Um den Anforderungen der Datenschutzgrundverordnung nach Transparenz nachkommen zu können und die betroffene Person in die Lage zu versetzen Ihre Recht auf Widerspruch, auf Löschung oder auf Bereitstellung der verarbeiteten Daten wahrnehmen zu können, ist es erforderlich, dass der Betroffene sein Recht auf Auskunft nutzen kann.
Mit dem Recht auf Auskunft kann die Person Information darüber erhalten, ob und wenn ja welche Daten über sie verarbeitet werden.
Das Auskunftsrecht beschränkt sich nicht nur auf die Daten die durch das Unternehmen verarbeitet werden, vielmehr umfasst das Recht auch weitere Informationen, die mit beauskunftet werden müssen. Dazu gehört zum Beispiel die Information, auf welcher Grundlage, zu welchem Zweck und wie lange sie verarbeitet werden, ob sie an Dritte weitergegeben werden und noch ein paar weitere Punkte.
Wir schauen uns hier speziell das Auskunftsrecht, inklusive des Rechts auf Kopie, an und auch konkret die Frage, welche Daten beauskunftet werden müssen und welche nicht beauskunftet werden brauchen.
Grundsätzliches
Grundsätzlich ist Art 15 DSGVO angesichts des Wortlauts weit gefasst und nimmt zunächst keinerlei Einschränkungen hinsichtlich der verarbeiteten Daten oder Datenkategorien vor. Dabei hat er nur zwei Voraussetzungen:
- a) der Anspruch ist auf personenbezogene Daten (pbD) des Betroffenen gerichtet – vgl. Art. 4 Nr. 1 DSGVO,
- b) diese Daten müssen Gegenstand der Verarbeitung durch den Verantwortlichen sein.
Ausgehend vom Gesetzeswortlaut ist demnach die Auskunft (inkl. Kopie der verarbeiteten Daten), zunächst vollumfänglich zu erteilen.
Dies wird insbesondere gestützt durch aktuelle Rechtsprechung. Zuletzt hat der Bundesgerichtshof (BGH) – in Abkehr von bisherigen Urteilen – festgestellt, dass auch Schreiben, die das Unternehmen an den Betroffenen verschickt hatte, dem Auskunftsanspruch unterfallen können, sofern sie bestimmten Kriterien entsprechen. Insbesondere die Tatsache, dass Schreiben dem Betroffenen bereits bekannt sind, schließt für sich genommen den datenschutzrechtlichen Auskunftsanspruch nicht aus. Dies kann auch zurückliegende Korrespondenz der Parteien sowie interne Vermerke umfassen (BGH, Urt. V. 15.06.2021 – VI ZR 576/19)
Vom Anspruch auf Kopie umfasst sind daher potenziell auch E-Mails. Dies bedeutet jedoch nicht, dass direkt alle E-Mails in Kopie noch einmal bereit zu stellen sind, vielmehr deutet das Bundesarbeitsgericht (BAG) in einem Urteil an, dass diese zuvor hinreichend bestimmt sein müssen. Insofern empfiehlt sich hier ein gestuftes Verfahren, nämlich zunächst die Auskunft welche E-Mails grundsätzlich vorhanden sind und auf der zweiten Stufe dann die Konkretisierung durch den Betroffenen, welche der E-Mails in Kopie bereitgestellt werden sollen (Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20).
Einschränkungen des Auskunftsrechts
Allerdings besteht das Auskunftsrecht nicht schrankenlos. Einschränkungen ergeben sich insbesondere aus dem Erwägungsgrund 63 DSGVO, § 34 BDSG und Art. 15 Abs. 4 DSGVO.
- Erwägungsgrund 63 S. 7
Erwägungsgrund 63, S. 7: „Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt“
Dies wird nahezu wörtlich auch durch die Rechtsprechung bestätigt.
- § 34 Abs. 1 Nr. 2 a) und b) BDSG
Das Recht auf Auskunft besteht insbesondere dann nicht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (vgl. § 34 Abs. 1 BDSG).
Die Auskunft kann in beiden Fällen jedoch nur dann verweigert werden, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und auch technische und organisatorische Maßnahmen getroffen wurden, die eine Verarbeitung zu anderen Zwecken ausschließen.
Damit die Verweigerung nicht zu leichtfertig vorgenommen wird, ist die Ablehnung der Auskunftserteilung nicht nur intern zu dokumentieren, sondern auch gegenüber der betroffenen Person zu begründen. Auch hier spielt also der Gedanke der Transparenz und Nachvollziehbarkeit beziehungsweise Nachprüfbarkeit für den Betroffenen eine wichtige Rolle.
- Art. 15 Abs. 4 DSGVO (bezogen auf das Recht auf Kopie)
Letztlich kann das Recht auf Kopie, welches oft mit dem Auskunftsrecht gemeinsam geltend gemacht wird, auch dann verweigert werden, wenn die Überlassung der Kopien die Rechte und Freiheiten anderer Personen beeinträchtigen würde.
Beispiele hierfür finden sich in Erwägungsgrund 63 S. 5 zur DSGVO, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software. Dabei kann es notwendig werden, dass die Rechte der Betroffenen und die Rechte der verantwortlichen Stelle gegeneinander abgewogen werden (praktische Konkordanz). In der Praxis relativ häufig anzutreffen ist die Ablehnung des Auskunftsrechts bezogen auf Daten die in einem Hinweisgebersystem verarbeitet werden. Dabei wird häufig damit argumentiert, dass bei Überlassung von Kopien diese auch Daten anderer, beispielsweise des Hinweisgebers, beinhalten könnten. Allerdings dürfte hier eine Betrachtung des konkreten Falls erforderlich sein, denn die Einschränkung des Auskunftsrechts kann nur so weit vorgenommen werden, wie tatsächlich schützenswerte Interessen Dritter bestehen und als gewichtiger einzustufen sind. Bei der Auskunft ist also jedes konkrete Datum gesondert zu betrachten. (vgl. hierzu auch Landesarbeitsgericht Baden-Württemberg vom 20. Dezember 2018 – 17 Sa 11/18 – juris Rn. 208, oder LArbG Baden-Württemberg Urteil vom 17.3.2021, 21 Sa 43/20Rdnr. 60).
Zwischenfazit
Nach dem aktuellen Stand lässt sich also vieles bereits anhand der bestehenden Rechtsprechung ganz gut einordnen. Dabei ist jedoch zu berücksichtigen, dass auch Urteile grundsätzlich nur jeweils zwischen den Parteien gelten und andere Gerichte nicht daran gebunden sind. Allerdings geht von Urteilen höherer Instanzen, wie denen des BGH oder des BAG eine Indizwirkung aus, so dass davon ausgegangen werden kann, dass Gerichte niedrigerer Instanzen nur mit guten Gründen davon abweichen werden.
Missbrauch des Auskunftsrechts
Dort, wo es Rechte gibt, gibt es auch immer Versuche, diese Rechte zu missbrauchen oder für andere Zwecke zu nutzen.
Im Zusammenhang mit dem Auskunftsrecht sind im Wesentlichen die folgenden Missbrauchs-Szenarien denkbar:
- Identität des Betroffenen
Grundsätzlich kann ein Auskunftsrecht nur durch den Betroffenen selbst geltend gemacht werden.
Daher enthält Art. 12 Abs. 6 DSGVO die Option, bei berechtigten Zweifeln an der Identität, eine Bestätigung anfordern. Zur Bestätigung können zum Beispiel bei telefonischen Anfragen zusätzliche Informationen abgefragt werden oder die Übermittlung eines Ausweisdokuments (mit Schwärzung nicht benötigter Daten) verlangt werden. In Betracht kommt ebenfalls die Identifizierung über die Online-Ausweisfunktion, De-Mail oder über ein Post-/Video-Ident-Verfahren oder die Identifizierung über Nutzerkonten.
Je sensibler die Daten, desto höher dürfte hier das Interesse an einer eindeutigen Identifizierung sein, um Risiken durch Identitätsdiebstahl und Missbrauch der Daten zu vermeiden.
Dabei muss zwar einerseits Missbrauch verhindert werden und damit der Antragsteller identifiziert werden. Andererseits darf die Ausübung des Auskunftsrechts nicht durch übertriebene Anforderungen an die Identifikation erschwert werden (zum Beispiel das Verlangen einer Ausweiskopie, obwohl die Anfrage von einer bekannten E-Mail-Adresse oder einem passwortgeschützten Kundenkonto erfolgte).
Zugleich kann das Auskunftsrecht auch durch einen Bevollmächtigten (z. B. ein Rechtsanwalt) oder gesetzliche Vertreter (wie Eltern, aber auch durch einen Betreuer) geltend gemacht werden. Dabei ist nach dem OLG Stuttgart (Urteil v. 31.03.2021, AZ 9U34/21) bei Geltendmachung durch einen Dritten (soweit zutreffend) die Vorlage der Vollmacht im Original zu verlangen. Eine elektronische Form genüge nicht.
- Unbegründete oder exzessive Anträge, Art. 12 Abs. 5 S. 2 DSGVO
Auch der Gesetzgeber hat erkannt, dass es Konstellationen geben kann, bei denen ein Missbrauch des Auskunftsrechts dazu führen soll, dass die Auskunft verweigert werden kann. Diese sind in Art. 12 Abs. 5 S. 2 DSGVO geregelt.
Danach liegt Missbrauch insbesondere dann vor, wenn exzessive Anträge gestellt werden, so dass ein rechtsmissbräuchliches Verhalten des Antragstellers anzunehmen ist.
Dazu gehört die häufige Wiederholung eines Antrags (zum Beispiel des Antrags auf Auskunft) oder die schikanöse Geltendmachung eines Betroffenenrechts mit dem Ziel, den Verantwortlichen zu schädigen.
Welche Kriterien hierfür genau erfüllt sein müssen, lässt das Gesetz jedoch offen.
Zugleich ist ein Nachweisdes Missbrauchs (Art. 12 Abs. 5 S. 3) durch den Verantwortlichen nötig. Die gänzliche Verweigerung der Auskunft dürfte daher nur in seltenen Ausnahmefällen, als ultima ratio, zum Tragen kommen. Soll die Auskunft daher auf dieser Basis verweigert werden, sind Unternehmen gut beraten, die Gründe aus denen sich das missbräuchliche Verhalten ergibt gut zu dokumentieren.
- Auskunftsrecht als prozesstaktisches Mittel
Zuletzt hat sich in der Praxis noch eine weitere Konstellation herauskristallisiert, nämlich als prozesstaktisches Mittel zur Vorbereitung oder im laufenden Gerichtsprozess (z.B. Kündigungsschutzklage). Dabei werden durch den Betroffenen (bzw. seinen Rechtsbeistand) Kopien sämtlicher vorhandener Daten gefordert (z.B. Abrechnungen, E-Mail-Konversationen, WhatsApp-Chats, Login-Daten, etc.).
Dadurch kann unter Umständen ein gewisser Druck erzeugt werden, der zum Beispiel zum Abschluss von für das Unternehmen ungünstigen Vergleichen führen kann (gegebenenfalls auch in Verbindung mit Drohung mit Aufsichtsbehörde). Aber auch die möglicherweise erleichterte Beweisführung für die betroffene Person kann der eigentliche Hintergrund für einen Auskunftsanspruch sein.
Allerdings hatte sich das Amtsgericht Bonn (Urt. v. 30.7.2020 – 118 C 315/19), mit dem Umfang des Auskunftsrecht nach Art. 15 DSGVO befasst und dabei festgehalten, dass das Auskunftsbegehren nicht rechtsmissbräuchlich (i.S.d. § 242 BGB) ist wenn vom Betroffenen (hier Kläger), ihn betreffende Daten zur Vorbereitung eines Gerichtsverfahrens vom Beklagten (Unternehmen) heraus verlangt werden. Denn die Verfolgung eines darüber hinaus gehenden beziehungsweise anders gelagerten Zwecks als nur der Rechtmässigkeitskontrolle im Hinblick auf die Verarbeitung der eigenen personenbezogenen Daten (Erw.G 63) begründe noch nicht den Einwand des Rechtsmissbrauchs. Dies müsse, so das AG Bonn, erst recht gelten, wenn die beauskunfteten Informationen benötigt werden, um die eigene Position in einem Gerichtsverfahren, bei der das Unternehmen gar nicht Partei ist, zu stärken.
Eine gefestigte Rechtsprechung dazu liegt allerdings noch nicht vor, so dass abzuwarten bleibt, wie sich das Thema weiterentwickelt.
Fazit
Unternehmen sollten das Thema Auskunftsrecht nicht auf die leichte Schulter nehmen.
Hier ist die gute Vorbereitung das A und O, um im Falle einer Auskunftsanfrage die notwendigen Schritte treffen und die Auskunft vollständig erteilen zu können.
Dazu gehört die Implementierung eines internen Prozesses, der allen Beschäftigten bekannt ist, aber auch die Schulung der Beschäftigten, um etwaige Auskunftsanfragen auch als solche erkennen und identifizieren zu können. Letztlich sollte auch sichergestellt werden, dass jederzeit bekannt beziehungsweise auswertbar ist, an welchen Stellen im Unternehmen personenbezogene Daten zum Beispiel des Kunden oder des Beschäftigten als betroffene Person verarbeitet werden. Hilfreich ist dazu ein stets aktuelles Verarbeitungsverzeichnis und eine Dienstleisterübersicht, in der die einbezogenen Auftragsverarbeiter dokumentiert sind.
Zur Autorin
Natalia Wozniak ist zugelassene Rechtsanwältin bei der Rechtsanwaltskammer Düsseldorf. Seit 2021 ist sie bei der migosens GmbH als Beraterin für Datenschutz und Teamleiterin für das Außendienstteam tätig. Ihre praktischen Erfahrungen sammelte Sie zunächst intern im Bereich Datenschutz & Compliance in der öffentlichen Verwaltung sowie später branchenübergreifend als externe Datenschutzbeauftragte für zahlreiche Unternehmen. Dem entsprechend greift Sie auf einen langjährigen und breiten Erfahrungsschatz zurück, der mit der Durchführung von Datenschutzaudits (als Datenschutz-Auditor (TüV)) und der Projektberatung im Telekommunikationsumfeld komplettiert wird