Auskunftsrecht – was ist das?
Das Auskunftsrecht nach Art. 15 DS-GVO ist ein zentrales Instrument, beziehungsweise ein essentielles Betroffenenrecht der europäischen Datenschutz-Grundverordnung (DS-GVO), das gleichermaßen auf die Erhöhung der Transparenz der einzelnen Verarbeitungen gegenüber dem Betroffenen und auf die Gewährleistung einer Kontrollmöglichkeit des Betroffenen bei der Verarbeitung seiner Daten einzahlt. Darüber hinaus ist das Auskunftsrecht Ausgangspunkt für die Geltendmachung weiterer Rechte der Betroffenen, wie die Löschung, Berichtigung oder Einschränkung der Datenverarbeitung.
Das Auskunftsrecht ist in Deutschland kein Novum, da die Betroffenenauskunft auch bereits Bestandteil des BDSG-alt gewesen ist (§ 34 BDSG aF). Das „neu“ in Kraft getretene Recht, dass durch die Umsetzung der Datenschutzgrundverordnung Eingang gefunden hat, ist als Konkretisierung und Erweiterung der abgelösten Vorschrift zu verstehen.
Inhalt der Auskunftspflicht gem. Art. 15 DS-GVO
Art. 15 Abs. 1 DS-GVO legt fest, welche Angaben der Verantwortliche – entgegen der bisherigen Vorgaben, ohne dass der Betroffene die Art der personenbezogenen Daten gegebenenfalls näher bezeichnen muss (vgl. § 34 Abs. 1 Satz 2 BDSG aF) – dem Betroffenen auf Verlangen zur Verfügung zu stellen hat.
Neben den Datenkategorien, den Empfängern – hier insbesondere Empfänger in Drittstaaten und der Speicherdauer der personenbezogenen Daten – und den eigentlichen Verarbeitungszwecken, ist der Verantwortliche gemäß Art. 15 Abs. 3 DS-GVO verpflichtet, dem Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
Die Auskunft ist grundsätzlich binnen eines Monates zu erteilen (Art. 12 Abs. 3 Satz 1 DS-GVO). In Einzelfällen kann diese Frist um weitere zwei Monate verlängert werden, wobei der Verantwortliche dabei die betroffene Person über die Gründe der Verzögerung zu informieren hat (Art. 12 Abs. 3 Satz 2 DS-GVO).
Der Umfang der Auskunft ist im Sinne des Art. 15 Abs. 4 DS-GVO dahingehend begrenzt, dass der Erhalt der Kopie nicht die Rechte und Freiheiten Dritter beeinträchtigen darf. In diesem Zusammenhang ist insbesondere an bestehende arbeitsrechtliche Vereinbarungen, an den Schutz von Geschäftsgeheimnissen und an Verschwiegenheitspflichten von Berufsgeheimnisträgern zu denken.
Zusammenfassend lässt sich festhalten, dass der EU-Gesetzgeber dem Betroffenen mit dem Auskunftsrecht nach Art. 15 DS-GVO ein sehr starkes Werkzeug an die Hand gegeben hat, mit dem dieser in einfacher Art und Weise – in einem kurzen Zeithorizont – eine Übersicht (Kopie) über seine verarbeiteten Daten erlangen kann. Dies erhöht die allgemeine Transparenz der Verarbeitungen gegenüber dem Betroffenen und ermöglicht die Ausübung weiterer Betroffenenrechte, bis hin zur effektiven Verfolgung von Rechtsverstößen. Im Vergleich zu §34 BDSG aF sind die Hürden zur Erlangung der Auskunft noch ein wenig reduziert worden. Wie oben bereits beschrieben verlangt der Auskunftsanspruch nach Art. 15 DS-GVO nun keine nähere Bezeichnung der personenbezogenen Daten mehr, über die der Betroffene Auskunft beansprucht. Dies ermöglicht es in einfacher Weise auch Auskunft zu den Daten zu erhalten, die der Betroffene nach altem Recht – unter Umständen mangels Kenntnis – nicht näher bezeichnen konnte. Zudem hat der Gesetzgeber nun eine Frist fest verankert. Bei der Beauskunftung im Sinne des §34 BDSG aF wurde auf legal definierte Fristen verzichtet. Durch die Beantwortung im Rahmen allgemeiner Geschäftsfristen, bestand für Unternehmen ein größerer Spielraum um umfängliche Auskünfte erwidern zu können. Der Betroffene musste zuweilen jedoch auch länger auf die eigentliche Auskunft warten.
Fragestellungen aus der Praxis
Obwohl der auf den ersten Blick klaren Vorgaben in Art. 15 Abs. 1 DS-GVO, ergeben sich in der Praxis durchaus Schwierigkeiten beim konkreten Inhalt des vom Betroffenen verlangten Auskunftsschreibens. Bei mitunter langjährigen Geschäftsbeziehungen zwischen Verantwortlichem und Betroffenen oder gegebenenfalls im Beschäftigungskontext wächst der Datenumfang oft beträchtlich. Nicht immer einfach ist es dann, den Umfang der Beauskunftung hinreichend aber auch sinnvoll zu gestalten.
Die hierzu bislang ergangene Rechtsprechung nähert sich diesem Thema bislang nur an. So hat das LG Köln (LG Köln, Teilurt. vom 18.03.2010, Az. 26 O 25/18) entschieden, dass dem Betroffenen aus Art. 15 DS-GVO „ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen“ zusteht. Dieser beziehe sich jedoch nicht auf „sämtliche internen Vorgänge“ wie zum Beispiel „Vermerke“ oder „Schriftverkehr, der dem Betroffenen bereits bekannt ist“. Hier folgt das LG Köln der Rechtsprechung des OLG Köln zur alten Rechtslage. Dieser Auffassung war auch schon das OLG Köln im Rahmen der Auslegung von § 34 BDSG aF (OLG Köln, Urt. v. 26.07.2018, Az. 9 W 15/18). Ferner seien „rechtliche Bewertungen oder Analysen“ nicht von dem Auskunftsanspruch des Art. 15 DS-GVO umfasst. Diese Auffassung hat das LG Köln auch in einer anderen Entscheidung bestätigt (LG Köln, Urt. v. 19.06.2019, Az. 26 S 13/18). Ebenso stellte das LG Köln in dieser Entscheidung fest, dass der Betroffenen keinen Anspruch auf die Abgabe einer eidesstattlichen Versicherung hinsichtlich der Vollständigkeit der Auskunft gegen den Verantwortlichen habe.
Das OLG Köln (OLG Köln, Urt. V. 26.07.2019, Az. 20 U 75/18) sieht in einer neueren Entscheidung den Anspruch aus Art 15 DS-GVO jedoch weiter als den bisherigen nach § 34 BDSG alt. Jedenfalls sei das Auskunftsrecht nicht auf durch eine Versicherung erhobene Stammdaten beschränkt. Auch „Gesprächsvermerke und Telefonnotizen“ seien mit umfasst, soweit diese Aussagen des Betroffenen enthalten, so das OLG Köln. Ähnlich sah dies auch das LG Landau/Pfalz (LG Landau/Pf., Urt. v. 17.09.2019, Az. 4 O 389/17). Der Auskunftsanspruch nach Art. 15 DS-GVO gegenüber einer Versicherung beinhalte neben den Stammdaten auch „ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen“.
Bewertung
In der Praxis stellen die Anfragen auf Auskunft die Unternehmen regelmäßig vor Herausforderungen. Zum einen werden Kundendaten oft in „gewachsenen Systemen“ vorgehalten, was eine automatisierte Erstellung des Auskunftsschreibens erschwert. Zudem fallen im Rahmen eines mitunter jahrelang andauernden Dauerschuldverhältnisses zum Beispiel über Telekommunikationsdienste sehr viele Daten an. Kommen noch Kontaktaufnahmen des Betroffenen zum Kunden-Service des Verantwortlichen hinzu, wächst die Datenmenge zusätzlich.
Um in einem solch datenintensiven Umfeld die Anforderungen von Art. 15 DS-GVO erfüllen zu können, überzeugt zunächst der Ansatz des LG Köln, dem Betroffenen nicht auch Schriftverkehre zur Verfügung zu stellen, die er schon empfangen hat. Art. 15 DS-GVO hat nicht die Zielrichtung, die Buchführung des Betroffenen zu vereinfachen (vgl. OLG Köln, Urt. v. 19.06.2019, Az. 26 S 13/18).
Ein Ansatz – der jedoch mit Blick auf die letzte Entscheidung des OLG Köln am Ende unzureichend sein könnte – ist, sich zunächst von den vertrags- und produktrelevanten Daten der Auskunft zu nähern. Sämtliche Daten, die den Kern der Beziehung des Betroffenen zum Verantwortlichen betreffen müssen beauskunftet werden. Jeder interne Vermerk, der gegebenenfalls durch den Kunden-Service erhoben wird (z. B. „Wohnung 2. Stock links“) dürfte vom Auskunftsanspruch des Art. 15 DS-GVO nicht umfasst sein, wobei es sich dabei auch eher um eine Arbeitshilfe als um ein eigenständiges, gegebenenfalls über die Adresse hinausgehendes personenbezogenes Datum handelt. Jedoch dürften „interne Vorgänge“ (s. LG Köln oben), die eine Auswertung beziehungsweise Selektion von Kundendaten betreffen (Stichwort Big Data-Analysen), durchaus zu beauskunften sein. Hierbei handelt es sich um eigenständige Datenverarbeitungen, die die Informationen über den jeweiligen Kunden deutlich vergrößern.
Weitere Herausforderungen bei der praktischen Umsetzung
Zu den oben beschriebenen Unklarheiten, bezüglich des Umfangs der Auskunft gesellen sich in der Praxis weitere Herausforderungen. Aufgrund des sehr kurzen Bearbeitungszeitraums müssen Unternehmen sicherstellen, dass sämtliche Anfragen in Bezug auf die verarbeiteten personenbezogenen Daten, beziehungsweise die Zurverfügungstellung der Kopie kurzfristig erfolgen kann.
So sind Anfragen, die klassisch via Briefpost oder Fax zugestellt werden, prozessual ebenso abzubilden wie Anfragen die telefonisch, via E-Mail, über Social-Media-Kanäle oder über weitere Kontaktwege an die Unternehmen herangetragen werden. Da es sich – aufgrund der geringen Hürden, den im Gegensatz zum Auskunftsanspruch nach BDSG-alt niedrigeren formellen Anforderungen, den allseits erhältlichen Musterschreiben zur Beauskunftung und den Angeboten von Firmen, die eine Beauskunftung im Auftrag des Betroffenen ausüben – bei dem Recht auf Auskunft mutmaßlich um eins der am häufigsten in Anspruch genommenen Betroffenenrechte der DS-GVO handeln sollte, kommen Unternehmen um eine stringente Implementierung eines automatisierten Verfahrens/Beantwortung nicht herum.
Bei der internen Zuordnung der Eingangspost unter Zuhilfenahme einer effizienten Verschlagwortung sollte dabei unbedingt sichergestellt werden, dass auch die Anfragen erfasst werden, die gegebenenfalls Teil von weiteren Betroffenen- (Kunden)anliegen sind. Als praxisnahes Beispiel wäre hier eine Kündigung zu erwähnen, in welcher der Betroffene gleichzeitig sein Recht auf Auskunft anmeldet. Hier besteht die Gefahr, dass Anfragen „unter den Tisch“ fallen könnten und nicht mehr fristgemäß beantwortet werden können. Neben der Automatisierung sollte der Status jeder einzelnen Anfrage überwacht werden, um die Beantwortungsfrist nicht zu durchbrechen. Darüber hinaus muss sichergestellt werden, dass bei komplexeren Anfragen beziehungsweise Sachverhalten ausreichend Zeit für manuelle Nacharbeiten zur Verfügung steht. Für etwaige manuelle Nacharbeiten müssen genügend Ressourcen zur Verfügung stehen, die über die entsprechenden Fähigkeiten verfügen. Sollte in Einzelfällen eine Information des Betroffenen nicht innerhalb eines Monats möglich sein, muss der Betroffene über die Verzögerung und den Grund der Verzögerung informiert werden. Nicht zuletzt sollte die zur Verfügung gestellte Kopie, die dem Betroffenen durch die verantwortliche Stelle zugestellt wird, so aufbereitet sein, dass der Informationsgehalt auch konsumierbar ist. Eine unstrukturierte Auflistung sämtlicher Daten, Zwecke und Empfänger der Betroffenen, sollte nicht mit dem Transparenz Gedanken der DS-GVO vereinbar sein.
Darüber hinaus darf die erteilte Auskunft nicht die Rechte und Freiheiten Dritter beeinträchtigen. Sollte sich die verantwortliche Stelle beispielsweise auf arbeitsrechtliche Vereinbarungen oder auf das Bestehen von Geschäftsgeheimnissen berufen, sind in diesen Fällen im Zweifel Abwägungen durchzuführen und entsprechend zu dokumentieren.
Fazit & Ausblick
Aufgrund der beschriebenen Rechtsunsicherheiten bezüglich des Auskunftsumfangs wäre eine höchstrichterliche Entscheidung wünschenswert. Es ergeben sich zudem aufgrund spezialgesetzlicher Regelungen, insbesondere aus dem Arbeitsrecht und dem Gesetz zum Schutz von Geschäftsgeheimnissen, weitere Besonderheiten welchen bei Bedienung des Auskunftsanspruches Rechnung getragen werden muss. Die verantwortliche Stelle hat im Rahmen der Wahrung weiterer Rechte von Dritten, oder bei der Wahrung von Geschäfts- und Berufsgeheimnissen die Möglichkeit einer umfänglichen Auskunft, argumentativ entgegen zu treten. Bei allen Entscheidungen und Vorgaben, die zum Umfang, der Form und der Reichweite der Beauskunftung folgen, darf jedenfalls nicht außer Acht gelassen werden, dass diese für die betroffene Person noch konsumierbar bleiben muss. Zudem sollte im Sinne der Praktikabilität berücksichtigt werden, dass Kleinstunternehmen, sowie kleine- und mittlere Unternehmen in der Lage sein müssen, Auskunftsbegehren von Betroffenen in der vorgegebenen Frist zu bedienen. Bei sehr umfangreichen Datensammlungen ist davon auszugehen, dass Unternehmen hier an ihre Grenzen stoßen werden.
In unserem Datenschutz Talk mit Herrn Wrona gewährt dieser uns Einblick in die praktischen Herausforderungen bei der Bearbeitung von Auskunftsersuchen im Massengeschäft eines Telekommunikationsunternehmens.
Zum Autor:
Stephan Kratzmann studierte Rechtswissenschaft und Wirtschaftsrecht. Seit 2014 ist er bei der migosens GmbH als Berater für Datenschutz tätig. Sein Schwerpunkt liegt insbesondere im Bereich der Projektberatung im Telekommunikationsumfeld. Zu seinen Aufgaben gehören u. a. die Sicherstellung des datenschutzkonformen Umgangs mit Bestands- und Verkehrsdaten in diversen Projekten, die Unterstützung bei der Gewährleistung von Betroffenenrechten und die prozessuale Abbildung des Verzeichnisses von Verarbeitungstätigkeiten.
