Kitabı oku: «Praxishandbuch DSGVO», sayfa 32
IV. Recht auf Auskunft (Art. 15 DSGVO)
181
Um das Ziel der DSGVO einer transparenten Datenverarbeitung zu erreichen,233 bedarf es aber nicht nur einer Informationspflicht des Verantwortlichen gegenüber der betroffenen Person um den Zeitpunkt der Erhebung der Daten herum. Vielmehr muss die betroffene Person hierfür auch zu einem späteren Zeitpunkt noch von dem Verantwortlichen erfahren können, was mit ihren Daten geschehen ist. Zu diesem Zweck enthält auch die DSGVO das Recht der betroffenen Person, vom Verantwortlichen Auskunft über die Verarbeitung ihrer Daten zu erhalten. Oftmals wird dieses Recht auch als „zentrales Betroffenenrecht“234 oder gar als „Magna Charta des Datenschutzes“235 bezeichnet, da es der betroffenen Person einen Überblick über die Verarbeitung der sie betreffenden Daten verschafft und sie in die Lage versetzt, die Rechtmäßigkeit der Verarbeitung zu prüfen sowie ihre weiteren Betroffenenrechte geltend zu machen.236
182
Das Auskunftsrecht ist in Art. 15 DSGVO sowie in den korrespondierenden Erwägungsgründen 63 und 64 DSGVO geregelt. Art. 15 Abs. 1 und 2 DSGVO enthalten die Regelungen zu den Inhalten des Auskunftsrechts, also zu den Punkten, über die ein Verantwortlicher Auskunft erteilen muss. Diese wurden gegenüber der Datenschutzrichtlinie 95/46/EG erweitert. Art. 15 Abs. 3 DSGVO normiert das Recht der betroffenen Person, vom Verantwortlichen eine Kopie der sie betreffenden Daten zu erhalten, welches nach hier vertretener Ansicht neben dem Auskunftsrecht der betroffenen Person gem. Art. 15 Abs. 1 und 2 DSGVO steht. Art. 15 Abs. 4 DSGVO enthält schließlich Ausnahmen von diesem Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO.
183
Um Anträge auf Auskunft nach Art. 15 Abs. 1 und 2 DSGVO sowie auf Erhalt einer Kopie gem. Art. 15 Abs. 3 DSGVO auch in der alltäglichen Unternehmenspraxis bewältigen zu können, werden im Anschluss an die rechtlichen Ausführungen zu den genannten Rechten unter Rn. 338ff. auch noch Anregungen gegeben, wie Unternehmen mit derartigen Anträgen umgehen können, insbesondere, welche Prozesse und Zuständigkeiten sie hierfür schaffen können.
Achtung
Die deutschen Datenschutzaufsichtsbehörden scheinen – entgegen der hier und in Teilen der datenschutzrechtlichen Literatur vertretenen Ansicht – davon auszugehen, dass Art. 15 Abs. 3 DSGVO (nur) die Modalitäten der Auskunftserteilung nach Art. 15 Abs. 1 und 2 DSGVO regelt und kein eigenständiges, neben dem Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO bestehendes Recht der betroffenen Person auf Erhalt einer Kopie ihrer Daten enthält.237
Dieser Auffassung ist nach der hier vertretenen Ansicht nicht zu folgen, da der Wortlaut von Art. 15 DSGVO und dessen Systematik eindeutig zwischen dem Recht auf Auskunft „an sich“ gem. Art. 15 Abs. 1 und 2 DSGVO einerseits und dem Recht der betroffenen Person auf Erhalt einer Kopie ihrer Daten gem. Art. 15 Abs. 3 und 4 DSGVO andererseits unterscheiden.238
Dieser Streit kann insbesondere Auswirkungen auf die Fragen haben, (1.) ob sich die in Art. 15 Abs. 4 DSGVO normierten Ausnahmen nur auf das Recht auf Erhalt einer Kopie (Art. 15 Abs. 3 DSGVO) oder auch auf den Auskunftsanspruch nach Art. 15 Abs. 1 und 2 DSGVO beziehen und (2.) welchen Umfang die Kopie haben muss, die der betroffenen Person gem. Art. 15 Abs. 3 DSGVO zur Verfügung zu stellen ist.
Im Hinblick auf die erste Frage ist aber festzustellen, dass die beiden unterschiedlichen Ansichten in der Praxis zumindest für Unternehmen, die in den Anwendungsbereich des BDSG fallen, zu eher geringen Unterschieden führen. So wird der Auskunftsanspruch nach Art. 15 Abs. 1 und 2 DSGVO jedenfalls (und unstreitig) durch § 29 Abs. 1 S. 2 BDSG begrenzt – und diese Vorschrift enthält zumindest weitgehend auch die in Art. 15 Abs. 4 DSGVO statuierten Ausnahmen (siehe hierzu die Ausführungen unter Rn. 241).239 Mithin wirkt sich der Streit im Hinblick auf die erste Frage in der Praxis in der Regel nur insoweit aus, als dass sich nach den unterschiedlichen Ansichten ggf. die „Hausnummern“ unterscheiden, auf die eine Ausnahme vom Auskunftsrecht gem. Art. 15 Abs. 1 und 2 DSGVO gestützt wird.
Im Hinblick auf die zweite Frage können die Unterschiede allerdings ggf. erheblich sein. Siehe hierzu die Ausführungen unter Rn. 305 und 308ff.
1. Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO
a) Voraussetzungen des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
184
Die Voraussetzung dafür, dass eine Person ihr Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO geltend machen kann, besteht grundsätzlich allein darin, dass der jeweilige Verantwortliche personenbezogene Daten über sie verarbeitet. Ein besonderes Rechtsschutzinteresse wird dabei nicht vorausgesetzt.240
185
In einem Punkt geht der Anwendungsbereich des Art. 15 Abs. 1 DSGVO aber sogar darüber hinaus: So hat nach Art. 15 Abs. 1 Hs. 1 DSGVO jede Person das Recht, vom Verantwortlichen eines Datenverarbeitungsvorgangs zu erfahren, ob überhaupt Daten über sie vom Verantwortlichen verarbeitet werden oder nicht. Der Verantwortliche muss einer Person also ggf. auch bestätigen, dass keine personenbezogenen Daten über sie verarbeitet werden (sog. „Negativauskunft“).241
b) Inhalte des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
186
Verarbeitet der Verantwortliche Daten der betroffenen Person, hat sie nach Art. 15 Abs. 1 Hs. 2, Abs. 2 DSGVO das Recht, von diesem Auskunft über die folgenden Punkte zu erhalten:
1. die verarbeiteten personenbezogenen Daten,
2. die Verarbeitungszwecke,242
3. die Kategorien personenbezogener Daten, die verarbeitet werden,243
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,244
6. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,245
7. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,246
8. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten,
9. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person,247
10. wenn personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung.
187
Diese Punkte entsprechen weitgehend denen, über welche die betroffene Person nach Art. 13 bzw. Art. 14 DSGVO zu informieren ist, weshalb im Folgenden nur auf die Inhalte des Auskunftsanspruchs gem. Art. 15 Abs. 1 Hs. 2 und Abs. 2 DSGVO eingegangen wird, bei denen wesentliche Unterschiede zu Art. 13 bzw. Art. 14 DSGVO bestehen.
aa) Verarbeitete personenbezogene Daten (Art. 15 Abs. 1 Hs. 2 DSGVO)
188
Nach Art. 15 Abs. 1 Hs. 2 DSGVO hat die betroffene Person zunächst das Recht, Auskunft über die sie betreffenden personenbezogenen Daten, die vom Verantwortlichen verarbeitet werden, zu erhalten.248 Dieser Punkt wird teilweise übersehen, da er bedauerlicherweise nicht mit in die anschließende nummerische Aufzählung über die zu beauskunftenden Punkte aufgenommen wurde, sondern zuvor im „Fließtext“ von Art. 15 Abs. 1 Hs. 2 DSGVO genannt wird.
189
Zu beauskunften sind aber nur die personenbezogenen Daten, die beim Verantwortlichen oder bei dessen Auftragsverarbeiter zum Zeitpunkt des Auskunftsantrags tatsächlich vorhanden sind. Soweit Daten nur in der Vergangenheit verarbeitet und sodann gelöscht wurden, unterfallen sie nicht dem Auskunftsanspruch nach Art. 15 Abs. 1 Hs. 2 DSGVO (siehe ausführlich zum Umfang des Auskunftsanspruchs Rn. 204ff.).249
190
Nach Auffassung des AG Wertheim sind zur Erfüllung dieses Auskunftspunktes die konkret verarbeiteten Daten zu nennen, also z.B. der konkret verarbeitete Name und das konkret verarbeitete Geburtsdatum.250 Die abstrakte Angabe, dass ein Name oder das Geburtsdatum verarbeitet werde, reiche insoweit nicht aus.251
191
Da Verantwortliche oftmals eine Vielzahl verschiedener Daten über eine betroffene Person verarbeiten, die sich zudem häufig in vielen verschiedenen Anwendungen befinden, ist die Auskunftserteilung über die verarbeiteten personenbezogenen Daten deshalb in vielen Fällen mit einem erheblichen Aufwand verbunden. Siehe zum Umfang des Auskunftsanspruchs auch ausführlich Rn. 204ff.
192
Vor diesem Hintergrund empfiehlt sich – gerade wenn ein Unternehmen viele Daten einer betroffenen Person verarbeitet – in der Praxis ein gestuftes Vorgehen:252
– In einem ersten Schritt sollte das Unternehmen der betroffenen Person – soweit sie es verlangt und das Verlangen berechtigt ist – Auskünfte zu den in Art. 15 Abs. 1 lit. a–lit. h sowie in Abs. 2 DSGVO genannten Punkten erteilen (siehe hierzu die Rn. 186ff.). Soweit der Antragsteller auch präzise Angaben zu den Daten macht, über die er gem. Art. 15 Abs. 1 Hs. 2 DSGVO Auskunft verlangt, ist ihm diese Auskunft ebenfalls sofort zu erteilen. Gerade wenn der Antrag hierzu aber nur pauschale Ausführungen enthält und das Unternehmen viele Daten über die Person verarbeitet, ist es dem Unternehmen nach hier vertretener Ansicht grundsätzlich gestattet, bei der betroffenen Person nachzufragen, auf welche Daten sich ihr Antrag bezieht. Dieses Recht folgt aus Erwägungsgrund 63 S. 7, demzufolge der Verantwortliche – wenn er eine große Menge von Informationen über die betroffene Person verarbeitet – verlangen können soll, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.253 Bei dieser Nachfrage sollte der Verantwortliche der betroffenen Person aber zugleich schon die anderen gewünschten Auskünfte und zumindest auch eine Auskunft über die verarbeiteten Stammdaten und die anderen im Antrag präzise angegebenen Daten erteilen, soweit das Verlangen berechtigt ist und keine Ausnahmen greifen.254
– Präzisiert die betroffene Person sodann die pauschal gewünschten Auskünfte über die verarbeiteten Daten, sind ihr in einem zweiten Schritt – soweit das Verlangen berechtigt ist und keine Ausnahmen greifen – auch diese Auskünfte zu erteilen.Nimmt die betroffene Person keine Präzisierung vor, sondern bestätigt z.B., dass sie Auskunft über sämtliche sie betreffende Daten erhalten möchte, ist der Verantwortliche berechtigt zu prüfen, ob diesem Verlangen ggf. eine Ausnahme vom Auskunftsanspruch gem. Art. 15 Abs. 1 und 2 DSGVO entgegengehalten werden kann – so kann der pauschale Antrag auf Auskunft über sämtliche sie betreffenden Daten nach hier vertretener Ansicht z.B. ggf. auch exzessiv i.S.d. Art. 12 Abs. 5 S. 2 lit. b DSGVO sein.255 Soweit dies nicht der Fall ist, ist der betroffenen Person die gewünschte Auskunft zu erteilen.Äußert sich die betroffene Person nicht auf die Nachfrage des Verantwortlichen und dessen Verlangen um Präzisierung, ist er nach hier vertretener Ansicht berechtigt, die Auskunftserteilung so lange „auszusetzen“, bis die betroffene Person dem gem. Erwägungsgrund 63 S. 7 berechtigten Verlangen um Präzisierung nachgekommen ist bzw. bestätigt, dass sie umfassend Auskunft verlangt.256
bb) Kategorien verarbeiteter Daten (Art. 15 Abs. 1 lit. b DSGVO)
193
Nach Art. 15 Abs. 1 lit. b DSGVO hat der Verantwortliche der betroffenen Person die Kategorien der von ihm über sie verarbeiteten Daten mitzuteilen. Diese Verpflichtung besteht grundsätzlich neben der Pflicht aus Art. 15 Abs. 1 Hs. 2 DSGVO, so dass der Verantwortliche ggf. verpflichtet ist, der betroffenen Person sowohl Auskunft über die konkret über sie verarbeiteten Daten als auch über die Kategorien der von ihm über sie verarbeiteten Daten zu geben.
194
Diese (ggf. zusätzliche) Pflicht soll zumindest nach einigen Stimmen in der datenschutzrechtlichen Literatur auch nicht überflüssig sein, da diese Information es der betroffenen Person ermöglichen würde, zunächst einen Überblick über ihre Daten zu gewinnen, bevor sie dann im zweiten Schritt die konkret über sie verarbeiteten Daten prüfen kann.257 Zudem werde der Kontext der einzelnen Information ggf. so deutlicher.258
195
Zu den inhaltlichen Anforderungen der Verpflichtung gelten die Ausführungen zu Art. 14 Abs. 1 lit. d DSGVO unter Rn. 115 entsprechend.
cc) Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO)
196
Gem. Art. 15 Abs. 1 lit. c DSGVO ist der Verantwortliche verpflichtet, Auskunft über die Empfänger oder Kategorien von Empfängern zu erteilen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Dies gilt ausweislich des Normtextes insbesondere dann, wenn sich der Empfänger in einem Drittland befindet oder es sich bei dem Empfänger um eine internationale Organisation handelt. Siehe hierzu die Ausführungen zu Art. 13 Abs. 1 lit. e DSGVO unter Rn. 41ff.
197
Das LAG Baden-Württemberg verlangt in diesem Zusammenhang, dass der betroffenen Person die konkreten Empfänger mitgeteilt werden – also nicht nur die Kategorien von Empfängern.259 Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg fordert dies.260 In der datenschutzrechtlichen Literatur wird hingegen teilweise – entgegen der Auffassung des Gerichts und des LfDI Baden-Württemberg – ein Wahlrecht des Verantwortlichen angenommen, ob er der betroffenen Person die konkreten Empfänger oder nur die Kategorien nennen möchte.261 Diese Auffassung vertritt auch das AG Seligenstadt.262 Insbesondere vor dem Hintergrund des Urteils des LAG Baden-Württemberg empfiehlt es sich aber, betroffenen Personen die konkreten Empfänger mitzuteilen, sofern diese vorliegen.263 Gerade bei geplanten, also zukünftigen Offenlegungen – die nach dem Wortlaut des Art. 15 Abs. 1 lit. c DSGVO auch zu beauskunften sind – kann es aber vorkommen, dass die konkreten Empfänger noch nicht bekannt sind, weshalb in solchen Fällen die Kategorien anzugeben sind.264
198
Im Hinblick auf die Frage, für welchen Zeitraum eine Liste mit Empfängern oder Kategorien von Empfängern, denen personenbezogene Daten offengelegt worden sind, in die Vergangenheit zurückreichen muss, gibt (auch) die DSGVO keine konkreten Vorgaben.265 In der datenschutzrechtlichen Literatur wird zumindest teilweise aus Art. 15 Abs. 1 lit. c DSGVO die Pflicht abgeleitet, Informationen über die Empfänger und die ihnen offengelegten Daten zu speichern, um der Auskunftspflicht nach Art. 15 Abs. 1 lit. c DSGVO (später) nachkommen zu können.266 Davon unabhängig muss der Verantwortliche nach Art. 19 DSGVO aber wohl ohnehin alle relevanten Empfänger so lange gespeichert halten, wie er damit rechnen muss, dass die betroffene Person ihre Rechte nach Art. 16, 17 Abs. 1 oder 18 DSGVO geltend macht und die Empfänger diese Daten noch verarbeiten.267 Teilweise wird eine Pflicht zur Dokumentation der Empfänger und der ihnen offengelegten Daten auch aus Art. 24 Abs. 1 und Art. 32 DSGVO abgeleitet.268
dd) Herkunft der Daten (Art. 15 Abs. 1 lit. g DSGVO)
199
Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, muss der Verantwortliche gem. Art. 15 Abs. 1 lit. g DSGVO auch Auskunft über alle verfügbaren Informationen über die Herkunft der Daten geben.
200
Voraussetzung für die Auskunft zu diesem Punkt ist, dass der Verantwortliche die Daten aus einer anderen Quelle als von der betroffenen Person selbst erhoben hat.269 Er muss der betroffenen Person sämtliche verfügbaren Informationen zur Herkunft der Daten zur Verfügung stellen. Nach Ansicht des AG Wertheim folgt hieraus, dass der Verantwortliche nicht nur verpflichtet sei mitzuteilen, von wem die Daten übermittelt wurden, sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden.270 Dies ist nach hier vertretener Ansicht jedoch zu weitgehend und findet im Wortlaut von Art. 15 Abs. 1 lit. g DSGVO keine Grundlage. Vielmehr gelten zu den inhaltlichen Anforderungen der Auskunft die Ausführungen zu Art. 14 Abs. 2 lit. f DSGVO entsprechend.271
201
Nach hier vertretener Ansicht muss der Verantwortliche die Quellen der von ihm nicht direkt bei der betroffenen Person erhobenen Daten zudem nur dann speichern und vorhalten, wenn er aufgrund anderer Vorschriften (der DSGVO) hierzu verpflichtet ist – aus Art. 15 Abs. 1 lit. g DSGVO selbst folgt eine solche Verpflichtung nach hier vertretener Ansicht nicht, da der Wortlaut von Art. 15 Abs. 1 lit. g DSGVO den Umfang des Auskunftsanspruchs auf „alle verfügbaren Informationen“ begrenzt.272
ee) Übermittlungen in ein Drittland (Art. 15 Abs. 2 DSGVO)
202
Übermittelt der Verantwortliche personenbezogene Daten der betroffenen Person in ein Drittland i.S.d. Art. 44 DSGVO, also ein Land außerhalb des EWR,273 oder an eine internationale Organisation und herrscht dort kein angemessenes, von der Kommission festgestelltes Datenschutzniveau, hat die betroffene Person nach Art. 15 Abs. 2 DSGVO zudem das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien, wie z.B. den von der Kommission genehmigten Standardvertragsklauseln oder Binding Corporate Rules) im Zusammenhang mit der Übermittlung unterrichtet zu werden.
203
Dieser Auskunftsanspruch setzt mithin voraus, dass der Verantwortliche die Übermittlung der Daten in ein solches Land bzw. an eine solche Organisation auf der sog. zweiten Stufe auf Art. 46 DSGVO stützt, z.B. auf die EU-Standardvertragsklauseln oder Binding Corporate Rules. Der Verantwortliche muss der betroffenen Person hier aber – im Gegensatz zu Art. 13 Abs. 1 lit. f DSGVO bzw. Art. 14 Abs. 1 lit. f DSGVO – nach hier vertretener Ansicht, dem Wortlaut der Norm folgend, nur mitteilen, auf welches der in Art. 46 DSGVO genannten Instrumente er die Übermittlung stützt, das er konkret bezeichnen sollte (z.B. „Übermittlung auf Grundlage der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010“).274 Über die (weiteren) vertraglichen Inhalte mit dem Empfänger der Daten muss er nach hier vertretener Auffassung auf Basis von Art. 15 Abs. 2 DSGVO keine Auskunft geben. Ebenso wenig muss er nach hier vertretener Meinung auf Grundlage dieser Norm eine Kopie der Vereinbarung zur Verfügung stellen.275 Mithin besteht in der Folge nach hier vertretener Ansicht auch keine Pflicht des Verantwortlichen (wie nach Art. 13 Abs. lit. f DSGVO bzw. Art. 14 Abs. 1 lit. f DSGVO), die betroffene Person darüber zu informieren, dass sie eine solche Kopie erhalten kann bzw. wo sie verfügbar ist. Ggf. kann es aber – insbesondere vor dem Hintergrund der abweichenden Ansichten – dennoch sinnvoll sein, eine entsprechende Information zu erteilen bzw. auf Verlangen eine Kopie der Vereinbarung zur Verfügung zu stellen – zumindest soweit der oben unter Rn. 44ff. dargestellten Ansicht gefolgt wird und sich entsprechende Rechte bzw. Pflichten ohnehin aus Art. 13 Abs. 1 lit. f DSGVO bzw. Art. 14 Abs. 1 lit. f DSGVO ergeben würden.