X
Digital
Allgemein Datenschutz

Umfang des Rechts auf Auskunft

Das Recht auf Auskunft nach Art 15 DSGVO ist nicht nur Selbstzweck, sondern oft Hebel für (weitere) datenschutzrechtliche Schritte Betroffener und somit von großer praktischer Relevanz. Nach wie vor bestehen jedoch Unklarheiten bei der korrekten Erteilung einer Auskunft, insbesondere in Zusammenhang mit deren Umfang.

[lindepaywall tokens=“dsaktuell-media“]

Das Auskunftsrecht nach Art 15 DSGVO

Kapitel III der DSGVO regelt die Rechte von betroffenen Personen. Neben den Rechten auf Berichtigung, Löschung, Einschränkung sowie auf Datenübertragbarkeit und Widerspruch ist dort auch das Auskunftsrecht normiert: Demnach hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, bejahendenfalls auf Auskunft über diese personenbezogenen Daten sowie auf Informationen über die Datenverarbeitung. Darüber hinaus hat die betroffene Person auch das Recht, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt zu bekommen.

Wie auch für die anderen Betroffenenrechte gilt gem Art 12 DSGVO, dass einer betroffenen Person Informationen über die ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen sind. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Auch für den Fall, dass der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig wird, hat er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats zu unterrichten.

Auskunft über die verarbeiteten personenbezogenen Daten

Sofern der Verantwortliche personenbezogene Daten der betroffenen Person verarbeitet, hat diese nach Art 15 Abs 1 DSGVO zunächst das Recht auf Auskunft „über“ diese personenbezogenen Daten. Dabei handelt es sich stets um die konkret verarbeiteten Daten (Haidinger in Knyrim, DatKomm, Art 15 DSGVO Rz 29 (Stand 1.10.2018, rdb.at)). Gem ErwG 63 DSGVO schließt dies in Bezug auf Patientenakten etwa Informationen wie Diagnosen, Untersuchungsergebnisse, Befunde und Angaben zu Behandlungen und Eingriffen ein.

Das Recht gem Art 15 Abs 1 DSGVO wird in der Literatur auch als Recht auf „Allgemeinauskunft“ bezeichnet, während das Recht auf Erhalt einer Kopie nach Art 15 Abs 3 DSGVO in einer „Detailauskunft“ bestehe (Zikesch/Sörup, Der Auskunftsanspruch nach Art. 15 DS-GVO, ZD 6/2019, 240). Ausgeschlossen wird die Beauskunftung von Daten, die in er Vergangenheit verarbeitet wurden, über die der Verantwortliche aber nicht mehr verfügt (Bäcker in Kühling/Buchner, DS-GVO², Art 15 Rz 8; Haidinger, DatKomm, Art 15 DSGVO Rz 27).

Informationen über die Datenverarbeitung

Nach Art 15 Abs 2 DSGVO muss der Verantwortliche im Fall eines berechtigten Antrags Auskunft über die folgenden Informationen erteilen:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 Abs 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die solcherart zu erteilenden Informationen sind im Wesentlichen schon auf Basis von Art 13 bzw 14 DSGVO im Rahmen der Datenerhebung zu erteilen, jedoch zum Zeitpunkt der Auskunftserteilung entsprechend zu aktualisieren und zu ergänzen (Bäcker, DS-GVO², Art 15 Rz 10f).

Zurverfügungstellung einer Kopie der personenbezogenen Daten

Art 15 Abs 3 DSGVO schließlich normiert, dass eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen ist. Nach einer Meinung in der Literatur handle es bei den Ansprüchen nach Art 15 Abs 1 und 3 DSGVO um einen einheitlichen Anspruch: Art 15 Abs 3 DSGVO sei demnach insoweit nur eine Konkretisierung des Rechts auf Auskunft über die persönlichen Daten (Zikesch/Sörup, Auskunftsanspruch, ZD 6/2019, 240; offenbar ähnlich: Paal in Paal/Pauly, Datenschutz-Grundverordnung, Art 15 Rz 33). Nach anderer Meinung ist das Recht auf Datenkopie nicht identisch mit der Auskunft über die verarbeiteten Daten (Bäcker, DS-GVO², Art 15 Rz 39) bzw steht selbständig neben dem Anspruch auf inhaltliche Auskunft über die verarbeiteten Daten (Haidinger, DatKomm, Art 15 DSGVO Rz 35).

Auch in Bezug auf den Umfang des Rechts auf Erhalt einer Kopie besteht keine einheitliche Sichtweise. Die DSGVO eröffnet (gleichsam nur in einem ErwG, hier ErwG 63) dem Verantwortlichen (nur, aber immerhin) die Möglichkeit, von der betroffenen Person eine Präzisierung verlangen zu können, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsbegehren bezieht, sofern der Verantwortliche eine große Menge von Informationen über die betroffene Person verarbeitet. Bäcker meint zum erforderlichen Umfang, dass die zur Verfügung zu stellende Datenkopie vollständig sein müsse (Bäcker, DS-GVO², Art 15 Rz 41), nach Haidinger seien mit Kopien der Daten etwa (auch) E-Mails, Datenbankauszüge, etc gemeint (Haidinger, DatKomm, Art 15 DSGVO Rz 35). Nach anderer Meinung sei der Wortlaut nicht zwingend dahin auszulegen, der Verantwortliche habe eine Kopie sämtlicher Einzeldaten zur Verfügung zu stellen, die sich in seinem System befinden, weshalb insoweit eine aggregierte Menge personenbezogener Daten, eine Art Liste über die persönlichen Stammdaten, reiche (Zikesch/Sörup, Auskunftsanspruch nach, ZD 6/2019, 241; im Ergebnis ähnlich Wytibul in Wytibul [Hrsg], EU-Datenschutz-Grundverordnung, 56). Nach einem (nach derzeitiger Information aktuell noch nicht rechtskräftigen) Bescheid der Datenschutzbehörde vom 21. Juni 2018 (DSB-D122.844/0006-DSB/2018, abrufbar auf der Website des Vereins NOYB) erfasst das Auskunftsrecht gegenüber einer Bank aber grundsätzlich auch die Bereitstellung von Kontoauszügen vergangener Jahre.

Um der betroffenen Person einerseits einen möglichst weiten Auskunftsanspruch zu belassen, andererseits den Aufwand für den Verantwortlichen in Grenzen zu halten, bietet es sich angesichts der Unsicherheit der Auslegung des erforderlichen Umfangs einer korrekt zu erteilenden Auskunft an, mit dem Auskunftswerber Rücksprache zu halten, um das Auskunftsverlangen spezifizieren zu können: So erachtet etwa Haidinger ein zweistufiges Auskunftsverfahren, bei dem der Verantwortliche zunächst nur Stammdaten beauskunftet und erst auf ausdrückliches Verlangen des Antragstellers eine umfassende Auskunft erteilt, durchaus als zulässig, sofern der Antragsteller auf diesen Umstand hingewiesen wird (Haidinger, DatKomm, Art 15 DSGVO Rz 11). Zikesch/Sörup fordern für die Erteilung einer „Vollauskunft“ im Sinne einer Kopie aller zu einem Betroffenen vorhandenen Datensätze zusätzlich die Darlegung berechtigter und überwiegender Interessen durch den Betroffenen auf Nachfrage des Verantwortlichen (Zikesch/Sörup, Auskunftsanspruch, ZD 6/2019, 243).

Grenzen der Auskunftserteilung durch DSGVO und DSG

Die DSGVO selbst beschränkt das Recht auf Auskunft in Art 15 Abs 4 dahingehend, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. ErwG 63 DSGVO zählt dazu etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software. § 4 Abs 6 DSG wiederum normiert, dass das Auskunftsrecht im Allgemeinen gegenüber einem Verantwortlichen in der Regel dann nicht besteht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw Dritter gefährdet würde. Dazu wird vertreten, dass es immer einer genauen Abwägung im Einzelfall bedarf, ob und in welchem Ausmaß von dieser Ausnahme Gebrauch gemacht werden darf; eine Verweigerung unter Pauschalverweis auf Betriebs- und Geschäftsgeheimnisse sei nicht von § 4 Abs 6 DSG gedeckt (Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG, § 4 Rz 27).

Ebenfalls auf Basis des ErwG 63 DSGVO soll der Verantwortliche, der eine große Menge an Informationen über die betroffene Person verarbeitet, verlangen können, dass die betroffene Person präzisiert, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht. Art 12 Abs 5 DSGVO sieht für das Auskunftsrecht (wie für die anderen Betroffenenrechte) vor, dass bei offenkundig unbegründeten oder exzessiven Anträgen entweder ein angemessenes Entgelt verlangt oder überhaupt eine Weigerung, tätig zu werden, erfolgen dürfe, belastet aber zugleich den Verantwortlichen mit dem Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags.

Conclusio

Der Auskunftsanspruch nach Art 15 DSGVO kann systematisch als in drei (Teil-) Ansprüche gegliedert betrachtet werden. Die Bereitstellung der Informationen nach Art 15 Abs 2 DSGVO wird bei einem ordentlich geführten Verzeichnis von Verarbeitungstätigkeiten bzw ordnungsgemäß erstellten Informationen iSv Art 13 und 14 DSGVO lediglich zu einem geringen Aufwand führen, während sich die Erfüllung der Ansprüche nach Art 15 Abs 1 und 3 DSGVO für den Verantwortlichen komplexer darstellt. Die Übermittlung einer Kopie iSv Art 15 Abs 3 DSGVO wird aber immerhin, wenn – falls zum Verständnis erforderlich – ergänzende Erläuterungen angeschlossen sind, zugleich den Anspruch nach Art 15 Abs 1 DSGVO erfüllen können (Bäcker, DS-GVO², Art 15 Rz 40; vgl auch Haidinger, DatKomm, Art 15 DSGVO Rz 35).

Angesichts der in ErwG 63 DSGVO angeführten Präzisierungsobliegenheit der betroffenen Person und der Unklarheit in der Lehre im Hinblick auf den Umfang des Auskunftsanspruchs empfiehlt es sich für Verantwortliche wie Betroffene, gemeinsam zu spezifizieren, auf welche (Teil-) Informationen die betroffene Person bei ihrem Auskunftsbegehren Wert legt: Einerseits wird der Verantwortliche dadurch in die Lage versetzt, das Auskunftsbegehren in den für die betroffene Person wesentlichen Teilen entsprechend detailliert zu erfüllen ohne sämtliche Systeme durchsuchen und das Daten-Material gegebenenfalls mühselig aufbereiten zu müssen; andererseits wird die betroffene Person nicht mit für sie ohnedies unwesentlichem Daten-Material belastet und erhält rascher, punktgenauer und wohl auch zuverlässiger genau jene Informationen, auf die es ihr eigentlich ankommt.

[/lindepaywall]