Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Auskunftsrecht

Beim Auskunftsrecht handelt es sich, verglichen mit den anderen Rechten der betroffenen Person, um ihr zentrales Recht. Ein Auskunftsersuchen bereitet die Ausübung weiterer Rechte durch die betroffene Person vor.

➜ Auskunftsrecht praktisch umsetzen

DP+
Auf die Motive eines Antragstellers kommt es beim Auskunftsanspruch nach DSGVO nicht an, auch nicht darauf, wie aufwendig es für einen Verantwortlichen ist, die Auskunft zu erteilen
Bild: iStock.com / anyaberkut
Manches ist klar, anderes nicht

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Gratis
Das Auskunftsrecht wird oft in Anspruch genommen. Die neuen Leitlinien der EDSA stärken nun die Rechte der Betroffenen.
Bild: nortonrsx / iStock / Getty Images Plus
Datenschutz in Europa

Welche Unternehmen und Behörden speichern welche Daten über mich? Wer das wissen will, kann – laut Europäischer Datenschutz-Grundverordnung (DSGVO) – sein Recht auf Auskunft geltend machen. Für mehr Einheitlichkeit und Klarheit dabei sorgt der Europäische Datenschutzausschuss (EDSA). Er hat gerade Leitlinien zum Auskunftsrecht verabschiedet.

Was wie herausgeben?

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

Betroffenenrechte Schritt für Schritt

Anfragen von betroffenen Personen sind mittlerweile sehr häufig. Zeigen Sie anhand von Praxisbeispielen etwa zur telefonischen Auskunft, wie die Kolleginnen und Kollegen mit Betroffenenrechten korrekt verfahren.

Auskunft: Was müssen Verantwortliche herausgeben?

Zu den wesentlichen Neuerungen der DSGVO gehört der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO. Unternehmen, die zur Auskunft verpflichtet sind, versuchen immer wieder, die Auskunft zu begrenzen. Der Bundesgerichtshof (BGH) will davon allerdings nichts wissen.

Betroffenenrechte und Sicherheit der Identitäten

Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?

DSGVO und BGB

Gibt die DSGVO jedem Krankenhaus-Patienten einen Anspruch auf eine kostenlose Kopie der Behandlungs-Dokumentation? Spielt es eine Rolle, wenn es ihm nicht um Fragen des Datenschutzes geht, sondern um mögliche Behandlungs-Fehler? Das Landgericht Dresden beantwortet beide Fragen kurz und knapp.

Streitwert und Zwangsgeld

Der Auskunftsanspruch gehört zu den zentralen Rechten der betroffenen Person. Seine Durchsetzung erfolgt im Alltag der „Gerichte erster Instanz“. Eine Kette von vier gerichtlichen Entscheidungen zeigt, womit Verantwortliche rechnen müssen.

Kein besonderer Grund erforderlich

Der Auskunftsanspruch gemäß Art. 15 DSGVO geht sehr weit. Das gefällt vielen Unternehmen nicht. Im Regelfall bleiben die Gerichte jedoch hart. So auch in diesem Fall eines Versicherers.

Das Auskunftsrecht gehört nach der Datenschutz-Grundverordung (DSGVO ) zu den grundlegenden Rechten von betroffenen Personen. Doch wie erfüllen Sie dieses Recht, ohne zu viel Aufwand zu betreiben?

1 von 2

Das Auskunftsrecht (Art. 15 DSGVO) und Auskunftsersuchen

Das Auskunftsrecht ist für die betroffene Person von besonderer Bedeutung. Mit seiner Hilfe kann sie erfahren, ob ein Verantwortlicher oder Auftragsverarbeiter überhaupt Daten verarbeitet, die sie betreffen. Sofern das der Fall ist, kann sie über ein Auskunftsersuchen erfahren, um welche Daten es sich dabei handelt.

Auf dieser Basis kann sie dann überprüfen, ob die Verarbeitung rechtmäßig erfolgt ist. Sofern Anlass dazu besteht, kann die betroffene Person daraufhin ihre Rechte auf Berichtigung, Löschung und Sperrung geltend machen, ferner das Recht auf Widerspruch gegen die Verarbeitung.

Insofern handelt es sich

Auskunftsrecht als Grundrecht

Art. 15 DSGVO stellt eine Ausprägung des Grundrechts auf Auskunft dar. Dieses Grundrecht ergibt sich aus Art. 8 Abs. 2 Satz 2 der Europäischen Grundrechte-Charta. Diese Vorschrift lautet: „Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten.“

Die Verankerung des Auskunftsrechts auf der Ebene der Grundrechte hat praktische Konsequenzen. Erwägt ein Verantwortlicher im Einzelfall, das Auskunftsrecht aufgrund von Rechten anderer Personen einzuschränken, dann müssen sich diese Rechte anderer Personen ebenfalls auf grundrechtlich geschützte Rechtspositionen zurückführen lassen.

Das hält als verbindliche Auslegungsregel in Art. 52 Abs. 1 der Europäischen Grundrechte-Charta ausdrücklich fest.

Dreistufiger (oder zweistufiger?) Aufbau

Das Recht auf Auskunft ist dreistufig angelegt:

  • In der ersten Stufe kann die betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob er überhaupt personenbezogene Daten verarbeitet, die sie betreffen (Art. 15 Abs. 1 Halbsatz 1 DSGVO). Sollte das nicht der Fall sein, hat sie Anspruch auf ein „Negativattest“.
  • Sollte dies dagegen der Fall sein, kann die betroffene Person als zweite Stufe in einem Auskunftsersuchen Auskunft über die Daten selbst und außerdem umfangreiche Informationen über die Verarbeitung verlangen (Art. 15 Abs. 1 Halbsatz 2 DSGVO).
  • Ferner hat sie als dritte Stufe des Auskunftsrechts Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 Satz 1 DSGVO).

Unterschied der Stufen 2 und 3

Manche Juristen sind der Auffassung, dass das Auskunftsrecht lediglich zweistufig sei. Sie fassen die vorstehend beschriebenen Stufen 2 und 3 zu einer Stufe zusammen. Begründung: Es gehe um den Inhalt der Daten, die vorliegen.

Dieser Auffassung ist nicht zuzustimmen. Bei Stufe 3 (Anspruch auf Kopie) geht es um die Daten in der Form, wie sie vorliegen. Man könnte insoweit von „Rohdaten“ sprechen. Diese Fassung kann ausgesprochen unübersichtlich sein. Das zeigt sich etwa am Beispiel einer ärztlichen Karteikarte, die schwer leserliche handschriftliche Notizen enthält.

Bei Stufe 2 müssen die Daten dagegen in nachvollziehbarer Weise dargestellt sein. Beim Beispiel der beschriebenen ärztlichen Karteikarte bedeutet das, dass die Daten in Maschinenschrift und damit in einer für jedermann lesbaren Form dargestellt werden müssen. Das sind zwei völlig verschiedene Dinge.

Hingewiesen sei darauf, dass „Darstellung in lesbarer Form“ nicht bedeutet, dass der Inhalt der Daten erläutert werden müsste. Bei der beschriebenen ärztlichen Karteikarte bedeutet es, dass es das Problem der betroffenen Person ist, ob sie den medizinischen Inhalt der Notizen versteht.

Verhältnis zum Recht auf Information

Im Gegensatz zu den Informationsrechten gemäß Art. 13 DSGVO und Art. 14 DSGVO setzt das Auskunftsrecht gemäß Art. 15 DSGVO voraus, dass die betroffene Person es über ein Auskunftsersuchen aktiv geltend macht.

Die Informationen gemäß Art. 13 DSGVO und Art. 14 DSGVO sind der betroffenen Person dagegen unaufgefordert zur Verfügung zu stellen.

Darüber, dass sie ein Auskunftsrecht hat, muss der Verantwortliche die betroffene Person dabei ebenfalls unaufgefordert informieren (Art. 13 Abs. 2 Buchstabe b DSGVO bzw. Art. 14 Abs. 2 Buchstabe c DSGVO).

Stufe 1: Auskunft über die Tatsache einer Verarbeitung

Die Auskunft, dass keine Verarbeitung personenbezogener Daten der betroffenen Person erfolgt, sollte der Verantwortliche mit größter Sorgfalt erteilen. Ein solches „Negativattest“ führt nämlich dazu, dass die betroffene Person die weiteren Stufen des Auskunftsrechts nicht mehr geltend machen kann.

Sie wird auch keine Veranlassung dazu sehen, dies in irgendeiner Art und Weise zu versuchen. Denn schließlich wurde ihr mitgeteilt, dass keine Verarbeitung von personenbezogenen Daten über sie erfolgt.

Ein falsches Negativattest lässt sich daher durchaus als Täuschungsversuch des Verantwortlichen interpretieren. In jedem Fall kann es eine Geldbuße nach sich ziehen (siehe Art. 83 Abs. 5 Buchstabe b DSGVO).

Stufe 2: Auskunft über die Daten selbst und Zusatzinformationen

Sofern eine Verarbeitung personenbezogener Daten erfolgt, kann die betroffene Person in einem Auskunftsersuchen Auskunft über die verarbeiteten Daten verlangen.

Dieser Anspruch ist umfassend. Es kommt also nicht darauf an, wo der Verantwortliche die Daten im Einzelnen gespeichert hat. Nötigenfalls muss er alle Daten „zusammensuchen“. Der Gesetzgeber geht davon aus, dass eine Organisationsstruktur vorhanden ist, die das ermöglicht. Deshalb sieht Art. 15 DSGVO auch nicht vor, dass sich der Verantwortliche einem Auskunftsersuchen mit der Begründung verweigern kann, der Aufwand für die Auskunft sei zu groß.

Eine Auskunft ist in der Regel binnen eines Monats zu erteilen (siehe Art. 12 Abs. 3 DSGVO). Zwar handelt es sich dabei nicht um eine starre Frist, sondern um einen Zeitraum, der sich aus sachlichen Gründen verlängern kann. Das schiebt das Problem jedoch für den Verantwortlichen nur auf, ohne es zu lösen. Denn letztlich muss er die Auskunft doch erteilen.

Zusätzlich zu den verarbeiteten Daten selbst muss der Verantwortliche eine ganze Reihe von Zusatzinformationen über die Verarbeitung zur Verfügung stellen (siehe Art. 15 Halbsatz 2 DSGVO). Dazu gehört insbesondere der Zweck der Verarbeitung. Auch insoweit ist es unentbehrlich, dass der Verantwortliche über eine Organisationsstruktur verfügt, die solche Informationen möglich macht.

Die Zusatzinformationen werden oft als „Metadaten“ bezeichnet. Darunter versteht man allgemein gesehen Daten, die Informationen über Merkmale anderer Daten enthalten.

Beispiel: Die Anschriften von Personen werden verarbeitet. Damit sind die Anschriften die verarbeiteten Daten. Die Angabe, dass dies für Werbezwecke geschieht, gehört zu den Metadaten. Sie enthält nämlich eine Information, der zu entnehmen ist, in welchem Kontext die „eigentlichen Daten“ verarbeitet werden.

Der Aussagewert von Metadaten ist oft höher als der Aussagewert der „eigentlichen Daten“ für sich allein gesehen. Beispiel: Anschriften von Personen mögen für sich gesehen relativ banale Daten darstellen. Liegt dagegen die Zusatzangabe vor, dass es sich um Anschriften auf einer Liste von verurteilten Straftätern handelt, führt diese Zusatzangabe zu einer besonderen zusätzlichen Brisanz.

Stufe 3: Recht auf eine Kopie der Daten

Diese Regelung hat eine wichtige klarstellende Funktion. Es genügt nicht, dass der betroffenen Person die verarbeiteten Daten irgendwie genannt werden, beispielsweise durch eine mündliche Darstellung. Vielmehr hat sie auf Wunsch zusätzlich ausdrücklich Anspruch auf eine Kopie der Daten.

Eine solche Kopie ist kostenlos herauszugeben. Das ergibt sich aus der Auslegung von Art. 15 Abs. 3 DSGVO. Satz 2 dieser Bestimmung legt fest, dass für „alle weiteren Kopien“ ein angemessenes Entgelt verlangt werden kann. Das gilt aber im Umkehrschluss nicht für die erste Kopie, die in Art. 15 Abs. 3 DSGVO erwähnt ist, ohne den Zusatz „erste“ zu verwenden.

Schranken des Auskunftsrechts

Das Auskunftsrecht ist nicht schrankenlos. Dies ergibt sich aus Art. 15 Abs. 4 DSGVO. Demnach darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Erwägungsgrund 63 zur DSGVO erläutert, dass es dabei vor allem um den Schutz von Geschäftsgeheimnissen geht. Ein Verantwortlicher, der sich auf diese Ausnahme beruft, muss jedoch nachvollziehbar begründen, dass sie wirklich vorliegt. Dies kann relativ umfangreiche Darlegungen erfordern.

Ausnahmen

Allgemeine Ausnahmen vom Auskunftsrecht enthält die DSGVO in Art. 23 DSGVO. Diese Ausnahmen betreffen Privatunternehmen so gut wie nicht, sondern in erster Linie Behörden.

Einzige Ausnahme: die Durchsetzung zivilrechtlicher Ansprüche (Art. 23 Abs. 1 Buchstabe j DSGVO). Sie hat folgenden Hintergrund: Wer zivilrechtliche Ansprüche durchsetzen will, verarbeitet dabei in aller Regel in erheblichem Umfang personenbezogene Daten seines rechtlichen Gegners. Oft werden auch taktische Überlegungen angestellt. Wenn der rechtliche Gegner Auskunft über solche Daten verlangen könnte, würde das die Position des Klägers untergraben.

Problemfall Kündigungsschutz

Keine allgemeinen Ausnahmen bestehen dagegen für Daten, die etwa in Mails enthalten sind. Das ist für ein Unternehmen etwa dann misslich, wenn es einem Arbeitnehmer kündigen will.

Solange noch kein arbeitsgerichtliches Verfahren läuft, hat der betroffene Arbeitnehmer prinzipiell einen Anspruch auf die Texte der Mails, die etwa zwischen Personalabteilung und Fachabteilung über seinen Fall ausgetauscht wurden.

Überflüssigen Aufwand bei Auskunftsersuchen vermeiden

Oft verlangen betroffene Personen ganz allgemein Auskunft über alle Daten. Eine Nachfrage ergibt dann vielfach, dass es der betroffenen Person in Wirklichkeit nur um relativ wenige Daten geht, möglicherweise nur um ein einzelnes Dokument. Es ist deshalb zu empfehlen, immer entsprechend nachzufragen.

Das bietet Vorteile für beide Seiten:

  • Der Verantwortliche hat weniger Aufwand.
  • Und die betroffene Person erhält die Auskunft schneller und zielgenau.

Allerdings sollte der Verantwortliche dabei stets darauf hinweisen, dass er auf Wunsch eine umfassende Auskunft erteilt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.