Fischzüge im Datenteich: der Auskunftsanspruch Betroffener im Datenschutz

PrintMailRate-it

veröffentlicht am 25. April 2019


In den USA können potenzielle Kläger vor einem Gerichtsverfahren die Herausgabe von Doku­menten der anderen Seite fordern, um damit die gerichtliche Durchsetzung ihrer Ansprüche zu verbessern. In Deutschland gibt es keinen solchen Anspruch im Zivilprozess. Allerdings bietet das neue Datenschutzrecht eine Möglichkeit, die gegenüber natürlichen Personen zu ähnlichen Verpflichtungen führen kann.


   

Die europäische Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte natürlicher Personen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten. Dabei ermöglicht die Verordnung den Einzelnen, sich von den über sie verarbeiteten Daten bei Unternehmen und Behörden Kenntnis zu verschaffen (Auskunftsrecht, Art. 15 DSGVO). Das dient insbesondere dazu, sodann weitere Rechte nach der DSGVO geltend zu machen, bspw. auf Korrektur oder Löschung der Daten oder auch Schadenersatz. Zudem wird mit dem Auskunftsanspruch das Anliegen des Europäischen Gesetzgebers auf Transparenz bei der Verarbeitung personenbezogener Daten gestärkt. Allerdings können die erhaltenen Informationen auch unabhängig von den Regelungen des Daten­schutzes verwendet werden – so etwa, um mit ihrer Hilfe sonstige Ansprüche gegen den Datenverarbeiter nachzuweisen und geltend zu machen.

In Anspruch genommene Unternehmen müssen unverzüglich, längstens innerhalb eines Monats dem Anspruch­steller eine Antwort erteilen. Diese Antwort muss entweder bereits die erbetene, vollständige Auskunft enthalten oder darauf verweisen, dass aufgrund eines komplexen Sachverhaltes eine zulässige Verlängerung der Antwortfrist um bis zu zwei Monate in Anspruch genommen wird. Spätestens drei Monate nach der ersten Anfrage ist daher die Auskunft zu erteilen.

Schließlich haben die Antragsteller Anspruch auf eine Kopie der verarbeiteten personenbezogenen Daten, die vollständig und kostenlos erteilt werden muss. Der Inhalt der Datenkopie kann – bei einer Vielzahl von Daten – ein Unternehmen vor Schwierigkeiten bei der Zusammentragung stellen oder auch Anlass für weitere Ansprüche des Betroffenen geben. So hat das Landesarbeitsgericht Baden-Württemberg im Dezember 2018 einen Automobilhersteller innerhalb eines Arbeitsrechtsstreits zur Auskunft und Herausgabe einer Datenkopie für persönliche Leistungs- und Verhaltensdaten einer Führungskraft verurteilt.

Mögliche Anspruchsteller

Antragsteller kann jede natürliche Person sein. Nicht erforderlich ist, dass sie ihren gewöhnlichen Aufenthalt innerhalb der Europäischen Union hat: Auch Angehörige von Drittstaaten können Ansprüche nach der DSGVO geltend machen.

Wichtig ist zudem, dass eine hinreichende Identifizierung des Antragstellers erfolgt. So wäre es falsch und ein Verstoß gegen die DSGVO, wenn eine „Auskunft” über die vorhandenen personenbezogenen Daten an unberechtigte Dritte erfolgt. Dennoch geschieht auch das – so hat bspw. Amazon im Dezember 2018 auf ein Auskunftsersuchen hin Sprachaufzeichnungen seines Dienstes Alexa verwechselt und Daten eines unbeteiligten Kunden herausgegeben.

Was umfasst ist

Zunächst kann Auskunft darüber verlangt werden, ob überhaupt personenbezogene Daten über die jeweilige Person verarbeitet werden. In einem zweiten Schritt besteht dann ein Recht auf Auskunft zu diesen Daten und weiteren Angaben zur Verarbeitung.

In der Praxis wird der Anspruch regelmäßig einheitlich geltend gemacht – Personen fordern Auskunft, ob überhaupt und welche Daten von ihnen verarbeitet werden.

Für die in Anspruch genommenen Unternehmen besteht die Schwierigkeit häufig v.a. darin, rechtzeitig und vollständig festzustellen, ob und welche personenbezogenen Daten des individuellen Antragstellers überhaupt vorhanden sind.

Sodann sind zu den verarbeiteten Daten Angaben zu erteilen, insbesondere (sämtliche) Verarbeitungs­zwecke, die Kategorien der verarbeiteten Daten, die Empfänger der Daten, die (geplante) Dauer der Speicherung und – bei einer Erhebung der Daten bei Dritten – alle verfügbaren Informationen über die Herkunft der Daten.

Schließlich hat die betroffene Person Anspruch auf Erteilung einer Kopie der Daten, die Gegenstand der Verarbeitung sind. Dabei ist die Kopie, wenn auch die Anfrage auf elektronischem Wege erfolgte, grundsätzlich elektronisch zu erteilen, wobei die Unternehmen für die sichere Übermittlung zum Anspruchsteller verantwortlich sind.


Ausnahmen

Insbesondere bei einer Vielzahl vorhandener Daten kann der in Anspruch genommene Verarbeiter eine Präzisierung der Informationen oder Verarbeitungsvorgänge verlangen, auf die sich das Auskunftsersuchen bezieht. Alternativ kann der Verarbeiter die Auskunft auch sofort zu den wahrscheinlich maßgeblichen Vorgängen und Informationen erteilen und auf die Beschränkung bei der Auskunft hinweisen.

Ausnahmen zum Auskunftsrecht selbst finden sich insbesondere im aktuellen Bundesdatenschutzgesetz (BDSG), das Anpassungen für die Anwendung der DSGVO in Deutschland vorgenommen hat.

Im Wesentlichen handelt es sich für Unternehmen um eine Erleichterung bei der Speicherung von Daten in Backup-Systemen sowie bei bestehenden gesetzlichen Aufbewahrungs- oder Geheimhaltungspflichten.


So ist keine Auskunft über Daten zu erteilen (§ 34 BDSG), wenn
  • Daten nur wegen gesetzlicher/satzungsmäßiger Aufbewahrungspflichten nicht gelöscht und aufbewahrt wurden oder
  • Daten ausschließlich der Datensicherung oder Datenschutzkontrolle dienen,und in beiden Fällen
  • die Auskunft einen unverhältnismäßigen Aufwand erfordern würde und
  • eine Verarbeitung zu anderen Zwecken durch geeignete Maßnahmen ausgeschlossen ist.


Damit sind etwa die allein für die Buchführung gespeicherten und aufbewahrten Belege mit personenbe­zogenen Daten „sicher”, wenn keine Weiterverarbeitung zu anderen Zwecken erfolgen kann. Gleiches gilt für Daten­sicherungen außerhalb eines Produktivsystems. In den Fällen sind die Gründe der Auskunfts­verweigerung zu dokumentieren und der betroffenen Person ist die Auskunftsverweigerung zu begründen, soweit das nicht ihren Zweck gefährdet (vgl. § 34 Abs. 2 BDSG).

Zudem braucht keine Auskunft erteilt zu werden, wenn damit Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen, insbesondere wegen überwiegender Interessen eines Dritten (vgl. § 29 Abs. 1 S. 2 BDSG). Das kann etwa Informationen bei Berufs­geheimnis­trägern umfassen, die im Mandantenauftrag Informationen über Dritte (etwa: Gegner) verarbeiten.

Der Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten ist in der DSGVO nur geringfügig eingeschränkt. Danach dürfen bei der Erteilung einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden (vgl. Art. 15 Abs. 4 DSGVO). Das betrifft sowohl Informationen über (andere) natürliche Personen als auch Geschäftsgeheimnisse oder geistiges Eigentum juristischer Personen, die in der Datenkopie nicht enthalten sein müssen (vgl. Erwägungsgrund 63 DSGVO). Das darf allerdings nicht dazu führen, dass überhaupt keine Kopie der Daten erteilt werden kann. Vielmehr muss die Kopie so ausgestellt werden, dass Beeinträchtigungen Dritter vermieden werden – etwa durch eine teilweise Schwärzung der Datenkopie.

Zudem kann die Auskunft bei offenkundig unbegründeten oder exzessiven Anträgen verweigert oder nur gegen eine Vergütung erbracht werden. Diese Ausnahme ist eng auszulegen: offenkundig unbegründet ist jedenfalls noch nicht die erstmalige Anfrage einer betroffenen Person. Darüber hinaus sind regelmäßige (etwa: jährliche) Anfragen zulässig, wenn sich die Daten oder deren Verarbeitung in der Zwischenzeit geändert haben könnten oder – etwa wegen zwischenzeitlicher Löschungsanforderungen – geändert haben. Die Beweislast für das Vorliegen solcher Ausnahmen trägt das betroffene Unternehmen.


Was Unternehmen tun können

Unabhängig von aktuellen Auskunftsansprüchen sollten sich Unternehmen einen Überblick über sämtliche durch sie verarbeiteten personenbezogenen Daten verschafft haben. Nur auf diese Weise können sie eine vollständige und richtige Beantwortung von Auskunftsverlangen innerhalb der Monatsfrist sicherstellen. Zudem sollten sie prüfen, ob generell eine Reduzierung der verarbeiteten personenbezogenen Daten möglich ist, etwa indem Daten gelöscht oder der Personenbezug der Daten entfernt wird. Schließlich braucht für nicht vorhandene personenbezogene Daten keine Auskunft erteilt werden.

Wird ein Anspruch auf Auskunft und Erteilung einer Datenkopie geltend gemacht, sollte die Einhaltung der Monatsfrist durch das Unternehmen sichergestellt werden. Zudem sind die Daten für die Auskunft und die Erteilung einer Datenkopie vorzubereiten und die Identität des Anfragenden hinreichend sicherzustellen. Weiter ist zu prüfen, ob und welche Ausnahmen eine Einschränkung der Auskunft ermöglichen.


Insbesondere sind die Datenkopien darauf zu prüfen, ob darin Geschäftsgeheimnisse oder personenbe­zogene Daten Dritter enthalten sind, die vor einer Herausgabe zu schwärzen sind.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu