de en
Nexia Ebner Stolz

Rechtsberatung

Das Auskunftsrecht nach Art. 15 DSGVO in der Praxis

Ein Jahr nach Geltungsbeginn der Datenschutzgrundverordnung zeichnet sich der Umfang des sog. Auskunftsrechts immer deutlicher ab. Nicht zuletzt durch die bereits ergangenen gerichtlichen Entscheidungen lassen sich daraus aktualisierte Handlungsempfehlungen im Umgang mit dem Auskunftsrecht ableiten.

Jede natür­li­che Per­son hat das Recht, Aus­kunft dar­über zu ver­lan­gen, ob ihre per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den. Aus­kunftspf­lich­tig sind z. B. Unter­neh­men, die als „Ver­ant­wort­li­cher“ Daten ver­ar­bei­ten. In einer bereits bis­lang ergan­ge­nen Reihe gericht­li­cher Ver­fah­ren hat zuletzt das Ober­lan­des­ge­richt Köln ent­schie­den, dass auch über den Inhalt von Gesprächs- und Tele­fon­no­ti­zen Aus­kunft zu ertei­len ist (Urteil vom 26.07.19, Az. 20 U 75/18). Für die Pra­xis las­sen sich dar­aus fol­gende Schlüsse zie­hen:

Das Auskunftsrecht nach Art. 15 DSGVO in der Praxis© Unsplash

Anträge auf Aus­kunft erken­nen

Anträge auf Aus­kunft kön­nen form­los ges­tellt wer­den und damit in ande­ren Sch­rei­ben „ver­steckt“ sein. Beschäf­tigte des aus­kunftspf­lich­ti­gen Unter­neh­mens müs­sen sen­si­bi­li­siert wer­den, damit sie sol­che Anträge erken­nen und an den zustän­di­gen Mit­ar­bei­ter wei­ter­lei­ten. Denn: Anträge sind unver­züg­lich, spä­tes­tens aber nach einem Monat zu beant­wor­ten. Ansons­ten dro­hen Buß­gel­der.

Antrag­s­tel­ler iden­ti­fi­zie­ren

Trotz Zeit­druck gilt: Keine Aus­kunft ohne Iden­ti­täts­prü­fung. Zu groß ist die Gefahr, dass ein Unbe­fug­ter durch Vor­spie­len einer fal­schen Iden­ti­tät Daten einer ande­ren Per­son erhält. Dies ist dann ein Daten­schutz­vor­fall, der zur Mel­dung bei der Daten­schutz­be­hörde verpf­lich­tet und leicht zu nega­ti­ver Presse füh­ren kann. So ist es etwa laut einer Mel­dung der Frank­fur­ter All­ge­mei­nen Zei­tung vom 14.8.2019 einem Stu­den­ten gelun­gen, durch Aus­kunft­s­an­träge an zahl­rei­che Daten sei­ner in die­ses Vor­ge­hen ein­ge­weih­ten Freun­din zu gelan­gen. Vor­sicht ist ins­be­son­dere gebo­ten, falls Per­so­nen über eine andere, nicht beim Unter­neh­men hin­ter­legte E-Mail-Adresse Anträge stel­len.

Wie aber sind Antrag­s­tel­ler zu iden­ti­fi­zie­ren? Anträge, die über ein pass­wort­ge­schütz­tes Nut­zer­konto ein­ge­reicht wer­den kön­nen, das Post- oder Video-Ident-Ver­fah­ren eig­nen sich gut zur Iden­ti­täts­prü­fung. Oft wird aber schon ein Abg­leich der beim Unter­neh­men hin­ter­leg­ten Stamm­da­ten aus­rei­chen.

Nicht ver­langt wer­den darf, dass der Antrag­s­tel­ler sich per­sön­lich in den Geschäfts­räu­men des Unter­neh­mens aus­weist. Eine von eini­gen Daten­schutz­be­hör­den emp­foh­lene Mög­lich­keit zur Iden­ti­fi­zie­rung sind Aus­weis­ko­pien, die nach Schwär­zung aller Daten bis auf Name, Anschrift, Geburts­da­tum und Gül­tig­keits­dauer per Post ver­sandt wer­den. Nach Über­prü­fung der Iden­ti­tät sind sie zu ver­nich­ten. Die Daten­schutz­be­auf­trag­ten in Ber­lin und in NRW beto­nen dage­gen, dass Aus­weis­ko­pien nur aus­nahms­weise ange­for­dert wer­den dür­fen (Prin­zip der „Daten­mi­ni­mie­rung“).

Ver­wei­gert der Antrags­s­tel­ler eine Mit­wir­kung bei der Iden­ti­fi­zie­rung, kann der Aus­kunft­s­an­trag abge­lehnt wer­den.

Aus­kunft ertei­len und doku­men­tie­ren

Selbst wenn ein Unter­neh­men bis zum Ein­gang des Antrags keine Daten des Antrag­s­tel­lers ver­ar­bei­tet hat, muss der Antrag in einer bestimm­ten Form beant­wor­tet wer­den. Ver­ar­bei­tet das Unter­neh­men Daten die­ser Per­son, müs­sen ihr u.a. die Zwe­cke der Daten­ver­ar­bei­tung und die abstrakte Art der Daten mit­ge­teilt wer­den.

Bei­spiel: „Wir ver­ar­bei­ten Ihre Daten, um die Ware aus­zu­lie­fern und Ihnen eine Rech­nung zu stel­len. Es han­delt sich um fol­gende Daten­ka­te­go­rien: Anrede, Vor- und Nach­name, Adresse.“

Die Aus­kunftspf­licht beschränkt sich nicht nur auf Stamm­da­ten. Viel­mehr sind alle Daten­ar­ten anzu­ge­ben, die irgend­ei­nen Per­so­nen­be­zug haben. Außer­dem sind noch wei­tere Infor­ma­tio­nen anzu­ge­ben, wie man sie aus „Daten­schutz­er­klär­un­gen“ kennt. Zur Ver­mei­dung von „Dop­pel­ar­beit“ soll­ten Mus­ter­sch­rei­ben ers­tellt wer­den.

Aus­künfte dür­fen nicht in Form einer unver­schlüs­sel­ten E-Mail erteilt wer­den. Zu groß ist das Risiko, dass sie von Kri­mi­nel­len abge­fan­gen wird. Bes­ser ist eine Bereit­stel­lung in einem pass­wort­ge­schütz­ten Kun­den­por­tal.

Die Aus­kunft­s­er­tei­lung ist zu doku­men­tie­ren und für maxi­mal drei Jahre zu spei­chern.

Daten­ko­pie

Zusätz­lich ver­langt die DSGVO, dass dem Antrag­s­tel­ler eine Kopie der Daten, die Gegen­stand der Ver­ar­bei­tung sind, über­mit­telt wird. Muss dem Antrag­s­tel­ler nun jedes Doku­ment, in dem sein Name auf­taucht, in Kopie über­sandt wer­den?

Wahr­schein­lich nicht. Dies ist auch die Auf­fas­sung des Land­ge­richts Köln und der Daten­schutz­be­auf­trag­ten aus Hes­sen und Bay­ern. Es besteht keine Pflicht zur Über­mitt­lung des bis­he­ri­gen Schrift­ver­kehrs mit die­ser Per­son. Aus­rei­chend ist hier­nach, dass eine Liste mit den kon­k­ret ver­ar­bei­te­ten Daten über­mit­telt wird (LG Köln, Urteil vom 18.03.19, Az. 26 O 25/18).

Bei­spiel: Max Mül­ler, Mus­ter­straße 1, Geburts­da­tum: 01.01.2000

Das Lan­des­ar­beits­ge­richt Baden-Würt­tem­berg ver­langt dage­gen mög­li­cher­weise, dass Kopien von Doku­men­ten über­mit­telt wer­den müs­sen, in denen die Daten ent­hal­ten sind (Urteil vom 20.12.18, Az. 17 Sa 11/18, nicht rechts­kräf­tig). Sicher ist eine sol­che Inter­pre­ta­tion des Urteils aber nicht. Es besteht also wei­ter­hin Recht­s­un­si­cher­heit.

In der Pra­xis stel­len sich schwie­rige Fol­ge­fra­gen: Wie kann sicher­ge­s­tellt wer­den, dass alle Doku­mente mit einem Bezug zum Antrag­s­tel­ler auf­ge­fun­den wer­den? Wie kön­nen Daten ande­rer Per­so­nen oder Geschäfts­ge­heim­nisse „geschwärzt“ wer­den? Eine prag­ma­ti­sche Lösung ist fol­gen­des abge­stuf­tes Vor­ge­hen:

  1. Ver­langt der Antrag­s­tel­ler zunächst nur Aus­kunft, kann auf Über­mitt­lung einer „Daten­ko­pie“ ver­zich­tet wer­den. Denn das Recht auf „Daten­ko­pie“ ist nach Auf­fas­sung des Daten­schutz­be­auf­trag­ten aus Nie­der­sach­sen ein geson­dert gel­tend zu machen­des Recht neben dem Aus­kunfts­recht. Der Daten­schutz­be­auf­tragte aus Hes­sen sieht dies anders – Unter­neh­men aus Hes­sen soll­ten daher gleich eine Liste der kon­k­re­ten Daten über­mit­teln.
  2. Sobald der Antrag­s­tel­ler eine „Daten­ko­pie“ ver­langt, kann zunächst nur eine Liste der kon­k­ret zu die­ser Per­son gespei­cher­ten Daten ver­sandt wer­den.
  3. Wenn sich der Antrag­s­tel­ler damit nicht zufrie­den gibt, kön­nen zur Sicher­heit immer noch „Daten­ko­pi­en“ der Doku­mente über­mit­telt wer­den, in denen sich die Daten befin­den. Aller­dings sollte mit dem Antrag­s­tel­ler abge­spro­chen wer­den, auf wel­chen Bereich sich sein Aus­kunft­s­er­su­chen bezieht. So kann der Umfang eines Ver­sands von „Daten­ko­pi­en“ in Gren­zen gehal­ten wer­den.

Hin­weis: Das Aus­kunfts­recht hat nicht zuletzt wegen sei­ner Miss­brauch­s­an­fäl­lig­keit erheb­li­che Pra­xis­re­le­vanz. Unter­neh­men soll­ten sich daher schon vor Ein­gang des ers­ten Aus­kunft­s­an­trags Gedan­ken machen, wie sie mit sol­chen Anfra­gen umge­hen. Dabei soll­ten die Hand­lungs­emp­feh­lun­gen der für das Unter­neh­men zustän­di­gen Daten­schutz­be­hör­den berück­sich­tigt wer­den. Ergeb­nis die­ser Über­le­gun­gen ist ein „inter­ner Pro­zess“, der zu Doku­men­ta­ti­ons­zwe­cken schrift­lich fest­ge­legt wer­den sollte.

nach oben