Auskunfts- und Kopienanspruch – Artikel 15 DSGVO

Betroffenen Personen steht nach Artikel 15 Absatz 1 DSGVO ein Auskunftsrecht zu. Der nachfolgende Beitrag befasst sich mit dem Inhalt und Umfang dieses Anspruchs, greift Praxisprobleme auf und gibt Tipps zum Umgang mit diesem Recht der betroffenen Person. In einem einführenden Video gebe ich einen Überblick in die Materie und, wenn Sie möchten, können Sie sich den Beitrag vorlesen lassen. Eben multimedial, so wie Sie es von der datenrecht.ACADEMY gewohnt sind.

Einen ersten Eindruck von der Regelung vermittelt meine Video-Kurzkommentierung zu Artikel 15 DSGVO.

Teilen Sie diesen Beitrag zur DSGVO:

Der Anspruch aus Artikel 15 DSGVO lässt sich grob in zwei Teile splitten. Zum einen kann die betroffene Person von der verantwortlichen Stelle eine Bestätigung darüber verlangen, »ob« sie betreffende personenbezogene Daten verarbeitet werden.

Ist dies der Fall, muss die verantwortliche Stelle, also in einem zweiten Schritt sozusagen, Auskunft über die in Artikel 15 DSGVO genannten Informationen geben (dazu im Einzelnen gleich). Werden hingegen keine personenbezogene bzw. anonymisierte Daten zu der anfragenden Person verarbeitet, muss eine sog. “Negativauskunft” erteilt werden. Die verantwortliche Stelle kann mithin nicht einfach die Hände in den Schoß legen und nichts tun, wenn über die anfragende Person keine Daten verarbeitet werden. Eine Negativauskunft ist erforderlich, weil Artikel 15 Absatz 1 DSGVO das »ob« einer Verarbeitung zum Inhalt des Anspruchs macht. In der Praxis laufen das Ob der Verarbeitung und der Inhalt der Beauskunftung regelmäßig gleichzeitig ab; wichtig ist aber, dass im Falle, dass von der anfragenden Person keine Daten verarbeitet werden, nicht einfach geschwiegen werden darf.

Die Interessen des beauskunftenden Unternehmens fallen aber nicht gänzlich unter den Tisch. Dies gilt vor allem, wenn im Rahmen der Auskunft Geschäftsgeheimnisse im Sinne des Geschäftsgeheimnisgesetzes (GeschGehG) betroffen sind.

Geschäftsgeheimnisse sind nach § 2 Nummer 1 GeschGehG Informationen, die

• weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich sind und daher von wirtschaftlichem Wert sind und
• die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
• bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Diese Voraussetzungen müssen kumulativ vorliegen. In diesem Fall muss in der Regel eine Interessenabwägung der Rechte der betroffenen Person mit den Rechten des Verantwortlichen oder eines betroffenen Dritten durchgeführt werden. Im Falle eines Whistleblowing kann diese zulasten des Verantwortlichen ausgehen, wenn die Gefahr besteht, dass der Hinweisgeber wider besseres Wissen handelt, um den Verdächtigten zu Unrecht in Misskredit zu bringen.

Dass eine Beauskunftung hinter den Interessen des Unternehmens zurückstehen muss, muss aber vom Unternehmen nachgewiesen werden können und insoweit trägt das Unternehmen auch das Risiko, dass sich die Einschätzung als falsch herausstellt. Es kann sich nicht mit einem pauschalen Verweis auf Vorliegen eines Geschäftsgeheimnisses begnügen, sondern muss konkret darlegen, woraus sich dieses Geschäftsgeheimnisinteresse genau ergibt. Ist dieses erfolgt, kann die Auskunft nur für diejenigen Daten verweigert werden, bei denen die Geheimhaltung wirklich notwendig ist. Für die Praxis empfehlen sich Schwärzungen oder andere technische Vorkehrungen.

Das, was ich hier gerade zitiert habe, ist Erwägungsgrund (EG) 63 der DSGVO. Die Erwägungsgründe gehören zwar nicht zum verfügenden Teil der DSGVO, aber sie zeigen uns, was der Verordnungsgeber erreichen wollte. Daher können die Erwägungsgründe sozusagen als Leitfaden herangezogen werden.

EG 63 verdeutlicht, dass die Ansprüche aus Artikel 15 DSGVO praktisch Hilfsansprüche darstellen und dazu dienen, die betroffene Person in die Lage zu versetzen, ihre Rechte auf Löschung, Berichtigung und Einschränkung der Verarbeitung und Datenübertragbarkeit sowie Schadensersatzansprüche geltend zu machen.

Wir erkennen mithin deutlich, dass die DSGVO an einer umfassenden Information der betroffenen Person gelegen ist. Denn zum einen muss die verantwortliche Stelle schon von sich aus aktiv aufgrund Artikel 13 und 14 DSGVO (Stichwort »Datenschutzerklärung«) die betroffenen Personen über alle maßgeblichen Aspekte der Verarbeitung unterrichten und zum anderen kann die betroffene Person die Preisgabe dieser Parameter aktiv einfordern.

Anspruchsinhalte aus Artikel 15 DSGVO

Verarbeitet der Verantwortliche Daten der betroffenen Person, hat sie nach Artikel 15 Absatz 1 Halbsatz 2, Absatz 2 DSGVO das Recht, von diesem Auskunft über die folgenden Punkte zu erhalten:

• die verarbeiteten personenbezogenen Daten (dies sind die konkret verarbeiteten Daten, also z.B. der konkret verarbeitete Name und das konkret verarbeitete Geburtsdatum; die abstrakte Angabe, dass ein Name oder das Geburtsdatum verarbeitet werde, reiche insoweit nicht aus),
• die Verarbeitungszwecke,
• die Kategorien personenbezogener Daten, die verarbeitet werden (diese Verpflichtung besteht zusätzlich zum konkreten Inhalt der verarbeiteten personenbezogener Daten),
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten,
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absatz 1 und 4 DSGVO und * zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person,
• wenn personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, über die geeigneten Garantien gemäß Artikel 46 DSGVO im Zusammenhang mit der Übermittlung.

Zu beauskunften sind nur die personenbezogenen Daten, die beim Verantwortlichen oder bei dessen Auftragsverarbeiter zum Zeitpunkt des Auskunftsantrags tatsächlich vorhanden sind. Soweit Daten nur in der Vergangenheit verarbeitet und sodann gelöscht wurden, unterfallen sie nicht dem Auskunftsanspruch.

Die nachfolgende Mindmap, die Sie als PNG-Datei downloaden können, gibt einen Überblick über die Anspruchsinhalte von Artikel 15 DSGVO.

Download Mindmap als PNG

Umfang des Anspruchs aus Artikel 15 DSGVO

Der Auskunftsanspruch bezieht sich auf die personenbezogenen Daten des Anspruchstellers. Der Begriff personenbezogene Daten ist in Artikel 4 Nummer 1 DSGVO definiert und grundsätzlich weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver und subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen »über« die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist. In diesem Sinne sind auch (interne) Vermerke, Telefon- und Gesprächsnotizen, Schriftverkehr, E-Mails, rechtliche Bewertungen und Schlussfolgerungen u.ä. personenbezogene Daten, die vom Auskunftsanspruch erfasst werden.

Es ist in diesem Zusammenhang zu beachten, dass der Verantwortliche gemäß Artikel 11 Absatz 1 DSGVO nicht verpflichtet ist, Angaben, mittels derer die betroffene Person identifiziert werden kann, zu erheben oder gespeichert zu erhalten, nur um deren Auskunftsanspruch zu erfüllen, die identifizierenden Angaben für den verfolgten Verarbeitungszweck ansonsten aber nicht erforderlich sind.

Nichtsdestotrotz kann die Auskunftserteilung rasch einen beachtlichen Umfang erreichen. Daher ist in diesem Zusammenhang Erwägungsgrund 63 Satz 7 beachtlich, demzufolge der Verantwortliche – wenn er eine große Menge von Informationen über die betroffene Person verarbeitet – verlangen können soll, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

Bei der Auskunftserteilung darf grundsätzlich nicht auf eine bereits in der Vergangenheit erteilte Auskunft verwiesen werden, da sich die beauskunfteten Daten in der Zwischenzeit geändert haben können. Es ist zu beachten, dass die Tatsache, dass sich an den verarbeiteten Daten nichts geändert hat, eben auch eine für die betroffene Person wichtige Information sein kann. Ebenso sollten Unternehmen grundsätzlich darauf verzichten, (nur) eine »Differenzauskunft« zu erteilen, die sich auf die Veränderungen seit der letzten Auskunftserteilung beschränkt, sofern die betroffene Person nicht genau dies verlangt.

Wie oft eine betroffene Person insoweit Auskunft verlangen kann, ohne dass es als exzessiv gewertet werden kann, ist eine Frage des Einzelfalles und hängt wesentlich davon ab, wie rasch die Daten sich ändern können. Eine Anfrage pro Kalenderjahr dürfte wohl in kaum einem Fall als exzessiv angesehen werden.

Die Informationen können schriftlich oder in elektronischer Form erteilt werden. Das Ergebnis des Auskunftsverlangens kann große Mengen personenbezogener Daten enthalten. Kommen Sie zu dem Ergebnis, dass personenbezogene Daten Ihrerseits verarbeitet werden, stellen Sie bitte den Versand der Auskunft darüber sicher. Je nach Schutzbedürftigkeit der Daten sollte einer der folgenden Kommunikationswege mit entsprechenden Sicherheitsvorkehrungen verwendet werden.

Postalischer Versand: Der postalische Versand ist empfehlenswert, wenn es sich um besonders schützenswerte Daten (z.B. Kontodaten, Daten zum Gesundheitszustand, Beschäftigtendaten) handelt oder sofern die betroffene Person diesen Weg gefordert hat.

E-Mail-Versand: Für besonders schützenswerte Daten ist ebenfalls die Ende-zu-Ende-Verschlüsselung ratsam. Dabei wird der Inhalt der E-Mail auf Ihrem System verschlüsselt und auf dem System der betroffenen Person entschlüsselt. Auf dem Übertragungsweg liegt sie dabei nicht im Klartext vor. Ausgewählte Einzelherausforderungen zum Inhalt der Auskunft gemäß Artikel 15 DSGVO

Empfänger: Konkret oder Kategorien?

Sofern die konkreten Empfänger ohne übermäßigen Aufwand benannt werden können, sollte dies auch erfolgen. Die DSGVO lässt aber grundsätzlich die Wahl, daher kann, jedenfalls dem Wortlaut des Artikels 15 DSGVO folgend, auch die bloße Nennung der Kategorien ausreichend sein. Es gab allerdings bereits Rechtsprechung, die zu einer konkreten Benennung tendiert und daher sollten Sie nicht ohne Not hier eine Flanke aufmachen.

Übermittlung in ein Drittland

Übermittelt der Verantwortliche personenbezogene Daten der betroffenen Person in ein Drittland iSd. Artikel 44 DSGVO, also ein Land außerhalb des EWR, oder an eine internationale Organisation und herrscht dort kein angemessenes, von der Kommission festgestelltes Datenschutzniveau, hat die betroffene Person nach Artikel 15 Absatz 2 DSGVO zudem das Recht, über die geeigneten Garantien gemäß Artikel 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien, wie z.B. den von der Kommission genehmigten Standardvertragsklauseln oder Binding Corporate Rules) im Zusammenhang mit der Übermittlung unterrichtet zu werden. Zum Thema Drittland werden bald eigenständige Beiträge vorliegen, die dann hier verlinkt werden.

Fristverlängerung?

Sofern Sie absehen können, dass auf den Antrag der betroffenen Person nicht innerhalb eines Monats reagiert werden kann, informieren Sie diese innerhalb eines Monats nach Eingang der Anfrage über die Fristverlängerung. Geben Sie hierzu die Gründe der Verzögerung an. Bitte beachten Sie, dass eine Fristverlängerung nur in Ausnahmefällen aufgrund besonderer Komplexität und einer hohen Anzahl von Anfragen möglich ist. Bei der Anzahl von Anfragen wird auf die insgesamt, auch von anderen betroffenen Personen, eingegangenen Anträge abgestellt. Die Komplexität bemisst sich nach der rechtlichen Einordnung und Klärung des Sachverhalts.

Zweifel an der Richtigkeit der Auskunft?

Hat die betroffene Person Zweifel an der Richtigkeit der Auskunft, so kann damit allein ein weitergehender Auskunftsanspruch nicht begründet werden. Vielmehr entsteht bei berechtigten Zweifeln ein Anspruch auf eine eidesstattliche Versicherung der Vollständigkeit der erteilten Auskunft gemäß § 260 Absatz 2 BGB:

Die vorsätzliche bzw. fahrlässige Abgabe einer falschen eidesstattlichen Versicherung ist nach § 156 bzw. 161 StGB strafbar.

Der Anspruch auf eine Kopie gemäß Artikel 15 Absatz 3 Satz 1 DSGVO

Umstritten ist zurzeit noch der Anspruch auf eine Datenkopie gemäß Artikel 15 Absatz 3 Satz 1 DSGVO. Das mag verwundern, weil er doch für Nichtjuristen eigentlich ganz einfach klingt:

Es existieren derzeit eine extensive und eine restriktive Auslegung des Anspruchs. Der extensiven Ansicht zufolge sind der betroffenen Person vom Verantwortlichen sämtliche von ihm oder in seinem Auftrag gespeicherten und/oder verarbeiteten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung in Kopie zu übermitteln. Das wäre ein wirklich weites Verständnis des Anspruchs auf Datenkopie und würde bedeuten, dass beispielsweise einem Arbeitnehmer alle elektronisch verarbeiteten Arbeitszeitnachweise, Entgeltunterlagen, Lohnkonten sowie den Arbeitnehmer betreffenden E-Mails zu übermitteln sind und im Rahmen der E-Mails nicht nur diejenigen, die von ihm gesendet oder an ihn gerichtet wurden. Ein solch weites Verständnis kann und wird viele Unternehmen unangemessen belasten.

Nach der restriktiven Gegenansicht regelt Artikel 15 Absatz 3 Satz 1 lediglich eine besondere Form der Auskunft, weswegen der Informationsgehalt von Absatz 3 Satz 1 nicht weitergehen könne als der von Absatz 1, sodass durch Absatz 3 Satz 1 lediglich die von Artikel 15 Absatz 1 umfassten Daten als Kopie und damit als »Annex« zur Auskunft mitzuteilen seien.

Die restriktive Auffassung ist m.E. auch sehr viel besser mit der DSGVO zu belegen. Die DSGVO existiert in allen Amtssprachen der EU, sie wurde aber auf Englisch verhandelt und beschlossen. Ich darf bei Zweifelsfällen als deutscher Jurist also nicht einfach auf die deutsche Fassung zurückgreifen und reine Wortlautauslegung betreiben. Stattdessen muss ich einen Blick in die englische Sprachfassung der DSGVO werfen. Und dort steht nicht das englische Wort für Auskunft in Artikel 15 Absatz 1 DSGVO, sondern »access«, also Zugriff. Nach der beschlossenen Sprachfassung der DSGVO muss die verantwortliche Stelle der betroffenen Person mithin »Zugriff« auf die verarbeiteten personenbezogenen Daten geben, also z.B. durch ein Web-Frontend oder für Arbeitnehmer mit einer HR-Personalsoftware, auf die über das Intranet zugegriffen werden kann. Dann ergibt Artikel 15 Absatz 3 DSGVO nämlich Sinn. »Zugriff« bedeutet nicht, dass die betroffene Person die erhaltenen Informationen archivieren kann, dazu braucht sie eben eine digitale oder papierne »Kopie«. In diesem Sinne ist Kopie eben eine grafische Nachbildung, bzw. optische Reproduktion dessen, wie die Daten beim Verantwortlichen wahrnehmbar sind; das wären dann eben Fotokopien und/oder Screenshots.

Es muss aber leider festgehalten werden, dass die Rechtsprechung in Deutschland eher der extensiven Ansicht folgt. Es kann nur gehofft werden, das der EuGH dieses weite Verständnis bei nächster Gelegenheit wieder einfängt.

Wann darf die Auskunft verweigert werden?

Diese Frage ist derzeit noch nicht ganz einfach zu beantworten, solange nicht höchstrichterlich endgültig geklärt ist, ob der Anspruch auf die Datenkopie einen eigenständigen Anspruch darstellt.

In jedem Fall darf die Auskunft verweigert werden, wenn und soweit * ein Antrag nach Artikel 12 Absatz 5 Satz 2 Buchstabe b DSGVO offenkundig unbegründet ist oder der Antrag einen exzessiven Charakter hat, * er nach Artikel 12 Absatz 2 iVm. Artikel 11 Absatz 2 DSGVO glaubhaft machen kann, nicht in der Lage zu sein, die betroffene Person in seinem Datenbestand zu identifizieren (er ihr also keine Daten zuzuordnen vermag), oder * er den Antragsteller generell nicht identifizieren kann, also keine klare Vorstellung über die Identität besitzt (Artikel 12 Absatz 6, Absatz 2 Satz 2, Artikel 11 Absatz 2 DSGVO).

Es gibt auch noch weitere denkbare Ausnahmen von der Auskunftspflicht aus DSGVO, vor allem aus dem BDSG oder sogar dem weiteren deutschen Recht; diese werden aber in meinen Onlinekursen umfassend behandelt.

Vorsicht Falle!

Dem Antrag muss rasch entsprochen werden. Nichtsdestotrotz müssen Sie sicherstellen, dass Sie personenbezogene Daten nicht an Unbefugte übermitteln. Prüfen Sie daher zunächst, ob anhand der zur Verfügung gestellten Informationen eine Identifikation möglich ist.

Da die Übermittlung von personenbezogenen Daten an Unbefugte eine Datenschutzverletzung darstellt, müssen Sie hierbei besondere Vorsicht walten lassen.

Dazu sollten in der Regel der Name und die E-Mail-Adresse (ggf. die Kundennummer) ausreichen. Enthält die Anfrage diese Informationen, ist keine weitere Nachfrage nötig.

Ausweiskopie anfordern?

Klingt doch naheliegend, wenn ich eine Person nicht eindeutig identifizieren kann? Dann fordere ich einfach eine Kopie des Ausweises. Das ist in den meisten Fällen aber keine gute Idee. Es gibt zwar gesetzlich geregelte Fälle z.B. im Kreditwesen oder der Geldwäscheprävention, die die Anforderung einer Ausweiskopie sogar verlangen, ansonsten ist hier aber Zurückhaltung geboten. Denken Sie an die Grundsätze der DSGVO aus Artikel 5 DSGVO! Vor allen Dingen an den Grundsatz der »Datenminimierung« (Artikel 5 Absatz 1 Buchstabe c DSGVO). Es dürfen nur dem Zweck angemessene und erhebliche Daten verarbeitet werden und die Verarbeitung muss auf das notwendige Maß beschränkt sein. Es ist daher nicht in jedem Fall die Anforderung einer Ausweiskopie erforderlich. Stellt die betroffene Person die Anfrage von der E-Mail-Adresse, von der sie auch bisher mit Ihnen kommuniziert hat, dann sind Zweifel an der Identität beispielsweise nicht angebracht. Sollten Sie sich dennoch gezwungen sehen, eine Ausweiskopie anzufordern, dann dürfen Sie diese aber deswegen noch lange nicht dauerhaft speichern! Sinn und Zweck der Übermittlung ist die Identitätsfeststellung; ist diese durch Vergleich mit dem Ausweis erfolgt, dann gibt es schlicht und ergreifend keinen Grund mehr, den Ausweis länger zu speichern. Dies könnte nur dann der Fall sein, wenn die Kopie Anzeichen enthält, gefälscht zu sein und sie die Kopie als Beweismittel für ein Strafverfahren vorhalten möchten.

Im Großen und Ganzen lässt sich aber sagen, dass Sie mit der Anforderung einer Ausweiskopie außerhalb der gesetzlich zwingenden Fälle äußerst vorsichtig sein müssen.

Jedenfalls muss dem Antrag auf Geltendmachung eines Betroffenenrechts nicht nachgekommen werden, sofern Sie als Verantwortlicher alle vertretbaren Mittel zur Identifikation erfolglos eingesetzt haben und die anfragende Person bei der Beseitigung der Zweifel an ihrer Identität nicht mitgewirkt hat.

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).