Der Europäische Datenschutzausschuss (EDSA) hat am 28.01.2022 Leitlinien zum Auskunftsrecht veröffentlicht. Das Betroffenenrecht auf Auskunft ist in der Praxis wohl das meist genutzte Instrument aus dem Betroffenen zur Verfügung stehenden Werkzeugkoffer der DSGVO (teils auch zur Verfolgung sachfremder Ziele bzw. rechtsmissbräuchlichen Schikanen). Unternehmen müssen zur Erfüllung von Auskunftsrechten teils ganz erhebliche Ressourcen aufwenden, vor allem bei der Bereitstellung von Datenkopien. Umfang und etwaige Grenzen werden denn auch intensiv diskutiert. Die neuen EDSA-Leitlinien zeigen sich hier extensiv: Das Auskunftsrecht ist umfassend. Unternehmen müssen sich weiterhin auf einen ganz erheblichen Aufwand einstellen. Wir haben die wichtigsten Aspekte zusammengefasst.
Die Leitlinien des Europäischen Datenschutzausschuss (EDSA) thematisieren das Recht auf Auskunft gemäß Art. 15 DSGVO. Ziel des Auskunftsrechts ist es, dem Betroffenen ausreichende, transparente und leicht zugängliche Informationen über die Verarbeitung seiner personenbezogenen Daten zur Verfügung zu stellen. Er soll damit die Rechtmäßigkeit der Verarbeitung und die Richtigkeit der verarbeiteten Daten erkennen und überprüfen können. Da Art. 15 DSGVO das Recht auf Auskunft abstrakt formuliert und Raum für Auslegung und Interpretation lässt, werden seit Verabschiedung der DSGVO der Umfang und etwaige Grenzen intensiv diskutiert.
Insgesamt vertritt der EDSA nun erwartungsgemäß eine strenge Auslegung zugunsten der Betroffenen. Der Auskunftsanspruch sei weit auszulegen, wodurch nur wenige Fälle verbleiben, in denen Auskunftsersuchen verweigert oder inhaltlich begrenzt werden können.
Schritt 1: Interpretation und Bewertung des Auskunftsersuchens
Betroffene können sich formlos und ohne Angabe von Gründen an den für die Verarbeitung Verantwortlichen wenden und von ihm Auskunft über ihre bei ihm verarbeiteten personenbezogenen Daten verlangen. Nur Anfragen, die an völlig willkürliche und offensichtlich unrichtige Adressen gesendet werden, können unbeachtet bleiben.
Anwendungsbereich des Art. 15 DSGVO
Erreicht den Verantwortlichen ein Auskunftsersuchen muss er zunächst prüfen,
- ob sich das Auskunftsersuchen auf personenbezogene Daten bezieht und
- ob sich es sich bei der Anfrage um ein Auskunftsersuchen i.S.d. Art. 15 DSGVO handelt und sich nicht auf eine andere (speziellere) rechtliche Grundlage (z.B. Zugang zu öffentlichen Dokumenten) oder ein anderes Betroffenenrecht bezieht.
Identifikation des Betroffenen
Der Verantwortliche muss sicherstellen, dass nur dem Berechtigten Daten zur Verfügung gestellt werden. Hat der Verantwortliche Zweifel daran, dass die auskunftsersuchende Person diejenige ist, die sie vorgibt zu sein, muss er zusätzliche Informationen anfordern, um die Identität der zu bestätigen. Hat ein Dritter einen Antrag auf Auskunft über personenbezogene Daten gestellt, darf der Verantwortliche, dem Dritten die personenbezogenen Daten nur zur Verfügung stellen, wenn er die Berechtigung des Dritten überprüft hat. In der Praxis sollten keine Informationen an unbekannte E-Mail-Adresse übermittelt werden, auch telefonisch sollten Auskunftsersuchen regelmäßig nicht beantwortet werden.
Gegenstand des Auskunftsersuchens
Der Verantwortliche den Inhalt des Auskunftsersuchens prüfen. Ist er aufgrund eines ungenau formulierten Antrags nicht in der Lage, die personenbezogenen Daten zu ermitteln, muss er den Betroffenen um zusätzliche Informationen bitten. Stellt der Betroffene die angeforderten Informationen nicht zur Verfügung, kann der Verantwortliche die Auskunft verweigern.
Im Zweifel bezieht sich ein Antrag auf alle personenbezogenen Daten des Betroffenen, die beim Verantwortlichen verarbeitet werden. Der Verantwortliche kann den Betroffenen dazu auffordern, sein Auskunftsersuchen zu präzisieren, wenn eine große Menge an Daten verarbeitet wird. Verpflichtet ist der Betroffene dazu aber nicht.
Schritt 2: Beantwortung des Auskunftsersuchens
Bei der Beantwortung des Auskunftsersuchens muss der Verantwortliche
- bestätigten, ob personenbezogene Daten über die Betroffene Person verarbeitet werden oder nicht,
- Zugang zu diesen Daten gewähren und
- zusätzliche Informationen über die Verarbeitung, wie den Zweck, die Datenkategorien und Empfänger, Dauer der Verarbeitung, Rechte der betroffenen Personen, ggf. die Herkunft der Daten (Art. 15 Abs. 1 lit. a – h DSGVO) und angemessene Garantien im Falle von Übermittlungen in Drittländer (Art. 15 Abs. 2 DSGVO) bereitstellen.
Der Verantwortliche muss dem Auskunftsersuchenden alle personenbezogenen Daten zugänglich machen, die sich auf seine Person beziehen (Punkt 2) und Gegenstand des Auskunftsersuchens sind (siehe Schritt 1). Nach Ansicht des EDSA sind neben Daten, die nur die betroffene Person selbst betreffen, auch Daten bereitzustellen, die (auch) andere Personen betreffen (z.B. Chatverläufe). Hinsichtlich der zusätzlichen Informationen (Punkt 3) kann der Verantwortliche grundsätzlich auf die Informationen zurückgreifen, die er im Verarbeitungsverzeichnis (Art. 30 DSGVO) festgehalten hat und in den allgemeinen Datenschutzhinweisen (Art. 13, 14 DSGVO) zur Verfügung stellt. Ggf. müssen diese Informationen jedoch für den konkreten Fall aktualisiert oder angepasst werden; dies ist stets zu überprüfen.
Ermittlung der personenbezogenen Daten
Der Verantwortliche muss die von ihm verarbeiteten personenbezogenen Daten des Betroffenen in allen IT- und Nicht-IT-Systemen suchen, die er zur Ablage von Daten nutzt. Zu verwenden sind dabei geeignete Suchkriterien, die auf den vom Betroffenen bereitgestellten Informationen beruhen und berücksichtigen, wie die Daten in den Systemen strukturiert sind (z.B. Kundennummer, IP-Adresse, Berufsbezeichnung, Familienverhältnisse etc.).
Der Auskunftsanspruch erfasst auch unrichtige Daten sowie möglicherweise unrechtmäßig verarbeitete Daten. Lediglich Daten, die nicht mehr beim Verantwortlichen vorhanden sind, weil sie etwa aufgrund einer Aufbewahrungsregel gelöscht wurden, sind nicht zur Verfügung zu stellen.
Art und Weise der Bereitstellung
Die Auskunft muss in präziser, transparenter, verständlicher und leichter Form unter Verwendung einer klaren und verständlichen Sprache erfolgen (Art. 12 Abs. 1 DSGVO).
Der Verantwortliche muss die Daten dem Betroffenen zudem auch als Kopie bereitstellen (Art. 15 Abs. 3 DSGVO). Das bereitet ob es Umfangs in der Regel die größten Schwierigkeiten.
Eine zusammenfassende Darstellung, die dazu führt, dass nicht mehr alle Daten enthalten sind oder Inhalte verändert werden, ist nicht ausreichend. Nur wenn der Betroffene eine andere Art der Bereitstellung wünscht, etwa Zugang vor Ort oder mündliche Übermittlung, kann von der Bereitstellung einer Kopie abgesehen werden.
Zeitraum, innerhalb dem Auskunft zu erteilen ist
Der Antrag muss unverzüglich bearbeitet und beantwortet werden; in jedem Fall ist der Antrag innerhalb eines Monats nach Eingang zu beantworten (Art. 12 Abs. 1 S. 1 DSGVO). Nur ausnahmsweise kommt eine Verlängerung der Frist um zwei Monate in Betracht.
Schritt 3: Prüfung von Beschränkungen des Auskunftsersuchens
Der EDSA stellt klar, dass der Verantwortliche die Auskunft nicht allgemein mit der Begründung verweigern darf, dass die Auskunft für ihn mit einem unverhältnismäßigen Aufwand verbunden ist. Die DSGVO begrenzt den Auskunftsanspruch nur in folgenden Punkten:
- Keine Beeinträchtigung der Rechte und Freiheiten anderer Personen: Das Recht auf Erhalt einer Kopie der personenbezogenen Daten ist durch die Rechte und Freiheiten anderer Personen beschränkt. Nach Ansicht des EDSA ist diese Bestimmung weit auszulegen: Rechte und Freiheiten anderer Personen dürfen nicht beeinträchtigt werden. Dem ist durch Schwärzungen Rechnung zu tragen. Der Verantwortliche darf das Ersuchen regelmäßig nicht vollständig ablehnen.
- Offensichtlich unbegründete und exzessive Anträge: Bei offensichtlich unbegründeten und exzessiven Anträgen des Betroffenen kann der Verantwortliche Anträge ablehnen oder ein angemessenes Entgelt verlangen. Diese Beschränkung des Auskunftsanspruchs ist nach Ansicht des EDSA eng auszulegen. Aufgrund der geringen Anforderungen an ein Auskunftsersuchen könne nur in den seltensten Fällen von einem offensichtlich unbegründeten Antrag ausgegangen werden. Ob die Häufigkeit der Anträge des Betroffenen als exzessiv einzustufen ist, richte sich nach der Unternehmensbranche in der der Verantwortlich tätig ist: Je häufiger Datenbanken geändert werden, desto häufiger kann ein Betroffener auch Auskunft verlangen, ohne das dies als übertrieben zu bewerten ist. Denkbar ist auch eine Beschränkung des Auskunftsrechts im Hinblick auf missbräuchliche Anträge, die allein darauf ausgerichtet sind, dem Verantwortlichen zu schaden.
Umgang mit den Leitlinien
Leitlinien des EDSA sind nicht rechtsverbindlich. Sie markieren indes die Position der Datenschutzaufsichtsbehörden. Werden die Leitlinien eingehalten, ist ein aufsichtsbehördliches Verfahren unwahrscheinlich.
Die Leitilnien bieten denn auch praktische Hilfestellungen, so u.a. ein Flussdiagramm für die Strukturierung der Abläufe im Fall eines Auskunftsersuchens.
Was sollten Unternehmen tun?
Unternehmen sollten Prozessvorgaben implementieren, wie Auskunftsersuchen zu bearbeiten sind. Die jetzt veröffentlichten Leitlinien des EDSA bieten hierfür eine gute Hilfestellung. Klar definierte Prozesse sowie Textvorlagen für verschiedene Situationen ermöglichen die effiziente Bearbeitung.
Zudem sollten die EDSA-Leitlinien „auf Abruf“ liegen, wenn ein Auskunftsersuchen zu umfangreich, zweckfremd oder missbräuchlich erscheint. In diesen Fällen lohnt eine vertiefte Prüfung, wie mit diesem umgegangen wird. Gleichzeitig sollten allen Anfragen von Betroffenen im Einzelfall geprüft und bewertet werden, auch um die Motivlage und den Gesamtkontext zu berücksichtigen.