteilenden Informationen ergibt sich aus Art. 15 Abs. 1 DS-GVO und umfasst alle Informationen, die sich auf eine identifizierte und identifizierbare Person natürliche Person beziehen sowie die

  • Zwecke der Verarbeitung
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger oder Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
  • Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder eines Widerspruchsrecht gegen diese Verarbeitung
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

Im Zweifel sind von den Kontaktdaten des Betroffenen bis zu Notizzetteln und Telefonvermerke, alle beim Verantwortlichen vorhandenen Daten betroffen. Im Falle der Verarbeitung großer Datenmengen der betroffenen Person sollte daher um eine Präzisierung der Anfrage auf z.B. bestimmte Verarbeitungen, Zeiträume oder Datenkategorien gebeten werden. Gleichwohl ist die anfragende Person nicht zu einer Eingrenzung seiner Anfrage verpflichtet. Deutsche Gerichte sind sich bei der Beantwortung der Frage nach dem Umfang der Auskunft größtenteils einig. Die bisher ergangenen Urteile zeigen, dass das Recht auf Auskunft sehr weitreichend und die möglichen Ausnahmen gemäß Art. 15 Abs. 4 DS-GVO sehr eng zu fassen sind. Ein Recht auf Auskunft könnte dann nicht bestehen, wenn die Rechte oder Freiheiten Dritter betroffen sind, wobei an diese Ausnahmefälle hohe Anforderungen gestellt werden. Es müssen je nach Einzelfall die Interessen der anfragenden Person, des Verantwortlichen und möglicher betroffener Dritter Personen abgewogen werden. Eine solche Interessenabwägung darf sich nicht in einem pauschalen Verweis auf den Schutz Rechte Dritter erschöpfen. Sollte nach ordnungsgemäßer Interessenabwägung das Schutzinteresse des Verantwortlichen oder Dritter überwiegen, darf die Auskunft allerdings nicht komplett abgelehnt werden. Jedoch ist eine Schwärzung von Dokumenten möglich. 

Die Beantwortung der Anfrage kann grundsätzlich schriftlich, elektronisch oder sogar mündlich erfolgen. Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen. Des Weiteren ist die Auskunft gemäß Art. 12 Abs. 3 DS-GVO unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. In Ausnahmefällen Fällen kann die Frist um zwei weitere Monate verlängert werden. Die Fristverlängerung ist dem Betroffenen innerhalb eines Monats, unter Angabe von konkreten Gründen, mitzuteilen.

Dokumentation und Speicherfrist

Um seiner Rechenschaftspflicht aus Art. 5 DS-GVO und für etwaige Nachfragen des Betroffenen oder der Aufsichtsbehörden, sollte die ordnungsgemäße Bearbeitung und Beantwortung der Auskunft dokumentiert werden. Die Daten sollten solange aufbewahrt werden, bis eine etwaige Verletzung von Betroffenenrechten nach DS-GVO bzw. BDSG und OWiG durch eingetretene Verjährung nicht mehr möglich ist. Nach § 31 OWiG verjährt eine Ordnungswidrigkeit in drei Jahren.

Fazit

Der Auskunftsanspruch kann für Verantwortliche immensen Aufwand bedeuten. Umso wichtiger ist eine solide Vorbereitung und die Implementierung von mindestens entsprechenden Meldeprozessen in der Organisation, um typische Fehler bei der Beantwortung zu vermeiden. Eine besondere Herausforderung bilden zudem Massenauskunftsverfahren, die beispielsweise nach einer bekannt gewordenen Datenpanne auf Verantwortliche zukommen können. Charakteristisch für diese Verfahren ist die hohe Anzahl an gleichzeitigen Anträgen nach Art. 15 DS-GVO, die wenig individuell formulierten Anträge (ggfs. über Plattformen generiert), fehlende, identifizierende Angaben zu den Antragstellenden und die pauschale Forderung „aller Daten“.