Zum Inhalt springen Zur Navigation springen
DSGVO-Auskunft: Geld her oder Aufsichtsbehörde!

DSGVO-Auskunft: Geld her oder Aufsichtsbehörde!

Artikel von Christopher Schewior·14. August 2023

Den Auskunftsanspruch nach Art. 15 DSGVO kann man guten Gewissens als das wichtigste Betroffenenrecht bezeichnen. Gleichzeitig sorgt er regelmäßig für genervte Unternehmen. Es ist in der Praxis gar nicht so einfach, ein Auskunftsbegehren ordnungsgemäß zu erfüllen. Dies liegt auch daran, dass vor allem in Detailfragen viele verschiedene und zum Teil gegenläufige Gerichtsentscheidungen ergangen sind.

Grundlage für alle Betroffenenrechte

Wie weit reicht der Anspruch? Müssen Telefonnotizen auch beauskunftet werden? Kann der Betroffene (Foto-)Kopien vom Verantwortlichen verlangen? Diese und andere Fragen halten die Gerichte seit Jahren auf Trab. Der Auskunftsanspruch ist auch deswegen so bedeutsam, weil er die Grundlage für die weiteren Betroffenenrechte bildet. Denn nur wenn die betroffene Person weiß, ob und welche Daten beim Verantwortlichen über sie vorhanden sind, kann die betroffene Person feststellen, ob die Daten rechtmäßig verarbeitet werden oder nicht.

Das Recht auf Auskunft bezieht sich nämlich nicht nur auf die reinen (Stamm-)Daten als solche, sondern auch auf alle anderen Informationen, die beim Verantwortlichen in Bezug auf die betroffene Person verarbeitet werden. Dies schließt also auch erst einmal sämtliche vorhandene Kommunikation oder Einzelheiten zu Verträgen mit ein. Je nach Dauer der Geschäftsbeziehung kann da eine erhebliche Menge an Daten anfallen. So ist es nicht überraschend, dass die meisten Unternehmen nicht unbedingt begeistert sind, wenn ein Auskunftsersuchen nach Art. 15 DSGVO ins Haus flattert.

Unrechtmäßige Datenverarbeitung durch Website?

Aus dem Berateralltag kann man zudem berichten, dass der Auskunftsanspruch gerne auch von betroffenen Personen benutzt wird, um Unternehmen, mit denen man nicht zufrieden war, eins auszuwischen oder anderweitig unter Druck zu setzen. Ein solcher Fall hat sich kürzlich in Österreich zugetragen. Hier hatte ein Webseitenbesucher dem Betreiber der Website vorgeworfen, seine personenbezogenen Daten unrechtmäßig zu verarbeiten. Ein solcher Fall ist in Zeiten von undurchsichtigen Cookie-Consent-Bannern oder der Nutzung von Google Fonts keine Seltenheit mehr. Vorliegend habe der Webseitenbetreiber ein Analyse-Tool auf seiner Website eingebunden, darauf aber in der Datenschutzerklärung nicht hingewiesen.

Der spätere Beschwerdeführer hatte zudem den Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht. Der Webseitenbetreiber hat daraufhin auch die entsprechende Auskunft erteilt. Diese war nach Ansicht der betroffenen Person aber unvollständig. So seien auch in der Auskunft selbst keine Angaben zur Datenverarbeitung mittels des oben genannten Tools gemacht worden.

Ein unmoralisches Angebot

Nachdem der Webseitenbetreiber dieses Vorbringen mit dem Hinweis, das Auskunftsersuchen des Betroffenen ordnungsgemäß erfüllt zu haben, zurückgewiesen hatte, legte der spätere Beschwerdeführer nach:

„Bezugnehmend auf ihre Schreiben an mich muss ich ihnen [sic] leider mitteilen, dass sie [sic] meine Daten widerrechtlich verarbeiten, Ihre Pflichten aus Art 15 DSGVO unvollständig und fehlerhaft erfüllt haben und mich daher ihr nachlässiger Umgang mit dem Thema Datenschutz nicht nur massiv nervt, sondern mir auch erhebliches Unwohlsein bereitet.

Ich erkläre mich aber gerne bereit den mir von ihnen zugefügten Schaden durch eine einmalige Zahlung von EUR 2.900,00 unter Angabe des Verwendungszwecks, (…) binnen einer Woche auf mein Konto IBAN AT (…) zur Gänze ersetzen zu lassen.

Im Gegenzug verpflichte ich mich dazu keine Beschwerde bei der Datenschutzbehörde bzw. keine Schadenersatzklage beim zuständigen Gericht gegen Sie einzubringen.“

Der Webseitenbetreiber ging auf dieses fragwürdige Angebot nicht ein. Daraufhin wandte sich der Beschwerdeführer an die österreichische Datenschutzaufsicht. Grundsätzlich müssen die Aufsichtsbehörden der EU-Mitgliedsstaaten tätig werden, wenn und soweit sie Kenntnis von möglicherweise unrechtmäßigen Datenverarbeitungen erlangen. Gemäß Art. 57 Abs. 1 lit. a DSGVO muss jede Aufsichtsbehörde

„…die Anwendung dieser Verordnung überwachen und durchsetzen.“

Dazu gehört auch die Bearbeitung von Anfragen und Beschwerden von betroffenen Personen nach Art. 57 Abs. 1 lit. e, f DSGVO. Wenn die Behörden zum Ergebnis kommen, dass ein Verantwortlicher gegen Datenschutzvorschriften verstößt, können die Behörden Abhilfemaßnahmen aus dem Katalog des Art. 58 Abs. 2 DSGVO verhängen. Neben Verwarnungen oder konkreten Weisungen kann die Behörde natürlich auch die gefürchteten Bußgelder nach Art. 83 DSGVO verhängen.

Keine Regel ohne Ausnahme!

Wie so oft im Datenschutzrecht, gibt es auch hier eine Ausnahme zur Regel. Gemäß Art. 57 Abs. 4 DSGVO kann die Behörde sich weigern tätig werden, wenn es sich um eine offensichtlich unbegründete oder eine exzessive Anfrage handelt. Dabei ist man sich in der Datenschutzwelt weitgehend einig, dass die Ausnahmetatbestände sehr zurückhaltend auszulegen sind. Schließlich trägt die jeweilige Aufsichtsbehörde die Beweislast für das Vorliegen eines der Ausnahmetatbestände. Genau solch eine Ausnahme hat die österreichische Aufsichtsbehörde angenommen:

„Wie festgestellt, bot der Beschwerdeführer den Beschwerdegegnern an, gegen eine Zahlung von € 2.900,– von der Beschwerdeerhebung bei der Datenschutzbehörde abzusehen. Vor diesem Hintergrund kann nach Ansicht der Datenschutzbehörde beim Beschwerdeführer allerdings von keinem tatsächlichen Rechtschutzbedürfnis ausgegangen werden, weshalb die verfahrensgegenständliche Beschwerdeerhebung als unredlich und die Inanspruchnahme der Tätigkeit der Datenschutzbehörde durch den Beschwerdeführer als rechtsmissbräuchlich zu qualifizieren ist.“

Die Beschwerde war nach Auffassung der Behörde also wegen offensichtlicher Unbegründetheit abzulehnen.

Recht auf Auskunft gilt nicht uneingeschränkt

Die Entscheidung der österreichischen Aufsichtsbehörde ist aus mehreren Gründen spannend. Zunächst ist interessant, dass die Aufsichtsbehörde nur relativ kurz den Tatbestand der offensichtlichen Unbegründetheit beleuchtet und bejaht. Nach Ansicht der Aufsichtsbehörde war das Verhalten des Beschwerdeführers wohl von so offensichtlicher Dreistigkeit geprägt, dass die Beschwerde eindeutig zurückgewiesen worden ist. Zudem macht die Entscheidung deutlich, dass auch Betroffenenrechte nicht uneingeschränkt gelten. Betroffenenrechte sollen nicht zum reinen Selbstzweck verkommen, sondern es muss auch hier ein echtes Rechtsschutzbedürfnis bestehen.

Bei der Vorgehensweise des Beschwerdeführers erscheint dies in dem obigen Fall in der Tat äußerst fraglich. Einem objektiven Betrachter dürfte sich hier sehr stark aufdrängen, dass der Beschwerdeführer vor allem finanzielle Interessen im Sinn hatte. Insofern erinnert der Fall stark an die Versuche vieler angeblich betroffener Personen, die vor nicht allzu langer Zeit versucht haben, wegen angeblich falscher Einbindung von Google Fonts Schadensersatz gegenüber Unternehmen geltend zu machen. Auch wenn der hier besprochene Sachverhalt nicht in allen Belangen typisch ist für die Geltendmachung von Betroffenenrechten, lässt sich die Entscheidungsfindung der österreichischen Aufsichtsbehörde sicherlich auf ähnlich gelagerte Fälle übertragen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.