Zurück zur Übersicht
20.11.2022

Recht auf Auskunft

Recht auf Auskunft gemäß Art. 15 DSGVO

Die neuen Leitlinien 01/2022 zu den Rechten betroffener Personen – Auskunftsrecht haben das öffentliche Konsultationsverfahren durchlaufen. Die im Anschluss an die Auswertung der im Konsultationsverfahren eingegangenen Stellungnahmen und nach entsprechender Anpassungen bzw. Ergänzungen der Leitlinien angenommene Version wird für unsere Bearbeitung von Eingaben zum Auskunftsrecht maßgeblich sein. Hier möchten das BayLDA häufig auftretende Fragestellungen und Beschwerdeinhalte im Zusammenhang mit dem Auskunftsrecht darstellen.

Die Aufsichtsbehörden erreichen zahlreiche Beschwerden und Beratungsanfragen, die das Auskunftsrecht gem. Art. 15 DSGVO betrafen.

Die häufigsten Inhalte dieser Eingaben waren die Nicht-Erteilung einer Auskunft bzw. die Erteilung einer unzureichenden bzw. unvollständigen Auskunft. Dabei zeigte sich insbesondere auch eine hohe Unsicherheit hinsichtlich des Umfangs der zu erteilenden Auskunft, zu der möglicherweise auch die heterogene Rechtsprechung verschiedener Gerichte beiträgt.

Mit dem Ziel einer europaweit einheitlichen Anwendung des Art. 15 DSGVO hat der Europäische Datenschutzausschuss Leitlinien zum Auskunftsrecht veröffentlicht. Nach einem vom 28. Januar 2022 bis zum 11. März 2022 stattgefundenen öffentlichen Konsultationsverfahren werden derzeit (Zeitpunkt der Erstellung dieses Beitrages) die darin abgegebenen Stellungnahmen ausgewertet. Die Leitlinien mit dem Stand 28. Januar 2022, d.h. zu Beginn des Konsultationsverfahrens, sowie die hierzu abgegebenen Stellungnahmen sind hier abrufbar.

Die im Anschluss an die Auswertung der im Konsultationsverfahren eingegangenen Stellungnahmen und nach entsprechender Anpassungen bzw. Ergänzungen der Leitlinien angenommene Version wird für die Bearbeitung von Eingaben zum Auskunftsrecht maßgeblich sein. Was gerichtliche Entscheidungen zu Streitigkeiten betreffend das Auskunftsrecht angeht, so ist zu berücksichtigen, dass solche Entscheidungen immer nur den konkreten Einzelfall mit seinen Besonderheiten betreffen und nur Rechtswirkung zwischen den daran beteiligten Parteien entfalten, sodass diese grundsätzlich nicht als für die Bewertung allgemein anwendbarer Maßstäbe betrachtet werden können. Folgende in der Vorgangsbearbeitung während des Berichtszeitraums häufig auftretende Fragestellungen werden hier besonders hervorgehoben:

Motivation der Geltendmachung des Auskunftsrechts: Art. 15 DSGVO sieht nicht vor, dass die Gründe für die Geltendmachung eines Auskunftsbegehrens gegenüber dem Verantwortlichen dargelegt werden müssten. Eine betroffene Person soll gerade auch die Möglichkeit haben, ohne Darlegung einer wie auch immer gearteten Erforderlichkeit bzw. deren Preisgabe für einen bestimmten Zweck Auskunft zu erhalten.

Pauschale Auskunft: Die Beantwortung eines Auskunftsersuchens erfordert die konkrete Benennung der gespeicherten personenbezogenen Daten sowie die konkrete Benennung etwaiger Datenflüsse (Übermittlungen der Daten). Insbesondere sind nicht nur die Datenkategorien zu benennen, sondern auch welche Daten im Klartext hierunter abgespeichert sind; die konkreten Empfänger, an die die Daten offengelegt wurden oder noch werden sollen, sind in der Regel zu benennen, wenn diese bereits bekannt sind. Die Zusendung eines Auszugs aus den Datenschutzhinweisen (d.h. den Informationen nach Art. 13 DSGVO), in denen z.B. die Datenkategorien und – ggf. zum Zeitpunkt der Erstellung derselben noch nicht bekannten – Empfängerkategorie oder -kategorien pauschal und umfassend beschrieben werden, genügt somit nicht. Verarbeitet ein Verantwortlicher eine große Menge an Daten, so kann er z.B. die betroffene Person auffordern, die Informationen oder die Verarbeitung, auf die sich der Antrag bezieht, anzugeben, bevor die Informationen übermittelt werden (siehe Erwägungsgrund 63 DSGVO, Leitlinien 1/2022, Version zur public consultation, S. 15, Rn. 35).

Aufbereitung der Daten (Sprache, Sortierung, Kontext, Auskunft über einen Online-Account): In der Praxis ist zu beobachten, dass Beschwerdeführer als Reaktion auf ihr Auskunftsersuchen häufig unaufbereitete Daten erhalten, die für sie oft nicht aus sich heraus verständlich sind. Nach Art. 12 Abs. 1 S. 1 DSGVO muss die Auskunft in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt werden. D.h. die Daten müssen häufig zwecks Verständlichkeit aufbereitet und/oder erläutert werden (so jetzt auch Leitlinien 1/2022, Version zur public consultation, S. 42). Des Weiteren ist bisweilen zu beobachten, dass betroffene Personen nur Auskunft auf Englisch erhalten; dies genügt in aller Regel nicht im Sinne der gesetzlichen Anforderung an eine „verständliche“ Auskunft. Eine weitere Schwierigkeit tritt häufig bei Online-Diensten auf: hier bieten Verantwortliche den betroffenen Personen oft routinemäßig an, sich zum Zwecke der Auskunft in ihren Account einzuloggen und dort die zu ihrer Person gespeicherten Daten einzusehen. Dieser Weg steht jedoch Personen, die keinen Account haben, nicht zur Verfügung. Daher muss der Verantwortliche in diesen Fällen die Auskunft auf anderem Weg erteilen. Ähnlich ist es bei Personen, deren Account – aus welchen Gründen auch immer – gesperrt wurde; auch hier muss der Verantwortliche (nicht erst beim Einschreiten der Aufsichtsbehörde), sofern die betroffene Person die Situation erklärt, von sich aus Auskunft auf anderem Wege anbieten.

Identitätsdiebstahl: Häufiger Hintergrund von Auskunftsbegehren gerade in Onlineshops sind Fälle von Identitätsdiebstahl in der Form, dass ein Unbefugter einen Account „gekapert“ hat bzw. über einen fremden Account etwa eine Bestellung auslöst. Betroffene Personen möchten hier häufig mittels des Auskunftsanspruchs die Identität des Täters in Erfahrung bringen. Der EDSA hat sich in Randnummer 105 der Leitlinien 1/2022 (unter Subsumtion unter die Rechtsprechung des Europäischen Gerichtshofs zum Personenbezug) dahingehend geäußert, dass die Daten, die im Zusammenhang mit einem „gekaperten“ Account verwendet werden, vom Auskunftsanspruch des regulären AccountInhabers umfasst sind, da der Verantwortliche diese Daten in einem Zusammenhang mit dem Accountinhaber verarbeitet und die Daten somit auch auf den Accountinhaber bezogen sind (Rn. 105). Auch wenn das BayLDA bisherigen Praxis noch keinen Fall dieser Art zu entscheiden hatten, werden derartige Fälle – vorbehaltlich der Verabschiedung der finalen Fassung des Leitlinienpapiers – entsprechend dieser Aussage im Leitlinienpapier behandelt.

Auskunft zu Bild- und Sprachaufnahmen: Umfasst ein Auskunftsersuchen auch Bildaufnahmen und Sprachaufnahmen, ist der betroffenen Person eine Kopie der Bildaufnahmen oder – entsprechend den Leitlinien, Stand 18.01.2022 – Sprachaufnahmen zur Verfügung zu stellen, es sei denn, die Rechte und Freiheiten anderer Personen werden hierdurch beeinträchtigt. Soweit eine solche Beeinträchtigung (z.B. bei mitabgebildeten Personen bzw. Gesprächspartnern) zu bejahen ist, kann eine Schwärzung oder ggf. eine Beschreibung des Bildinhaltes sowie ein (ggf. teilweise geschwärztes) Transkripts einer Tonaufnahme zur Erfüllung des Anspruchs auf Auskunft genügen. Allein der Umstand, dass bei dem Gespräch noch die Stimme eines oder einer anderen Beschäftigten des Verantwortlichen zu hören ist, führt dabei in der Regel noch nicht zu einem Schwärzungsanspruch.

Löschung personenbezogener Daten statt Auskunftserteilung: Immer wieder sieht sich die Datenschutzaufsicht mit der der Situation konfrontiert, dass Verantwortliche in Reaktion auf ein Auskunftsersuchen personenbezogene Daten löschen anstatt Auskunft zu erteilen. Den auskunftsersuchenden Personen wird sodann mitgeteilt, dass die Daten gelöscht wurden und eine Auskunft somit nicht mehr erteilt werden kann. Dieses Vorgehen widerspricht dem Sinn und Zweck des Rechts auf Auskunft, denn dem Auskunftssuchenden wird damit die Möglichkeit genommen, zu erfahren, welche personenbezogenen Daten verarbeitet werden und die in Art. 15 Abs.1 Buchstabe a bis h DSGVO ergänzenden Informationen, wie beispielsweise auch die Herkunft und die Empfänger der Daten zu erhalten. Eine solche Tatsachen schaffende Löschung personenbezogener Daten durch einen Verantwortlichen im Rahmen eines Auskunftsersuchens kann aufsichtliche sowie ordnungswidrigkeitsrechtliche Maßnahmen nach sich ziehen. Auch der Europäische Datenschutzausschuss betont, dass der Verantwortliche diejenigen Daten beauskunften muss, die er im Zeitpunkt des Zugangs des Auskunftsbegehrens besitzt (EDSA-Leitlinien 01/2022, Stand 18.01.2022, Rn. 37-39). Verantwortlichen wird deshalb dringend davon abgeraten, bei Vorliegen von Auskunftsersuchen gem. Art. 15 DSGVO Daten noch vor Auskunftserteilung zu löschen. Dies gilt selbst dann, wenn mit dem Auskunftsersuchen ein Antrag auf Löschung etwaig vorhandener Daten gem. Art. 17 DSGVO verbunden ist.

Quelle: BayLDA

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks