Der Auskunftsanspruch nach Art. 15 DSGVO soll es Betroffenen ermöglichen, nachzuvollziehen, wie Ihre Daten verarbeitet werden und dazu dienen, ihre Rechte geltend zu machen. In der Praxis kann der Auskunftsanspruch auch schnell ein taktisches Mittel sein – und sich lohnen. Als Verantwortlicher müssen Sie schnell handeln und jede Anfrage ernst nehmen.
Anhand der aktuellen Rechtsprechung zeigen wir Ihnen, wie Sie mit Auskunftsanfragen umgehen müssen, um Ärger zu vermeiden.
Wer kann Auskunft verlangen?
Grundsätzlich kann jeder Auskunft von Ihnen als verantwortliche Stelle darüber verlangen, ob und welche personenbezogene Daten von ihm verarbeitet werden. Das bedeutet für Sie: Menschen, mit denen Sie noch nie zu tun hatten, haben das Recht an Sie Auskunftsanfragen zu schicken und diese müssen Sie beantworten.
Wenn Sie als Auftragsverarbeiter auftreten, müssen Sie Ihren Auftraggeber von dem Auskunftsersuchen in Kenntnis setzen, damit dieser als Verantwortlicher die Auskunft beantworten kann. Der genaue Ablauf bei einer solchen Betroffenenanfrage ist in der Auftragsverarbeitungsvereinbarung zu regeln.
Wie schnell muss ich die Anfrage beantworten?
Nach Art. 12 Abs. 3 DSGVO muss die Anfrage schnellstmöglich, spätestens jedoch nach einem Monat beantwortet werden. Achtung! Dies bedeutet gerade nicht, dass Sie immer einen Monat Zeit haben, wie zuletzt das Amtsgericht Duisburg mit Urteil vom 03.11.2023 bestätigte: Bei einfach gelagerten Auskunftsansprüchen können schon 17 Tage zu lang sein und Sie schadensersatzpflichtig machen!
Rechtlicher Exkurs:
Das Amtsgericht Duisburg hat zur Bestimmung der „Unverzüglichkeit“ Rechtsprechung des Bundesarbeitsgerichts herangezogen (BAG, Urteil v. 27.2.2020 — 2 AZR 390/19), wonach ohne dem Vorliegen besonderer Umstände nach Ablauf einer Woche keine Unverzüglichkeit mehr gegeben sei. Ob dies überzeugen kann, ist fraglich. Denn die Auslegung des Begriffs „unverzüglich“ im Sinne von Art. 12 Abs. 3 DSGVO muss europarechtlich autonom erfolgen. Die zitierte Rechtsprechung und die Erwägungen des Bundesarbeitsgerichts in der herangezogenen Rechtsprechung bezogen sich jedoch auf die Auslegung des Begriffs „unverzüglich“ im Rahmen der Anwendung des § 91 Abs. 5 SGB IX. Ob dies tatsächlich auf den Anwendungsfall des Art. 12 Abs. 3 DSGVO übertragen werden kann, ist fraglich und m.E. nicht überzeugend. Überzeugend ist jedoch an sich die Schlussfolgerung des AG, dass die Frist auch kürzer als einen Monat sein kann. Dies ergibt sich aus dem Wortlaut.
Die Frist kann auf bis zu drei Monate verlängert werden. Jedoch müssen Sie die Person auch dann innerhalb eines Monats hierüber informieren. Eine solche Fristverlängerung kommt zudem nur in Ausnahmefällen in Betracht.
Kann ich die Auskunft auch verweigern?
So manche Auskunftsanfrage kann das Blut eines Verantwortlichen in Wallung bringen. So macht ein Betroffener, mit dem man noch nie zu tun hatte, Auskunft geltend und es drängt sich der Verdacht auf, dass hier jemand einen schnellen Schadensersatzanspruch schaffen möchte – leicht verdientes Geld? Oder der entlassene Mitarbeiter, der einen gerade mit der Kündigungsschutzklage vor das Arbeitsgericht gebracht hat, und der jetzt Kopien aller personenbezogenen Daten aus 15 Jahren Betriebszugehörigkeit haben möchte – etwa nur um den Arbeitgeber zu drangsalieren?
Nach Art. 12 Abs. 5 Satz 2 DSGVO kann ein Verantwortlicher tatsächlich die Auskunft verweigern, wenn sie offenkundig unbegründet oder exzessiv ist. Dies wird durch die Gerichte jedoch sehr eng ausgelegt. So ist eine Auskunftsanfrage nicht bereits deswegen exzessiv, wenn ein Verantwortlicher in der Folge einer Auskunftsanfrage über 5.000 Seiten Dokumente prüfen muss (KG Berlin, Urteil vom 06.02.2024 (1 K 187/21)). Generell ist es nahezu unerheblich, welcher Aufwand durch die Auskunftsanfrage verursacht wird (OLG Nürnberg, Endurteil v. 29.11.2023 – 4 U 347/21). Eine exzessive Geltendmachung ist daher wohl nur gegeben, wenn in kürzerer Zeit eine Vielzahl von Auskunftsanfragen geltend gemacht werden.
Es ist auch nicht erforderlich, dass der Auskunftssteller mit der Auskunft datenschutzrechtliche Motive verfolgt.
Rechtlicher Exkurs:
Das OLG Nürnberg (Urteil vom 29.11.2023 – 4 U 347/21) führt zutreffend aus, dass der Auskunftsanspruch der DSGVO an keine zusätzlichen Voraussetzungen geknüpft ist. Es ist insbesondere nicht erforderlich, dass der Antragsteller seinen Antrag auf Auskunft überhaupt begründet. Wann ein Auskunftsanspruch vor diesem Hintergrund jedoch überhaupt „offensichtlich unbegründet“ im Sinne der DSGVO sein soll, bleibt unklar.
Anhand dieser Maßstäbe wird deutlich: Nur in wenigen Fällen kann eine Auskunft tatsächlich verweigert werden. Die Auskunft zu verweigern, etwa mit dem Argument, sie sei rechtsmissbräuchlich, stellt ein hohes Risiko für den Verantwortlichen dar.
Wir raten daher davon ab, Auskunftsansprüche pauschal abzulehnen. Dies ist in der Regel nie gerechtfertigt.
Muss sich der Auskunftssteller ausweisen?
Wichtig ist, dass Sie überprüfen, dass der Auskunftssteller tatsächlich zur Auskunft berechtigt ist. Erteilen Sie an eine unberechtigte Person Auskunft, ist das eine Datenschutzverletzung und Sie kommen vom Regen in die Traufe.
Nach dem Grundsatz der Datenminimierung dürfen Sie jedoch nicht pauschal weitere Informationen anfordern. Haben Sie beispielsweise eine bestätigte E-Mailadresse oder eine bekannte bestätigte Telefonnummer des Auskunftstellers, können Sie womöglich bereits auf diesem Wege die Berechtigung prüfen. Grundsätzlich ist es auch möglich, dass die Bestätigung mittels einer Ausweiskopie erfolgt. Der Auskunftssteller ist dann darauf hinzuweisen, dass er alle nicht unbedingt erforderlichen Daten vorab schwärzen muss (etwa: Ausweisnummer, ausstellende Behörde, etc). Im Umgang mit Ausweisscans ist zudem besondere Sorgfalt geboten, auch mit Hinblick auf die Vorschriften des Personalausweisgesetzes.
Wie mit Personalausweisen bei Identifizierung der Anspruchsteller umgegangen werden sollte, können Sie in diesem Blogbeitrag nachlesen.
Was muss die Auskunft beinhalten? Muss ich Dokumente als Kopie bereitstellen?
Die Auskunft muss so erteilt werden, dass der Betroffene nachvollziehen kann, wie seine Daten verarbeitet wurden. Das bedeutet, dass zumindest auszugsweise auch Dokumente bereitgestellt werden müssen, wenn dies erforderlich ist, um den Kontext der Datenverarbeitung verstehen zu können.
Ganze Dokumente müssen Sie auf jeden Fall bereitstellen, wenn es sich um Anschreiben / Schriftstücke des Auskunftsstellers handelt. Denn der BGH hat entschieden, dass diese immer als ganze personenbezogene Daten des Verfassers sind. Dokumente, die Informationen über den Auskunftssteller beinhalten, müssen unter Umständen jedoch nur auszugsweise als Kopie bereit gestellt werden.
Rechtlicher Exkurs:
Hierzu im Detail BGH, Urteil vom 05.03.2024 – VI ZR 330/21
Achtung! Sie müssen sicherstellen, dass Sie durch die Bereitstellung von Dokumenten nicht die Rechte anderer Betroffener verletzen (Art. 15 Abs. 4 DSGVO).
Die Auskunft muss außerdem enthalten:
- Zwecke der Verarbeitung
- Kategorien der verarbeiteten Daten
- Kategorien der Empfänger
- Datenherkunft
- Drittstaatenübermittlung
- Automatisierte Entscheidungsfindung
- Speicherdauer oder Kriterien für Speicherdauer
- Hinweis auf Betroffenenrechte
- Hinweis auf das Beschwerderecht
Keinesfalls ausreichend ist es, diese Informationen in Form einer pauschalen Datenschutzerklärung bereitzustellen, mit der sich der Auskunftsteller die für ihn zutreffenden Informationen „zusammenbasteln“ muss. Möglich ist es jedoch, hinsichtlich der Betroffenenrechte und des Beschwerderechts auf eine Datenschutzerklärung zu verweisen, die bspw. verlinkt ist. Die Auskunft muss daher ganz konkret unter anderem mit genauer Benennung der verarbeiteten Daten sowie Datenempfänger samt Anschrift erfolgen.
Auch wenn Sie bisher keine Daten der betroffenen Person verarbeitet haben, müssen Sie dies beauskunften (sog. „Negativauskunft“). Aber Achtung: Wenn Sie eine Auskunftsanfrage erhalten, müssen Sie diesen Vorgang und die Beantwortung dokumentieren. Denn Sie müssen im Zweifel nachweisen können, dass Sie Ihre Pflichten als verantwortliche Stelle erfüllt haben. Informieren Sie dann den Auskunftssteller direkt darüber, dass Sie nun seine Daten zum Zwecke des Nachweises aufbewahren. Wir empfehlen, die Dokumentation drei Jahre ab Ende des Kalenderjahres aufzubewahren.
Darf ich für die Auskunft Geld verlangen?
Die Auskunft muss kostenfrei erfolgen, inklusive der ersten Kopie der personenbezogenen Daten (Art. 12 Abs. 5 Satz 1 DSGVO). Für alle weiteren Kopien kann ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden.
Wie wickele ich den Auskunftsanspruch richtig ab:
- Dokumentieren Sie den Eingang der Anfrage. Stellen Sie sicher, dass Sie einen Workflow haben, bei dem Sie rechtzeitig an die Frist erinnert werden. Erinnerung: Notieren Sie eine kürzere Frist als einen Monat. Notieren Sie nur zusätzlich die Höchstfrist von einem Monat. Idealerweise ist die Auskunftsanfrage binnen 7 bis 14 Tagen beantwortet!
- Holen Sie direkt Ihren Datenschutzbeauftragten an Bord und informieren Sie alle Stellen im Unternehmen, die zur Bearbeitung der Auskunft zuarbeiten müssen (HR, Finance etc).
- Stellen Sie sicher, dass der Antragssteller ausreichend identifiziert ist.
- Erteilen Sie die Auskunft rechtzeitig, umfassend und großzügig. Stellen Sie sicher, dass durch die Auskunft keine Rechte Dritter verletzt werden.
- Dokumentieren Sie die Beantwortung der Auskunft. Dies ist wiederum eine Datenverarbeitung. Informieren Sie auch über diese direkt in der Auskunft.
Bildnachweis: KI generiert