UMGANG MIT AUSKUNFTSANFRAGEN NACH ART. 15 DSGVO
Nachdem der BGH entschieden hat, dass bereits allein der Kontrollverlust über personenbezogene Daten einen immaterieller Schadensersatzanspruch begründen kann, werden gegen Unternehmen vermehrt Auskunftsansprüche gemäß Art. Artikel 15 der Datenschutzgrundverordnung (DSGVO) geltend gemacht. Dieses Recht auf Auskunft, ob und welche personenbezogenen Daten verarbeitet werden, bildet dabei oft die Grundlage für die weitergehenden Ansprüche auf Schadensersatz, Berichtigung oder Löschung.
ART. 15 DSGVO – MEHR ALS NUR EINE FORMALIE
Wie die Erfahrung zeigt, wird die korrekte und vollständige Erteilung einer solchen Auskunftsanfrage oft unterschätzt. Fehler in Form, Frist oder Umfang können nicht nur zu Beschwerden bei den Datenschutzbehörden führen, sondern wurden in der Vergangenheit auch bereits mit Bußgeldern sanktioniert. Umso wichtiger ist es, hier keine unnötigen Angriffsflächen zu bieten. Der Auskunftsanspruchs nach Art. 15 DSGVO ist sehr weit zu verstehen. Eine wegweisende Entscheidung des Bundesgerichtshofs (BGH vom 15. Juni 2021 – VI ZR 576/19) hat die Reichweite des Auskunftsrechts nochmals deutlich unterstrichen. Der BGH spricht sich für eine weite Auslegung des Begriffs „personenbezogene Daten“ aus und schließt eine Beschränkung auf „signifikante biografische Informationen“ aus. Unter personenbezogene Daten können daher z.B. auch folgende Informationen fallen:
- Interne Vermerke (z.B. Notizen) und Kommunikation;
- Metadaten (z.B. Dateinamen, Zugriffsrechte, Änderungsdatum oder Zeitstempel);
- Dem Betroffenen bereits bekannte Daten.
SCHRANKEN DES AUSKUNFTSANSPRUCHS
Dennoch gilt das Auskunftsrecht Betroffener nicht grenzenlos. So sieht Art. 12 Abs. 5 DSGVO vor, dass offensichtlich unbegründete oder exzessive Auskunftsersuchen abgelehnt werden können. Die Hürde hierfür ist jedoch hoch. Ein Rechtsmissbrauch kann beispielsweise vorliegen, wenn der Anspruch nicht auf die Überprüfung der Rechtmäßigkeit der Datenverarbeitung abzielt. So haben nationale Gerichte im Jahr 2022 und 2023 im Rahmen der Google-Fonts-Abmahnwelle den geltend gemachten DSGVO-Ansprüchen rechtsmissbräuchliches Verhalten (§ 242 BGB) entgegengehalten. Auch wir sind der Ansicht, dass es nicht Sinn und Zweck der DSGVO sein kann, Personen eine Erwerbsquelle im Sinne eines Geschäftsmodells zu verschaffen, insbesondere wenn der Betroffene die Rechtsverletzungen gezielt provoziert. Bei Erteilung von Auskünften sind ferner Rechte und Freiheiten anderer Personen (Art. 15 Abs. 4 DSGVO) zu berücksichtigen. Dies kann dazu führen, dass in Auskünften Schwärzungen vorgenommen werden müssen, um beispielsweise Geschäftsgeheimnisse oder personenbezogene Daten Dritter zu schützen.
FALLSTRICK: AUSKUNFT ÜBER DIE EMPFÄNGER VON DATEN
Entgegen dem Wortlaut von Art. 15 DSGVO, der bei Beantwortung von Auskunftsanfragen ein Wahlrecht zwischen der Nennung konkreter Empfänger oder lediglich der Kategorien der Empfänger vorsieht, hat der Europäische Gerichtshof (EuGH) unmissverständlich klargestellt (Urteil vom 12. Januar 2023 – C-154/21), dass grundsätzlich die konkrete Identität der Datenempfänger mitgeteilt werden muss. Nur in Ausnahmefällen kann sich die Auskunft auf die Kategorien beschränken.
NICHT ZU VERGESSEN: Übermittlung ins EU-Ausland und Betroffenenrechte
Werden personenbezogene Daten in Drittländer oder an internationale Organisationen übermittelt, muss dies offengelegt und ggf. auch über die geeigneten Garantien nach Art. 46 DSGVO informiert werden – problematisch sind hierbei regelmäßig Datenübertragungen in die USA. Seit dem 10. Juli 2023 existiert ein Angemessenheitsbeschluss für den sog. Datenschutzrahmen EU-USA (EU-US Data Privacy Framework). Dieser erlaubt die Übermittlung personenbezogener Daten aus der EU an US-Unternehmen, die sich dem Framework mittels Zertifizierung angeschlossen haben.
Abschließend weisen wir zudem darauf hin, dass die Frist zur Erfüllung eines Auskunftsanspruchs unverzüglich, spätestens aber ein Monat beträgt. Es ist daher ratsam, Fristen und Erinnerungen sorgfältig zu notieren. Im Rahmen der Auskunft sind betroffene Personen zudem über ihre umfassenden Betroffenenrechte zu informieren, wie beispielsweise das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Widerruf der Einwilligung und Datenübertragbarkeit.
Fazit & Empfehlung
Die weitreichende Auslegung des Art. 15 DSGVO stellt Unternehmen vor erhebliche Herausforderungen. Um Auskunftsanfragen fristgerecht erfüllen zu können und kostspielige Fehler zu vermeiden, empfehlen wir die Entwicklung geeigneter technischer und organisatorischer Prozesse bevor entsprechende Anfragen eingehen. Ein Managementkonzept ist angesichts der knappen Monatsfrist und der zunehmenden Datennutzung unerlässlich. Lassen Sie den gesamten Prozess datenschutzrechtlich evaluieren, um rechtssicher zu agieren.
Bei Fragen zum Umgang mit Auskunftsersuchen stehen wir Ihnen selbstverständlich gerne zur Verfügung.