Was ist der Auskunftsanspruch nach Art. 15 DSGVO?
Der Anspruch gem. Art. 15 DSGVO soll dem Auskunftsersuchenden ermöglichen, eine Einsicht in die vom Verantwortlichen gespeicherten personenbezogenen Daten und die Art der Verarbeitung, die Empfänger der Daten, etc. zu erlangen. Der Zweck liegt dabei nicht nur in der Transparenz der Verarbeitung gegenüber dem Betroffenen, sondern auch in der Möglichkeit der Kontrolle der Rechtmäßigkeit der Verarbeitung, sowie der Vorbereitung weiterer Ansprüche des Betroffenen, wie dem Löschverlangen nach Art. 17 DSGVO, sicherzustellen. Der Betroffene kann im Rahmen des Auskunftsverlangens nach Art. 15 Abs. 3 DSGVO zudem eine Kopie seiner personenbezogenen Daten anfordern. Weitere Details zum Umfang und zur Begrenzung des Umfangs der dem Anfragen zur Verfügung zu stellenden Kopie finden Sie weiter unten.
Erste Schritte:
Dokumentation und Prüfung der Berechtigung
Im ersten Schritt ist das Eingangsdatum des Auskunftsgesuchs festzuhalten. Dieses wird benötigt, um die gesetzliche Monatsfrist zur Beantwortung einzuhalten (Art. 12 Abs. 3 DSGVO). Die Frist beginnt mit Eingang des Auskunftsverlangens und kann um maximal zwei weitere Monate verlängert werden, was dem Betroffenen innerhalb eines Monats nach Eingang des Auskunftsgesuchs anzuzeigen ist. Die Verlängerung der Frist ist zu begründen. Dabei kommen als Gründe ein besonders hohes Anfrageaufkommen und die besondere Komplexität der Anfrage sein.
Zudem ist die Form des Gesuchs festzuhalten, da sich die Erteilung der Auskunft nach der Eingangsform richtet. So können schriftliche Gesuche ebenfalls schriftlich beantwortet werden, elektronische demnach in elektronischer Form.
Weiterhin ist die Anspruchsberechtigung zu prüfen. Diese besteht ausschließlich bei natürlichen Personen, wodurch kein Auskunftsanspruch juristischer Personen (Unternehmen) besteht. Auch der von einem einzelnen geschäftsführenden Gesellschafter einer „Ein-Mann-GmbH“ geltend gemachte Anspruch besteht demzufolge nicht, sofern das Auskunftsgesuch auf die Daten der GmbH gerichtet ist.
Damit ist in den ersten zwei Schritten bereits festgestellt, ob und in welchem Zeitraum das Auskunftsgesuch zu beantworten ist.
Gegebenenfalls: Identitätsprüfung
Da personenbezogene Daten besonderen Schutz genießen, ist zunächst die Identität des Anspruchstellers festzustellen, um gewährleisten zu können, dass die Daten nicht an Dritte weitergegeben werden. Dies kann im Rahmen eines Abgleichs der Adresse oder E-Mail-Adresse des Antragstellers mit den gespeicherten Daten durchgeführt werden. Sollten diese nicht übereinstimmen, müssen alle weiteren möglichen Wege wie Abgleich von Login-Daten oder Sicherheitsfragen ausgeschöpft werden, bevor man eine Identitätskontrolle per Ausweiskopie durchführt. Diese Art der Identifikation sollte nur als letztmöglicher Schritt durchgeführt werden und erfordert die Beachtung besonderer Vorgaben.
Praxistipp: Die Frist für die Beantwortung der Anfrage beginnt, sofern der Auskunftsersuchende nicht bei Eingang der Anfrage eindeutig identifiziert werden kann, erst mit der Feststellung der Identität. Sollten weitere Nachweise für die Identifizierung angefordert werden müssen, verschafft dies dem Verantwortlichen also auch mehr zeitlichen Spielraum für die Bearbeitung der Anfrage.
Zweiter Schritt: Ermittlung von Umfang und Inhalt der Auskunft
Die Auskunft betrifft lediglich personenbezogene Daten i.S.d. Art. 4 Abs. 1 DSGVO. Darunter fallen insbesondere auch: interne Vermerke, jedoch nicht die Beurteilung der Rechtslage auf Basis dieser Vermerke; die vom Betroffenen verfassten Schreiben, da der Betroffene dabei identifizierbar ist, sowie den Schriftverkehr zwischen Betroffenem und Verantwortlichem, wobei bei Schreiben des Verantwortlichen an den Betroffenen nur solche offenzulegen sind, welche personenbezogene Daten des Betroffenen enthalten.
Diese Daten sind jedoch nur insoweit auskunftspflichtig, als dass diese i.S.d. Art. 4 Nr. 2 DSGVO „verarbeitet“ werden. Damit fallen Daten, die im Rahmen eines Hackerangriffs abgeflossen sind, nicht unter den Anspruch des Art. 15 DSGVO, da keine Verarbeitung des Verantwortlichen vorliegt.
Hinsichtlich der Kopie der personenbezogenen Daten gem. Art. 15 Abs. 3 DSGVO gilt folgendes:
Der Umfang der Kopie ist deckungsgleich mit dem Auskunftsrecht des Art. 15 Abs. 1 DSGVO. Inhaltlich sind dabei lediglich die personenbezogenen Daten abzubilden, die die Dokumente enthalten. Eine Bereitstellung des gesamten Dokuments bzw. der gesamten Datenbank ist grundsätzlich nicht erforderlich.
Das gesamte Dokument bzw. die gesamte Datenbank, sind ausnahmsweise bereitzustellen, wenn es sich dabei um Schreiben des Betroffenen handelt, der Kontext des gesamten Dokumentes/der Datenbank notwendig ist, um die Verständlichkeit der personenbezogenen Daten, oder die Ausübung der Rechte aus der DSGVO zu gewährleisten (z.B. Patientenakte). Dabei obliegt dem Betroffenen aber die Darlegungspflicht, warum eine vollständige Kopie des Dokuments/der Datenbank notwendig ist.
Wie weit geht der Anspruch und wie kann man diesen begrenzen?
Der Umfang der Kopie kann insoweit begrenzt werden, als dass durch die Bereitstellung des Dokuments/der Datenbank Rechte und Freiheiten anderer Personen beeinträchtigt werden können, Art. 15 Abs. 4 DSGVO. Unter den Begriff „anderer Personen“ fällt auch der Verantwortliche selbst, womit auch dessen Rechte und Freiheiten einen Grund für die Begrenzung darstellen können. Zu beachten ist, dass eine Bereitstellung nicht per se verweigert werden darf, sondern entsprechende Passagen bei Möglichkeit zu schwärzen sind.
Zudem besteht gem. Art. 12 Abs. 5 S. 2 DSGVO die Möglichkeit den Auskunftsanspruch zu verweigern, oder eine angemessene Verwaltungsgebühr zu verlangen, sofern es sich um einen evident unbegründeten oder exzessiven Antrag handelt.
Praxistipp zur Beschränkung des Umfangs der Auskunft:
Fragen Sie gezielt, ob das Interesse des Betroffenen sich auf bestimmte Daten oder Dokumente richtet. Oftmals lässt sich der Umfang der Auskunft dadurch beträchtlich reduzieren, sowie die (verborgene) Motivation des Betroffenen ableiten.