Logo der activeMind AG

Die Erfüllung des Auskunftsanspruchs nach Art. 15 DSGVO

Inhalt

Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Datenschutz-Grundverordnung (DSGVO) erfreut sich bei Betroffenen ungebrochener Beliebtheit. Für Verantwortliche entsteht je nach Menge der vorhandenen Daten und eines bestehenden, gut organisierten Datenschutz-Managementsystems (DSMS) ein erheblicher Aufwand zur Erfüllung des Auskunftsverlangens. Wir erläutern den Umfang des Auskunftsanspruchs und wie Unternehmen damit umgehen können.

Das Recht auf Auskunft

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, eine Bestätigung vom Verantwortlichen zu verlangen, ob er personenbezogene Daten der betroffenen Person verarbeitet. Wenn das der Fall ist, hat die Person einen Anspruch auf Auskunft über diese Daten und weitere Informationen, die sich weitgehend mit den Informationspflichten nach Art. 13 bzw. 14 DSGVO decken.

Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person einen Anspruch, eine Kopie der personenbezogenen Daten zu erhalten, die Gegenstand der Verarbeitung sind. Diese ist bei Anfrage in elektronischer Form auch grundsätzlich elektronisch zu erteilen. Dabei dürfen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

In zeitlicher Hinsicht kann sich ein Auskunftsersuchen, das nach dem Inkrafttreten der DSGVO gestellt wird, auch auf Verarbeitungsvorgänge vor diesem Datum, also vor dem 25. Mai 2018 beziehen.

Tipp: Lesen Sie auch unsere Anleitung, wie Sie grundsätzlich mit Anfragen Betroffener umgehen sollten und helfen Sie Ihren Beschäftigten mit unserer Vorlage für eine Richtlinie Betroffenenanfragen.

Was umfasst der Auskunftsanspruch?

Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO kennt hinsichtlich der relevanten personenbezogenen Daten keine Einschränkungen. Nach höchstrichterlicher Rechtsprechung setzt der Personenbezug weder eine biografisch signifikante Information voraus, noch sind interne Vermerke oder die Kommunikation mit der betroffenen Person vom Anwendungsbereich des Auskunftsersuchens ausgeschlossen.

Der Auskunftsanspruch ist auch nicht dadurch ausgeschlossen, dass der betroffenen Person etwaige Schreiben bereits bekannt sind. Die Auskunft soll sie in die Lage versetzen, die Datenverarbeitung hinsichtlich deren Rechtmäßigkeit zu überprüfen. Somit kann sich der Verantwortliche seiner Pflicht zur Erfüllung nicht entziehen, indem er auf den bestehenden Zugang der betroffenen Person zu E-Mailkonten oder auf Kopien verweist, die dieser schon vorliegen.

Wie konkret muss der Antrag auf Auskunft sein?

Der Antrag auf Auskunft erfordert regelmäßig keine weitere Konkretisierung, von welchen personenbezogenen Daten eine Kopie verlangt wird. Dem Ansatz einer abgestuften Erfüllungslast, der das Maß der Konkretisierung des Auskunftsverlangens an den Umfang der verlangten Daten knüpft (soll heißen: je mehr personenbezogene Daten verlangt werden und je höher die Detailtiefe sein soll, desto konkreter muss das Auskunftsverlangen sein), ist die Rechtsprechung nicht gefolgt. Selbst bei völlig unbestimmten Anträgen der betroffenen Person wird der Verantwortliche eine umfassende Auskunft geben müssen. Denn es ist für Betroffene in der Regel nicht ersichtlich, welche Unterlagen sich beim Verantwortlichen befinden.

Der Antrag auf Auskunft muss nach Rechtsprechung des Bundesgerichtshofs (BGH) daher nicht erkennen lassen, von welchen personenbezogenen Daten eine Kopie verlangt wird. Die Forderung von Betroffenen, sämtliche Dokumente zur Verfügung zu stellen, sei bestimmt genug.

Was umfasst das Recht auf Kopie?

Es war lange umstritten, was eine Kopie im Sinne des Art. 15 Abs. 3 DSGVO umfasst. Der Europäische Gerichtshof (EuGH) geht davon aus, dass eine Kopie eine verständliche und originalgetreue Reproduktion der Daten ist. Denn das Recht auf eine Kopie der personenbezogenen Daten setzte das Recht voraus

„eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“

Einfacher ausgedrückt, sagt der  EuGH damit:

  • Art. 15 DSGVO kann nicht so ausgelegt werden kann, dass Abs. 1 (Auskunft) und Abs. 3 (Kopie) unterschiedliche Rechte gewähren.
  • Kopien der personenbezogenen Daten müssen in einer Weise zur Verfügung gestellt werden, die es der betroffenen Person ermöglicht, ihre Rechte wirksam auszuüben. Die personenbezogenen Daten müssen daher vollständig und originalgetreu wiedergegeben werden.

Die Erforderlichkeit, eine Kopie zur Verfügung zu stellen, wird vom EuGH nicht beschränkt, sondern erweitert. Die Kopie muss neben den personenbezogenen Daten der Betroffenen so viele Informationen enthalten, dass die personenbezogenen Daten eingeordnet werden können. Das wird regelmäßig bedeuten, dass ganze Dokumente abgebildet werden müssen. Personenbezogene Daten Dritter und Geschäftsgeheimnisse müssen folglich durch gezieltes Schwärzen oder Löschen einzelner Worte und Sätze gewahrt werden. Das führt in Einzelfällen zu einem enormen Arbeitsaufwand.

Tipp: Bei activeMind.legal Rechtsanwälte lesen Sie eine ausführliche Besprechung des EuGH-Urteils zum Recht auf Kopie.

Müssen ganze Dokumente kopiert werden?

Hinsichtlich des Inhalts der Kopie sind alle personenbezogenen Daten der betroffenen Person umfasst. Verbindungen zur betroffenen Person lassen sich etwa auch aus dem Betreff von E-Mails und dem Gesprächspartner ziehen. Dazu zählen beispielsweise auch Telefonnotizen, Aktenvermerke und Protokolle als interne Vermerke. Fraglich ist, ob immer die vollständige Kopie eines Dokuments erforderlich ist.

Art. 15 Abs. 3 DSGVO legt die praktische Modalität für die Erfüllung des Auskunftsverlangens fest. Es ist in Form einer „Kopie“ zu erfüllen. Der BGH unterscheidet zunächst zwischen Schreiben des Betroffenen an den Verantwortlichen einerseits sowie Schreiben des Verantwortlichen an den Betroffenen und interner Kommunikation andererseits.

  • Erstere sind in ihrer Gesamtheit personenbezogene Daten des Betroffenen. Da sie von der betroffenen Person verfasst wurden, enthalten sie in ihrem Kern ihre personenbezogenen Daten.
  • Letztere sind nur insoweit personenbezogene Daten des Betroffenen, als sie identifizierbare Informationen über die betroffene Person enthalten.

Der BGH unterscheidet also, inwieweit Dokumente in ihrer Gesamtheit personenbezogene Daten des Antragstellers sind. Es ist zwar denkbar, aber es kann nicht grundsätzlich davon ausgegangen werden, dass es sich beispielsweise bei Schreiben, E-Mails, Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen des Betroffenen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten des Betroffenen handelt. In diesen Fällen hat die betroffene Person keinen Anspruch auf eine vollständige Kopie aller Dokumente, in denen ein personenbezogenes Datum dieser Person auftaucht.

Aber auch unabhängig vom Erfordernis eine vollständige Auskunft über die personenbezogenen Daten Betroffener an sich zu erteilen, kann die Reproduktion von Auszügen der Dokumente oder ganzer Dokumente unerlässlich sein, wenn es zur Kontextualisierung der verarbeiteten Daten erforderlich ist, um die Verständlichkeit zu wahren und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten.

Die Beweislast dafür verbleibt zwar bei der betroffenen Person. Der Antragssteller muss vortragen, dass ganze Dokumente zur Kontextualisierung der personenbezogenen Daten erforderlich sind. Dann kann nach der Rechtsprechung ausnahmsweise die Übermittlung einer Kopie von geforderten Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails und Briefen erforderlich sein. Dieser Vortrag ist für Betroffene jedoch verhältnismäßig leicht zu führen und das Erfordernis einer Kontextualisierung durch Verantwortliche schwer zu entkräften.

Welche Frist gilt für die Erfüllung des Auskunftsersuchens?

Art. 15 DSGVO enthält keine Regelung über die Frist, die dem Verantwortlichen zur Beantwortung des Auskunftsverlangen verbleibt. Verlangt wird in Art. 12 Abs. 3 DSGVO jedoch, dass Informationen zum Auskunftsverlangen „unverzüglich“, in jedem Fall aber einen Monat nach Eingang des Antrags zur Verfügung gestellt werden. Die Frist kann um weitere zwei Monate auf maximal drei Monate verlängert werden, wenn es aufgrund der Komplexität und Anzahl der Anträge erforderlich ist.

Achtung: In einem kürzlich ergangenen Urteil des Arbeitsgerichts Duisburg sah dieses die geforderte Unverzüglichkeit bereits nach 19 Tagen verletzt, da die Ausschöpfung der Monatsfrist eine Ausnahme darstellen soll (siehe diese Urteilsbesprechung). Aus der Datenschutzpraxis verwundert das Urteil, zeigt aber auf, dass Verantwortliche sich bei der Beantwortung von Auskunftsanfragen nicht zu viel Zeit lassen sollten.

Fazit: Recht auf Auskunft kann Unternehmen hart treffen

Auskunftsansprüche sind für Unternehmen insbesondere in Konfliktsituationen häufig zu erwarten und unter Umständen mit enormem Aufwand verbunden. Besonders im Zusammenhang mit Kündigungsschutzklagen gehört die Geltendmachung des Auskunftsrechts mittlerweile zum Standardrepertoire.

Die Rechtsprechung hat entsprechend dem Wortlaut des Art. 15 DSGVO sowohl den Umfang der vom Auskunftsanspruch erfassten personenbezogenen Daten sehr weit ausgelegt als auch über den Wortlaut hinausgehende, strengere Antragserfordernisse für die betroffenen Personen abgelehnt. Hinzukommt die Pflicht zur Erfüllung des Anspruchs in einer kurzen Zeit von einem bis zu maximal drei Monaten.

Eine zusätzliche Belastung für Unternehmen ergibt sich aus der Pflicht, Rechte und Freiheiten anderer Personen durch die Zurverfügungstellung der Kopie nicht zu beeinträchtigen. Für interne Chats kann das eine langwierige Schwärzung einzelner Passagen bedeuten, die personenbezogene Daten anderer Mitarbeiter enthalten. Je nach Menge der vorhandenen E-Mails und Chats werden mehrere Mitarbeitende über Tage oder Wochen gebunden, alternativ können kostspielige KI-Lösungen verwendet oder externe Dienstleister beauftragt werden, die wiederum datenschutzrechtliche Maßnahmen nach sich ziehen.

Der stetigen Anhäufung von Daten beugen Sie am besten mit einem gut geplanten und umgesetzten Löschkonzept vor, so dass etwa Chats von Mitarbeitenden nicht Jahre zurückreichen. Der Herausforderung kann am besten mit einem kompetenten und erfahrenen Datenschutzbeauftragten sowie einem ausgereiften Datenschutz-Managementsystem begegnet werden.

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.