Das datenschutzrechtliche Recht auf Auskunft aus Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte der Datenschutzgrundverordnung (DSGVO). Nur wer weiß, welche personenbezogenen Daten über ihn auf welcher Grundlage verarbeitet werden, kann die Rechtmäßigkeit der Verarbeitung sowie die Richtigkeit der verarbeiteten Daten überprüfen. Daher kommt dem Auskunftsrecht aus Sicht der Betroffenen eine große Bedeutung zu.
Für Unternehmen ist das Auskunftsrecht hingegen teilweise mit großen Schwierigkeiten verbunden. Auch wenn der EuGH durch erste Entscheidungen dem Anspruch aus Art. 15 DSGVO notwendige Konturen gegeben hat, so sind weiterhin noch wesentliche Fragen zum Umfang des Auskunftsrechts unbeantwortet. Das erhöht das Risiko, bei der Beantwortung eines Auskunftsersuchens Fehler zu machen, die wiederum zu Schadenersatzansprüchen nach Art. 82 DSGVO führen können.
Das Auskunftsrecht in der Praxis
In der Praxis lässt sich beobachten, dass diese Unwägbarkeiten bei der Auskunftserteilung genutzt werden, um Druck auf Unternehmen auszuüben. Dabei lassen sich drei besondere Konstellationen feststellen:
In der ersten Konstellation wird das Auskunftsersuchen im Anschluss eines öffentlich bekannt gewordenen Datenschutzvorfall (zum Beispiel der Facebook-Scraping Fall) begleitend zu einem Schadenersatz aus Art. 82 DSGVO geltend gemacht.
In der zweiten Konstellation werden fast schon standardmäßig Auskunftsersuchen im Rahmen von Kündigungsprozessen gegenüber dem alten Arbeitgeber geltend gemacht. Ziel ist es dann, zum einen wertvolle Informationen zu erhalten, die einer Kündigung entgegenstanden aber zum anderen auch, die Vergleichsbereitschaft dadurch zu erhöhen, dass der Aufwand für die Auskunftserteilung hochgehalten wird.
In der dritten Konstellation wird das datenschutzrechtliche Auskunftsersuchen eingesetzt, um hierüber Informationen zu erlangen, die zur Durchsetzung datenschutzfremder Ansprüche hilfreich sein können.
Neben diesen drei besonderen Konstellationen wird das datenschutzrechtliche Auskunftsrecht freilich auch und vor allem zur Überprüfung der Verarbeitungsvorgänge genutzt.
Inhalt des Rechts auf Auskunft
Das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO ist zweistufig aufgebaut. Auf der ersten Stufe hat die betroffene Person das Recht zu erfahren, ob überhaupt personenbezogene Daten über diese verarbeitet werden. Ist das ausnahmsweise nicht der Fall, muss das Unternehmen gleichwohl auf das Auskunftsverlangen mit einer sog. Negativauskunft antworten und mitteilen, dass über die betroffene Person keine personenbezogenen Daten gespeichert sind. Ist die Auskunft auf der ersten Stufe allerdings positiv, kann die betroffene Person auf der zweiten Stufe in Erfahrung bringen, auf welche Art und in welchem Umfang personenbezogene Daten über sie gespeichert und verarbeitet werden. Zunächst hat das Unternehmen Auskunft über die konkret verarbeiteten Daten zu erteilen. Das betrifft sämtliche Daten über die betroffene Person, die im Zeitpunkt des Auskunftsverlangen bei dem Unternehmen verarbeitet werden. Über vergangene Daten, die mittlerweile gelöscht wurden, ist somit keine Auskunft zu erteilen. Sodann hat das Unternehmen Auskunft über nachfolgende Metainformationen zu erteilen:
- Verarbeitungszwecke;
- Kategorien personenbezogener Daten, die verarbeitet werden;
- Empfänger bzw. Kategorien von Empfängern der Daten;
- Speicherdauer bzw. Kriterien für die Festlegung der Speicherdauer;
- Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung;
- Widerspruchsrecht;
- Beschwerderechte;
- Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung;
- ggf. Informationen bei einem geplanten Drittlandstransfer.
Was bedeutet Recht auf Kopie?
Art. 15 Abs. 3 DSGVO gewährt der betroffenen Person ein Recht auf Erhalt einer Kopie der gespeicherten Daten. Inhalt und Umfang dieses Rechts auf Kopie sind derzeit höchst umstritten. Unternehmen, die sich einer solchen Anfrage ausgesetzt sehen, ist derzeit zu empfehlen, der insoweit strengsten Auffassung zu folgen, und eine Kopie sämtlicher Daten an die betroffene Person herauszugeben, auch wenn dies mit einem erheblichen Mehraufwand verbunden sein sollte. Das folgt einer einfachen Risikobewertung:
- erteilt man eine Auskunft, die inhaltlich mehr enthält, als gesetzlich vorgesehen, führt dies nicht zu einer Benachteiligung der betroffenen Person;
- erteilt man hingegen eine Auskunft, die inhaltlich hinter den gesetzlichen Pflichten zurückbleibt, gilt die Auskunft als nicht ordnungsgemäß erteilt und die betroffene Person kann
- hieraus nicht nur einen Schadensersatz nach Art. 82 DSGVO fordern, sie kann diesen Vorgang auch der zuständigen Aufsichtsbehörde melden, die dann ein empfindliches Bußgeld verhängen kann.
Die Erteilung der Auskunft
Eine bestimmte Form ist für die Auskunftserteilung nicht vorgesehen. Vielmehr gibt die betroffene Person die Form vor. Entweder dadurch, dass die Auskunft spiegelbildlich der gleichen Form entspricht, wie dem Auskunftsersuchen oder weil die betroffene Person eine bestimmte Form wünscht.
Erfolgt die Auskunft per E-Mail, sollte darauf geachtet werden, dass dabei der Schutz der personenbezogenen Daten gewährleistet ist. So sollte die Auskunft nur per verschlüsseltem Anhang erteilt werden, wobei der Code in einer separaten Nachricht übermittelt werden sollte.
Im Übrigen ist die Auskunft in einer
- transparenten,
- verständlichen,
- und leicht zugänglichen
Form zu erteilen. Der betroffenen Person dürfen also keine sprachlichen oder sonstigen Barrieren aufgestellt werden, um an ihre Auskunft zu gelangen.
Darüber hinaus sollten diese Fehler bei einem Auskunftsverlangen unter anderem vermieden werden:
- die Erteilung der Auskunft wird von der Angabe von Gründen abhängig gemacht;
- es werden Gebühren für die (erste) Auskunftserteilung erhoben;
- Erteilung einer Auskunft an eine nicht zweifelsfrei identifizierte Person;
- bewusstes Zurückhalten von Informationen, die der Auskunftspflicht unterliegen;
- Löschen sämtlicher Daten zum Zweck, eine Negativauskunft erteilen zu können;
In welcher Frist muss die Auskunft nach Art. 15 DSGVO erteilt werden?
Die Frist zur Beantwortung eines Auskunftsbegehrens ergibt sich aus Art. 12 Abs. 3 DSGVO. Danach ist die Auskunft unverzüglich, spätestens jedoch ein Monat nach dem Auskunftsersuchen zu erteilen. Wie diese Frist auszulegen ist, darüber herrscht allerdings – wie so oft – Streit. So wurde bis zuletzt vor allem in der Literatur die Ansicht vertreten, für die Beantwortung eines Auskunftsbegehrens habe man mindestens einen Monat Zeit. Das ergebe sich letztlich aus Art. 12 Abs. 3 DSGVO. Begründet wird das oftmals nicht. Insbesondere wird damit nicht das Verhältnis zwischen der Anforderung „unverzüglich“ und „spätestens innerhalb eines Monats“ erklärt. Die Anforderung „unverzüglich“ liefe aber im Ergebnis leer, wenn man letztlich auch nur innerhalb eines Monats auf ein Auskunftsersuchen antworten muss.
Entscheidung des Arbeitsgerichts Duisburg (5 Ca 877/23) zur Auskunftsfrist
Das Arbeitsgericht Duisburg hat in einer Entscheidung vom 3.11.2023 (5 Ca 877/23) klargestellt, dass die in Art. 12 Abs. 3 S. 1 DSGVO benannte Monatsfrist gerade nicht die Regel sein soll, sondern als Ausnahme zu verstehen ist. Anderenfalls hätte die Anforderung "unverzüglich" keinen eigenen Anwendungsbereich. Dies hatte das Arbeitsgericht Duisburg bereits zu Beginn des Jahres 2023 in einem anderen Verfahren so entschieden (ArbG Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23).
Das Arbeitsgericht Duisburg (5 Ca 877/23) führt in seiner Entscheidung zu den Anforderungen aus Art. 12 Abs. 3 S. 1 DSGVO wörtlich wie folgt aus:
„Die Vorgabe in Art 12 III DSGVO bedeutet, dass der Verantwortliche alle Anträge der betroffenen Person, mit denen diese ein Betroffenenrecht geltend macht, beschleunigt behandeln muss. Art. 12 III errichtet für die Positivantwort und die Negativantwort gleichermaßen eine Pflicht zur unverzüglichen Unterrichtung. Die Pflicht zur unverzüglichen Positivantwort impliziert, dass der Verantwortliche das Betroffenenrecht selbst gleichfalls unverzüglich zu erfüllen hat. Als Höchstfrist legen beide Normen einen Monat ab Antragseingang fest. Diese Höchstfrist darf nicht routinemäßig, sondern nur in schwierigeren Fällen ausgeschöpft werden (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 12 Rn. 33). Dabei ist unter unverzüglich, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern" zu verstehen (Franck in Gola/Heckmann. DS-GVO 3. Aufl, Art. 12 Rn. 25). Da „unverzüglich" weder „sofort" bedeutet noch damit eine starre Zeitvorgabe verbunden ist, kommt es auf eine verständige Abwägung der beiderseitigen Interessen an. Nach einer Zeitspanne von mehr als einer Woche ist aber ohne das Vorliegen besonderer Umstände grundsätzlich keine Unverzüglichkeit mehr gegeben (BAG, Urteil v. 27.2.2020 — 2 AZR 390/19, beck- online).“
Damit stellt das Arbeitsgericht Duisburg noch einmal klar, wie die Frist zur Beantwortung von Auskunftsbegehren zu berechnen ist. Eine standardmäßige Beantwortung nur innerhalb der Monatsfrist wird der Anforderung an eine unverzügliche Reaktion danach nicht gerecht. Vielmehr muss ein Unternehmen in jedem Einzelfall prüfen, ob es in der Lage ist, dem Auskunftsersuchen unverzüglich nachzukommen. Ist es das nicht, muss es sich - so die Schlussfolgerung aus der Entscheidung - gleichwohl unverzüglich melden und darauf hinweisen, dass es für die Beantwortung mehr Zeit benötigt.
Jetzt ist die Entscheidung des ArbG Duisburg bislang nicht durch weitere Entscheidungen bestätigt worden und stellt damit erstmal nur eine Einzelfallentscheidung dar. Die Begründung des Gerichts zum Verhältnis zwischen „unverzüglich“ und „spätestens innerhalb eines Monats“ ist allerdings nachvollziehbar, wenn nicht sogar nach dem Wortlaut zwingend.
Unternehmen sollten ihre internen Auskunftsprozesse zur Risikominimierung daher besser an der strengst möglichen Auslegung orientieren und diese wird derzeit vom Arbeitsgericht Duisburg vorgegeben. Erst wenn der BGH bzw. der EuGH zu einer weniger strengen Auslegung gelangen sollte – wofür angesichts des Wortlautes wenig spricht – kann man sich bedenkenlos auf eine weniger strenge Auslegung zurückziehen.
Folgen bei fehlerhafter oder nicht erfolgter Auskunftserteilung
Wird die Auskunft nicht oder nicht richtig erteilt, kann dies eine Verletzung von Rechten aus der DSGVO bedeuten. Ein solcher Verstoß kann auch bereits darin liegen, dass die Auskunft nicht rechtzeitig erfolgt ist. Das wiederum kann zu weiteren negativen Folgen für das Unternehmen führen. Zunächst kann dieser Verstoß gegen die DSGVO der zuständigen Datenschutzaufsichtsbehörde angezeigt werden. Diese kann dann ein Beanstandungsverfahren einleiten. Im Rahmen dieses Verfahrens und je nach Schwere und Nachhaltigkeit des Verstoßes steht es im Ermessen der Datenschutzaufsichtsbehörde wegen der fehlerhaften oder nicht erteilten Auskunft ein empfindliches Bußgeld zu verhängen.
Daneben kann die betroffene Person auch eigene Ansprüche wegen der nicht oder nicht richtig erteilten Auskunft gegen das Unternehmen geltend machen. Dabei verfolgt die betroffene Person grundsätzlich zwei Ziele (nebeneinander):
- Die endgültige Verurteilung zur Erteilung der Auskunft;
- Die Verurteilung zur Zahlung eines Schadensersatzes.
Gerade die Verurteilung zur Zahlung eines Schadensersatzes nach Art. 82 DSGVO kann für das Unternehmen sehr empfindlich sein. So hatte das Arbeitsgericht Düsseldorf als eines der ersten Gerichte (v. 5.3.2020 – 9 Ca 6557/18) der betroffenen Person einen Schadensersatz in Höhe von 5.000,00 EUR (als Schmerzensgeld) zugesprochen, weil das verklagte Unternehmen zwei wesentliche Informationen im Rahmen der Auskunftserteilung nicht offenbart hatte. Bei der Bemessung des Schadensersatzes sind Art, Umfang und Dauer des Verstoßes zu berücksichtigen. Je schwerwiegender der Verstoß also ist, umso höher kann im Einzelfall der Schadensersatz ausfallen.
Tipps für die Praxis
Aufgrund der überragenden Bedeutung des Auskunftsrechts für die betroffenen Personen und den erheblichen Haftungsrisiken für die Unternehmen, sollten Unternehmen bereits im Vorfeld einen Prozess implementieren, der das gesamten Verfahren von dem Auskunftsersuchen bis hin zur finalen Auskunftserteilung abbildet. Hierdurch kann gewährleistet werden, dass auch bei zahlreichen zeitgleich eingehender Auskunftsersuchen, alle innerhalb der gesetzlich vorgesehenen Fristen ordnungsgemäß beantwortet werden können. Auch kann so sichergestellt werden, dass bei der Auskunftserteilung nichts Wesentliches vergessen wird.