Rechtliche Gratwanderung

Der Auskunftsanspruch nach Art. 15 Datenschutz-Grundverordnung (DS-GVO) ist in Theorie und Praxis eine Herausforderung. Denn Umfang und Grenzen des Anspruchs sind nicht eindeutig geklärt, was seine Erfüllung in der Praxis zu einer Herausforderung werden lassen kann. Einzelne Anforderungen hat der Europäische Gerichtshof (EuGH) in vier Entscheidungen konkretisiert, aber die Tendenz zur großzügigen Auslegung lässt erkennen, dass die Herausforderungen in der Praxis zur Umsetzung dadurch nicht kleiner werden.

Sinn und Zweck der Auskunft

Das Auskunftsrecht nach Art. 15 DS-GVO ist das zentrale Recht und der Anspruch der betroffenen Person, um sich Transparenz über die Verarbeitung ihrer Daten zu verschaffen. Den Anspruch kann jede betroffene Person gegen einen Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO geltend machen. Nicht zur Auskunft verpflichtet und auch nicht berechtigt sind aber Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DS-GVO). Es ist daher beispielsweise für Steuerberaterinnen und Steuerberater wichtig, sich ihrer datenschutzrechtlichen Rolle bewusst zu sein, was etwa mit Blick auf die Lohnbuchhaltung nicht unumstritten war. Die Erteilung der Auskunft hat „in präziser, transparenter, verständlicher und leicht zugänglicher Form“ und „in einer klaren und einfachen Sprache“ (Art. 12 Abs. 3 DS-GVO) und grundsätzlich unentgeltlich (Art. 12 Abs. 5 DS-GVO) zu erfolgen. Dem für das Verständnis der Regelung in Art. 15 DS-GVO maßgeblichen Erwägungsgrund 63 der DS-GVO ist zu entnehmen, dass der Auskunftsanspruch jede betroffene Person in die Lage versetzen soll, sich über das Ob der Verarbeitung der personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 S. 1 DS-GVO). Dies hat der EuGH in seinen bisherigen vier Entscheidungen zum Auskunftsanspruch ebenfalls deutlich gemacht. Die Praxis zeigt aber auch, dass erhaltene Auskünfte ebenso dazu verwendet werden, Weiteres, insbesondere Schadenersatzansprüche, geltend zu machen. Denn die erteilten Auskünfte können auch rechtswidriges Verhalten und vor allem Datenschutzverstöße aufdecken. Deshalb wird der Auskunftsanspruch auch regelmäßig zur Vorbereitung von Auseinandersetzungen und – speziell im Kündigungsschutzprozess – standardmäßig neben anderen Ansprüchen geltend gemacht. Der EuGH hat klargestellt, dass ein Auskunftsanspruch für jeden (beliebigen) Zweck (Urteil vom 26.10.2023, Rs. C-307/22) und insbesondere zur Vorbereitung von Schadenersatzansprüchen, nicht nur solcher nach der DS-GVO, geltend gemacht werden darf (Urteil vom 04.05.2023, Rs. C-487/21; Urteil vom 26.10.2023, Rs. C-307/22). Explizit hat der EuGH klargestellt, dass das Auskunftsverlangen auch nicht begründet werden muss (Urteil vom 26.10.2023, Rs. C-307/22).

Brisanz der Erfüllung des Auskunftsanspruchs

Die Brisanz des Auskunftsanspruchs besteht in der Haftung auf Schadenersatz und Bußgelder. Die Auskunft muss vollständig und rechtzeitig erteilt werden. Die Vollständigkeit führt nicht selten unter dem Aspekt der Rechtzeitigkeit zu einer Herausforderung. Seit Anwendungsbeginn sind eine Reihe nicht unerheblicher Schadenersatzansprüche infolge unvollständiger oder verspäteter Auskünfte durch Gerichte zuerkannt worden. Bei der Erteilung einer Auskunft verspürt der Auskunftspflichtige stets den Druck, dass ein solcher Schadenersatzanspruch droht. In der Praxis kommt es auch immer wieder vor, dass die Auskunftverlangenden zumindest auch auf einen solchen Schadenersatz abzielen.

Umfang des Auskunftsrechts

Der Auskunftsanspruch ist mit den in Art. 15 DS-GVO genannten Inhalten zu erteilen, aber auch nur mit diesen. Weitergehende Auskünfte, etwa zu Rechtsgrundlagen, dem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) oder einem Sicherheitskonzept (Art. 32 DS-GVO), sind nicht Bestandteil der Auskunft, auch wenn dies immer wieder als Teil der Auskunft gefordert wird. Den Umfang bestimmt – wie der EuGH herausgestellt hat – der Personenbezug der Information. Diesen legt der EuGH weit aus, was den Auskunftsanspruch und vor allem auch den Umfang der Kopie sehr weitreichend macht: „… eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist“ (EuGHUrteil vom 04.05.2023, Rs. C-487/21, Rn. 24). In seiner Entscheidung vom 12. Januar 2023 (Rs. C-154/21) hat sich der EuGH mit der Benennung von Empfängern der Daten befasst und entschieden, dass die betroffene Person einen Anspruch auf konkrete Benennung aller Empfänger hat und die Auskunft nicht auf die Kategorie von Empfängern beschränkt werden kann. Wenn berücksichtigt wird, dass auch Auftragsverarbeiter solche Empfänger sind, wird das Ausmaß dieser Pflicht erkennbar. Hier müssen zum Beispiel bei IT-Sicherheitsdienstleistern und auch bei Rechtsbeiständen Ausnahmeregelungen grundlegend geprüft werden, um nicht Schutzwürdiges zu offenbaren. Für die Auskunft über erst zukünftige Übermittlungen kann jedoch eine Beschränkung auf Kategorien erfolgen, wenn die Empfänger noch nicht konkret bekannt sind. Soweit die Daten durch Mitarbeiter nach Weisung des Arbeitgebers verarbeitet werden, sind diese aber nicht als Empfänger in der Auskunft namentlich zu machen (EuGH-Urteil vom 22.06.2023, Rs. C-579/21). Der Auskunftsanspruch nach Art. 15 DS-GVO erstreckt sich auch auf personenbezogene Daten, die vor dem Anwendungsbeginn der DS-GVO, also vor dem 25. Mai 2018, verarbeitet worden sind (EuGH-Urteil vom 22.06.2023, Rs. C-579/21). Der EuGH hat in dieser Entscheidung auch klargestellt, dass Protokoll- und Log-Dateien nicht aufgrund ihrer Art per se vom Auskunftsanspruch ausgeschlossen sind.

Kopie der verarbeiteten Daten

Nach Art. 15 Abs. 3 DS-GVO ist unter Berücksichtigung entgegenstehender schutzwürdiger Interessen auch eine Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person bereitzustellen. Wie eine solche Kopie auszusehen hat, ist bisher nicht abschließend geklärt. Mit diesem Anspruch auf Kopie hat sich auch der EuGH befasst (Urteil vom 04.05.2023, Rs. C-487/21; Urteil vom 26.10.2023, Rs. C-307/22). Den Entscheidungen lassen sich zwar Anhaltspunkte für die Auslegung entnehmen, was eine solche Kopie ist, aber eine praxistaugliche Eindeutigkeit ergibt sich nicht. In seiner Entscheidung vom 4. Mai 2023 stellte der EuGH darauf ab, dass die betroffene Person keinen Anspruch auf eine Kopie des Dokuments als solchem, aber einen Anspruch auf eine Reproduktion der personenbezogenen Daten habe (Rs. C-487/21). Die Antwort, wie dieser Unterschied in der Praxis realisiert werden soll, bleibt der EuGH aber schuldig. In typischen Fällen wird dies daher auf eine Kopie unter Schwärzung schutzwürdiger Inhalte (siehe Art. 15 Abs. 4 DS-GVO) hinauslaufen. Der EuGH geht sogar noch weiter und stellt klar, dass aus sich selbst heraus nicht verständliche Daten durch den Auskunftspflichtigen erläutert werden müssen. In seiner Entscheidung vom 26. Oktober 2023 legte der EuGH nach und kam zu dem Ergebnis, dass – jedenfalls bei einer Auskunft in Bezug auf eine ärztliche Patientenakte – gerade eine Kopie der entsprechenden Dokumente erforderlich sein kann.

Auskunft nur an die betroffene Person

Der Anspruch steht der betroffenen Person zu. Bevor die Auskunft erteilt wird, ist daher die Berechtigung der Auskunft verlangenden Person zu prüfen. Ist die Auskunft verlangende Person tatsächlich mit der betroffenen Person identisch? Ist eine als Vertreter agierende Person tatsächlich berechtigt? Der Verantwortliche kann, wenn er begründete Zweifel an der Identität der natürlichen Person hat, zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO). Ebenso kann der Verantwortliche die Vorlage einer Originalvollmacht oder Nachweise für die Voraussetzungen einer gesetzlichen Vertretung verlangen.

Grenzen des Auskunftsrechts

Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger und querulatorischer Wiederholung – exzessiven Anträgen einer betroffenen Person kann entweder ein angemessenes Entgelt verlangt oder die Auskunftserteilung verweigert werden (Art. 12 Abs. 5 DS-GVO). Die Anforderungen an diese Ausnahmen werden in der Praxis der Aufsichtsbehörden eher hoch gehängt. Zu beachten ist auch, dass der Verantwortliche, der sich hierauf beruft, die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter des Antrags trägt. Die Ablehnung kann nicht allein darauf gestützt werden, dass das Verlangen in Bezug auf Daten außerhalb der DS-GVO gerichtet ist oder Daten, die nicht Gegenstand der Verarbeitungstätigkeit sind. Gleiches gilt für unsachliche oder unangemessene Formulierungen. Als exzessive Anträge kommen mehrfache Anfragen in unangemessenen Abständen in Betracht, wobei hier aber der Einzelfall und die Umstände der Anfrage zu beachten sind. Wird die Auskunft offenkundig zu datenschutzfremden Zwecken verlangt, haben Teile der Rechtsprechung darin einen Rechtsmissbrauch des Auskunftsrechts erblickt (vgl. Oberlandesgericht Nürnberg, Urteil vom 14.03.2022, 8 U 2907/21). Dies ist etwa der Fall, wenn das Verlangen lediglich der Überprüfung von anderen Ansprüchen dient und nicht dem Schutzzweck der DS-GVO entspricht und dem Bewusstwerden über die Verarbeitung personenbezogener Daten sowie der Überprüfung von deren Rechtmäßigkeit dient. Der EuGH hat zwar betont, dass der Auskunftsanspruch nicht unbedingt und grenzenlos ist, sondern seine Grenzen in den Grundrechtspositionen anderer findet (EuGH-Urteil vom 22.06.2023, Rs. C-579/21). Dementsprechend stehen Inhalt sowie Umfang der Auskunft unter einem Abwägungsvorbehalt. In seinem Urteil vom 26. Oktober 2023 hat der EuGH darauf abgestellt, dass der Auskunftsanspruch nicht begründet werden muss und daher auch zu anderen Zwecken als nur dem Datenschutz geltend gemacht werden kann (Rs. C-300/22). Eine Falle gilt es aber immer zu vermeiden: Letztlich ist eine Auskunft immer zu erteilen. Denn selbst wenn im Übrigen keine Verarbeitung personenbezogener Daten erfolgt, werden zumindest zur Erteilung der Auskunft personenbezogene Daten des Auskunft Verlangenden verarbeitet, wenngleich die Erteilung der Auskunft dann hierauf beschränkt ist.

Erteilung der Auskunft und Dokumentation

Die Auskunft muss rechtzeitig, aber auch vollständig erteilt werden. Durch technische und organisatorische Maßnahmen muss daher schon vor dem Eingang des ersten Auskunftsverlangens sichergestellt werden, dass die Bearbeitung von Auskunftsersuchen nach einem festgelegten Standard vollzogen wird und Regelprozesse etabliert werden, sodass die Auskunft unverzüglich, aber jedenfalls binnen eines Monats erteilt wird. Das ergibt sich nicht nur mittelbar aus Art. 15 DS-GVO, sondern ist so auch explizit in Art. 12 DS-GVO geregelt. Das bedeutet, dass bei einer verspäteten oder einer unvollständigen Auskunft ein weiterer Verstoß gegeben sein kann. Es ist also besondere Vorsicht bei Ausreden für eine Verspätung oder die Unvollständigkeit geboten. Hier wird deutlich, dass die DS-GVO ein komplexes Compliance-Gesetz ist. Der Fristlauf beginnt grundsätzlich mit dem Zugang des berechtigten Auskunftsersuchens. Die Auskunft ist nach Art. 12 Abs. 3 S. 1 DS-GVO unverzüglich, also ohne schuldhaftes Zögern, zu erteilen, in jedem Fall aber spätestens innerhalb eines Monats. Die Monatsfrist ist aber nur die äußere Grenze, denn sie kann verlängert werden, wenn die Komplexität und die Anzahl der Anträge es im konkreten Einzelfall erfordern. Die betroffene Person ist dann über die Verlängerung und die Gründe innerhalb eines Monats nach Eingang des Antrags zu unterrichten. Gerade in Bezug auf den Anspruch einer Kopie wird es immer wieder vorkommen, dass das Zusammenstellen tatsächlich die Monatsfrist sprengt. Der Versand der Erteilung ist zu dokumentieren und aufzubewahren. Zu beachten ist dabei, dass das Aufbewahren des Nachweises wiederum eine Datenverarbeitung ist und hierüber die betroffene Person entsprechend nach Art. 13 DS-GVO informiert werden muss. Die Aufbewahrungsfrist ist gesetzlich nicht geregelt, kann sich aber an den Verjährungsfristen der Ansprüche und Sanktionen für eine nicht korrekte Auskunftserteilung orientieren. Gerade auch in diesen flankierenden Pflichten zeigt sich, dass die Erfüllung des Auskunftsanspruchs eine Herausforderung sein kann.