Zum Inhalt springen Zur Navigation springen
Die Kopie von personenbezogenen Daten im Auskunftsanspruch

Die Kopie von personenbezogenen Daten im Auskunftsanspruch

Der Auskunftsanspruch nach Art. 15 DSGVO gehört zu einem der Hauptansprüche den Betroffene geltend machen können und gibt ihnen nach Art. 15 Abs. 3 DSGVO das Recht auf Erhalt einer Kopie aller verarbeiteten personenbezogenen Daten. Dieser Anspruch stellt viele Unternehmen, insbesondere im Bereich B2C vor Umsetzungsprobleme. Der Artikel befasst sich mit der Frage, wie weit der Anspruch auf eine Kopie zu verstehen ist und gibt Tipps zur Umsetzung.

Problematischer Art. 15 Abs. 3 DSGVO

Nachdem ein Auskunftsersuchen eines Betroffenen bei der verantwortlichen Stelle, z.B. ein Unternehmen, eingegangen ist, werden zunächst alle Datenbanken des Unternehmens überprüft, um die Informationen zu sammeln, die notwendig sind um den Katalog des Art. 15 Abs. 1 DSGVO zu erfüllen. Abhängig davon wie organisiert ein Unternehmen ist, wer innerhalb des Unternehmens zuständig, auf wieviel Systemen die Informationen verteilt sind und wann mit der Suche begonnen wird, kann hierfür schon der größte Teil der einmonatigen Frist benötigt werden. Erst dann fällt vielen Verantwortlichen Art. 15 Abs. 3 DSGVO auf.

Inhalt der Norm

In Art. 15 Abs. 1 S. 3 DSGVO heißt es schlicht und einfach, dass der Verantwortliche eine Kopie der personenbezogenen Daten zur Verfügung stellt, die Gegenstand der Verarbeitung waren. Dies wirft vor allem die Frage auf, wie umfangreich diese Kopie ausgestaltet sein muss. Müssen jetzt Dokumente über alle personenbezogenen Daten, die in einer Kunden-Unternehmensbeziehung jemals angefallen sind erstellt werden und zu einer riesigen Datei zusammengefasst werden oder reicht ein Auskunftsschreiben mit den wesentlichen Informationen aus?

Genügt ein Auskunftsschreiben?

Eine Meinung vertritt die Ansicht, dass das Auskunftsschreiben aus Art. 15 Abs. 1 DSGVO als Kopie im Sinne des Art. 15 Abs. 3 DSGVO gilt. Als Argument wird angeführt, das die Abwägung in Art. 15 Abs. 4 DSGVO sich nicht nur auf Kopien sondern auch auf das Auskunftsrecht an sich bezieht. Dieser Gedanke würde auch in Erwg 63 verdeutlicht. Des Weiteren benennt die Überschrift der Norm nur das Auskunftsrecht und nicht das Herausgaberecht. Nach dieser Ansicht reicht die Auskunft aus Art. 15 Abs. 1 DSGVO als Kopie aus, so dass umfangreich Kopien von Dokumenten, in denen die Daten des Betroffenen auftauchen nicht notwendig sind.

Weites Verständnis

Eine andere Ansicht sieht Art. 15 Abs. 3 als Ergänzung zu Art. 15 Abs. 1 DSGVO an. Demnach hat der Betroffene neben dem Auskunftsrecht auch einen umfassenden Herausgabeanspruch auf eine Kopie aller Dokumente in denen seine personenbezogenen Daten verarbeitet werden. Als Argument wird ins Feld geführt, dass sich der Betroffene nur mit einer vollständigen Kopie aller seiner Daten ein genaues Bild darüber verschaffen kann, welche personenbezogenen Daten in welcher Weise verarbeitet werden. Gegen diese Auffassung spricht der Wortlaut des Erwg 63, der ein Recht auf Herausgabe einer Kopie nicht ausdrücklich vorsieht. Des Weiteren sieht Erwg 63 Abs. 4 andere Möglichkeiten vor, dem Betroffenen Informationen über seine Daten zur Verfügung zu stellen.

Ansicht der Aufsichtsbehörden

Das DSK Papier Nr. 6 ist leider zu diesem Thema wenig aussagefähig. Auch hier wird nur erwähnt, dass der Betroffene eine Kopie zur Verfügung stellen muss. Die französische Aufsichtsbehörde CNIL hat einen Leitfaden veröffentlicht der z.B. bei soziale Netzwerke vorsieht den Betroffenen die Möglichkeit, eine Kopie der Daten ganz oder teilweise mit einem Klick herunterzuladen. Wenn man die Vielzahl der Betroffenenanfragen berücksichtigt, kann hier nur eine Übersicht der Daten gemeint sein. Auch wenn sich die Argumente, die einen allumfassenden Anspruch auf eine Kopie aller verwendeten personenbezogenen Daten verneinen, durchaus nachvollziehen lässt, muss gesagt werden, dass die rechtssichere Methode ist, eine Kopie aller verarbeiteten Daten zur Verfügung zu stellen. Auch wenn dies oft viel Aufwand bedeutet.

Für die Praxis ist zu empfehlen eine Standard-Dokument für den Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO vorzuhalten, alle Kundendaten möglichst zentral zu verwalten, nicht zu viele externe Dienstleister zu beschäftigen die personenbezogene Daten erhalten und den Grundsatz der Datensparsamkeit zu befolgen.

Unentgeltlichkeit der Kopie

Der Verantwortliche darf für das erste Auskunftsverlangen kein Entgelt verlangen. Für alle weiteren Kopien, die der Betroffene beantragt, kann der ein angemessenes Entgelt auf Basis seiner Verwaltungskosten verlangen. Haben sich die Daten des Betroffenen mit der Zeit aber wesentlich geändert, muss eine weitere Kopie dieser Daten auch unentgeltlich erfolgen.

Form der Kopie

Grundsätzlich kann der Betroffene frei wählen, ob er die Kopie in gebundener Papierform oder auf elektronischen Wege erhalten möchte. Falls der Betroffene seinen Antrag aber in elektronischer Form stellt, z.B. per E-Mail, muss der Verantwortliche ihm die Kopie in einem gängigen elektronischen Format zur Verfügung stellen. Ein gängiges elektronisches Format ist z.B. pdf oder png. ErwG 63 spricht auch von der Möglichkeit eines Fernzugangs. Die Bereitstellung eines Online-Portals in dem die Kopie abgerufen werden kann, ist für den Verantwortlichen aber nicht verpflichtend.

Einschränkung des Anspruchs

Nach Art 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Solche Rechte und Freiheiten anderer Personen können nach ErwG 63 DSGVO etwa Geschäftsgeheimnisse oder das Recht des geistigen Eigentums sein. Daten die die Rechte und Freiheiten Dritter jedoch nicht tangieren können als Kopie dennoch zur Verfügung gestellt werden.

Abschließend ist zu sagen, dass das Recht auf erhalt einer alles umfassenden Kopie oftmals zu Mehraufwand im Unternehmen führt. Solange sich die Aufsichtsbehörden nicht eindeutig zu dem Thema geäußert haben ist dies aber der rechtssichere Weg.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.