Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Auskunftsrecht

Beim Auskunftsrecht handelt es sich, verglichen mit den anderen Rechten der betroffenen Person, um ihr zentrales Recht. Ein Auskunftsersuchen bereitet die Ausübung weiterer Rechte durch die betroffene Person vor.

➜ Auskunftsrecht praktisch umsetzen

Betroffenenrechte

Das Auskunftsrecht hatte zu einem großen Aufschrei geführt: Wie soll eine öffentliche Stelle – insbesondere eine Kommunalverwaltung – dem nachkommen, ohne sich bei der Recherche nach diesen Daten komplett zu verzetteln? Ein Muster auf Basis des VVT schafft Abhilfe.

Auskunftsanspruch nach Art. 15 DSGVO

Manchmal reden Urteile bei den entscheidenden Fragen gefühlt um den heißen Brei. Manchmal bieten sie aber auch Klartext. So hier: Das OLG Köln bezieht eindeutig Position zur Frage, ob sich der Auskunftsanspruch nach Art. 15 DSGVO auch auf Gesprächsnotizen und Telefonvermerke erstreckt.

Rechtslage bei Arbeitsverhältnissen

Welchen Grenzen unterliegt der Auskunftsanspruch gemäß Art. 15 DSGVO im Arbeitsverhältnis? Kann der Auskunftsanspruch auch Unterlagen umfassen, die Angaben eines „Hinweisgebers“ enthalten? Kann er sich auch auf die Mails beziehen, die ein Arbeitnehmer geschrieben, gesendet und empfangen hat? Diese Fragen sind Gegenstand eines Urteils des Landesarbeitsgerichts Baden-Württemberg.

Tools zur Umsetzung der DSGVO

Zu den zentralen Elementen der Datenschutz-Grundverordnung (DSGVO / GDPR) gehören die Betroffenenrechte, darunter das Auskunftsrecht für betroffene Personen. Eine Reihe von Tools verspricht, die Auskunft nahezu auf Knopfdruck erteilen zu können. Wie sieht die Praxis aus, und wie helfen solche Tools konkret?

2 von 2

Das Auskunftsrecht (Art. 15 DSGVO) und Auskunftsersuchen

Das Auskunftsrecht ist für die betroffene Person von besonderer Bedeutung. Mit seiner Hilfe kann sie erfahren, ob ein Verantwortlicher oder Auftragsverarbeiter überhaupt Daten verarbeitet, die sie betreffen. Sofern das der Fall ist, kann sie über ein Auskunftsersuchen erfahren, um welche Daten es sich dabei handelt.

Auf dieser Basis kann sie dann überprüfen, ob die Verarbeitung rechtmäßig erfolgt ist. Sofern Anlass dazu besteht, kann die betroffene Person daraufhin ihre Rechte auf Berichtigung, Löschung und Sperrung geltend machen, ferner das Recht auf Widerspruch gegen die Verarbeitung.

Insofern handelt es sich

Auskunftsrecht als Grundrecht

Art. 15 DSGVO stellt eine Ausprägung des Grundrechts auf Auskunft dar. Dieses Grundrecht ergibt sich aus Art. 8 Abs. 2 Satz 2 der Europäischen Grundrechte-Charta. Diese Vorschrift lautet: „Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten.“

Die Verankerung des Auskunftsrechts auf der Ebene der Grundrechte hat praktische Konsequenzen. Erwägt ein Verantwortlicher im Einzelfall, das Auskunftsrecht aufgrund von Rechten anderer Personen einzuschränken, dann müssen sich diese Rechte anderer Personen ebenfalls auf grundrechtlich geschützte Rechtspositionen zurückführen lassen.

Das hält als verbindliche Auslegungsregel in Art. 52 Abs. 1 der Europäischen Grundrechte-Charta ausdrücklich fest.

Dreistufiger (oder zweistufiger?) Aufbau

Das Recht auf Auskunft ist dreistufig angelegt:

  • In der ersten Stufe kann die betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob er überhaupt personenbezogene Daten verarbeitet, die sie betreffen (Art. 15 Abs. 1 Halbsatz 1 DSGVO). Sollte das nicht der Fall sein, hat sie Anspruch auf ein „Negativattest“.
  • Sollte dies dagegen der Fall sein, kann die betroffene Person als zweite Stufe in einem Auskunftsersuchen Auskunft über die Daten selbst und außerdem umfangreiche Informationen über die Verarbeitung verlangen (Art. 15 Abs. 1 Halbsatz 2 DSGVO).
  • Ferner hat sie als dritte Stufe des Auskunftsrechts Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 Satz 1 DSGVO).

Unterschied der Stufen 2 und 3

Manche Juristen sind der Auffassung, dass das Auskunftsrecht lediglich zweistufig sei. Sie fassen die vorstehend beschriebenen Stufen 2 und 3 zu einer Stufe zusammen. Begründung: Es gehe um den Inhalt der Daten, die vorliegen.

Dieser Auffassung ist nicht zuzustimmen. Bei Stufe 3 (Anspruch auf Kopie) geht es um die Daten in der Form, wie sie vorliegen. Man könnte insoweit von „Rohdaten“ sprechen. Diese Fassung kann ausgesprochen unübersichtlich sein. Das zeigt sich etwa am Beispiel einer ärztlichen Karteikarte, die schwer leserliche handschriftliche Notizen enthält.

Bei Stufe 2 müssen die Daten dagegen in nachvollziehbarer Weise dargestellt sein. Beim Beispiel der beschriebenen ärztlichen Karteikarte bedeutet das, dass die Daten in Maschinenschrift und damit in einer für jedermann lesbaren Form dargestellt werden müssen. Das sind zwei völlig verschiedene Dinge.

Hingewiesen sei darauf, dass „Darstellung in lesbarer Form“ nicht bedeutet, dass der Inhalt der Daten erläutert werden müsste. Bei der beschriebenen ärztlichen Karteikarte bedeutet es, dass es das Problem der betroffenen Person ist, ob sie den medizinischen Inhalt der Notizen versteht.

Verhältnis zum Recht auf Information

Im Gegensatz zu den Informationsrechten gemäß Art. 13 DSGVO und Art. 14 DSGVO setzt das Auskunftsrecht gemäß Art. 15 DSGVO voraus, dass die betroffene Person es über ein Auskunftsersuchen aktiv geltend macht.

Die Informationen gemäß Art. 13 DSGVO und Art. 14 DSGVO sind der betroffenen Person dagegen unaufgefordert zur Verfügung zu stellen.

Darüber, dass sie ein Auskunftsrecht hat, muss der Verantwortliche die betroffene Person dabei ebenfalls unaufgefordert informieren (Art. 13 Abs. 2 Buchstabe b DSGVO bzw. Art. 14 Abs. 2 Buchstabe c DSGVO).

Stufe 1: Auskunft über die Tatsache einer Verarbeitung

Die Auskunft, dass keine Verarbeitung personenbezogener Daten der betroffenen Person erfolgt, sollte der Verantwortliche mit größter Sorgfalt erteilen. Ein solches „Negativattest“ führt nämlich dazu, dass die betroffene Person die weiteren Stufen des Auskunftsrechts nicht mehr geltend machen kann.

Sie wird auch keine Veranlassung dazu sehen, dies in irgendeiner Art und Weise zu versuchen. Denn schließlich wurde ihr mitgeteilt, dass keine Verarbeitung von personenbezogenen Daten über sie erfolgt.

Ein falsches Negativattest lässt sich daher durchaus als Täuschungsversuch des Verantwortlichen interpretieren. In jedem Fall kann es eine Geldbuße nach sich ziehen (siehe Art. 83 Abs. 5 Buchstabe b DSGVO).

Stufe 2: Auskunft über die Daten selbst und Zusatzinformationen

Sofern eine Verarbeitung personenbezogener Daten erfolgt, kann die betroffene Person in einem Auskunftsersuchen Auskunft über die verarbeiteten Daten verlangen.

Dieser Anspruch ist umfassend. Es kommt also nicht darauf an, wo der Verantwortliche die Daten im Einzelnen gespeichert hat. Nötigenfalls muss er alle Daten „zusammensuchen“. Der Gesetzgeber geht davon aus, dass eine Organisationsstruktur vorhanden ist, die das ermöglicht. Deshalb sieht Art. 15 DSGVO auch nicht vor, dass sich der Verantwortliche einem Auskunftsersuchen mit der Begründung verweigern kann, der Aufwand für die Auskunft sei zu groß.

Eine Auskunft ist in der Regel binnen eines Monats zu erteilen (siehe Art. 12 Abs. 3 DSGVO). Zwar handelt es sich dabei nicht um eine starre Frist, sondern um einen Zeitraum, der sich aus sachlichen Gründen verlängern kann. Das schiebt das Problem jedoch für den Verantwortlichen nur auf, ohne es zu lösen. Denn letztlich muss er die Auskunft doch erteilen.

Zusätzlich zu den verarbeiteten Daten selbst muss der Verantwortliche eine ganze Reihe von Zusatzinformationen über die Verarbeitung zur Verfügung stellen (siehe Art. 15 Halbsatz 2 DSGVO). Dazu gehört insbesondere der Zweck der Verarbeitung. Auch insoweit ist es unentbehrlich, dass der Verantwortliche über eine Organisationsstruktur verfügt, die solche Informationen möglich macht.

Die Zusatzinformationen werden oft als „Metadaten“ bezeichnet. Darunter versteht man allgemein gesehen Daten, die Informationen über Merkmale anderer Daten enthalten.

Beispiel: Die Anschriften von Personen werden verarbeitet. Damit sind die Anschriften die verarbeiteten Daten. Die Angabe, dass dies für Werbezwecke geschieht, gehört zu den Metadaten. Sie enthält nämlich eine Information, der zu entnehmen ist, in welchem Kontext die „eigentlichen Daten“ verarbeitet werden.

Der Aussagewert von Metadaten ist oft höher als der Aussagewert der „eigentlichen Daten“ für sich allein gesehen. Beispiel: Anschriften von Personen mögen für sich gesehen relativ banale Daten darstellen. Liegt dagegen die Zusatzangabe vor, dass es sich um Anschriften auf einer Liste von verurteilten Straftätern handelt, führt diese Zusatzangabe zu einer besonderen zusätzlichen Brisanz.

Stufe 3: Recht auf eine Kopie der Daten

Diese Regelung hat eine wichtige klarstellende Funktion. Es genügt nicht, dass der betroffenen Person die verarbeiteten Daten irgendwie genannt werden, beispielsweise durch eine mündliche Darstellung. Vielmehr hat sie auf Wunsch zusätzlich ausdrücklich Anspruch auf eine Kopie der Daten.

Eine solche Kopie ist kostenlos herauszugeben. Das ergibt sich aus der Auslegung von Art. 15 Abs. 3 DSGVO. Satz 2 dieser Bestimmung legt fest, dass für „alle weiteren Kopien“ ein angemessenes Entgelt verlangt werden kann. Das gilt aber im Umkehrschluss nicht für die erste Kopie, die in Art. 15 Abs. 3 DSGVO erwähnt ist, ohne den Zusatz „erste“ zu verwenden.

Schranken des Auskunftsrechts

Das Auskunftsrecht ist nicht schrankenlos. Dies ergibt sich aus Art. 15 Abs. 4 DSGVO. Demnach darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Erwägungsgrund 63 zur DSGVO erläutert, dass es dabei vor allem um den Schutz von Geschäftsgeheimnissen geht. Ein Verantwortlicher, der sich auf diese Ausnahme beruft, muss jedoch nachvollziehbar begründen, dass sie wirklich vorliegt. Dies kann relativ umfangreiche Darlegungen erfordern.

Ausnahmen

Allgemeine Ausnahmen vom Auskunftsrecht enthält die DSGVO in Art. 23 DSGVO. Diese Ausnahmen betreffen Privatunternehmen so gut wie nicht, sondern in erster Linie Behörden.

Einzige Ausnahme: die Durchsetzung zivilrechtlicher Ansprüche (Art. 23 Abs. 1 Buchstabe j DSGVO). Sie hat folgenden Hintergrund: Wer zivilrechtliche Ansprüche durchsetzen will, verarbeitet dabei in aller Regel in erheblichem Umfang personenbezogene Daten seines rechtlichen Gegners. Oft werden auch taktische Überlegungen angestellt. Wenn der rechtliche Gegner Auskunft über solche Daten verlangen könnte, würde das die Position des Klägers untergraben.

Problemfall Kündigungsschutz

Keine allgemeinen Ausnahmen bestehen dagegen für Daten, die etwa in Mails enthalten sind. Das ist für ein Unternehmen etwa dann misslich, wenn es einem Arbeitnehmer kündigen will.

Solange noch kein arbeitsgerichtliches Verfahren läuft, hat der betroffene Arbeitnehmer prinzipiell einen Anspruch auf die Texte der Mails, die etwa zwischen Personalabteilung und Fachabteilung über seinen Fall ausgetauscht wurden.

Überflüssigen Aufwand bei Auskunftsersuchen vermeiden

Oft verlangen betroffene Personen ganz allgemein Auskunft über alle Daten. Eine Nachfrage ergibt dann vielfach, dass es der betroffenen Person in Wirklichkeit nur um relativ wenige Daten geht, möglicherweise nur um ein einzelnes Dokument. Es ist deshalb zu empfehlen, immer entsprechend nachzufragen.

Das bietet Vorteile für beide Seiten:

  • Der Verantwortliche hat weniger Aufwand.
  • Und die betroffene Person erhält die Auskunft schneller und zielgenau.

Allerdings sollte der Verantwortliche dabei stets darauf hinweisen, dass er auf Wunsch eine umfassende Auskunft erteilt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.