Das Auskunftsrecht aus Art. 15 EU-Datenschutz-Grundverordnung (DSGVO) ist das zentrale und bedeutendste Recht einer jeden von einer Datenverarbeitung betroffenen Person. Erst dieses gibt der betroffenen Person die erforderliche Informationsbasis an die Hand, um kontrollieren zu können, ob die Daten zur eigenen Person durch einen Verantwortlichen datenschutzkonform verarbeitet werden. Sollte dies nicht der Fall sein, kann die betroffene Person ihre weiteren Rechte auf Löschung, Berichtigung und Einschränkung der Bearbeitung und Datenübertragbarkeit gem. Art. 16 ff. DSGVO sowie Schadensersatzansprüche gem. Art. 82 DSGVO geltend machen.
Mit Blick auf diese besonders große Bedeutung des Auskunftsrechts in der Praxis ist es daher nicht verwunderlich, dass das Auskunftsrecht aus Art. 15 DSGVO regelmäßig Gegenstand gerichtlicher Auseinandersetzungen ist. Auch rund fünf Jahre nach Inkrafttreten der EU-Datenschutz-Grundverordnung haben verantwortliche Unternehmen teils erhebliche Probleme bei der Beantwortung von Auskunftsersuchen betroffener Personen.
Im Folgenden wird aufgezeigt, welche Voraussetzungen an den Antrag auf Auskunft zu stellen sind (1.), welche Frist bei der Erfüllung des Auskunftsanspruchs einzuhalten ist (2.), welche Auskunftsinhalte der Anspruch aus Art. 15 DSGVO enthält (3.). und was ein Verstoß gegen das Auskunftsrecht zur Folge hat (4.).
In der täglichen Praxis kommt es nicht selten vor, dass das mit einem Auskunftsersuchen konfrontierte Unternehmen sich mit Erstaunen die Frage stellt, aus welchem Grund die ersuchende Person eine solche Anfrage stellt.
Auf den ersten Blick ist die Verwunderung nachvollziehbar, sind doch Auskunftsansprüche eher sachanlassbezogen, wofür es grundsätzlich eines rechtlichen oder berechtigten Interesses bedarf. Der Auskunftsanspruch der DSGVO hingegen ist eher personenbezogen.
Es stellt sich somit zunächst die Frage, ob die Ausübung des Auskunftsrechts an Voraussetzungen bzw. Formalien gebunden ist oder ob es formlos und aus Neugier geltend gemacht werden kann.
Art. 15 DSGVO spricht allein vom „Recht“ auf Auskunft. Damit unterscheidet er sich von den alten Fassungen der §§ 19, 34 BDSG (Bundesdatenschutzgesetz), die expressis verbis ein Auskunftsverlangen forderten. Ein Auskunftsersuchen nach Art. 15 DSGVO kann daher jedermann für die ihn betreffenden personenbezogenen Daten stellen. Weder Art. 15, Art. 12 DSGVO noch Erwägungsgrund (ErwGr) 63 oder ErwGr 59 normieren ein Formerfordernis für den Antrag auf Auskunft, so dass dieser grundsätzlich auch formfrei von der betroffenen Person gestellt werden kann. Dies wird auch durch Art. 15 Abs. 3 S. 3 DSGVO deutlich. Art. 15 Abs. 1 S. 1 1. Hs. DSGVO statuiert ein Auskunftsverlangen ins Blaue hinein, also ein Recht auf Auskunft, ob überhaupt personenbezogene Daten des Antragstellers verarbeitet werden, ohne, dass eine irgendwie geartete Begründung grundsätzlich notwendig ist bzw. ohne, dass dieser darlegen muss, warum er annimmt, dass der Verantwortliche personenbezogene Daten von ihm verarbeiten könnte. Anträge können auch automatisiert über Online-Dienstleister gestellt werden.
Der Europäische Datenschutzausschuss (EDPB) hat in seinen Guidelines 01/2022 on data subject rights – Right of access vom 18.01.2022 so auch ausgeführt, dass der Verantwortliche eine Analyse der Gründe, die hinter einem Auskunftsersuchen stehen, zu unterlassen hat. Der Verantwortliche solle insbesondere nicht prüfen, warum die anfragende Person eine Auskunft wünscht, sondern nur, was die anfragende Person wünscht.
Auch die Systematik unterstreicht, dass der europäische Normgeber das Auskunftsrecht nicht von bestimmten Voraussetzungen abhängig machen wollte. So enthalten beispielsweise Art. 13 und 14 DSGVO die Möglichkeit des Verantwortlichen, Informationspflichten bei Erhebung von personenbezogenen Daten nicht erfüllen zu müssen, wenn die betroffene Person bereits über die zu erteilenden Informationen verfügt (Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. a DSGVO). Ebenso hat der europäische Normgeber das Recht auf Löschung (Art. 17 Abs. 1 DSGVO) und das Recht auf Einschränkung (Art. 18 Abs. 1 DSGVO) an Voraussetzungen geknüpft. Bei Art. 15 DSGVO finden sich keine vergleichbaren Anforderungen, die an ein Auskunftsersuchen zu stellen sind. Dies steht auch in Einklang mit ErwGr 63 S. 1, der ausdrücklich klarstellt, dass die betroffene Person das Auskunftsrecht „problemlos und in angemessenen Abständen“ ausüben können soll.
Fazit: Das Auskunftsrecht ist demnach also an keinerlei Formalien oder Voraussetzungen gebunden.
Es kann von der betroffenen Person formlos, also insbesondere auch mittels einfacher E-Mail, per Brief oder sogar mündlich ausgeübt werden. Es ist auch nicht erforderlich, dass die betroffene Person ihre Anfrage inhaltlich begründet oder die Hintergründe benennt. Eine Anfrage aus reiner Neugier und sogar ins Blaue hinein ist nicht zu beanstanden.
Vor diesem Hintergrund tritt die Auskunftspflicht des Verantwortlichen immer dann in Kraft, wenn er eine Auskunftsanfrage erhält, die als solche zu verstehen ist. Es kommt insbesondere nicht darauf an, auf welchem Kommunikationskanal und in welcher Form die Anfrage ihn erreicht oder ob die anfragende betroffene Person ihre Anfrage begründet.
Oftmals stellt sich in der täglichen Praxis heraus, dass Unternehmen sich länger Zeit mit der Auskunftserteilung lassen, als das Gesetz ihnen gewährt. Fraglich ist also, innerhalb welcher Frist der Verantwortliche ein eingehendes Auskunftsersuchen zu beantworten hat.
Hierzu enthält Art. 12 Abs. 3 DSGVO für sämtliche Betroffenenrechte eine Fristenregelung. Nach dieser ist der Verantwortliche verpflichtet, der betroffenen Person die angefragten Informationen „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung“ zu stellen (Art. 12 Abs. 3 Satz 1 DSGVO). In Ausnahmefällen, „wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist“, kann der Verantwortliche zudem um eine Fristverlängerung um weitere zwei Monate ansuchen, worüber der Verantwortliche die anfragende betroffene Person aber mit Begründung zu unterrichten hat (Art. 12 Abs. 3 S. 2 und 3 DSGVO).
Der Verantwortliche muss danach unverzüglich Auskunft erteilen und ggf. angemessen darlegen, aus welchen Gründen der Antrag ablehnt werden soll (ErwGr 59 S. 3).
Es ergibt sich also grundsätzlich ein Gebot der Unverzüglichkeit. Der Verantwortliche muss Betroffenenrechte wie das Auskunftsrecht grundsätzlich unverzüglich erfüllen und hat für komplexe oder komplizierte Anfragen eine gesetzliche Maximalfrist von einem Monat. Aus dem eindeutigen Wortlaut folgt zudem, dass eine Fristverlängerung auf insgesamt drei Monate nur ausnahmsweise dann zulässig ist, wenn der Verantwortliche – kumulativ vorliegend – eine besonders große Anzahl an Anfragen erhält und die Komplexität dieser Anfragen ebenfalls hoch ist. Dies darf insbesondere nicht routinemäßig erfolgen, weil der Verantwortliche für die Erfüllung von Betroffenenrechten zu wenig Ressourcen aufwendet.
Vor diesem Hintergrund findet die vertretene Ansicht, der Verantwortliche habe per se eine Monatsfrist zur Bearbeitung von Auskunftsanfragen, keine gesetzliche Stütze. Würde man dieser Ansicht folgen, wäre das gesetzlich formulierte Gebot der Unverzüglichkeit überflüssig und würde ins Leere laufen.
Fraglich ist, was unter „unverzüglich“ zu verstehen und wie die Frist zu berechnen ist.
Maßgeblich für die Fristberechnung ist nicht das nationale Recht (§§ 186 ff. BGB), sondern aufgrund des unionsrechtlichen Anwendungsvorrangs die Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3.6.1971 zur Festlegung der Regeln für die Fristen, Daten und Termine als einschlägige unionsrechtliche Regelung. Hiernach ist gemäß Art. 3 Abs. 1 VO für den Fristbeginn auf das fristauslösende Ereignis abzustellen. Eine Monatsfrist würde nach Art. 3 Abs. 1 lit. c VO (EWG, Euratom) mit Ablauf der letzten Stunde des letzten Monats enden, der dieselbe Zahl wie der Tag des Fristbeginns trägt.
Die Frage der Unverzüglichkeit ist in der DSGVO nicht legaldefiniert. Auch der Europäische Gerichtshof hat hierzu keine Definition festgeschrieben. Einigkeit besteht jedenfalls insoweit, dass „unverzüglich“ nicht ein sofortiges Handeln erfordert. Orientieren kann man sich unter Beachtung des o.g. Anwendungsvorrangs des Unionsrechts am deutschen Recht. Dort bedeutet ein unverzügliches Handeln ein Handeln ohne schuldhaftes Zögern (i.S.d. § 121 Abs. 1 Satz 1 BGB). Dem unverzüglichen Handelnden wird also zwar eine gewissen Überlegungsfrist zugebilligt. Ein Zeitraum von zwei Wochen wird aber in aller Regel als Maximalfrist für ein noch unverzügliches Handeln anzusehen sein. Jedenfalls ist eine schleunige Bearbeitung geboten (vgl. auch § 271 Abs. 1 BGB).
Es wird dem Normzweck wohl am nächsten kommen, das Ausreizen der Monatsfrist des Art. 12 Abs. 3 DSGVO einer Einzelfallprüfung zu unterziehen. Dabei muss berücksichtigt werden, dass die gesetzliche Fristenregelung für sämtliche Betroffenenrechte einheitlich gilt. Während beispielsweise die Rechte auf Löschung oder auf Einschränkung der Verarbeitung Begründungserfordernisse und damit eine Abwägung der wechselseitigen Interessen erfordern, sieht das Auskunftsrecht wie eingangs bereits ausgeführt keinerlei Voraussetzungen vor. Der Verantwortliche hat also keinen Prüfungs- oder Abwägungsaufwand; er muss einfach nur seinen Datenbestand sichten, die Daten der anfragenden betroffenen Person lokalisieren und dann Auskunft erteilen, sodass ein Auskunftsersuchen in aller Regel qualitativ kein Ausreizen der gesetzlichen Monatsfrist rechtfertigen wird.
Dies wird durch die Pflicht des Verantwortlichen zur Führung eines Verzeichnisses über seine Verarbeitungstätigkeiten (Art. 30 DSGVO) und seine Informationspflichten im Zuge der Datenerhebung (Art. 13 und 14 DSGVO) bestätigt. Wenn der Verantwortliche diese Formalien ordnungsgemäß erfüllt hat, dann wird die Erfüllung eines Auskunftsersuchens auf Grundlage von Art. 15 DSGVO für ihn keinerlei Problem darstellen und in der Regel binnen weniger Tage zu beantworten sein. Für Unternehmen gilt also, hier vorzusorgen und präventiv das Verzeichnis fortlaufend lückenlos zu führen.
Demnach sollte der Verantwortliche sicherstellen, Auskunftsersuchen schnellstmöglich einer Bearbeitung zuzuführen und jedenfalls innerhalb von zwei Wochen erfüllen zu können. Keinesfalls darf der Verantwortliche solche Anfragen mit Blick auf die Maximalfrist von nur einem Monat „liegen lassen“ und die gesetzliche Monatsfrist routinemäßig ausreizen.
Demgegenüber wird sich ein Ausreizen der gesetzlichen Monatsfrist durchaus quantitativ nachvollziehbar begründen lassen, wenn ein Verantwortlicher eine erhebliche Anzahl an personenbezogenen Daten über eine betroffene Person verarbeitet, was insbesondere bei langjährigen Arbeitsverhältnissen der Fall sein dürfte. In solchen Fällen darf der Verantwortliche zudem darum bitten, dass die anfragende betroffene Person präzisiert, welche Daten die betroffene Person interessieren (ErwGr 63 S. 7).
Der Verantwortliche hat aber keinen Rechtsanspruch auf eine solche Präzisierung einer Auskunftsanfrage („soll“). Antwortet die betroffene Person auf solch eine Präzisierungsbitte des Verantwortlichen nicht, wird dieser eine vollumfassende Auskunft über sämtliche Daten zu erteilen haben, wobei man in solchen Fällen dann ein Ausreizen der gesetzlichen Monatsfrist auf den quantitativen Aufwand bei der Bearbeitung der Anfrage wird stützen können.
Fazit: Zusammenfassend ist festzuhalten, dass ein Auskunftsersuchen auf Grundlage von Art. 15 DSGVO grundsätzlich „unverzüglich“ zu erfüllen ist, wobei eine Frist von maximal zwei Wochen als (noch) unverzüglich anzusehen sein wird. Verarbeitet der Verantwortliche eine besonders große Zahl von Daten, wird der Verantwortliche demgegenüber die gesetzliche Maximalfrist von einem Monat ausreizen dürfen, wohingegen ein Ausreizen dieser Maximalfrist – vor allem routinemäßig – bei einfachen Auskunftsersuchen in aller Regel nicht zulässig sein wird.
Auch der Inhalt des Auskunftsanspruchs bereitet vielen Verantwortlichen erhebliche Schwierigkeiten.
Art. 12 Abs. 1 S. 1 DSGVO normiert, dass der Verantwortliche sämtliche Betroffenenrechte „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfüllen hat. Hieraus ergeben sich die Gebote der Präzision und Transparenz für den Verantwortlichen, die dieser bei der Bearbeitung von Betroffenenanfragen stets zu berücksichtigen hat. Art. 5 Abs. 1 lit. a DSGVO verankert zudem ausdrücklich den grundrechtlich determinierten Transparenzgrundsatz als eines der zentralen Prinzipien der Verarbeitung personenbezogener Daten. Der Transparenzgrundsatz hat auch in weiteren Regelungen (vgl. Art. 7 Abs. 2, 13 – 15, 18 Abs. 3, 19, 21 Abs. 4, 34) der DSGVO seinen Niederschlag gefunden.
Inhaltlich hat der Verantwortliche der betroffenen Person zunächst mitzuteilen, ob er überhaupt Daten über die anfragende Person verarbeitet. Verarbeitet der Verantwortliche über die betroffene Person keinerlei Daten, ist er zudem verpflichtet, eine sogenannte Negativauskunft zu erteilen (Art. 15 Abs. 1 S. 1 Hs. 1 DSGVO).
Verarbeitet der Verantwortliche demgegenüber Daten über die betroffene Person, muss er ihr nicht nur Auskunft über diese personenbezogenen Daten erteilen, sondern zudem auch die ergänzenden Metainformationen über das sprichwörtliche „Wie“ der Datenverarbeitung erteilen (Art. 15 Abs. 1 lit. a) bis lit. h) und Abs. 2 DSGVO). Dies umfasst insbesondere den Zweck der Datenverarbeitung, die Kategorien von Daten, die er über die betroffene Person verarbeitet, die Empfänger oder die Kategorien von Empfängern, an die er Daten der betroffenen Person übermittelt hat und Informationen über geeignete Garantien, sofern eine Datenübermittlung in ein unsicheres Drittland erfolgt ist, die Dauer oder die Kriterien für die Festlegung dieser Dauer, für die er die Daten verarbeitet, die Herkunft der Daten, sofern er diese nicht bei der betroffenen Person selbst erhoben hat sowie Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.
Zudem muss der Verantwortliche die anfragende betroffene Person proaktiv über seine weiteren Betroffenenrechte und sein Beschwerderecht bei der Aufsichtsbehörde aufklären. Der Verantwortliche muss der betroffenen Person also eine dem öffentlichen Recht vergleichbare Rechtsmittelbelehrung erteilen und die Informationen an die Hand geben, die die betroffene Person benötigt, um den Verantwortlichen zivilrechtlich in Anspruch zu nehmen oder aufsichtsbehördlich anzuzeigen. Dies ist von dem europäischen Normgeber zum Zwecke der Stärkung der Betroffenenrechte ausdrücklich so gewollt.
In der Praxis ist es nicht selten, dass der Verantwortliche mit Blick auf den Wortlaut des Art. 15 Abs. 1 lit. c) DSGVO meint, er könne wählen, ob er der anfragenden betroffenen Person die konkreten Empfänger oder nur die allgemeinen Kategorien von Empfängern beauskunftet. Diese Ansicht findet schon mit Blick auf die oben genannten Gebote der Präzision und Transparenz aus Art. 12 Abs. 1 S. 1 DSGVO keine rechtliche Stütze. Wenn einem Verantwortlichen bekannt ist, an welche Unternehmen er die Daten historisch übermittelt hat, dann wäre es gerade nicht präzise und transparent, lediglich die allgemeinen Empfängerkategorien zu beauskunften. Der Europäische Gerichtshof diesem vermeintlich gegebenen Wahlrecht im Januar 2023 eine klare Absage erteilt. Ist es dem Verantwortlichen möglich, die konkreten Empfänger anzugeben, so hat er diese grundsätzlich auch namhaft zu machen.
Auch kann der Verantwortliche nicht mit Erfolg einwenden, dass durch eine solch umfassende Auskunft die internen Unternehmensabläufe und Dienstleister öffentlich würden. Das Recht auf Auskunft aus Art. 15 Abs. 1 und 2 DSGVO enthält keine Ausnahmeregelung, wonach die Rechte und Freiheiten Dritter nicht beeinträchtigt werden dürfen. Eine solche Regelung findet sich ausschließlich in Bezug auf das Recht auf Kopie aus Artikel 15 Absatz 3 Satz 1 DSGVO in Artikel 15 Absatz 4 DSGVO. Auch der Bundesgerichtshof hat bereits festgestellt, dass der Umstand, dass es sich bei Informationen um „interne Vorgänge“ handele, ohne Relevanz sei.
Vor diesem Hintergrund sollte der Verantwortliche bei der Beantwortung eines Auskunftsersuchens stets im Hinterkopf behalten, dass die Auskunft so präzise und transparent wie nur möglich zu halten ist.
Schließlich ist der Verantwortliche verpflichtet, der betroffenen Person eine Kopie der Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen (Art. 15 Abs. 3 DSGVO).
Der Begriff der „Kopie“ ist in der EU-Datenschutz-Grundverordnung nicht legaldefiniert. Auch der Europäischen Gerichtshof präzisiert den Begriff nicht näher. Dies ist auch nicht erforderlich. Eine Kopie bleibt eine Kopie und ist eine Reproduktion der personenbezogenen Daten, so wie sie dem Verantwortlichen vorliegen.
In Fällen, in denen ein Verantwortlicher Daten nur in einer Datenbank speichert, wird dieser der betroffenen Person also einen Auszug/Screenshot aus der Datenbank zu erteilen haben. Handelt es sich demgegenüber um eine umfassende Datenverarbeitung und wird beispielsweise umfangreiche Korrespondenz mit oder auch über die betroffene Person verarbeitet, umfasst der Anspruch auf eine Datenkopie grundsätzlich auch solche Korrespondenz.
Verantwortliche sind gut beraten, das Auskunftsrecht (wie alle Betroffenenrechte) sorgfältig und fehlerlos zu bearbeiten und zu erfüllen.
Jeder noch so kleine Fehler bei der Bearbeitung und Beauskunftung von Betroffenenanfragen unterfällt dem besonders empfindlich sanktionierten Qualifikationstatbestand des Art. 83 Abs. 5 DSGVO, der Geldbußen von bis zu zwanzig Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ausfällt, vorsieht.
Zudem sind Beschwerden bei der zuständigen Aufsichtsbehörde wegen Verstößen gegen die Betroffenenrechte oftmals der Stein des Anstoßes, der Aufsichtsbehörden zu eingehenden Prüfungen veranlasst und weitergehende datenschutzrechtliche Verstöße zu Tage bringt.
Schließlich haben betroffene Personen bei Verstößen gegen das Auskunftsrecht einen Anspruch auf Schadenersatz (Art. 82 Abs. 1 DSGVO). Dies umfasst einerseits materielle Schäden wie beispielsweise vorgerichtliche Rechtsanwaltskosten aber auch immaterielle Schäden wie einen erlittenen Kontrollverlust, eine Einschränkung in den Betroffenenrechten oder auch seelische und psychische Belastungen.
Der Effektivitätsgrundsatz impliziert die in Art. 82 Abs. 5 DSGVO niedergelegte Anforderung, wonach der Schadensersatz nicht nur wirksam, sondern auch „vollständig“ sein muss. Dies schließt die Berücksichtigung eines Mitverschuldens der betroffenen Person gemäß § 254 Abs. 1 BGB und eine darauf basierende Schadensquotelung aus.
Bei Verstößen gegen das Auskunftsrecht drohen also auf allen Ebenen empfindliche Sanktionen, die der Verantwortliche nur verhindern kann, wenn er datenschutzkonform agiert und die Betroffenenrechte ernst nimmt.