Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Auskunftsrecht / Auskunftsanspruch

Beim Auskunftsanspruch (formell: Auskunftsrecht) handelt es sich, verglichen mit den anderen Rechten der betroffenen Person, um ihr zentrales Recht. Ein Auskunftsersuchen bereitet die Ausübung weiterer Rechte durch die betroffene Person vor.

➜ Auskunftsrecht praktisch umsetzen

Mitarbeiter in Unternehmen als „Datenempfänger“?

DP+
Ob ein Verantwortlicher im Zuge eines Auskunftsersuchens die Namen von Beschäftigten herausgeben muss, hängt vom konkreten Fall ab
Bild: iStock.com/Galeanu Mihai
EuGH zum Auskunftsanspruch
Mitarbeiter in Unternehmen als „Datenempfänger“?

Der Auskunftsanspruch nach Art. 15 ­DSGVO erstreckt sich auch darauf, gegenüber wem personenbezogene Daten „offengelegt“ worden sind. Kann ein Betroffener somit die Namen der Mitarbeiter eines Unternehmens herausverlangen, die seine Daten dort konkret verarbeitet haben?

Urteil
18. Dezember 2023

Kopien ärztlicher Unterlagen für Patienten - kostenlos oder nicht?

Die erste Kopie muss kostenlos sein, so die Entscheidung des EuGH
Bild: iStock.com / Sezeryadigar
Recht auf Auskunft
Kopien ärztlicher Unterlagen für Patienten - kostenlos oder nicht?

Sie waren in einem Krankenhaus oder bei einem niedergelassenen Arzt in Behandlung. Sie sind nicht sicher, ob die Behandlung wirklich fachgerecht war. Können Sie eine kostenlose Kopie der Behandlungsunterlagen verlangen, um das zu überprüfen? Der Europäische Gerichtshof (EuGH) zeigt sich sehr großzügig.

Urteil
30. Oktober 2023

Auskunftsersuchen: So gehen Sie richtig damit um

Auskunftsersuchen: So gehen Sie richtig damit um
Bild: iStock.com / z_wei
Was wie herausgeben?
Auskunftsersuchen: So gehen Sie richtig damit um

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

Ratgeber
26. September 2023

Auskunftsanspruch über interne Abläufe im Unternehmen?

Auskunftsanspruch über interne Abläufe im Unternehmen?
Bild: iStock.com / Marta Shershen
Auskunftsanspruch gegen den Ex-Arbeitgeber
Auskunftsanspruch über interne Abläufe im Unternehmen?

Ein ehemaliger Mitarbeiter einer Bank hört, dass sich die Innenrevision seines Ex-Arbeitgebers intensiv mit Unterlagen über ihn befasst. Er möchte vom Arbeitgeber wissen, welche Mitarbeiter wann auf welche Daten von ihm zugegriffen haben. Die Bank verweigert wichtige Teile der Auskunft. Die Datenschutzaufsicht gibt ihr Recht. Wie sieht der EuGH die Angelegenheit?

Urteil
25. Juli 2023

Kein Auskunftsanspruch nach Art. 15 DSGVO für Erben

Ein Auskunftsanspruch geht nicht auf die Erben über
Bild: iStock.com / ipopba
Ein Anspruch, der nicht vererbt wird
Kein Auskunftsanspruch nach Art. 15 DSGVO für Erben

Das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO geht sehr weit. Für Erben einer Person wäre es manchmal praktisch, wenn der Auskunftsanspruch dieser Person auf sie übergehen würde. Das ist aber nicht der Fall.

Urteil
2. Februar 2023

EuGH: Auskunft über die konkreten Datenempfänger

EuGH: Verantwortliche müssen Empfänger von Daten ganz konkret benennen
Bild: Andrew_Rybalko / iStock / Getty Images Plus
Grundsatzentscheidung des Europäischen Gerichtshofs
EuGH: Auskunft über die konkreten Datenempfänger

Beim Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO sind viele Fragen offen. In einem wichtigen Punkt hat der Europäische Gerichtshof (EuGH) jetzt Klarheit geschaffen. Betroffene Personen können im Regelfall verlangen, dass der Verantwortliche ihnen ganz genau sagt, an wen er ihre Daten übermittelt hat.

Urteil
23. Januar 2023

Vorlageverfahren beim EuGH, Teil 3: Streitfragen rund um den Auskunftsanspruch

DP+
Vorlageverfahren beim EuGH sind enorm wichtig
Bild: Gerichtshof der Europäischen Union
Betroffenenrechte
Vorlageverfahren beim EuGH, Teil 3: Streitfragen rund um den Auskunftsanspruch

Beim Auskunftsanspruch nach Art. 15 DSGVO ist inzwischen fast alles umstritten. Gleich mehrere Vorlagen nationaler Gerichte geben dem EuGH Gelegenheit, Streitfragen zu klären. Wir präsentieren Ihnen eine Auswahl der wichtigsten Themen, um die es dabei geht.

Urteil
20. Dezember 2022

Auskunftsanspruch nach der DSGVO: ein Update

DP+
Auf die Motive eines Antragstellers kommt es beim Auskunftsanspruch nach DSGVO nicht an, auch nicht darauf, wie aufwendig es für einen Verantwortlichen ist, die Auskunft zu erteilen
Bild: iStock.com / anyaberkut
Manches ist klar, anderes nicht
Auskunftsanspruch nach der DSGVO: ein Update

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Analyse
18. März 2022

Recht auf Auskunft: EDSA beschließt Leitlinien

Das Auskunftsrecht wird oft in Anspruch genommen. Die neuen Leitlinien der EDSA stärken nun die Rechte der Betroffenen.
Bild: nortonrsx / iStock / Getty Images Plus
Datenschutz in Europa
Recht auf Auskunft: EDSA beschließt Leitlinien

Welche Unternehmen und Behörden speichern welche Daten über mich? Wer das wissen will, kann – laut Europäischer Datenschutz-Grundverordnung (DSGVO) – sein Recht auf Auskunft geltend machen. Für mehr Einheitlichkeit und Klarheit dabei sorgt der Europäische Datenschutzausschuss (EDSA). Er hat gerade Leitlinien zum Auskunftsrecht verabschiedet.

News
26. Januar 2022

Betroffenenanfragen: So gelingt der Umgang damit

DP+
Ablage P ist die denkbar schlechteste Möglichkeit, auf Anfragen von betroffenen Personen zu reagieren
Bild: iStock.com / Who_I_am
Betroffenenrechte Schritt für Schritt
Betroffenenanfragen: So gelingt der Umgang damit

Anfragen von betroffenen Personen sind mittlerweile sehr häufig. Zeigen Sie anhand von Praxisbeispielen etwa zur telefonischen Auskunft, wie die Kolleginnen und Kollegen mit Betroffenenrechten korrekt verfahren.

Praxisbericht
7. Oktober 2021
1 von 2

Das Auskunftsrecht (Art. 15 DSGVO) und Auskunftsersuchen

Das Auskunftsrecht (ugs. Auskunftsanspruch) ist für die betroffene Person von besonderer Bedeutung. Mit seiner Hilfe kann sie erfahren, ob ein Verantwortlicher oder Auftragsverarbeiter überhaupt Daten verarbeitet, die sie betreffen. Sofern das der Fall ist, kann sie über ein Auskunftsersuchen erfahren, um welche Daten es sich dabei handelt.

Auf dieser Basis kann sie dann überprüfen, ob die Verarbeitung rechtmäßig erfolgt ist. Sofern Anlass dazu besteht, kann die betroffene Person daraufhin ihre Rechte auf Berichtigung, Löschung und Sperrung geltend machen, ferner das Recht auf Widerspruch gegen die Verarbeitung.

Insofern handelt es sich verglichen mit den anderen Rechten der betroffenen Person um deren zentrales Recht. Das Auskunftsrecht bereitet die Ausübung weiterer Rechte durch die betroffene Person vor.

Auskunftsrecht als Grundrecht

Art. 15 DSGVO stellt eine Ausprägung des Grundrechts auf Auskunft dar. Dieses Grundrecht ergibt sich aus Art. 8 Abs. 2 Satz 2 der Europäischen Grundrechte-Charta. Diese Vorschrift lautet: „Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten.“

Die Verankerung des Auskunftsrechts auf der Ebene der Grundrechte hat praktische Konsequenzen. Erwägt ein Verantwortlicher im Einzelfall, das Auskunftsrecht aufgrund von Rechten anderer Personen einzuschränken, dann müssen sich diese Rechte anderer Personen ebenfalls auf grundrechtlich geschützte Rechtspositionen zurückführen lassen.

Das hält als verbindliche Auslegungsregel in Art. 52 Abs. 1 der Europäischen Grundrechte-Charta ausdrücklich fest.

Auskunftsanspruch: Dreistufiger (oder zweistufiger?) Aufbau

Das Recht auf Auskunft ist dreistufig angelegt:

  • In der ersten Stufe kann die betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob er überhaupt personenbezogene Daten verarbeitet, die sie betreffen (Art. 15 Abs. 1 Halbsatz 1 DSGVO). Sollte das nicht der Fall sein, hat sie Anspruch auf ein „Negativattest“.
  • Sollte dies dagegen der Fall sein, kann die betroffene Person als zweite Stufe des Auskunftsanspruchs in einem Auskunftsersuchen Auskunft über die Daten selbst und außerdem umfangreiche Informationen über die Verarbeitung verlangen (Art. 15 Abs. 1 Halbsatz 2 DSGVO).
  • Ferner hat sie als dritte Stufe des Auskunftsrechts Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 Satz 1 DSGVO).

Unterschied der Stufen 2 und 3

Manche Juristen sind der Auffassung, dass das Auskunftsrecht (ugs. Auskunftanspruch) lediglich zweistufig sei. Sie fassen die vorstehend beschriebenen Stufen 2 und 3 zu einer Stufe zusammen. Begründung: Es gehe um den Inhalt der Daten, die vorliegen.

Dieser Auffassung ist nicht zuzustimmen. Bei Stufe 3 (Anspruch auf Kopie) geht es um die Daten in der Form, wie sie vorliegen. Man könnte insoweit von „Rohdaten“ sprechen. Diese Fassung kann ausgesprochen unübersichtlich sein. Das zeigt sich etwa am Beispiel einer ärztlichen Karteikarte, die schwer leserliche handschriftliche Notizen enthält.

Bei Stufe 2 müssen die Daten dagegen in nachvollziehbarer Weise dargestellt sein. Beim Beispiel der beschriebenen ärztlichen Karteikarte bedeutet das, dass die Daten in Maschinenschrift und damit in einer für jedermann lesbaren Form dargestellt werden müssen. Das sind zwei völlig verschiedene Dinge.

Hingewiesen sei darauf, dass „Darstellung in lesbarer Form“ nicht bedeutet, dass der Inhalt der Daten erläutert werden müsste. Bei der beschriebenen ärztlichen Karteikarte bedeutet es, dass es das Problem der betroffenen Person ist, ob sie den medizinischen Inhalt der Notizen versteht.

Verhältnis zum Recht auf Information

Im Gegensatz zu den Informationsrechten gemäß Art. 13 DSGVO und Art. 14 DSGVO setzt das Auskunftsrecht gemäß Art. 15 DSGVO voraus, dass die betroffene Person es über ein Auskunftsersuchen aktiv geltend macht.

Die Informationen gemäß Art. 13 DSGVO und Art. 14 DSGVO sind der betroffenen Person dagegen unaufgefordert zur Verfügung zu stellen.

Darüber, dass sie ein Auskunftsrecht (ugs. Auskunftsanspruch) hat, muss der Verantwortliche die betroffene Person dabei ebenfalls unaufgefordert informieren (Art. 13 Abs. 2 Buchstabe b DSGVO bzw. Art. 14 Abs. 2 Buchstabe c DSGVO).

Stufe 1: Auskunft über die Tatsache einer Verarbeitung

Die Auskunft, dass keine Verarbeitung personenbezogener Daten der betroffenen Person erfolgt, sollte der Verantwortliche mit größter Sorgfalt erteilen. Ein solches „Negativattest“ führt nämlich dazu, dass die betroffene Person die weiteren Stufen des Auskunftsrechts nicht mehr geltend machen kann.

Sie wird auch keine Veranlassung dazu sehen, dies in irgendeiner Art und Weise zu versuchen. Denn schließlich wurde ihr mitgeteilt, dass keine Verarbeitung von personenbezogenen Daten über sie erfolgt.

Ein falsches Negativattest lässt sich daher durchaus als Täuschungsversuch des Verantwortlichen interpretieren. In jedem Fall kann es eine Geldbuße nach sich ziehen (siehe Art. 83 Abs. 5 Buchstabe b DSGVO).

Stufe 2: Auskunft über die Daten selbst und Zusatzinformationen

Sofern eine Verarbeitung personenbezogener Daten erfolgt, kann die betroffene Person in einem Auskunftsersuchen Auskunft über die verarbeiteten Daten verlangen.

Dieser Anspruch ist umfassend. Es kommt also nicht darauf an, wo der Verantwortliche die Daten im Einzelnen gespeichert hat. Nötigenfalls muss er alle Daten „zusammensuchen“. Der Gesetzgeber geht davon aus, dass eine Organisationsstruktur vorhanden ist, die das ermöglicht. Deshalb sieht Art. 15 DSGVO auch nicht vor, dass sich der Verantwortliche einem Auskunftsersuchen mit der Begründung verweigern kann, der Aufwand für die Auskunft sei zu groß.

Eine Auskunft ist in der Regel binnen eines Monats zu erteilen (siehe Art. 12 Abs. 3 DSGVO). Zwar handelt es sich dabei nicht um eine starre Frist, sondern um einen Zeitraum, der sich aus sachlichen Gründen verlängern kann. Das schiebt das Problem jedoch für den Verantwortlichen nur auf, ohne es zu lösen. Denn letztlich muss er die Auskunft doch erteilen.

Zusätzlich zu den verarbeiteten Daten selbst muss der Verantwortliche eine ganze Reihe von Zusatzinformationen über die Verarbeitung zur Verfügung stellen (siehe Art. 15 Halbsatz 2 DSGVO). Dazu gehört insbesondere der Zweck der Verarbeitung. Auch insoweit ist es unentbehrlich, dass der Verantwortliche über eine Organisationsstruktur verfügt, die solche Informationen möglich macht.

Die Zusatzinformationen werden oft als „Metadaten“ bezeichnet. Darunter versteht man allgemein gesehen Daten, die Informationen über Merkmale anderer Daten enthalten.

Beispiel: Die Anschriften von Personen werden verarbeitet. Damit sind die Anschriften die verarbeiteten Daten. Die Angabe, dass dies für Werbezwecke geschieht, gehört zu den Metadaten. Sie enthält nämlich eine Information, der zu entnehmen ist, in welchem Kontext die „eigentlichen Daten“ verarbeitet werden.

Der Aussagewert von Metadaten ist oft höher als der Aussagewert der „eigentlichen Daten“ für sich allein gesehen. Beispiel: Anschriften von Personen mögen für sich gesehen relativ banale Daten darstellen. Liegt dagegen die Zusatzangabe vor, dass es sich um Anschriften auf einer Liste von verurteilten Straftätern handelt, führt diese Zusatzangabe zu einer besonderen zusätzlichen Brisanz.

Stufe 3: Recht auf eine Kopie der Daten

Diese Regelung hat eine wichtige klarstellende Funktion. Es genügt nicht, dass der betroffenen Person die verarbeiteten Daten irgendwie genannt werden, beispielsweise durch eine mündliche Darstellung. Vielmehr hat sie auf Wunsch zusätzlich ausdrücklich Anspruch auf eine Kopie der Daten.

Eine solche Kopie ist kostenlos herauszugeben. Das ergibt sich aus der Auslegung von Art. 15 Abs. 3 DSGVO. Satz 2 dieser Bestimmung legt fest, dass für „alle weiteren Kopien“ ein angemessenes Entgelt verlangt werden kann. Das gilt aber im Umkehrschluss nicht für die erste Kopie, die in Art. 15 Abs. 3 DSGVO erwähnt ist, ohne den Zusatz „erste“ zu verwenden.

Schranken des Auskunftsrechts

Das Auskunftsrecht ist nicht schrankenlos. Dies ergibt sich aus Art. 15 Abs. 4 DSGVO. Demnach darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Erwägungsgrund 63 zur DSGVO erläutert, dass es dabei vor allem um den Schutz von Geschäftsgeheimnissen geht. Ein Verantwortlicher, der sich auf diese Ausnahme beruft, muss jedoch nachvollziehbar begründen, dass sie wirklich vorliegt. Dies kann relativ umfangreiche Darlegungen erfordern.

Ausnahmen vom Auskunftsanspruch

Allgemeine Ausnahmen vom Auskunftsrecht enthält die DSGVO in Art. 23 DSGVO. Diese Ausnahmen betreffen Privatunternehmen so gut wie nicht, sondern in erster Linie Behörden.

Einzige Ausnahme: die Durchsetzung zivilrechtlicher Ansprüche (Art. 23 Abs. 1 Buchstabe j DSGVO). Sie hat folgenden Hintergrund: Wer zivilrechtliche Ansprüche durchsetzen will, verarbeitet dabei in aller Regel in erheblichem Umfang personenbezogene Daten seines rechtlichen Gegners. Oft werden auch taktische Überlegungen angestellt. Wenn der rechtliche Gegner Auskunft über solche Daten verlangen könnte, würde das die Position des Klägers untergraben.

Problemfall Kündigungsschutz

Keine allgemeinen Ausnahmen bestehen dagegen für Daten, die etwa in Mails enthalten sind. Das ist für ein Unternehmen etwa dann misslich, wenn es einem Arbeitnehmer kündigen will.

Solange noch kein arbeitsgerichtliches Verfahren läuft, hat der betroffene Arbeitnehmer prinzipiell einen Anspruch auf die Texte der Mails, die etwa zwischen Personalabteilung und Fachabteilung über seinen Fall ausgetauscht wurden.

Überflüssigen Aufwand bei Auskunftsersuchen vermeiden

Oft verlangen betroffene Personen ganz allgemein Auskunft über alle Daten. Eine Nachfrage ergibt dann vielfach, dass es der betroffenen Person in Wirklichkeit nur um relativ wenige Daten geht, möglicherweise nur um ein einzelnes Dokument. Es ist deshalb zu empfehlen, immer entsprechend nachzufragen.

Das bietet Vorteile für beide Seiten:

  • Der Verantwortliche hat weniger Aufwand.
  • Und die betroffene Person erhält die Auskunft schneller und zielgenau.

Allerdings sollte der Verantwortliche dabei stets darauf hinweisen, dass er auf Wunsch eine umfassende Auskunft erteilt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.