Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

Zweifel an PersonAuskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen.
Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern.
Auskunft nach Art. 15 DSGVO nicht weitergeleitet Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet
Zeit für Auskunft nach Art. 15 DSGVO läuft abAuskünfte werde nicht rechtzeitig beantwortet.

 

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.

 

Recht auf Auskunft nach Art. 15 DSGVO

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden. Eine betroffene Person sollte [dieses] Auskunftsrecht [...] problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 S. 1).

Aufgrund der zum Teil sehr aufwendigen Recherche, Bearbeitung, Organisation und der knapp bemessen Zeit hat der Verantwortliche vorab in einem entsprechende Prozess sicherzustellen, dass Anfragen unverzüglich dem zuständigen Mitarbeiter oder im Bedarfsfall dem Datenschutzbeauftragten vorgelegt werden. Neben dem Sicherstellen einer zügigen Bearbeitung der Anfragen sollten auch geeignete Vorlagen zur Auskunft  bereit gehalten werden. Neben einem möglichen Bußgeld können bei Versäumung der Frist auch Anwaltskosten entstehen.

Das OLG Köln (Beschluss vom 25. Juli 2019, Az.: 20 W 10/18) und das Amtsgericht München (Teilurteil vom 04. September 2019, Az: 155 C 1510/18) gehen davon aus, dass ein Streitwert i.H.v. 5.000,00 € für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen ist. Dadurch würden sich die außergerichtlichen Anwaltskosten für jede versäumte Beantwortung einer Anfrage auf 492,54 Euro belaufen.

 

Phasen der Auskunft nach Art. 15 DSGVO

Der Prozess muss auch gewährleisten, dass vor Erteilung einer Auskunft in jedem Fall die Berechtigung des Auskunftsersuchens geprüft wird. Im Zweifel sollten zusätzliche Informationen nachgefordert werden, die die Identität der betroffenen Person bestätigen.

Prozess-Phasen:

 

NummerPhaseAnforderung
Eingang des AuskunftsbegehrensWeiterleitung an den zuständigen Mitarbeiter oder das Datenschutzteam
2IdentitätsprüfungPrüfung, ob sich Betroffener ausreichend identifiziert hat
BearbeitungZusammentragen aller Informationen
VierBeantwortungDie Antwort hat innerhalb eines Monats in einfacherer Sprache zu erfolgen.
5Abschluss des VerfahrensDokumentation und Festlegung der Speicherfrist

 

Phase 1 - Eingang des Auskunftsbegehrens

Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.

 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

 

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.

 

Phase 2 - Identitätsprüfung

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden. Im Interesse der Datenminimierung dürfen bei der Identitätsprüfung grundsätzlich nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

 

Übersicht über mögliche Wege der Antragstellung

Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Antragstellung überLegitimation durchEinschränkung
schriftlich per Post
  • Adresse ist bekannt oder
  • geschwärzte Ausweiskopie per (Name, Anschrift, Geburtsdatum und Gültigkeitsdauer von Ausweis)
telefonisch
  • Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden (LfDI Baden-Württemberg).
  • Im Einzelfall können auch zusätzliche Informationen, wie z.B. ein PIN abgefragt werden (z.B. beim Telebanking).
  • nicht bei sensiblen Daten, insbesondere nach Art. 9 Abs. 1 DSGVO, da abgefragte Daten zur Identifikation nicht geheim sind
per E-Mail / Fax
  • bekannte E-Mail Adresse oder Bestätigung über bekannte E-Mailadresse
  • sonst Vorlage eines Identitätsnachweises
  • bei unbekannter E-Mail lässt sich nicht auf auf die wahre Identität der betroffenen Person schließen
  • Es fehlt an Identifizierungsmerkmalen wie Geburtsdatum oder Anschrift
  • Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen (Broschüre Personalausweis und Datenschutz des LDI-NRW).
  • Im Falle eines Telefaxes mit Absenderkennung kann nicht zweifelsfrei von einer Identifikationssicherheit ausgegangen werden, da auch hier die Möglichkeit der Fälschung besteht (9. TB des BayLDA).
über Nutzerkonto auf Webseite
  • sichere Benutzerkennung (möglichst Zwei-Faktor-Authentifizierung)
  • Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.
per Video oder persönlich
  • durch Postident-Verfahren oder Video-Ident-Verfahren (Prüfung des Ausweises, Anfertigung von Ausweiskopie oder Aufnahme der Person mit Ausweis und Bestätigung der Identitätsfeststellung gegenüber Verantwortlichen)
  • höchste Sicherheit in Bezug auf die Identifizierung

 

De-Mail / qualifizierte elektronische Signatur

De-Mail und eine qualifizierte elektronische Signatur können grundsätzlich zur sicheren Identifizierung von betroffenen Personen genutzt werden. Da die entsprechende Identität durch eine vertrauenswürdige Stelle geprüft wurde, können sich Verantwortliche auf die vorherige Prüfung verlassen.

 

Übermittlung einer geschwärzten Ausweiskopie

In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie zulässig sein. Dies sollte nur über einen sicheren Weg, z.B. mit einer Ende-zu-Ende-verschlüsselten E-Mail oder über eine HTTPS-geschützte Website passieren.

Zur Identifizierung sind dabei nur der Vor- und Nachname, die Anschrift und ggfs. auch die Gültigkeitsdauer zulässig. Die übrigen Daten sollten geschwärzt sein. Ausnahmsweise kann auch das Geburtsdatum sowie der Ort abgefragt werden, wenn sonst keine eindeutige Zuordnung möglich ist.

Nach Auffassung des LDI NRW ist die Anforderungen einer Ausweiskopie unter folgenden Voraussetzungen zulässig:

  • Kopie muss erforderlich sein, weil der Ausweis zum Beispiel nicht vor Ort vorgezeigt werden kann
  • die Kopie muss gemäß § 20 Abs. 2 Personalausweisgesetz als solche zu erkennen sein
  • nach Identifizierung wird die Kopie unverzüglich vernichtet (auch eine elektronische Speicherung ist unzulässig)

Bei reinen Negativauskünften soll auf die Anforderung von Ausweiskopien verzichtet werden (Tätigkeitsbericht des BayLDA 2013/2014, S. 77)

 

Vertretungsvollmacht

Wird der Auskunftsanspruch eines Betroffenen von seinem Anwalt geltend gemacht, dann sollte auch die Originalvollmacht angefordert werden. Das Amtsgericht Berlin-Mitte stellte dazu in seinem Urteil vom 29.07.2019 - Az.: 7 C 185/18 klar, dass die Erteilung einer Auskunft ohne Vorlage der Vollmacht gegen den Sinn und Zweck der DSGVO verstoßen würde. Dies betrifft aber nur Fälle, in denen die anwaltliche Vertretung in der Angelegenheit nicht schon bekannt ist, also begründete Zweifel an der Identität des Anfragenden bestehen.

 

Die Monatsfrist, innerhalb welcher die Auskunft zu erfolgen hat, beginnt erst ab dem Zeitpunkt, zu dem die Vollmacht tatsächlich vorgelegt wurde. Das Gericht stellte weiterhin fest, dass es vor diesem Hintergrund nicht statthaft ist, ein Unternehmen auf Auskunft zu verklagen, bevor die Monatsfrist abgelaufen ist.

 

Zweifel an der Identität

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründeten Zweifeln an der Identität der Auskunft suchenden Person zusätzliche Informationen anfordern, die zur Bestätigung deren Identität erforderlich ist.

Keine Zweifel bestehen grundsätzlich, wenn der Antragsteller dem Verantwortlichen persönlich bekannt ist. Dies bedeutet aber nicht, dass automatisch jede Anfrage eines Unbekannten Zweifel auslöst. Die Verwendung unbekannter Kontaktdaten oder die Abweichung von der bisherigen Form der Korrespondenz können jedoch Zweifel begründen.

Das VG Berlin (Urteil vom 31.08.2020, Az.: 1 K 90.19) geht davon aus, dass ohne besonderen Anlass kein Identitätsnachweis von einem Antragsteller, wie die Kopie des Personalausweises, verlangt werden kann. Der Auskunft-Suchende begehrte hier eine Auskunft auf postalischem Wege. Dem Verantwortlichen (ein Amtsgericht) war die gegenwärtige Anschrift aufgrund der Übersendung verschiedener Entscheidungen bekannt. Dadurch fehle jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte. Schließlich wies das Gericht auch darauf hin, dass eine Fehlleitung der Auskunft durch eine förmliche Zustellung des Auskunftsschreibens unterbunden werden kann.

Ist der Kommunikationskanal also bekannt, müssen besondere Gründe hinzutreten, um einen Identitätsnachweis vom Antragsteller zu verlangen.

 

Phase 3 - Bearbeitung

Der Umfang der zu erteilenden Informationen ergibt sich aus Art. 15 Abs. 1 DSGVO. Welche personenbezogenen Daten im Einzelfall konkret erfasst sein können, finden Sie in meinem Beitrag: Personenbezogene Daten einer Auskunft

Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so sind nachfolgende Datenverarbeitungen aber einzubeziehen (Arbeitsgerichts Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke,
Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Bei der Beantwortung einer Auskunft nach Art. 15 DSGVO sollte insbesondere auf die Einhaltung des Grundsatzes der Transparenz geachtet werden:

 

Empfänger
  • Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).
  • Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.
  • Eine andere Auffassung vertritt das Amtsgericht Seligenstadt. Es sieht keine Pflicht, die konkreten Personen oder Stellen mitzuteilen, denen gegenüber Daten weitergeleitet wurden. Konkret ging es um die Informationen, welche Art der Datenträger und etwaige Cloudspeicher genutzt wurden. Nach Auffassung des Gerichts besteht gerade keine Verpflichtung, auch die Verarbeitungsmittel darzulegen. Insoweit ist es ausreichend, Kategorien von Drittempfängern zu nennen. Nach Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche gerade die Wahl zwischen der Nennung von Kategorien oder konkreten Empfängern. (AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)
  • Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).
Verarbeitungszwecke
  • Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Phase 4 - Beantwortung

Die Übermittlung der Information kann schriftlich, elektronisch oder auch mündlich erfolgen. Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.

Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen.

Das Bayerische Landesamt für Datenschutzaufsicht hat ein Muster veröffentlicht, wie eine Auskunft nach Art. 15 DSGVO zu erfolgen hat. Dieses kann hier (PDF) abgerufen werden.

 

Phase 5 - Abschluss des Verfahrens

Um den Nachweis der ordnungsgemäßen Beauskunftung erbringen zu können, sollte diese für etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörden dokumentiert werden. Dabei sollte auch geklärt werden, innerhalb welcher Frist die Anfrage des Betroffenen zu löschen ist.

Grundsätzlich sind die Daten solange aufzubewahren, bis eine etwaige Verletzung von Betroffenenrechten nach DSGVO, BDSG und OWiG nicht mehr möglich ist. Das wäre dann der Fall, wenn Verjährung eingetreten ist. Nach § 31 OWiG verjährt eine Ordnungswidrigkeit bei den mit der DSGVO vorgesehenen Geldbußen in drei Jahren. Die Verjährungsfrist beginnt dabei, sobald die Handlung, also die Auskunft des Betroffenen, beendet ist.

 

Rechtsanwalt Robert Harzewski

Verwandte Beiträge