Zur Stärkung der Rechte der Betroffenen regelt die Datenschutzgrundverordnung (DSGVO) in ihrem Kapitel III ("Rechte der betroffenen Person") umfassende Rechte der von einer Datenverarbeitung betroffenen Person. Vielfach kann der Betroffene von seinen Rechten aber nur dann Gebrauch machen, wenn er überhaupt weiß, dass personenbezogene Daten über ihn verarbeitet werden. Um also in Erfahrung bringen zu können ob, und wenn ja, in welchem Umfang personenbezogene Daten verarbeitet werden, gewährt die DSGVO dem Betroffenen in Art. 15 DSGVO ein umfassendes Auskunftsrecht.
Die Auskunft stellt eine wesentliche Voraussetzung dafür dar, dass der Betroffene seine weiteren Rechte geltend machen kann. Das sind zum Beispiel das Recht auf Berichtung oder Löschung der über ihn gespeicherten personenbezogenen Daten.
Auskunft: Herausforderung für Unternehmen
Für Unternehmen, die personenbezogene Daten zum Beispiel ihrer Kunden oder Mitarbeiter verarbeiten, stellen die Rechte der Betroffenen und insbesondere das Auskunftsrecht dagegen eine enorme Herausforderung dar. Die Herausforderung besteht zum einen aus der Vielzahl an Betroffenen, die von ihren Rechten Gebrauch machen können und somit wichtige Ressourcen bei den Unternehmen binden.
Eine weitere Herausforderung ergibt sich vor allem aber auch daraus, dass sich der Umfang der einzelnen Pflichten im Rahmen der Auskunft nicht eindeutig aus dem Wortlaut der Verordnung entnehmen lassen. Durch diese Unklarheiten besteht für Unternehmen das Risiko einer unvollständigen oder gar falschen Auskunft. Dies wiederum bedeutet, dass Unternehmen Gefahr laufen, von der zuständigen Aufsichtsbehörde nach Art. 83 Abs. 5 lit. b) DSGVO mit einem empfindlichen Bußgeld belegt zu werden. Vor diesem Hintergrund ist es für Unternehmen besonders wichtig, bereits im Vorfeld Verfahren zu implementieren, um die zunehmenden Auskunftsersuchen in der gesetzlichen vorgegeben Form und Frist beantworten zu können.
Vorbereitung auf die Beantwortung des Auskunftsersuchens
Das Verfahren zur Beantwortung von Auskunftsersuchen sollte dabei frühzeitig vorbereitet, erprobt und umgesetzt werden. Im besten Fall steht ein solches Verfahren, noch bevor das erste Auskunftsersuchen eintrifft.
Zugleich sollte das Verfahren stetig überprüft und notfalls angepasst werden, wenn sich in der Umsetzung Probleme zeigen sollten, die man bei der initialen Erarbeitung des Verfahrens nicht bedacht hatte.
Eine gute Organisation der Auskunftsersuchen ist insbesondere deswegen von Bedeutung, da die Betroffenen frei darin sind, wie sie von ihrem Auskunftsrecht Gebrauch machen wollen. So kann es sein, dass ein Betroffener sein Auskunftsersuchen direkt an diejenige Person im Unternehmen richtet, mit welcher er bereits im Kontakt stand. Diese Person dürfte jedoch üblicherweise nicht für die Beantwortung von Auskunftsersuchen verantwortlich sein. Vor diesem Hintergrund ist es wichtig, dass das Verfahren zur Beantwortung von Auskunftsersuchen auch berücksichtigt, dass sämtliche Mitarbeiter im Unternehmen eingegangene Auskunftsersuchen unverzüglich an die im Unternehmen hierfür zuständige Person weiterleiten.
Praxishinweis 1
Mitarbeiter sollten regelmäßig über den Umgang mit Auskunftsersuchen informiert und geschult werden. Dabei sollte die Wichtigkeit des Themas Datenschutz ebenso herausgestellt werden, wie die Kontaktdaten der für die Bearbeitung von Auskunftsersuchen zuständigen Stelle im Unternehme. Zudem sollte eine zentrale Stelle eingerichtet werden, die für die Bearbeitung von Auskunftsersuchen zuständig ist.
Ist ein Auskunftsersuchen beim Unternehmen eingegangen, sollte dieses in einem ersten Schritt nach einem einheitlichen Schema geprüft werden. Dabei muss in jedem Fall geprüft werden, ob der Betroffene aus dem Auskunftsersuchen unzweifelhaft identifizierbar ist. Ist der Betroffene nicht eindeutig zu identifizieren, bestehen also Zweifel an der Identität der Person, die Auskunft verlangt, sollten weitere Informationen abgefragt werden, die zu einer hinreichenden Identifizierung erforderlich sind.
Praxishinweis 2
Die Rückfrage an den Anfragenden bei Zweifeln ist von enormer Bedeutung. Hierdurch soll vermieden werden, dass das Unternehmen eine Auskunft an einen unberechtigten Dritten erteilt. Eine solche Auskunft würde die Rechte des Betroffenen verletzen und könnte nicht nur vom Betroffenen selbst, sondern auch von der zuständigen Aufsichtsbehörde geahndet werden.
Neben der Identität des Anfragenden sollte auch der Zeitpunkt, wann das Auskunftsersuchen im Unternehmen eingegangen ist, notiert werden. Das Unternehmen muss dann unverzüglich, jedenfalls aber innerhalb eines Monats das Auskunftsersuchen bearbeiten und beantworten. Daher ist auch die Frist zur Beantwortung des Auskunftsersuchen in diesem Schritt zu notieren.
Die Frist von einem Monat kann im Einzelfall verlängert werden. Das ist allerdings nur dann möglich, wenn die Bearbeitung der Anfrage deutlich mehr Zeit in Anspruch nimmt als üblich. Der Betroffene ist darüber zu informieren, dass seine Anfrage innerhalb der verlängerten Frist beantwortet wird.
Praxishinweis 3
Als nächstes sollte geprüft werden, ob der Antrag offenkundig unbegründet oder exzessiv ist. Offenkundig unbegründete oder exzessive Anträge berechtigen das Unternehmen, vom Anfragenden entweder ein angemessenes Entgelt für die Beantwortung der Anfrage zu verlangen oder diese zu verweigern.
Will sich ein Unternehmen darauf berufen, dass eine Anfrage offenkundig unbegründet oder exzessiv ist, ist es in der Pflicht, diese Umstände notfalls zu beweisen. Eine Anfrage ist dabei offenkundig unbegründet, wenn die Voraussetzungen eines Auskunftsersuchen offensichtlich nicht vorliegen. Exzessiv sind Anträge dann, wenn sie häufig und in sehr kurzen Abständen wiederholt werden. Generell ist zu empfehlen, diese Verweigerungsgründe vorsichtig einzusetzen. Die Verweigerung einer Auskunft ohne das Vorliegen eines Verweigerungsgrundes stellt auch dann grundsätzlich einen Datenschutzverstoß dar, wenn das Unternehmen sich über das Vorliegen eines Verweigerungsgrundes geirrt hat.
Praxishinweis 4
Schließlich sollte geprüft werden, ob und wenn ja, welche personenbezogenen Daten über den Anfragenden im Unternehmen gespeichert sind. Hierzu sind sämtliche Abteilungen einzubeziehen und im Vorfeld bereits zu schulen, um abschließend ermitteln zu können, ob überhaupt personenbezogene Daten über den Anfragenden gespeichert sind. Je größer das Unternehmen ist, umso größer ist dabei die Herausforderung, alle gespeicherten Daten über den Anfragenden zu identifizieren, sodass es erforderlich ist, sich bereits im Vorfeld einen Prozess zu überlegen, der die Abfrage der einzelnen Abteilungen erleichtert.
Praxishinweis 5
Bei der Formulierung der Antwort auf ein Auskunftsersuchen sollte darauf geachtet werden, dass längere Texte durch Zwischenüberschriften verständlich gegliedert sind. Auch sollten lange Sätze mit vielen Nebensätzen vermieden werden. Es sollte auf eine einfache Sprache geachtet werden, die Fachbegriffe und Fremdwörter vermeidet.
Eine besondere Herausforderung für Unternehmen ergibt sich aus der Regelung in Art. 15 Abs. 3 S. 1 DSGVO. Danach stellt der Verantwortliche "eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung". Bislang gerichtlich geklärt ist dabei die Frage, worauf sich die Pflicht zur Bereitstellung einer Kopie konkret bezieht. Eine in der datenschutzrechtlichen Literatur weit verbreitete Ansicht geht davon aus, dass dem Betroffenen in diesem Zusammenhang eine Kopie der Dokumente beziehungsweise Dateien herauszugeben ist, welche die personenbezogenen Daten enthalten.
Diese Auffassung begegnet allerdings sowohl praktischen als auch rechtlichen Bedenken. In praktischer Hinsicht wären Unternehmen gezwungen, Kopien sämtlicher Unterlagen anzufertigen und auszuhändigen, die das personenbezogene Datum des Betroffenen enthält. Dies führt im Zweifel jedoch zu einem organisatorischen Mehraufwand bei den Unternehmen, der vom Verordnungsgeber nicht intendiert sein kann.
Gegen diese Auffassung spricht auch der Wortlaut der Vorschrift, der von einer Kopie der "personenbezogenen Daten" als solchen spricht und gerade nicht von einer Kopie der Dokumente, in denen diese personenbezogenen Daten enthalten sind.
Eine solche Unterscheidung von "personenbezogenen Daten" und den "Dokumenten", in denen sie enthalten sind, kennt auch die DSGVO. So trennt die DSGVO in Erwägungsgrund 154 sowie in Art. 86 DSGVO ganz ausdrücklich zwischen den personenbezogenen Daten und den Dokumenten, in denen sie enthalten sind. Es ist nicht ersichtlich, dass dem Betroffenen über das Auskunftsrecht nach Art. 15 DSGVO ein umfassendes Recht auf Akteneinsicht gewährt werden sollte.
Ein solches Akteneinsichtsrecht hatte der EuGH bereits für das Auskunftsrecht nach der Datenschutzrichtlinie verneint (vgl. EuGH, Urt. v. 17.7.2014 - C-141/12). Dass der Verordnungsgeber in Kenntnis dieser Rechtsprechung mit Art. 15 Abs. 3 S. 1 DSGVO dem Betroffenen faktisch auch ein Recht auf Einsicht in Akten gewähren wollte, erscheint fernliegend.
Naheliegender erscheint es, dass mit "Kopie" nicht eine Abschrift eines Originals gemeint ist, sondern vielmehr ein eigenständiges Exemplar des betreffenden Datums gemeint ist. Eine solche Auslegung ließe sich auch mit einer anderen Übersetzung der englischen Formulierung "a copy of the personal data" begründen, denn "a copy of sth." bedeutet in der Übersetzung nicht zwangsläufig eine "Kopie", sondern eben auch ein eigenständiges Exemplar. Vor diesem Hintergrund wird auch vertreten, dass mit Art. 15 Abs. 3 S. 1 DSGVO in Abgrenzung zu Art. 20 DSGVO (Recht auf Datenportabilität) lediglich klargestellt wird, dass die personenbezogenen Daten als solche nicht übertragen werden, sondern lediglich eine Kopie hiervon beziehungsweise ein eigenständiges Exemplar. Daher definiert Art. 15 Abs. 3 S. 1 DSGVO gerade nicht eine besondere Form der Auskunft.
Praxishinweis 6
Auch wenn die überzeugenden Gründe dafür sprechen, dass mit Art. 15 Abs. 3 S. 1 DGVO keine Pflicht besteht, Kopien sämtlicher Dokumente anzufertigen, in denen die personenbezogenen Daten enthalten sind, ist diese Frage höchst umstritten und noch nicht gerichtlich entschieden. Vor diesem Hintergrund sollten Unternehmen dies bei der Erstellung eines Verfahrens zur Beantwortung von Auskunftsersuchen berücksichtigen. Insoweit empfiehlt es sich auch, sich eng mit der zuständigen Aufsichtsbehörde abzustimmen und diese Frage vorab zu klären.
Zwar sind Gerichte an die Verlautbarungen der Aufsichtsbehörden rechtlich nicht gebunden, sie bieten jedoch einen guten Anhaltspunkt dafür, ob die für das eigene Unternehmen zuständige Aufsichtsbehörde das eigene Verfahren zur Beantwortung von Auskunftsersuchen als datenschutzkonform einstuft oder nicht.
Form der Auskunft
Nach der oben beschriebenen Vorabprüfung, steht fest, ob personenbezogene Daten über den Anfragenden verarbeitet werden oder nicht. Werden von dem Anfragenden keine personenbezogenen Daten verarbeitet, hat dieser gleichwohl einen Anspruch auf eine sogenannte Negativauskunft. Im Rahmen dieser Negativauskunft wird der Anfragende darüber informiert, dass keine personenbezogenen Daten von ihm verarbeitet werden.
Werden hingegen personenbezogene Daten verarbeitet, ist der Anfragende in einem ersten Schritt darüber zu informieren, dass personenbezogene Daten über ihn verarbeitet werden. Darüber hinaus hat das Unternehmen den Anfragenden in einem zweiten Schritt die in Art. 15 Abs. 1, 2. Hs. lit. a) bis h) DSGVO aufgezählten Informationen zu mitzuteilen. Hierbei handelt es sich um Informationen über
die Verarbeitungszwecke,
die Kategorien personenbezogener Daten, die verarbeitet werden,
die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
die geplante Dauer, für die die personenbezogenen Daten gespeichert werden,
das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten oder auf Einschränkung der Verarbeitung oder eines Widerspruches gegen diese Verarbeitung,
das Bestehen eine Beschwerderechts bei einer Aufsichtsbehörde,
die Herkunft der personenbezogenen Daten,
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.
Nach Art. 12 Abs. 1 DSGVO, der auf die Auskunftserteilung nach Art. 15 DSGVO ebenfalls Anwendung findet, muss die Erteilung der Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Hierdurch soll dem Grundsatz der Transparenz der Datenverarbeitung Rechnung getragen werden.
Nur wenn der Betroffene in die Lage versetzt wird, die Antwort auf sein Auskunftsersuchen inhaltlich zu verstehen, kann er entscheiden, ob er von seinen weiteren Rechten Gebrauch machen muss. Durch die gewählte Form der Auskunft darf es dem Betroffenen also nicht erschwert werden, seine Rechte ordnungsgemäß wahrzunehmen. So dürften beispielsweise Auskunftsersuchen in Deutschland normalerweise nur in deutscher Sprache beantwortet werden. Zudem sollte vermieden werden, durch das übermäßige Verwenden von Fachbegriffen den Kern der Aussage zu verschleiern.
Fazit: Vorbereitung ist die halbe Miete
Wie gesehen ist die Vorbereitung auf die Auskunftsersuchen von besondere Wichtigkeit. Dabei sollte nicht nur ein Prozess für die die interne Prüfung des Auskunftsersuchens aufgesetzt und erprobt werden: Kann das Auskunftsersuchen innerhalb der Monatsfrist beantwortet werden? Können alle Daten rechtzeitig in den Systemen gefunden werden?
Für die Auskunft selbst muss insbesondere eine Entscheidung - gegebenenfalls unter Beteiligung der Aufsichtsbehörden - getroffen werden, ob dem Anfragenden eine Kopie aller seiner Daten, im Sinne einer Akteneinsicht, zur Verfügung gestellt werden soll. Diese Entscheidung sollte ausführlich begründet und dokumentiert werden.