Wie mit Auskunftsverlangen gem. Art. 15 DSGVO umgegangen werden sollte

Mit Einführung der Datenschutz-Grundverordnung (DSGVO) wurde mit Art. 15 das „Auskunftsrecht für betroffene Personen“ festgelegt und erweitert. Der Auskunftsanspruch ist nicht neu: Schon im alten Bundesdatenschutzgesetz (BDSG) war in § 34 ein ähnlicher Anspruch verankert, wenn auch nicht in dem Umfang, wie ihn jetzt die DSGVO der betroffenen Person zuspricht.

Das Auskunftsverlangen, also die Geltendmachung eines Auskunftsanspruchs wegen der Verarbeitung personenbezogener Daten, ist eines der Themen, mit denen sich die deutschen Gerichte seit Einführung der DSGVO am häufigsten beschäftigen müssen.

Grund für eine Klage sind zumeist (vermeintlich) unvollständige oder nicht fristgerecht erteilte Auskünfte. Anhand der bisherigen Rechtsprechung zeigt sich, dass der Auskunftsanspruch sehr weit geht und bspw. auch Informationen in Gesprächsnotizen, die sich auf die betroffene Person beziehen, zu beauskunften sind.

Bei einer verspätet oder gar nicht erteilten Auskunft sprechen die Gerichte den betroffenen Personen immer häufiger Schadensersatz gemäß Art. 82 Abs. 1 DSGVO zu. So hat z. B. das BAG mit Urteil vom 05.05.2022 (Az.: 2 AZR 363/21) einer Klägerin wegen verspäteter Auskunft (hier: sechs Monate) immateriellen Schadensersatz in Höhe von 1.000,00 Euro zugesprochen. Das OLG Köln hielt in seinem Urteil vom 14.07.2022 (Az.: 15 U 137/21) einen immateriellen Schadensersatz in Höhe von 500,00 Euro aufgrund einer verspätet erteilten Auskunft für angemessen.

Aufgrund der steigenden Relevanz des Auskunftsverlangens, befasst sich der nachfolgende Beitrag mit dem Vorgehen bei einem Auskunftsverlangen und den Pflichtangaben gemäß Art. 15 Abs. 1 DSGVO und gibt zudem praktische Hinweise, wie der Aufwand bei einem Auskunftsverlangen reduziert werden kann.

Der Auskunftsanspruch ist in Art. 15 Abs. 1 DSGVO geregelt:

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: […]

Der Auskunftsanspruch erfüllt zwei Hauptaufgaben:

• Hat ein Verantwortlicher seine Informationspflichten gemäß Art. 13 und 14 DSGVO nicht ernst genommen, hat die betroffene Person häufig erst durch ein solches Auskunftsverlangen die Möglichkeit herauszufinden, wer welche Daten und zu welchen Zwecken überhaupt verarbeitet.
• Zum anderen wird sie aufgrund der umfangreichen Auskunftspflichten in die Lage versetzt, die Rechtmäßigkeit der Verarbeitung beurteilen zu können. Dies ist für sie eine wesentliche Grundlage, um ggf. weitere Rechte wie die Berichtigung gemäß Art. 16 DSGVO oder die Löschung gemäß Art. 17 DSGVO geltend zu machen oder Widerspruch gemäß Art. 21 DSGVO gegen die Verarbeitung einzulegen.

Wichtig ist, dass bereits im Vorfeld ein Prozess festgelegt wurde, wie bei Eingang eines Auskunftsverlangens vorzugehen ist. Hierbei ist insbesondere festzulegen, wer dafür zuständig ist, wie sichergestellt wird, dass die Frist eingehalten wird und wie bei Zweifeln an der Identität der betroffenen Person vorzugehen ist. Dadurch können bereits erhebliche Zeitverzögerungen und versäumte Fristen vermieden werden.

Zunächst sollte die betroffene Person darüber informiert werden, dass ihr Auskunftsverlangen eingegangen ist und bearbeitet wird. Das sorgt für Vertrauen, da die betroffene Person merkt, dass sie ernst genommen wird, und ist somit ein elementarer Bestandteil für die weitere Kommunikation im Rahmen der Auskunftserteilung.

Sodann ist zu prüfen, ob das Auskunftsverlangen zu einer bestimmten Person auch tatsächlich von der betroffenen Person gestellt wurde.

Zweifel können beispielsweise bei einer Anfrage per E-Mail oder telefonisch aufkommen. Gemäß Art. 12 Abs. 6 DSGVO ist der Verantwortliche verpflichtet, bei der antragstellenden Person weitere Daten zur Feststellung der Identität anzufordern, wenn er begründete Zweifel hat.

So könnten beispielsweise die Kundennummern, das Geburtsdatum und/oder die Anschrift abgefragt werden. Zudem ist in diesen Fällen auch die Anforderung einer Ausweiskopie zulässig. Hierbei ist allerdings zwingend darauf hinzuweisen, dass zur Identifikation der Name, die Anschrift, das Geburtsdatum und die Gültigkeitsdauer ausreichen. Die restlichen Daten können und sollten von der betroffenen Person geschwärzt werden.

Bei einer Anfrage per E-Mail muss der betroffenen Person für die Übersendung der angeforderten Informationen ein sicherer Übermittlungsweg bereitgestellt werden. Hierfür sind ihr Informationen mitzuteilen, wie sie bspw. die Daten Ende-zu-Ende-verschlüsselt übertragen oder über ein Nutzerkonto hochladen kann.

Die Abfrage weiterer Daten zur Identitätsfeststellung kann zusammen mit der Eingangsbestätigung erfolgen.

Macht ein Rechtsanwalt im Auftrag der betroffenen Person einen Auskunftsanspruch geltend, darf die Auskunft dem Rechtsanwalt gegenüber nur erteilt werden, wenn eine Originalvollmacht, die den Auskunftsanspruch umfasst, vorliegt. Sollte nur eine Kopie oder gar keine Vollmacht beigefügt sein, ist das Original bei dem Rechtsanwalt anzufordern.

Konnte die Identität zweifelsfrei festgestellt werden, ist im nächsten Schritt zu prüfen, welche Informationen in welchem Umfang konkret abgefragt werden. Der Auskunftsanspruch des Art. 15 DSGVO ist zweistufig:

• Bezieht sich die betroffene Person ausschließlich auf Art. 15 Abs. 1 DSGVO, reicht die Angabe der Pflichtinformationen aus.
• Fordert sie allerdings – wie in den meisten Fällen – zusätzlich eine Kopie gemäß Art. 15 Abs. 3 DSGVO an, erweitert sich die Auskunft. Dann reicht es nicht, der betroffenen Person nur die Kategorien der personenbezogenen Daten mitzuteilen. Vielmehr ist ihr dann zusätzlich mitzuteilen, welche Daten konkret verarbeitet werden. Wie dies in der Praxis aussehen kann, wird nachfolgend dargestellt.

Die Auskunft hat gemäß Art. 12 Abs. 3 S. 1 DSGVO unverzüglich – spätestens aber innerhalb eines Monats zu erfolgen. Die Frist kann in Ausnahmefällen gemäß Art. 12 Abs. 3 S. 2 DSGVO um weitere zwei Monate verlängert werden, sollte die Auskunftserteilung sehr komplex sein oder ungewöhnlich viele Auskunftsverlangen zeitgleich eingehen. In jedem Fall ist die betroffene Person vor Ablauf eines Monats über die Fristverlängerung unter Angabe von Gründen zu informieren.

Auch wenn beabsichtigt ist, die Auskunft gar nicht erst zu erteilen, ist die betroffene Person vor Ablauf eines Monats hierüber zu informieren. Zusätzlich sind gemäß Art. 12 Abs. 4 DSGVO die Gründe für die Nichterteilung anzugeben und sie ist auf ihr Beschwerderecht bei einer Aufsichtsbehörde oder auf die Möglichkeit eines gerichtlichen Rechtsbehelfs hinzuweisen.

Hat die betroffene Person eine Auskunft über ihren Rechtsanwalt angefordert, beginnt die Frist erst mit Vorlage der Originalvollmacht.

Werden keine Daten der betroffenen Person verarbeitet, darf die Anfrage aber keinesfalls ignoriert werden. Ihr ist dann ebenfalls unverzüglich, spätestens aber innerhalb eines Monats, mitzuteilen, dass keine Daten verarbeitet werden.

Bei einem Auskunftsverlangen ist die Auskunft auf dem Weg zu erteilen, den die betroffene Person für ihren Antrag genutzt hat. Bei Auskunftserteilung per E-Mail sind zusätzlich Maßnahmen zur sicheren Übermittlung zu treffen, wie beispielsweise eine Ende-zu-Ende-Verschlüsselung.

Auch eine mündliche Erteilung ist gemäß Art. 12 Abs. 1 S. 3 DSGVO möglich, sofern die Identität der betroffenen Person zweifelsfrei nachgewiesen wurde.

Die Pflichtinformationen ergeben sich aus Art. 15 Abs. 1 DSGVO und umfassen im Einzelnen:

Zunächst ist die betroffene Person darüber zu informieren, für welche Zwecke ihre Daten verarbeitet werden. Hier hilft ein Blick in das Verarbeitungsverzeichnis: In einem ersten Schritt sind alle Verarbeitungstätigkeiten zu identifizieren, denen die betroffene Person zugeordnet ist.

• Handelt es sich bei der betroffenen Person um einen Kunden, wird diese bspw. den Verarbeitungstätigkeiten „Kundendatenverwaltung“ und „Zahlungsabwicklung“ zugeordnet sein.
• Handelt es sich bei der betroffenen Person ausschließlich um einen Newsletterabonnenten, sollte dieser auch nur in der Verarbeitungstätigkeit „Newsletterversand“ zu finden sein.

Beispiel:

Auch diese Angaben können dem Verarbeitungsverzeichnis entnommen werden. Damit erhält man zunächst einen Überblick, welche Datenkategorien üblicherweise bei der jeweiligen Verarbeitungstätigkeit verarbeitet werden.

Im nächsten Schritt ist dann allerdings zu prüfen, welche Kategorien personenbezogener Daten der betroffenen Person tatsächlich verarbeitet werden.

• Wenn beispielsweise auf der Webseite ein Kontaktformular zur Verfügung gestellt wird, in dem die Anrede, der Namen, die Anschrift, die Mobilnummer und die E-Mailadresse abgefragt werden, wobei nur der Name und die E-Mailadresse eine Pflichtangabe darstellen, so sind all diese Datenkategorien auch in das Verarbeitungsverzeichnis aufzunehmen.
• Hat die betroffene Person bei ihrer Kontaktanfrage aber lediglich ihren Namen und die E-Mailadresse angegeben, sind ihr auch nur diese Kategorien mitzuteilen.

Beispiel:

Hierbei ist folgendes zu beachten: Verlangt die betroffene Person auch eine Kopie ihrer Daten gem. Art. 15 Abs. 3 DSGVO, reicht die Nennung der Datenkategorien nicht mehr aus. Dann sind ihr auch die konkreten Daten mitzuteilen. Dabei ist zu beachten, dass „Kopie“ nicht bedeutet, dass Kopien von Dokumenten oder Screenshots aus Anwendungen gemacht werden müssen.

Beispiel:

Liegen sehr viele Informationen zu der betroffenen Person vor, kann es in manchen Fällen sinnvoller sein, Kopien des gesamten Dokuments zu fertigen. Zu denken wäre hier beispielsweise an Gesprächsnotizen oder Versammlungsprotokolle.

Sollten hierauf noch personenbezogene Daten anderer Personen enthalten sein, sind diese vor Auskunftserteilung unkenntlich zu machen und bspw. zu schwärzen. Dies ergibt sich aus Art. 15 Abs. 4 DSGVO, wonach „das Recht auf Erhalt einer Kopie […] die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ darf.

Auch Bemerkungen über die betroffene Person wie z. B. „Trinkt in Besprechungen immer literweise Kaffee“ sind Informationen über die betroffene Person und stellen personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO dar, die zu beauskunften sind. Auch im Sinne des Grundsatzes der Datenminimierung sollte daher bereits im Vorfeld überlegt werden, bei welchen Informationen und Daten tatsächlich eine Notwendigkeit zur Verarbeitung besteht.

Wurden oder werden Daten an Dritte übermittelt oder offengelegt, sind immer die konkreten Empfänger zu benennen. Eine Beschränkung auf die Angabe von Kategorien kann nur erfolgen, wenn die konkreten Empfänger tatsächlich nicht benannt werden können. Mit der Angabe soll die betroffene Person nachvollziehen können, wer noch Daten verarbeitet, um sich ggf. direkt dorthin wenden zu können. Auch diese Angaben sind Pflichtbestandteil des Verarbeitungsverzeichnisses gemäß Art. 30 Abs. 1 lit. d) DSGVO.

Befinden sich Datenempfänger in einem Drittland, ist die betroffene Person gem. Art. 15 Abs. 2 DSGVO zusätzlich darüber zu unterrichten, welche geeigneten Garantien gemäß Art. 46 DSGVO für die Übermittlung ergriffen wurden, sollte kein Angemessenheitsbeschluss der Kommission gemäß Art. 45 DSGVO vorliegen. Hierbei handelt es sich bereits um eine Pflichtangabe gemäß Art. 13 Abs. 1 lit. f) DSGVO, weshalb diese Informationen in der Datenschutzinformation enthalten sein sollten.

Auch diese Pflichtangabe kann durch einen Blick in das Verarbeitungsverzeichnis beauskunftet werden. Sind die konkreten Speicherfristen in Jahren, Monaten oder Wochen bekannt, sind diese auch so anzugeben. Lässt sich die konkrete Speicherdauer zum Zeitpunkt der Auskunft nicht konkretisieren, weil z. B. ein Ereignis, das für die Speicherdauer maßgeblich ist, noch nicht eingetreten ist, sind hier zumindest die Kriterien anzugeben, nach denen sich die Dauer der Speicherung bemisst.

Zum Beispiel: „Nach Beendigung des Vertragsverhältnisses werden die Daten noch für drei Jahre gespeichert“ oder „Nach Widerruf der Einwilligung werden die Daten unverzüglich gelöscht“.

Wird die Speicherdauer auf eine gesetzliche oder handelsrechtliche Vorschrift gestützt, sollte diese ebenfalls genannt werden.

Nach Art. 15 Abs. 1 lit. e) DSGVO ist die betroffene Person im Rahmen der Auskunftserteilung zusätzlich auf ihr Recht auf Berichtigung oder Löschung, ihr Recht auf Einschränkung der Verarbeitung oder auf ihr Widerspruchsrecht hinzuweisen. Dieser Hinweis hat nach allgemeiner Ansicht aber nur zu erfolgen, wenn der betroffenen Person die Rechte auch tatsächlich zustehen.

Sicherheitshalber sollte die betroffene Person allerdings immer zumindest auf ihr Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung hingewiesen werden.

Über ein Recht auf Widerspruch gemäß Art. 21 ist die betroffene Person dagegen nur zu informieren, wenn die Verarbeitung auf das berechtigte Interesse gemäß Art. 6 I lit. f) DSGVO gestützt wird, da ihr nur dann ein Widerspruchsrecht zusteht.

Bei jeder Auskunft ist die betroffene Person zudem darauf hinzuweisen, dass sie sich mit Beschwerden an eine Aufsichtsbehörde wenden kann. Auch wenn sich eine betroffene Person mit Beschwerden an jede Aufsichtsbehörde wenden kann, sollte hier zumindest die zuständige Aufsichtsbehörde angegeben werden. Die Angabe der Kontaktdaten ist dagegen nicht erforderlich.

Werden auch Daten verarbeitet, die nicht direkt bei der betroffenen Person erhoben wurden, ist sie zusätzlich über die Quelle zu informieren. Der Übermittler der Daten bzw. die Quelle sind dabei konkret zu bezeichnen. Auch diese Information darf der betroffenen Person nicht erst bei einem Auskunftsverlangen zur Verfügung gestellt werden. Bereits bei Erhebung solcher Daten ist sie gem. Art. 14 Abs. 3 DSGVO innerhalb eines Monats über die Quelle der Daten zu informieren.

Erfolgt bei einer Verarbeitung eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO ist die betroffene Person ebenfalls darüber zu informieren. Zusätzlich sind ihr aussagekräftige Informationen über die involvierte Logik zur Verfügung zu stellen und sie ist über die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung zu informieren.

Diese Informationen sind der betroffenen Person bereits mit Beginn der Verarbeitung gemäß Art. 13 Abs. 2 f) DSGVO mitzuteilen, weshalb diese bereits vorliegen sollten und der Datenschutzinformation entnommen werden können.

Ein bereits vorhandenes und laufend angepasstes Verarbeitungsverzeichnis gemäß Art. 30 DSGVO und aussagekräftige Datenschutzinformationen gemäß Art. 13, 14 DSGVO reduzieren den zeitlichen Aufwand bei einer Auskunftserteilung enorm.

Um den Aufwand weiter zu reduzieren, empfiehlt es sich zudem, das Verarbeitungsverzeichnis, um Informationen zu erweitern, die nicht vorgeschrieben sind. So könnten bei den Verarbeitungstätigkeiten beispielsweise noch erfasst werden, in welchen Anwendungen oder auf welchen Laufwerken die Daten üblicherweise gespeichert und verarbeitet werden. Dadurch lassen sich Speicherorte gezielter nach den personenbezogenen Daten der betroffenen Person durchsuchen. Je nach Größe der IT-Landschaft lässt sich hierdurch insbesondere zeitlicher Aufwand reduzieren und die Gefahr verringern, dass Daten vergessen werden.

Zudem ist die Kommunikation mit der betroffenen Person ein wesentlicher Bestandteil, will man keine Beschwerde oder gar eine Klage riskieren. Durch eine offene Kommunikation lassen sich Gründe, die häufig für Beschwerden oder Klagen ursächlich sind, leicht vermeiden und man sorgt zudem für eine mögliche weitere vertrauensvolle (Geschäfts-)Beziehung mit der betroffenen Person.

Daniela Frank, Datenschutzbeauftragte

Zurück zur Newsletter Artikel-Übersicht.