Das Auskunftsrecht Betroffener nach DSGVO

Was tun beim Eingang von Auskunftsersuchen?

22.01.2019
Von   IDG ExpertenNetzwerk und Adrian Hoppe
Sebastian Loutoumai ist Rechtsanwalt und Fachanwalt bei Löffel Abrar Rechtsanwälte. Er berät Unternehmen insbesondere in allen Fragen zum Online-Marketing und Recht, Werberecht, Influencer Marketing sowie Marken- und Wettbewerbsrecht.

Praxishinweis 5

Bei der Formulierung der Antwort auf ein Auskunftsersuchen sollte darauf geachtet werden, dass längere Texte durch Zwischenüberschriften verständlich gegliedert sind. Auch sollten lange Sätze mit vielen Nebensätzen vermieden werden. Es sollte auf eine einfache Sprache geachtet werden, die Fachbegriffe und Fremdwörter vermeidet.

Eine besondere Herausforderung für Unternehmen ergibt sich aus der Regelung in Art. 15 Abs. 3 S. 1 DSGVO. Danach stellt der Verantwortliche "eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung". Bislang gerichtlich geklärt ist dabei die Frage, worauf sich die Pflicht zur Bereitstellung einer Kopie konkret bezieht. Eine in der datenschutzrechtlichen Literatur weit verbreitete Ansicht geht davon aus, dass dem Betroffenen in diesem Zusammenhang eine Kopie der Dokumente beziehungsweise Dateien herauszugeben ist, welche die personenbezogenen Daten enthalten.

Diese Auffassung begegnet allerdings sowohl praktischen als auch rechtlichen Bedenken. In praktischer Hinsicht wären Unternehmen gezwungen, Kopien sämtlicher Unterlagen anzufertigen und auszuhändigen, die das personenbezogene Datum des Betroffenen enthält. Dies führt im Zweifel jedoch zu einem organisatorischen Mehraufwand bei den Unternehmen, der vom Verordnungsgeber nicht intendiert sein kann.
Gegen diese Auffassung spricht auch der Wortlaut der Vorschrift, der von einer Kopie der "personenbezogenen Daten" als solchen spricht und gerade nicht von einer Kopie der Dokumente, in denen diese personenbezogenen Daten enthalten sind.

Eine solche Unterscheidung von "personenbezogenen Daten" und den "Dokumenten", in denen sie enthalten sind, kennt auch die DSGVO. So trennt die DSGVO in Erwägungsgrund 154 sowie in Art. 86 DSGVO ganz ausdrücklich zwischen den personenbezogenen Daten und den Dokumenten, in denen sie enthalten sind. Es ist nicht ersichtlich, dass dem Betroffenen über das Auskunftsrecht nach Art. 15 DSGVO ein umfassendes Recht auf Akteneinsicht gewährt werden sollte.

Ein solches Akteneinsichtsrecht hatte der EuGH bereits für das Auskunftsrecht nach der Datenschutzrichtlinie verneint (vgl. EuGH, Urt. v. 17.7.2014 - C-141/12). Dass der Verordnungsgeber in Kenntnis dieser Rechtsprechung mit Art. 15 Abs. 3 S. 1 DSGVO dem Betroffenen faktisch auch ein Recht auf Einsicht in Akten gewähren wollte, erscheint fernliegend.

Naheliegender erscheint es, dass mit "Kopie" nicht eine Abschrift eines Originals gemeint ist, sondern vielmehr ein eigenständiges Exemplar des betreffenden Datums gemeint ist. Eine solche Auslegung ließe sich auch mit einer anderen Übersetzung der englischen Formulierung "a copy of the personal data" begründen, denn "a copy of sth." bedeutet in der Übersetzung nicht zwangsläufig eine "Kopie", sondern eben auch ein eigenständiges Exemplar. Vor diesem Hintergrund wird auch vertreten, dass mit Art. 15 Abs. 3 S. 1 DSGVO in Abgrenzung zu Art. 20 DSGVO (Recht auf Datenportabilität) lediglich klargestellt wird, dass die personenbezogenen Daten als solche nicht übertragen werden, sondern lediglich eine Kopie hiervon beziehungsweise ein eigenständiges Exemplar. Daher definiert Art. 15 Abs. 3 S. 1 DSGVO gerade nicht eine besondere Form der Auskunft.

Praxishinweis 6

Auch wenn die überzeugenden Gründe dafür sprechen, dass mit Art. 15 Abs. 3 S. 1 DGVO keine Pflicht besteht, Kopien sämtlicher Dokumente anzufertigen, in denen die personenbezogenen Daten enthalten sind, ist diese Frage höchst umstritten und noch nicht gerichtlich entschieden. Vor diesem Hintergrund sollten Unternehmen dies bei der Erstellung eines Verfahrens zur Beantwortung von Auskunftsersuchen berücksichtigen. Insoweit empfiehlt es sich auch, sich eng mit der zuständigen Aufsichtsbehörde abzustimmen und diese Frage vorab zu klären.

Zwar sind Gerichte an die Verlautbarungen der Aufsichtsbehörden rechtlich nicht gebunden, sie bieten jedoch einen guten Anhaltspunkt dafür, ob die für das eigene Unternehmen zuständige Aufsichtsbehörde das eigene Verfahren zur Beantwortung von Auskunftsersuchen als datenschutzkonform einstuft oder nicht.

Die Nutzung persönlicher Daten kann auch so aussehen.
Die Nutzung persönlicher Daten kann auch so aussehen.

Form der Auskunft

Nach der oben beschriebenen Vorabprüfung, steht fest, ob personenbezogene Daten über den Anfragenden verarbeitet werden oder nicht. Werden von dem Anfragenden keine personenbezogenen Daten verarbeitet, hat dieser gleichwohl einen Anspruch auf eine sogenannte Negativauskunft. Im Rahmen dieser Negativauskunft wird der Anfragende darüber informiert, dass keine personenbezogenen Daten von ihm verarbeitet werden.

Werden hingegen personenbezogene Daten verarbeitet, ist der Anfragende in einem ersten Schritt darüber zu informieren, dass personenbezogene Daten über ihn verarbeitet werden. Darüber hinaus hat das Unternehmen den Anfragenden in einem zweiten Schritt die in Art. 15 Abs. 1, 2. Hs. lit. a) bis h) DSGVO aufgezählten Informationen zu mitzuteilen. Hierbei handelt es sich um Informationen über

  • die Verarbeitungszwecke,

  • die Kategorien personenbezogener Daten, die verarbeitet werden,

  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

  • die geplante Dauer, für die die personenbezogenen Daten gespeichert werden,

  • das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten oder auf Einschränkung der Verarbeitung oder eines Widerspruches gegen diese Verarbeitung,

  • das Bestehen eine Beschwerderechts bei einer Aufsichtsbehörde,

  • die Herkunft der personenbezogenen Daten,

  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Nach Art. 12 Abs. 1 DSGVO, der auf die Auskunftserteilung nach Art. 15 DSGVO ebenfalls Anwendung findet, muss die Erteilung der Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Hierdurch soll dem Grundsatz der Transparenz der Datenverarbeitung Rechnung getragen werden.
Nur wenn der Betroffene in die Lage versetzt wird, die Antwort auf sein Auskunftsersuchen inhaltlich zu verstehen, kann er entscheiden, ob er von seinen weiteren Rechten Gebrauch machen muss. Durch die gewählte Form der Auskunft darf es dem Betroffenen also nicht erschwert werden, seine Rechte ordnungsgemäß wahrzunehmen. So dürften beispielsweise Auskunftsersuchen in Deutschland normalerweise nur in deutscher Sprache beantwortet werden. Zudem sollte vermieden werden, durch das übermäßige Verwenden von Fachbegriffen den Kern der Aussage zu verschleiern.

Fazit: Vorbereitung ist die halbe Miete

Wie gesehen ist die Vorbereitung auf die Auskunftsersuchen von besondere Wichtigkeit. Dabei sollte nicht nur ein Prozess für die die interne Prüfung des Auskunftsersuchens aufgesetzt und erprobt werden: Kann das Auskunftsersuchen innerhalb der Monatsfrist beantwortet werden? Können alle Daten rechtzeitig in den Systemen gefunden werden?

Für die Auskunft selbst muss insbesondere eine Entscheidung - gegebenenfalls unter Beteiligung der Aufsichtsbehörden - getroffen werden, ob dem Anfragenden eine Kopie aller seiner Daten, im Sinne einer Akteneinsicht, zur Verfügung gestellt werden soll. Diese Entscheidung sollte ausführlich begründet und dokumentiert werden.