Anforderungen an das Auskunftsersuchen
Da das Auskunftsersuchen grundsätzlich nicht an eine bestimmte Form gebunden ist, können betroffene Personen ihre Anfragen theoretisch sogar mündlich (d.h. vor Ort oder telefonisch) stellen. Im Übrigen sind sie nicht verpflichtet, vorgefertigte Formulare zu nutzen. Stattdessen ist es ausreichend, dass aus ihrer Anfrage deutlich hervorgeht, dass sie eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und, wenn dies der Fall ist, dass sie Auskunft über diese personenbezogenen Daten verlangen. Sie sind weder verpflichtet, eine Rechtsgrundlage für den Auskunftsanspruch anzugeben, noch den Auskunftsanspruch zu begründen. Eine Besonderheit besteht dann, wenn der Verantwortliche eine große Menge von Informationen über die betroffene Person verarbeitet und eine vollumfängliche Auskunft einen unverhältnismäßigen Aufwand für den Verantwortlichen bedeuten würde. In einem solchen Fall kann der Verantwortliche regelmäßig verlangen, dass die betroffene Person präzisiert, auf welche Informationen oder Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht. Dies ergibt sich aus Erwägungsgrund 63 S. 7 der DS-GVO und wurde unter anderem vom Finanzgericht Berlin-Brandenburg bestätigt (Urteil vom 26.01.2022, Az. 16 K 2059/21).
Identitätsprüfung zur Legitimation
Da grundsätzlich nur die betroffene Person oder eine von ihr bevollmächtigte dritte Person das Recht hat, auf ihre personenbezogenen Daten zuzugreifen, hat zwingend eine Identitätsprüfung zu erfolgen. Hierbei sind die Anforderungen an die Identitätsprüfung abhängig von dem Grad der Sensibilität der Daten.
Im Rahmen einer laufenden Vertragsbeziehung ist der Abgleich mit vorhandenen Kontaktinformationen (z.B. Geburtsdatum, Kundennummer etc.) regelmäßig ausreichend (Kurz-Information des Bayerischen Landesbeauftragten für den Datenschutz).
Bei Online-Diensten reicht grundsätzlich die Identifizierung per Login über ein bestehendes Nutzerkonto beim Verantwortlichen (so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg).
Werden sensible Daten im Sinne von Art. 9 Abs. 1 DS-GVO verarbeitet, ist die Identifizierung über ein bestehendes Nutzerkonto eines Online-Dienstes regelmäßig nicht ausreichend.
Hat der Verantwortliche begründete Zweifel an der Identität der Person, die den Antrag stellt, kann er gem. Art. 12 Abs. 6 DS-GVO zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind. Hierzu zählt, dass in Einzelfällen die Kopie eines Personaldokuments zur Legitimation verlangt werden kann (so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg), wobei die Daten auf der Ausweiskopie ausschließlich zur Identitätsprüfung verwendet werden dürfen und danach unverzüglich zu löschen sind.
Grenzen des Auskunftsrechts
Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann sich der Verantwortliche weigern, aufgrund des Antrags tätig zu werden (Art. 12 Abs. 5 DS-GVO), wobei der Verantwortliche die Beweislast für das Vorliegen eines unbegründeten oder exzessiven Antrags trägt. Ein exzessiver Antrag liegt insbesondere im Fall von häufiger Wiederholung (Art. 15 Abs. 5 S. 2 DS-GVO) vor oder wenn ein Antrag dem alleinigen Ziel dient, dem Antragsgegner Aufwand zu bereiten oder eindeutig andere Ziele verfolgt werden (AG Pforzheim, Urteil vom 05.08.2022 - 4 C 1845/21).
Schließlich darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art. 15 Abs. 4 DS-GVO). Zu den Rechten und Freiheiten anderer Personen zählen unter anderem Geschäftsgeheimnisse und Rechte des geistigen Eigentums (Erwägungsgrund 63 S. 5 DS-GVO). Dies impliziert, dass mit „anderen Personen“ auch Verantwortliche gemeint sind. Um eine Beeinträchtigung der Rechte und Freiheiten anderer Personen zu umgehen, dürfte jedoch regelmäßig das Unkenntlichmachen durch Schwärzen entsprechender Informationen ausreichend sein.
Sollte der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig werden, so hat er die betroffene Person nach Art. 12 Abs. 4 DS-GVO ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags, über die Gründe und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen, zu unterrichten.
Wie ein berechtigtes Auskunftsersuchen inhaltlich ausgestaltet werden muss, wird in den Teil 2, unserer Reihe „Das Auskunftsrecht (Art. 15 DS-GVO)“ näher beleuchtet.