Die Geltendmachung des Auskunftsrechts gemäß Art. 15 DSGVO erfährt immer größere Beliebtheit. Bei der Bearbeitung warten einige Fallstricke auf. Selbst wenn man dem Ersuchen nachkommt, kann es bei der Bearbeitung der Auskunft zu Fehlern kommen, die schlimmstenfalls mit einem Bußgeld geahndet werden. Wir haben die wichtigsten Fallgruppen zusammengestellt.
Der Inhalt im Überblick
- Das Auskunftsersuchen wird nicht vollständig erfüllt
- Negativauskunft wird vergessen
- Verständliche Form ist zu wahren
- Auskunftsersuchen erfüllt, aber Rechte Dritter beeinträchtigt
- Die Frist wird nicht eingehalten
- Dokumentations- und Mitteilungspflichten
- Die Auskunft innerhalb anderer Streitigkeiten
- Wie sollen die Daten übermittelt werden?
- Löschung und Auskunft
- Betroffenenrechte werden nicht mitgeteilt
- Was können die Rechtsfolgen sein?
Das Auskunftsersuchen wird nicht vollständig erfüllt
Damit die Erfüllung des Anspruchs eintritt, müssen selbstverständlich die in Art. 15 Abs. 1 DSGVO genannten Informationen erteilt werden. Diese sind:
- Die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Drittlandsbezug
Übersehen wird aber oft, dass für den Fall, dass personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden, zudem Auskunft über die geeigneten Garantien gem. Art. 46 DSGVO zu geben (Art. 15 Abs. 2 DSGVO).
Metadaten
Auch werden manchmal bestimmte Datenarten übersehen.
Beauskunftet werden müssen sowohl die eigentlichen Daten selbst, welche zum Zeitpunkt der Anfrage beim Verantwortlichen vorhanden sind, als auch Zusatzinformationen dazu. Dabei handelt es sich um so genannte Metadaten. Die Auskunft über solche Metadaten misslingt manchmal.
Beispiel: Zu den Metadaten einer Computerdatei gehören unter anderem der Dateiname, die Zugriffsrechte und das Datum der letzten Änderung. Wenn eine betroffene Person also ihr Recht auf Auskunft zu E-Mails ausüben möchte, müssen sowohl die Metadaten (Zeitstempel, Empfänger …) als auch der Inhalt der E-Mails zur Verfügung gestellt werden.
Art. 15 DSGVO nennt im Sinne von Metadaten bestimmte Informationskategorien, hinsichtlich derer der Verantwortliche der betroffenen Person in der Regel bereits bei oder nach der Datenerhebung gemäß Art. 13 DSGVO und Art. 14 DSGVO eine Mitteilung machen musste. Die frühere Mitteilung ändert allerdings nichts an dem Auskunftsrecht, denn dieses steht selbstständig neben den Informationspflichten. Die Metainformationen müssen zum Zeitpunkt der Auskunftserteilung aktuell sein. Zudem kann es notwendig sein, dass Metainformationen selbst erst gespeichert werden müssen, um sie beauskunften zu können. Das ist zulässig, auch wenn der Verantwortliche sie für eigene Zwecke nicht oder nicht mehr benötigt.
Personenbezogene Daten können sogar dann vorliegen, wenn diese mittels eines Hash-Verfahrens und anschließender Überschlüsselung pseudonymisiert worden sind.
Empfänger werden weggelassen
Der EuGH legt dabei fest, dass die betroffenen Personen das Recht haben, die genaue Information über bestimmte Empfänger zu erhalten oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern. Kategorien von Empfängern dürfen nur dann genannt werden, wenn der Verantwortliche die einzelnen Empfänger tatsächlich nicht identifizieren kann (z.B., weil er sie nicht kennt) oder der Auskunftsantrag der betroffenen Person offenkundig unbegründet oder exzessiv ist (Art. 12 Abs. 5 DSGVO) und der Verantwortliche dies nachweisen kann. In der Praxis sollten Unternehmen daher in aller Regel Auskunft über die konkreten Empfänger der personenbezogenen Daten erteilen und nur in Ausnahmefällen auf die Nutzung von Empfängerkategorien zurückgreifen.
Negativauskunft wird vergessen
Auch eine sogenannte Negativauskunft ist zu erteilen. Die Antwort des Verantwortlichen kann negativ ausfallen, soweit der Verantwortliche entweder keine personenbezogenen Daten verarbeitet oder personenbezogene Daten anonymisiert hat. Eine Pseudonymisierung der Daten reicht aber nicht aus!
Verständliche Form ist zu wahren
Zu beachten ist, dass die Daten in verständlicher Form zur Verfügung gestellt werden müssen. Die betroffene Person muss die gelieferten Daten in angemessener Zeit mit angemessenem Aufwand verstehen können. Denn Sinn und Zweck des Auskunftsrecht ist, dass der Betroffene einen Überblick bekommt, ob und wie seine personenbezogenen Daten verarbeitet werden, sodass er dann seine weiteren Betroffenenrechte umfassend wahrnehmen kann. Das bedeutet, insbesondere bei umfangreichen Datensätzen oder bei Verwendung von nicht allgemeinverständlichen Begriffen, muss vom Verantwortlichen allenfalls eine Erläuterung zu den Daten mitgeliefert werden.
Auskunftsersuchen erfüllt, aber Rechte Dritter beeinträchtigt
Eine Auskunft kann aber auch zu weit gehen.
Eine Auskunft darf nicht erteilt werden, wenn die Rechte und Freiheiten einer anderen Person beeinträchtigt wird (Art. 15 Abs. 4 DSGVO). Dies kann der Fall sein, wenn durch eine Auskunft Geschäftsgeheimnisse oder relevante personenbezogene Daten Dritter verraten oder gesetzliche Verschwiegenheitspflichten verletzt würden.
Schwärzungen
Übliches Beispiel sind vorzunehmende Schwärzungen in E-Mails, wenn dort personenbezogene Daten von Dritten auftauchen. Bei der Schwärzung darf aber Aussagegehalt, bzw. der Wesensgehalt der E-Mail nicht verloren gehen. Wenn also auch andere personenbezogene Daten in den Informationen vorkommen, muss immer eine Abwägung getroffen werden, ob die schutzwürdigen Interessen des Dritten oder die Interessen des Anspruchsstellers überwiegen.
Gesetzliche Geheimhaltungs- oder Verschwiegenheitspflichten
Existiert eine gesetzliche Geheimhaltungspflicht oder ein Berufsgeheimnis wie z.B. für Ärzte oder Anwälte, so kann die Auskunft ebenfalls eingeschränkt werden. Beispielsweise unterliegen Ärzte einer umfassenden Dokumentationspflicht und dem Berufsgeheimnis. Dritte dürfen nur nach der ausdrücklich erteilten Einwilligung des betroffenen Patienten Auskunft erhalten, während der Patient selbst jederzeit das Recht auf Auskunft gegenüber dem Arzt hat. Hat man also mit sensiblen Daten zu tun, ist peinlich darauf zu achten, keine Daten Dritter herauszugeben.
Die Frist wird nicht eingehalten
Der Anspruch muss unverzüglich, spätestens aber nach einem Monat erfüllt werden. Daher sollten Fristen und auch Erinnerungen notiert werden.
Dokumentations- und Mitteilungspflichten
Vergessen wird auch oft, dass der Verantwortliche dazu verpflichtet ist, die entsprechenden Gründe einer etwaigen Verweigerung bzw. Beschränkung zu dokumentieren und gegenüber der betroffenen Person mitzuteilen (Art. 12 Abs. 4 DSGVO). Daneben muss der Ersuchende über die Möglichkeit unterrichtet werden, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen.
Die Auskunft innerhalb anderer Streitigkeiten
Oft kommt es vor, dass innerhalb einer anderen Streitigkeit Auskunftsansprüche geltend gemacht werden. Zum Beispiel im Rahmen eines arbeitsrechtlichen Prozesses. Hier ist genau darauf zu achten, in welchem Stadium des Prozesses der Auskunftsanspruch geltend gemacht wird. Auch wenn er in der Hauptsache nicht mehr weiterverfolgt wird, kann es sein, dass er dennoch zu erfüllen ist. Erfüllt man ihn nicht, weil man fälschlicherweise davon ausgegangen ist, dass er nicht weiterverfolgt wird, oder vergisst man es einfach im Eifer des (Haupt-) Gefechts, so kann man sich weiteren, unangenehmen Rechtsfolgen ausgesetzt sehen.
Wie sollen die Daten übermittelt werden?
Die Auskunft ist fertiggestellt und kann versendet werden. Da stellt sich die Frage, wie der Versand der Informationen zu erfolgen hat.
- Die betroffene Person entscheidet
Die Anforderungen an die Form der Auskunftserteilung ergeben sich aus Art. 12 DSGVO. Danach kann die betroffene Person grundsätzlich entscheiden, wie ihr Auskunftsersuchen zu beantworten ist. Insbesondere darf sie eine Auskunft in elektronischer Form verlangen, wenn sie ihren Auskunftsantrag ebenfalls elektronisch stellt. In diesem Fall hat der Verantwortliche ein gängiges Format zu wählen, das die betroffene Person mit allgemein verfügbarer (nicht notwendigerweise kostenloser) Software verarbeiten kann. - Gängig: E-Mail
Oftmals werden die Daten per E-Mail bereitgestellt.
Aber Vorsicht: Es sollte dem Betroffenen angeboten werden, die E-Mail verschlüsselt zu übermitteln. Sonst kann es einem ergehen, wie einem Verantwortlichen vor dem Arbeitsgericht Suhl. Dieses und der TLfDI stellten ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO fest, weil der Verantwortliche eine vollständige Kopie einer Personalakte als PDF mittels unverschlüsselter E-Mail an den Betroffenen versandt hatte. Dieser Verstoß kann grundsätzlich eine Schadensersatzforderung nach sich ziehen – sofern ein Schaden dargelegt wird. - Fernzugang zu einem sicheren System
In Erwägungsgrund 63 wird als ein zulässiges Verfahren die Bereitstellung eines Fernzugangs zu einem sicheren System genannt, von dem die betroffene Person die Daten abrufen kann. - Der Postweg
Auch eine Übersendung der Daten per Post auf einem physischen Datenträger ist zulässig. Dabei müssen aber die Anforderungen an die Datensicherheit aus Art. 32 DSGVO eingehalten werden. Das bedeutet, dass der physische Datenträger passwortgeschützt sein sollte. Das Passwort sollte telefonisch oder mittels gesonderter Post mitgeteilt werden.
- Mündlich
Ferner kann die betroffene Person gem. Art. 12 Abs. 1 S. 3 DSGVO auch eine mündliche Auskunft verlangen. Sowohl die Anfrage als auch die Auskunft sollte unbedingt vermerkt und dokumentiert werden.
Löschung und Auskunft
Keine Auskunft muss über in der Vergangenheit verarbeitete personenbezogene Daten erteilt werden, welche längst gelöscht sind. Der Umfang der Auskunft ist demnach abhängig vom Zeitpunkt des Auskunftsbegehrens.
Betroffenenrechte werden nicht mitgeteilt
Auch im Rahmen des Auskunftsanspruchs hat der Antragsteller weitreichende und umfassende Betroffenenrechte. Darüber muss er vom Verantwortlichen aufgeklärt werden.
- Berichtigung der Daten,
- Löschung oder Einschränkung der Verarbeitung,
- Widerspruch gegen die Verarbeitung,
- Widerruf der Einwilligung,
- Datenübertragbarkeit
- Beschwerderecht bei der zuständigen Aufsichtsbehörde
Was können die Rechtsfolgen sein?
Mal vom Ergebnis gedacht: Was passiert denn eigentlich, wenn die Auskunft nicht oder nicht richtig erteilt wird? Was ist, wenn Fehler passieren?
Prozessual ist das Recht auf eine Datenkopie gegenüber einem privaten Verantwortlichen durch zivilgerichtliche Leistungsklage geltend zu machen.
Erfüllt der Verantwortliche einen Antrag auf Übersendung einer Datenkopie ganz oder teilweise nicht, nicht ordnungsgemäß oder nicht rechtzeitig, so liegt hierin eine Pflichtverletzung, die gemäß Art. 83 Abs. 5 lit. b DSGVO eine Geldbuße zur Folge haben kann. Denkbar ist daneben, dass der betroffenen Person wegen der Verletzung ein Anspruch auf Schadensersatz aus Art. 82 DSGVO zusteht.
Hier ist ein Satz etwas seltsam:
Überschrift: Verständliche Form ist zu wahren
… Denn Sinn und Zweck sodass er seine weiteren Betroffenenrechte umfassend wahrnehmen kann.
Vielen Dank für den Hinweis. Die Stelle ist korrigiert.
Super Artikel, vielleicht noch eine kleine Anmerkung (falls ich es nicht überlesen habe): Der Verantwortliche muss zuerst die Identität des Anfragenden sicherstellen, dies kann z.B. durch Zusendung einer teilweise geschwärzten Ausweiskopie geschehen.
Man sollte mit der Weitergabe einer Ausweiskopie sehr vorsichtig sein, auch wenn man bestimmte Angaben schwärzt!
Einen sehr echt wirkenden Ausweis kann man im Internet kaufen oder per Software selbst erstellen.
Die Unternehmen müssten die Angeben auf der Ausweiskopie prüfen, aber das wird in der Regel nicht gemacht. Die Betroffenen werden von der unerlaubten Weitergabe ihrer (personenbezogenen) Daten nie etwas erfahren.
Die Möglichkeit der Auskunft auf Grundlage der DSGVO wird heute schon für die Vorbereitung von gezielten Angriffen auf Unternehmen genutzt.
Verständnisfrage zu den Metadaten: Wie soll eine Anfrage bez. E-Mails oder created/last modified Information bei Dateien überhaupt beantwortet werden? Da geht es schlussendlich um tausende e-mails oder Dokumente in welchen solche Informationen vorkommen. Da ist ja ein Schwärzen oder Anonymisieren von Daten anderer Personen ein Ding der Unmöglichkeit und realistisch gar nicht umsetzbar. Oder interpretiere ich da was falsch? Danke für Eure Einschätzung.
Auf diese gute Frage gibt es leider keine einfache und eindeutige Antwort.
Im Ergebnis kommt es, wie meistens, auf den Einzelfall an. Plakativ gesagt: Wenn solche Metadaten personenbezogene Daten darstellen, dann sind sie zu beauskunften, wenn sie im Kontext für eine verständliche und transparente Auskunft notwendig sind und die Auskunft nicht zu unverhältnismäßigem Aufwand für den Verantwortlichen führt.
Aber der Reihe nach:
Zunächst einmal zu den Begrifflichkeiten:
In der Literatur und Rechtsprechung findet sich der Begriff „Metadaten“ in zweifacher Hinsicht. Zum einen werden damit die in Art. 15 Abs. 1 lit. a-h, Abs. 2 DS-GVO aufgelisteten Daten gemeint. Diese stellen Metadaten (oder Metainformationen) dar, welche die betroffene Person benötigt, um einen vollständigen Überblick über die Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen zu erhalten.
Zum anderen sind mit Metadaten zusätzliche Informationen gemeint, wie beispielsweise Zeitstempel, Besitztum oder Rechte. Nach einer Definition sind Metadaten oder Metainformationen „strukturierte Daten, die Informationen über andere Daten enthalten“ (Grützner/Jakob, Compliance von A-Z, Metadaten, beck-online). Daher gibt es auch die Auffassung, dass es sich hierbei um keine personenbezogenen Daten handelt, da es sich eben um Informationen über Daten und nicht um Informationen über natürliche Personen handelt.
Die Frage, in welchem Maße Metadaten zu den zu beauskunftenden Daten gehören, wurde dem EuGH vorgelegt. Dessen Urteil (Urteil vom 4.5.2023 – C-487/21 (F. F./Österreichische Datenschutzbehörde) wird u.a. so interpretiert:
„Entscheidend ist also das Schlagwort „Kontextualisierung“ (Urteil, Rn. 41): So kann es sein, dass eine verständliche Darstellung und transparente Auskunft nur gewährleistet ist, wenn die verarbeiteten personenbezogenen Daten im Zusammenhang als originalgetreue Kopie übermittelt werden. Dies ist insbesondere der Fall, wenn personenbezogene Daten aus anderen Daten, beispielsweise Metadaten, generiert werden (Urteil, Rn. 42).
(Anmerkung von Akademische Rätin a.Z. Dr. Aqilah Sandhu; EuZW 2023, 575, beck-online)“
Wenn man sich im Bereich des BDSG befindet, sollen – unter der folgenden Voraussetzung – keine Daten dem Auskunftsrecht unterliegen, die nur der Datensicherheit oder dem Datenschutz dienen (zB bestimmte Metadaten, wie etwa eine Zugriffs- oder Änderungsprotokollierung; § 34 Abs. 1 Nr. 2 Buchst. b BDSG nF). Voraussetzung für diesen Fall ist gem. § 34 Abs. 1 Nr. 2 aE BDSG allerdings, dass die Auskunftserteilung einen
„… unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung dieser Daten zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.“ (Katko Checklisten DS-GVO, § 6. Auskunft Rn. 62, beck-online)
Die französische Datenschutzbehörde ist (im arbeitsrechtlichen Kontext) wiederum der Auffassung, dass „…eine Person nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen könne, es dem Verantwortlichen jedoch freistehe, Dokumente, statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist. Und nennt folgendes Beispiel:
Wenn eine betroffene Person ihr Recht auf Zugang zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger…) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich. (https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels)
Kommt man nach alledem zu dem Ergebnis, Metadaten beauskunften zu müssen, stellt sich immer noch die Frage, wie man das in die Tat umsetzen kann.
Bei der Erfüllung des Auskunftsrechts können die Grundsätze der Verhältnismäßigkeit sowie Treu und Glauben schützend herangezogen werden:
„Da Treu und Glauben nach Art. 8 Abs. 2 S. 1 GRCh und Art. 5 Abs. 1 lit. a über dem gesamten Verarbeitungsvorgang schweben, darf dem Verantwortlichen per se kein unverhältnismäßiger Aufwand abverlangt werden“ (Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 15 Rn. 51).
Auch diese Auffassung ist aber umstritten.
Auch eine Konkretisierung des Auskunftsersuchens ist möglich:
Werden, wie in Ihrem Beispiel, eine große Menge von Informationen verarbeitet, „so soll der Verantwortliche nach Erwgr. 63 S. 7 verlangen können, dass die betroffene Person vor Auskunftserteilung präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht. Insoweit wird ein gestuftes Vorgehen vorgeschlagen, in welchem zunächst die Stammdaten mitgeteilt werden und in einem zweiten Schritt nach erfolgter Präzisierung eine maßgeschneiderte Auskunft mit weiteren Detailinformationen erfolgt“ (Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 15 Rn. 53).
Nach alledem: Die Lage ist unübersichtlich. Es kommt letzten Endes wohl darauf an, dass dem Betroffenen ein umfassendes und verständliches Bild möglich ist, welche Daten, von wem, aus welchem Grund, usw., verarbeitet werden. Wenn Metadaten Teil dieses Bildes sind, dann sind ebenfalls vom Auskunftsrecht umfasst. Jedenfalls sollte der Verantwortliche solche Daten im Blick haben und prüfen, welche dieser Daten beauskunftet werden müssen, und ob/wie das möglich ist.