Umfang des Auskunftsrechts
Hier geht es zu Teil 1 der Artikelserie.
Nach Art. 15 Abs. 1 DS-GVO steht der betroffenen Person das Recht zu, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Zudem kann die betroffene Person Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden. Im Übrigen sind bei der Auskunftserteilung nach Art. 15 Abs. 1 DS-GVO unter anderem folgende Informationen mitzuteilen:
die Verarbeitungszwecke,
die Kategorien personenbezogener Daten, die verarbeitet werden,
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden,
das Bestehen der Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie des Widerspruchsrechts gegen die Verarbeitung und
das Bestehen eines Beschwerderechts bei der zuständigen Aufsichtsbehörde
Zu beachten ist, dass der Europäische Gerichtshof (EuGH) am 12. Januar 2023 entschieden hat, dass entgegen dem Wortlaut von Art. 15 Abs. 1 lit. c) DS-GVO jede Person das Recht hat, zu erfahren, an welche konkreten Empfänger die eigenen personenbezogenen Daten weitergegeben wurden (Urteil vom 12.01.2023 – C154/21). Gleichwohl kann sich der für die Datenverarbeitung Verantwortliche darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist.
In seinem Urteil vom 04.05.2023 (Rs. C-487/21) stellte der EuGH außerdem fest, dass das Recht, nach Art. 15 Abs. 3 DS-GVO, eine „Kopie“ der personenbezogenen Daten zu erhalten, die Aushändigung einer originalgetreuen und verständlichen Reproduktion aller Daten umfasst. Dieses Recht umfasst den Anspruch auf eine Kopie von Auszügen aus Dokumenten, von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DS-GVO verliehenen Rechte zu ermöglichen.
Im Falle der Datenübermittlung in Drittländer ist gem. Art. 15 Abs. 2 DS-GVO zusätzlich über die insoweit gewährten Garantien gem. Art. 46 DS-GVO zu informieren.
Form der Auskunftserteilung
Auch die Auskunftserteilung kann, wie das Auskunftsersuchen, schriftlich, elektronisch oder – falls von der betroffenen Person verlangt – mündlich erfolgen und ist damit an keine bestimmte Form gebunden (Art. 12 Abs. 1 S. 2 und 3 DS-GVO). In diesem Zusammenhang stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (Art. 15 Abs. 3 S. 1 DS-GVO). Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen nach Art. 15 Abs. 3 S. 2 DS-GVO in einem gängigen elektronischen Format (z.B. im PDF-Format) zur Verfügung zu stellen. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglicht (Erwägungsgrund 63 S. 4 der DS-GVO). Hierzu eignet sich insbesondere Software, die auf einen sicheren Datentransfer ausgerichtet ist.
Die Negativauskunft
Werden von dem Verantwortlichen keine personenbezogenen Daten verarbeitet oder sind diese unumkehrbar anonymisiert worden, ist der Verantwortliche verpflichtet, auch dies der betroffenen Person im Rahmen einer sog. Negativauskunft mitzuteilen. Da es allerdings aufgrund des Auskunftsersuchens zu einer Verarbeitung personenbezogener Daten kommt und der Vorgang hinsichtlich einer potenziell notwendigen Beweisführung dokumentiert werden sollte, ist die betroffene Person gem. Art. 13 DS-GVO hierüber zu informieren.
Frist für die Auskunftserteilung
Nach Art. 12 Abs. 3 S. 1 DS-GVO hat der Verantwortliche der betroffenen Person die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann gem. Art. 12 Abs. 3 S. 2 DS-GVO in begründeten Ausnahmefällen um weitere zwei Monate verlängert werden. In diesem Fall hat der Verantwortliche die betroffene Person innerhalb eines Monats nach Eingang des Antrags über die Fristverlängerung, zusammen mit den Gründen für die Verzögerung zu unterrichten. Maßgeblich für den Zeitpunkt des Zugangs der Auskunftserteilung ist, dass unter normalen Umständen mit der Kenntnisnahme gerechnet werden kann (beispielsweise durch den Einwurf in den Briefkasten zur üblichen Uhrzeit).
Folgen nicht ordnungsgemäßer Auskunftserteilung
Im Falle einer nicht ordnungsgemäßen Auskunftserteilung besteht für betroffene Personen die Möglichkeit einer Beschwerde bei der zuständigen Aufsichtsbehörde, welche eine Geldbuße von bis zu 20 Mio. € oder von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen kann (Art. 83 Abs. 5 lit. b) DS-GVO). Zudem kann die betroffene Person den ihr durch den Verstoß entstandenen materiellen oder immateriellen Schadensersatz gegen den Verantwortlichen geltend machen (Art. 82 Abs. 1 DS-GVO).
Handlungsempfehlung
Angesichts der Folgen einer nicht ordnungsgemäßen Auskunftserteilung ist es für Unternehmen empfehlenswert, organisatorische und technische Maßnahmen zu implementieren, welche eine schnelle und vor allem korrekte Auskunftserteilung ermöglichen.
Quellen