Awareness Academy –
Für ein respektvolles Miteinander ohne Geschlechterdiskriminierung in Ihrem Unternehmen!
Mehr Informationen finden Sie hier:
Zur Website

PWWL Seminare

Herzlich willkommen!

Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…

Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!

Ihr PWWL-Redaktionsteam

Christine Wahlig (Rechtsanwältin – Redaktionelle Leitung Blog) & Alice Tanke (Marketing Managerin)

Spotlights

Teil 2: Das Recht auf Auskunft nach Art. 15 DS-GVO

Michael Datenschutz Nr. 1

Eine erste Analyse der „Guidelines 01/2022 on data subject rights – Right of access“ des Europäischen Datenschutzausschusses

In dem ersten Beitrag dieser Serie hatte ich über den Entwurf des Europäischen Datenschutzausschusses für eine Leitlinie zum Auskunftsrecht berichtet. In diesem und den nächsten Teilen stelle ich den Entwurf ausführlich vor.

Gegenstand dieses Beitrags ist Ziffer 2 des Entwurfs der Leitlinie 1/2022. Dieser befasst sich mit dem Zweck des Auskunftsrechts, seiner Struktur und den generellen Regelungen.

Zweck des Auskunftsrechts

Der Zweck des Auskunftsrechts folgt unmittelbar aus ErwG 63 S. 1. Danach soll die Auskunft den betroffenen Personen dazu dienen, „um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“. Generell geht es also darum, dass die betroffenen Personen verstehen, wie ihre Daten verarbeitet werdenden welche Folgen das für sie hat und die Richtigkeit der Daten zu überprüfen, ohne hierfür eine Begründung liefern zu müssen.

Angesichts der großen Bedeutung dieses Rechts, darf der Verantwortliche die Beantwortung nicht davon abhängig machen, dass ihm die betroffene Person erläutert, warum die Auskunft begehrt wird. Die Verantwortlichen sollen nicht beurteilen, warum ein Auskunftsanspruch geltend gemacht wird, sondern nur, worauf sich die Auskunft bezieht. Der Verantwortliche darf nach Ansicht des EDSA die Auskunft nicht einmal dann verweigern, wenn er den Verdacht hat, dass die Daten von der betroffenen Person dazu genutzt werden könnten, diese gegen den Verantwortlichen in einem Prozess zu nutzen.

Struktur des Auskunftsanspruchs

Auskunft erfolgt in zwei Stufen

Ausgehend von dem Zweck des Auskunftsanspruchs erklärt sich die Struktur von Art. 15 DS-GVO. Der Anspruch ist zweistufig aufgebaut:

Auf der ersten Stufe muss der Verantwortliche Auskunft darüber geben, ob personenbezogene Daten der betroffenen Person verarbeitet werden. Die Antwort lautet also ja oder nein.

Lediglich dann, wenn Daten verarbeitet werden, muss der Verantwortliche der betroffenen Person Auskunft über diese Daten geben. Der EDSA benutzt hierfür den Begriff „Access“.

Ferner sind die in Art. 15 Abs. 1 lit. a) bis f) und ggf. Abs. 2 DS-GVO aufgeführten Angaben zu machen, die im Wesentlichen den Informationen aus Art. 13 bzw. 14 DS-GVO entsprechen.

Abb.1 Struktur von Art. 15 DS-GVO

Bei den Informationen aus Art. 15 Abs. 1 lit. a bis h und Abs. 2 DS-GVO handelt es sich um folgende Informationen:

Abb.2 Katalogangaben

Höchst umstritten ist die Frage, worauf sich der Auskunftsanspruch bezieht, vor allem, wenn der Anspruchsteller keinerlei Beschränkungen oder Konkretisierungen vornimmt. Der EDSA stellt klar, dass sich der Anspruch nicht nur auf Grunddaten wie Name und Anschrift bezieht, sondern auf alle denkbaren Arten personenbezogener Daten. „Access“ – wie es in der englischen Fassung der Leitlinie und auch der DSGVO heißt – bedeutet nach Auffassung des EDSA Auskunft über die personenbezogenen Daten an sich und nicht nur eine generelle Beschreibung der Daten oder ein bloßer Bezug zu den Kategorien der verarbeiteten Daten. Wenn keine Beschränkungen greifen, besteht der Anspruch somit in Bezug auf alle verarbeiteten Daten von der betroffenen Person. Das gilt auch, wenn die Daten ursprünglich von der betroffenen Person zur Verfügung gestellt wurden.

Wie kann bzw. muss die Auskunft erteilt werden?

Art. 12 DS-GVO enthält allgemeine Grundsätze, die auch für das Auskunftsrecht Anwendung finden. So heißt es in Art. 15 Abs. 1 S. 1, dass die Information „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. ErwG 63 S. 4 DS-GVO legt fest: „Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.“ Art 12 Abs. 3 S. 4 DS-GVO greift dieses auf. Danach hat die Unterrichtung auf elektronischem Weg zu erfolgen, sofern der Antrag elektronisch gestellt wurde.

Die Auskunft ist unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags zu erteilen. Die Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Abb. 3 Ablauf

Anspruch auf Kopie

Art. 15 Abs. 3 DS-GVO gibt der betroffenen Person ein Recht auf eine Kopie der Daten. Wörtlich heißt es: „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“

Bislang war unklar, wie weit der Anspruch auf Kopie geht.

Zunächst einmal stellt der EDSA fest, dass die Verpflichtung, eine Kopie bereit zu stellen, kein zusätzliches Recht der betroffenen Person ist, sondern ausschließlich die Modalitäten der Auskunftserteilung regelt. Der EDSA versteht das Recht auf Kopie als eine weitere Bestätigung seiner Auffassung, dass Art. 15 Abs. 1 DS-GVO umfassend zu verstehen ist und nicht nur dahingehend, dass eine Zusammenfassung der Daten geschuldet ist.

Wichtig ist aber, dass das Recht auf Kopie den Auskunftsanspruch nicht erweitert. Ein Anspruch auf eine Kopie besteht immer nur in demselben Umfang wie das Auskunftsrecht nach Abs. 1 besteht. Es bezieht sich ausschließlich auf die verarbeiteten Daten und nicht notwendigerweise auch auf eine Kopie des Originaldokuments. Erteilt der Verantwortliche die Auskunft nach Art. 15 Abs. 1 DS-GVO durch Zurverfügungstellung einer Kopie der Daten, so ist damit zugleich der Anspruch aus Art. 15 Abs. 3 DS-GVO erfüllt.

Art. 15 Abs. 4 DS-GVO schränkt den Auskunftsanspruch ein. Die Auskunft muss dann nicht erteilt werden, soweit Rechte Dritter entgegenstehen.

Hierzu mehr in einem der späteren Teile dieser Serie.

Allgemeine Grundlagen

Im Grundsatz muss der Verantwortliche bei einem Auskunftsersuchen dieses vollständig beantworten. Alle Informationen, die in Art. 15 Abs. 1 und ggf. Abs. 2 genannt sind, sind zur Verfügung zu stellen. Diese Informationen müssen vollständig, zutreffend und aktuell sein.

Vollständigkeit der Daten

Betroffene Personen haben grundsätzlich einen Anspruch auf vollständige Auskunft, außer, das Auskunftsrecht ist ausnahmsweise eingeschränkt.

Eine Einschränkung kann sich aus dem Auskunftsbegehren selbst ergeben, wenn die betroffene Person ihren Anspruch auf bestimmte Daten beschränkt.

Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. (ErwG 63 S. 7 DSGVO)

Richtigkeit der Information

Es versteht sich von selbst, dass die Auskunft inhaltlich richtig sein muss. Das bedeutet nicht, dass die verarbeiteten Daten korrekt sein müssen. Wichtig ist nur, dass die Information korrekt wiedergibt, wie der Verantwortliche die Daten verarbeitet.

Aktualität der Daten

Die Informationen müssen den aktuellen Stand zum Zeitpunkt der Auskunftserteilung wiedergeben.

Achtung! Datenschutz bei der Bereitstellung der Daten beachten

Auch die Erfüllung des Auskunftsanspruchs stellt eine Verarbeitung von personenbezogenen Daten dar. Das bedeutet, dass der Verantwortliche bei der Erfüllung dieses Anspruchs verpflichtet ist, angemessene technische und organisatorische Vorkehrungen zu treffen, um ein angemessenes Datenschutzniveau bei der Übermittlung der Daten an die betroffene Person sicher zu stellen. Welche Maßnahmen das konkret sind, hängt von der Art der personenbezogenen Daten (ggf. besondere Kategorien personenbezogener Daten) und der Art der Übermittlung ab.

Dr. Michael Witteler
Dr. Michael Witteler

Dr. Michael Witteler ist spezialisiert auf datenschutzrechtliche Angelegenheiten an der Schnittstelle von Arbeitsrecht und Datenschutz. Er ist Head der PWWL Practice Group Data & Privacy.

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments