Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute erreichen wir beim Spaziergang mit Artikel 15 einen echten „Aussichtspunkt“. Von hier aus erhalten Betroffene einen Überblick, welche Daten der Verantwortliche verarbeitet und in welcher Weise. Das Auskunftsrecht ist ein Kernbereich des Datenschutzes: Nur wer weiß, wo und wie die eigenen Daten verarbeitet werden, kann das informationelle Selbstbestimmungsrecht überhaupt sinnvoll nutzen.
Allerdings wird gerade das Auskunftsrecht – wie Datenschutzbeauftragten nur allzu gut bekannt ist – in der Praxis oft als „Folterinstrument“ gegen die Verantwortlichen für ganz andere Zwecke benutzt; typisches Auskunftsverlangen: Arbeitnehmer gegen Arbeitgeber im Kündigungsschutzprozess. Wahrscheinlich muss das als Begleiterscheinung in Kauf genommen werden, wenn wirksamer Datenschutz stattfinden soll.
Absätze 1 und 2
Was die Auskunft beinhaltet, klären die Absätze 1 und 2. Absatz 2 hätte ohne Weiteres auch als Buchstabe i) in den ersten Absatz hineingepasst.
Absatz 3
Nach Absatz 3 hat der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen. Wegen der heute allgemein verfügbaren Kopier- und Scantechnik sind die Sätze 2 und 3 recht unwichtig. Heiß diskutiert wird hingegen die Frage, was genau kopiert werden muss. Beispiel: Frau X beantragt eine Baugenehmigung und erhält nach längerem Hin und Her einen ablehnenden Bescheid. Ergibt sich aus Art. 15 Abs. 3 Satz 1 DS-GVO ein Anspruch auf Kopie der gesamten Genehmigungsakte bei der Bauverwaltung? – Informationsfreiheits- und Transparenzgesetze bleiben unbeachtet; wir spazieren ja nur durch die DS-GVO.
Der Europäische Gerichtshof (EuGH) hat am 04.05.2023 (Rs. C-487/21 – wir bereichteten) und anschließend noch mehrfach (z. B. Urteile vom 22.06.2023, Rs. C-579/21 – wir berichteten – und vom 26.10.2023, Rs. C-307/22) über die Bestimmung nachgedacht. Echte Klarheit besteht aber weiterhin nicht. Unproblematisch ist natürlich, dass die Kopie alle Bereiche umfasst, in denen personenbezogene Daten des Betroffenen selbst abgehandelt werden, Beispiel Personalakte: Stammdatenblatt mit Namen, Anschrift, Geburtsdatum, … . Ziemlich sicher ist auch, dass keine Daten mitkopiert werden müssen, die nicht personenbezogen sind, Beispiel: In der Personalakte eines Vertriebsmitarbeiters sind – zufällig oder absichtlich – Vertriebsprospekte des Unternehmens abgeheftet, in denen der Vertriebsmitarbeiter gar nicht genannt wird.
Mindestens ein (ungelöster) Teilaspekt des Problems besteht darin, dass man Unterlagen ihren Personenbezug nicht immer ansieht und sich der Personenbezug auch aus dem Kontext ergeben kann. Weiterentwicklung des letzten Beispiels: Der Vertriebsmitarbeiter hat die in seiner Personalakte befindliche Broschüre mitgestaltet und sie ist besonders gut oder schlecht gelungen, deshalb in der Personalakte abgeheftet. Personenbezug? Für die Praxis dürfte sich empfehlen, im Zweifel Personenbezug anzunehmen und die Kopie entsprechend zu erweitern.
Absatz 4
Absatz 4 nennt eine Ausnahme vom Anspruch auf Kopie. Das Hauptproblem dieses Absatzes betrifft – nicht die teils mühselige Teilschwärzung von Kopien, sondern – die Frage, ob sich Absatz 4 wirklich nur auf Absatz 3, also die Kopien bezieht oder ob nicht auch das Auskunftsrecht nach Absatz 1 und 2 eingeschränkt werden muss, wenn Rechte Dritter betroffen sind.
Der Bundesgerichtshof (BGH) hat in einer lesenswerten Entscheidung von 22.02.2022 (VI ZR 14/21) die Frage ausführlich behandelt und es (Rn. 15) „sehr naheliegend“ gefunden, „dass das Auskunftsrecht aus Art. 15 Abs. 1 DS-GVO schon aufgrund einer der Datenschutz-Grundverordnung immanenten Beschränkung die Rechte oder Freiheiten anderer Personen nicht beeinträchtigen darf“. Die Rechtsfrage wurde nicht dem EuGH vorgelegt, weil der Bundesgerichtshof letztlich keine überwiegenden Dritt-Interessen angenommen hat, die Frage also nicht entscheidungserheblich wurde.
Es wäre tatsächlich seltsam, wenn ausgerechnet die DS-GVO dazu zwingen würde, personenbezogene Daten Dritter (natürlicher Person) unbegrenzt nach Art. 15 Abs. 1 DS-GVO heraus zu geben. Deshalb spricht viel für die Einschränkung des Auskunftsrechts insgesamt – nicht nur des Anspruchs auf Kopie – durch die Rechte Dritter (zumindest bei natürlichen Personen). Ob man dies mit einer erweiterten (analogen) Anwendung von Art. 15 Abs. 4 DS-GVO begründet oder – wie der BGH wohl vorzieht – mit „immanenten Grenzen“ des Art. 15 Abs. 1 DS-GVO, werden vielleicht Spaziergänger nach uns klären.
Grundsätzliche Anforderungen
Denken wir stattdessen beim Weitergehen noch über die typischen Schritte eines Verantwortlichen nach, sobald ein Auskunftsersuchen eingeht:
- Jeder Verantwortliche sollte dafür sorgen, dass Auskunftsersuchen, egal bei wem sie eintreffen und egal in welcher Form – telefonisch, per E-Mail, … – sofort und nicht erst innerhalb eines Monats dem zuständigen und entsprechend instruierten Bearbeiter weitergeleitet werden.
- Dieser Ansprechpartner beachtet die Monatsfrist als Höchstfrist, nicht als generell verfügbaren Zeitraum; die Auskunft ist ja unverzüglich, also möglichst schnell zu erteilen. Zuerst wird geprüft, ob die anfragende Person sicher identifiziert werden kann und welcher Kommunikationsweg für die Antwort offensteht. Die Identität des Anfragenden muss also kontrolliert werden. Ansonsten wird aus der Antwort an die falsche Person schnell eine Datenschutzverletzung. Art. 12 Abs. 6 DS-GVO und Erwägungsgrund 64 geben dafür Hinweise. Beispiel: Wird durch – angeblich – Herrn Müller bei einem Onlineshop ein Auskunftsersuchen per E-Mail eingereicht mit einer E-Mail-Adresse, die Herr Müller gegenüber dem Onlineshop bisher nie genutzt hat, empfiehlt sich die Rückfrage unter der bisher bekannten, beim Unternehmen gespeicherten E-Mail-Adresse, ob die Auskunftsanfrage wirklich vom Betroffenen stammt.
- Ist die Identität zweifelsfrei geklärt, wird zusammengestellt, ob und welche personenbezogenen Daten für den Anfragenden beim Verantwortlichen vorliegen. Gibt es gar keine entsprechenden Daten, ist eine Negativauskunft zu erteilen („… dürfen wir Ihnen mitteilen, dass abgesehen von Ihrer Anfrage keinerlei Daten zu Ihrer Person bei uns verarbeitet werden …“).
- Auskunft und Kopie können auf sicherem Weg auch elektronisch erfolgen. Bei elektronischem Antrag ist dies in Art. 15 Abs. 3 Satz 3 DS-GVO sowie Art. 12 Abs. 3 Satz 4 DS-GVO sogar vorgeschrieben.
- Gelegentlich wird diskutiert, wie lange die Daten zum Auskunftsvorgang gespeichert werden müssen und dürfen. Wegen der in Deutschland anwendbaren Verjährungsfrist für Schadenersatzansprüche bei vermeintlicher Verletzung der Auskunftspflichten von drei Kalenderjahren, wird eine Speicherung bis zum Schluss des dritten vollen Kalenderjahres nach Auskunftserteilung zulässig sein.
Alles Gute und auf Wiedersehen bei Artikel 16!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
