Schlagwort: Auskunftsanspruch

Auskunft nach Art. 15 DSGVO

Auskunft nach Art. 15 DSGVO

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

  • Auskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen
  • Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern
  • Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.
 

Umfang der Auskunft nach Art. 15 DSGVO

 
Das Landgericht Köln hatte bereits 2019 entschieden, dass sich der Umfang einer Auskunft nicht auch auf alle internen Vorgänge und rechtlichen Bewertungen bzw. Analyse beziehe (Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18). Das BayLDA geht  jedoch im 9. Tätigkeitsbericht davon aus, dass auch Interne Vermerke und Bewertungen sowie Gesprächs- und Telefonvermerke
vom Anspruch auf Auskunft nach Art. 15 DSGVO umfasst sind.

Das Arbeitsgericht Düsseldorf hat in seiner Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, die Vorgaben zum Umfang nun weiter präzisiert:

  • Für den Umfang des Auskunftsverlangens sei grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind  demnach nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so seien nachfolgende Datenverarbeitungen aber einzubeziehen.
  • Der Aufwand, nach personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse.

 

Weiterleitung der Auskunft

 
Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.
 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.
 

Inhalt der Auskunft nach Art. 15 DSGVO

 

Empfänger

Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).

Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.

Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18). 
 

Verarbeitungszwecke

Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18). 
 

Verfahren und Bußgeld

 
Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke, Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht Düsseldorf einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigen.

 

Richter mit Hammer

Umfang des Auskunftsanspruches nach Art. 15 DSGVO

Leitsatz:

Der Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich nicht auf alle internen Vorgänge. Der Anspruch dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen.
 
Gericht: : Landgericht Köln, Teilurteil vom 18.03.2019
Aktenzeichen: 26 O 25/18

 

Was war passiert?

Eine Versicherungsnehmerin hatte zwei Lebensversicherungsverträge bei Ihrem Versicherer abgeschlossen. Von diesem verlangte Sie nun eine vollständige Datenauskunft nach Art. 15 DSGVO. Dieser kam der Versicherer zum Teil nach, was der Versicherungsnehmerin jedoch nicht ausreichte.
 

Entscheidung:

Das Gericht entschied, dass nach Art. 15 DSGVO grundsätzlich ein umfassender Auskunftsanspruch über die verarbeiteten personenbezogenen Daten eines Betroffenen besteht. Hierzu zählen auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen.

Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich neben den in Art. 15 Abs. 1 DSVO aufgeführten Informationen allerdings nicht auf alle internen Vorgänge, wie zum Beispiel Vermerke oder den gewechselten Schriftverkehr, welche dem Auskunftssuchenden bereits bekannt sind. Auch rechtliche Bewertungen oder Analysen stellen keine vom Anspruch umfassten Daten dar.

Der Anspruch auf Auskunft dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen. Keinesfalls soll dieser dem Betroffenen zu einer vereinfachten Buchführung dienen.