Das Auskunftsrecht der betroffenen Personen ist für den Datenschutz und das informationelle Selbstbestimmungsrecht unverzichtbar. Nur wenn Betroffene wissen oder zumindest erfahren können, wer ihre Daten verarbeitet und wie dies geschieht, können sie Entscheidungen treffen, Rechte geltend machen und durchsetzen. Die Ausgestaltung des Auskunftsanspruchs in der DS-GVO (und erst recht die enorme Erweiterung durch den Anspruch auf ungefragte „Information“ – aber dies ist einen eigenen Blog-Beitrag wert) schafft in der Praxis viele Fragen. Einige sollen hier näher betrachtet werden.
Frage:
Der Verantwortliche erhält eine Auskunftsanfrage, prüft seine Datenbestände und stellt fest, dass zur betroffenen Person tatsächlich noch Daten vorhanden sind, die längst hätten gelöscht werden müssen. Darf die Löschung jetzt erfolgen und der betroffenen Person anschließend eine Negativauskunft gegeben werden oder muss die Löschung „zwecks Mitteilung des Rechtsverstoßes an die betroffene Person“ unterbleiben?
Antwort: Es geht um den Umfang der geschuldeten Auskunft, in gewisser Hinsicht auch um den Bezugszeitpunkt: Müssen die bei Auskunftserteilung oder die bei Eingang des Auskunftsantrags laufenden Datenverarbeitungen mitgeteilt werden? Nach Sinn und Zweck der Vorschrift wird mindestens das zu beauskunften sein, was im Zeitpunkt der Auskunftserteilung beim Verantwortlichen vorhanden ist. Mit anderen Worten: Wenn nach Eingang des Auskunftsantrags neue Datenverarbeitungen zur betroffenen Person beginnen, sind auch diese Verarbeitungen in die Auskunft aufzunehmen. Andere Auffassungen scheint es auch in der Fachliteratur nicht zu geben. Hinweise und Gegenargumente sind aber unter der am Ende genannten E-Mail-Adresse hier und generell willkommen.
Weiter ist klar, dass der Verantwortliche über gelöschte Daten keine Auskunft mehr erteilen kann. Insoweit gilt „weg ist weg“. Oder spiegelbildlich formuliert: Was der Verantwortliche noch beauskunften kann, ist nicht wirklich gelöscht. Bleibt die Frage, ob Löschungen zwischen Auskunftsantrag und Auskunftserteilung erlaubt sind. Auch sie lässt sich noch in zwei Teilfragen zerlegen.
Teilfrage 1:
Bewirkt der Auskunftsantrag ein Einfrieren der Datenverarbeitungen beim Verantwortlichen? Darf also die verantwortliche Stelle nach Eingang eines Auskunftsantrags erst dann überhaupt wieder Daten löschen, wenn sie die auskunftsrelevanten Daten „beiseite gelegt“ hat?
Antwort: In der Fachliteratur wird teilweise vertreten, der Auskunftsanspruch betreffe „vollumfänglich […] alle bei Auskunftsersuchen vorliegenden Daten“ (z.B. Taeger/Gabel/Mester Art. 15 DSGVO Rn. 3 m.w.N.), ohne die Konsequenz eines kompletten „Löschverbots“ beim Verantwortlichen anzusprechen. Mit Blick auf „große“ verantwortliche Stellen (massenhafte Datenverarbeitungen, auch automatisierte und in kurzen Frequenzen für verschiedene Verarbeitungsprozesse stattfindende Löschungen) wird deutlich, was auch auf „kleine“ Verantwortliche übertragen werden muss: Die verantwortliche Stelle hat ihre Löschpflichten, die gegenüber anderen betroffenen Personen weiterhin bestehen, zu erfüllen; sie muss und darf Löschpflichten nicht verschieben. Niemand kann also durch eigene Auskunftsanträge bewirken, dass bei verantwortlichen Stellen Löschprozesse angehalten werden.
Teilfrage 2:
Darf oder muss der Verantwortliche Daten der Auskunft fordernden, betroffenen Person gezielt löschen und danach logisch zwingend: insoweit keine Auskunft mehr erteilen, wenn er bei Bearbeitung des Auskunftsantrags feststellt, dass die Daten nicht mehr gespeichert sein dürften?
Antwort: Dazu gehen die Meinungen auseinander. Beide Antworten sind juristisch vertretbar. Die DS-GVO gibt nichts Eindeutiges vor und der Europäische Gerichtshof hat sich noch nicht geäußert. Für ein insoweit bestehendes Löschverbot und komplette Auskunftspflicht könnte man hauptsächlich anführen, dass Verantwortliche ansonsten Datenschutzverstöße vertuschen und Sanktionen, z.B. Schadensersatzforderungen, und Bußgelder, vermeiden könnten. Gegen das Löschverbot und für die „Selbstkorrektur“ des Verantwortlichen lässt sich argumentieren, dass der Verantwortliche – wenn auch verspätet – seine Rechtspflichten erfüllt und bei datenschutzkonformer Löschung dadurch auch der Betroffene geschützt ist. Wenn man Löschungen nach Auskunftsantrag „im Rahmen regelmäßiger informationeller Verwaltung / Geschäftsführung“ erlaubt, jedoch „nicht etwa […] in Reaktion auf einen Löschungsantrag“ (v. Lewinski/Rüpke/Eckhardt, Datenschutzrecht, § 15 Rn. 21 in Fn. 34), bedeutet das: Der Verantwortliche darf nur die Daten des Auskunft fordernden Betroffenen nicht löschen und muss sie weiter speichern; alle bei selber Gelegenheit gefundenen Daten andererBetroffener müssen umgehend gelöscht werden.
Die Befürworter des „Löschverbots“ können wiederum darauf verweisen, dass in bestimmten Situationen für die betroffene Person gerade wichtig sein kann, eine rechtswidrige Datenspeicherung nachzuweisen. (Lebensfremdes Lehrbuch-Beispiel: Eine Bewerberin wird vom potentiellen Arbeitgeber abgelehnt mit Verweis auf ihr schlechtes Abiturzeugnis. Das Zeugnis hat sie selbst nicht vorgelegt; es befindet sich ihres Wissens noch bei der Schulbehörde und einem früheren Arbeitgeber. Sie stellt Auskunftsantrag nach Art. 15 DSGVO beim früheren Arbeitgeber.) Darauf entgegnen die Anhänger der Löschbefugnis vielleicht: Im Rechtsstaat gilt als Verfassungsprinzip, das niemand gezwungen werden darf, sich selbst zu belasten (Rechtslatein: „nemo tenetur se ipsum accusare“). Würde man den Auskunftsanspruch so verstehen, dass er den Verantwortlichen zwingt, selbst der betroffenen Person die Beweise für einen Rechtsverstoß und damit die „Waffen“ für Schadenersatzprozess und Bußgeldverfahren in die Hand zu geben, wäre dies eine klare Pflicht zur Selbstbelastung.
Gegen-Gegenargument: Der genannte Grundsatz gilt im EU-Recht nicht uneingeschränkt und ist auch in der DS-GVO teilweise klar durchbrochen, beispielsweise hinsichtlich der Verpflichtung zur Meldung der Verletzng des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 DS-GVO. Befürworter der Löschbefugnis: Dann muss die Lösung aber doch zumindest in jenen Fällen erlaubt sein, in denen die Daten untrennbar auch Dritte betreffen und zu deren Schutz gelöscht werden müssen (Art. 15 Abs. 4 DSGVO). Erwiderung darauf: Es ist ja schon streitig, ob sich Art. 15 Abs. 4 überhaupt auf Abs. 1 anwenden lässt oder wie der Wortlaut nahelegt nur für den Kopie-Anspruch nach Abs. 3 gilt … .
Fazit
Und wo ist die versprochene Antwort? Längst gegeben und im Text gut versteckt: Beide Auffassungen sind juristisch mit anständigen Argumenten vertretbar – und für die Praxis verbindlich entschieden wird das Thema – vielleicht einmal – durch den EuGH. Persönlich neige ich (derzeit) eher zur „Löschbefugnis“. Und bei echtem Missbrauchsverdacht wäre Betroffenen natürlich wegen des tatsächlichen Löschrisikos alternativ zu empfehlen, die Möglichkeit der Beschwerde bei der Aufsichtsbehörde anstelle des Auskunftsantrags zu nutzen. Die Aufsichtsbehörde kann – muss nicht – ein größeres Instrumentarium einsetzen, um den Verdacht aufzuklären. Eine weitere Frage zum Thema Auskunftsrecht klären wir in der kommenden Woche.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
