02. März 2022

Neue EDSA-Guidelines für Auskunftsersuchen – Wie Unternehmen rechtssicher Auskunft erteilen können

Der Europäische Datenschutzausschuss (EDSA) hat am 28.01.2022 Leitlinien bezüglich des Rechts auf Auskunft (Guidelines 01/2022) veröffentlicht. Sie dienen insbesondere als Wegweiser zu einer einheitlichen Anwendung der Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten der Europäischen Union. Zwar sind sie nicht rechtsverbindlich, jedoch orientieren sich Datenschutzbehörden, Datenschutzberater:innen und unter Umständen auch Gerichte an ihnen, sodass Unternehmen sie unbedingt kennen sollten. Der EDSA geht auf einige Fragen ein, die zuletzt uneinheitlich von Gerichten beantwortet wurden, wie zum Beispiel der konkrete Umfang des Auskunftsrechts. Außerdem lassen sich aus den Leitlinien wichtige Handlungsempfehlungen für Unternehmen entnehmen. In diesem Beitrag stellen wir Ihnen diese Leitlinien vor und geben Unternehmen wertvolle praktische Hinweise zum Vorgehen bei einem Auskunftsersuchen an die Hand. 

Wann müssen Unternehmen Auskunft nach Art. 15 DSGVO erteilen?

Zunächst gilt es zu klären, wann Unternehmen überhaupt Auskunft erteilen müssen. Nach dem Gesetzestext kann eine betroffene Person von einem Verantwortlichen Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Verantwortlicher ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bestimmt ein Unternehmen also, ob, wozu und wie personenbezogene Daten verarbeitet werden, gilt es nach der DSGVO als Verantwortlicher. Für das Auskunftsrecht des Betroffenen ist zu beachten, dass keine Vorbedingungen erfüllt werden müssen. Das heißt, der Verantwortliche überprüft nicht, warum ein Antrag gestellt wurde und ob er gewissen Voraussetzungen gerecht wird. Grundsätzlich dürfen natürliche Personen immer Auskunft verlangen, mit der Folge, dass Unternehmen eine entsprechende Erklärung abgeben müssen. 

In einer Art Drei-Schritt-Prüfung sollten Unternehmen dann ermitteln, inwieweit sie Auskunft erteilen müssen. Dabei gilt es zu berücksichtigen,

  • ob das Unternehmen überhaupt personenbezogene Daten der auskunftsersuchenden Person verarbeitet.
  • Ist dem nicht so, dann muss das Unternehmen eine Negativauskunft erteilen.
  • Werden Daten verarbeitet, dann hat die betroffene Person ein Auskunftsrecht über die personenbezogenen Daten und über die in Art. 15 Abs. 1 lit. a-h, Abs. 2 DSGVO genannten Informationen.

Verarbeitet ein Unternehmen personenbezogene Daten, muss es nach Maßgabe des Art. 15 Abs. 3 DSGVO auch eine Kopie dieser personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Die erste Kopie ist dabei stets kostenlos – und zwar unabhängig von den tatsächlich angefallenen Kosten. In der Kopie müssen umfassend alle Daten, die in Art. 15 Abs. 1 DSGVO genannt sind, aufgeführt sein. Eine bloße kurzgehaltene Zusammenfassung genügt nicht.

Für weitere Kopien dürfen Unternehmen ein angemessenes Entgelt verlangen. In diesem Zusammenhang ist oft nicht klar, ob der Betroffene eine neue Anfrage startet, die dann wiederum an die kostenlose Kopie gekoppelt wäre, oder ob es sich um die Frage nach einer erneuten Kopie handelt. Der EDSA führt dazu aus, dass es auf die konkrete Anfrage ankommt und in welchem inhaltlichen und zeitlichen Umfang sie zur ersten Anfrage steht. Sollte die betroffene Person zu einem späteren Zeitpunkt einen anderen Umfang an personenbezogenen Daten erfragen, sollte das Unternehmen von einer erneuten Anfrage ausgehen und nicht von dem Verlangen nach einer weiteren Kopie.

Über welche Daten und Informationen muss Auskunft erteilt werden?

Zu den Daten

Bisher ist das Verständnis vom Umfang des Auskunftsrechts durch uneinheitliche Rechtsprechung geprägt. Der EDSA führt aus, dass ein sehr weites Verständnis zugrunde zu legen sei. Ein Antrag auf Auskunft beziehe sich auf alle personenbezogenen Daten der betroffenen Person, so der EDSA. Neben den grundlegenden personenbezogenen Daten wie Name oder Adresse sollen auch eine Vielzahl anderer Daten darunterfallen. Beispielsweise medizinische Befunde, Anhaltspunkte für die Kreditwürdigkeit, Aktivitätsprotokolle oder Suchaktivitäten. Auch pseudonymisierte Daten seien auskunftswürdige personenbezogene Daten. Es fallen auch Kommunikationsverläufe, die häufig bezüglich stattgefundener E-Mail-Kommunikation angefordert werden, unter die auskunftspflichtigen Umstände. Das gelte sogar dann, wenn die E-Mails bereits gelöscht wurden, der Server-Provider aber noch Zugriff auf diese hat. Anders hatte das Landesarbeitsgericht (LAG) Hannover (Urt. v. 9.6.2020, Az. 9 Sa 608/19) noch im Juni 2020 entschieden, als es darauf abstellte, der E-Mail-Verkehr, den ein Mitarbeiter selbst geführt oder erhalten hatte, sei nicht von Art. 15 DSGVO umfasst. Der EDSA stützt seine Ansicht hingegen auf das sehr weite Verständnis von Art. 4 Nr. 1 DSGVO, der eine umfassende Definition von personenbezogenen Daten vorsieht. Das Auskunftsrecht der DSGVO müsse ebenso weit gehen, wie die Definition die Kategorisierung von personenbezogenen Daten erlaubt. Das heißt eben sehr weit und gerade nicht zu restriktiv. Dieses Verständnis hatte ebenfalls das Oberlandesgericht Köln (Urt. v. 23.10.2020, Az. 20 U 57/19) hinsichtlich eines Auskunftsanspruches eines Versicherungsnehmers gegenüber seiner Versicherung zu Grunde gelegt. Auch Auskünfte zum Verlauf des Prämienkontos, zum Zustandekommen des Versicherungsverhältnisses und auf die zum Betroffenen gespeicherte Korrespondenz waren nach Ansicht des Gerichts umfasst.

Nur wenn die Menge der Daten zu umfangreich wäre, dürfe der Verantwortliche verlangen, dass der Betroffene seinen Antrag näher spezifiziert. Ein eingeschränkter Umfang kommt auch dann in Betracht, wenn die betroffene Person explizit nur bestimmte Daten angefragt hat.

Der EDSA listet nicht abschließend folgende Daten auf, die unter Berücksichtigung von Rechten und Freiheiten anderer Personen zu offenbaren sind:

  • Besondere Kategorien von personenbezogenen Daten: sensible Daten wie zum Beispiel Gesundheitsdaten.
  • Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
  • Daten, die von der betroffenen Person wissentlich und aktiv zur Verfügung gestellt wurden: zum Beispiel Kontodaten oder Daten, die über Formulare etc. erfasst werden.
  • Daten, die durch die Nutzung eines Dienstes oder Gerätes beobachtet werden konnten: Beispielsweise Zugriffsprotokolle, die Historie der Webseiten-Nutzung, Suchaktivitäten, Standortdaten, Klickaktivitäten, Tastenanschläge usw.
  • Daten, die aus anderen Daten abgeleitet werden: etwa die Kreditwürdigkeit, der Wohnsitz aus der Postleitzahl.
  • Daten, die aus anderen Daten abgeleitet sind, aber nicht von der Person zur Verfügung gestellt wurden, wie algorithmische Ergebnisse, Ergebnisse einer Gesundheitsbewertung oder eines Personalisierungs- oder Empfehlungsprozesses.
  • Pseudonymisierte Daten.

In Einklang damit urteilte bereits der Bundesgerichtshof (Urt. v.  15.6.2021, Az. VI ZR 579/19) richtungsweisend zu einem weiten Verständnis des Auskunftsrechts. Unter anderem sei über bereits Bekanntes oder interne Vermerke Auskunft zu erteilen.

Zu Anfragen im Beschäftigtenkontext sollten Unternehmen die Ansicht des EDSA kennen, dass Elemente, die für die Entscheidung über eine Beförderung, eine Gehaltserhöhung oder eine neue Aufgabenzuweisung maßgeblich sind, als auskunftswürdige personenbezogene Daten über den betreffenden Mitarbeiter einzustufen sind. Das könne die jährliche Leistungsbeurteilung, Fortbildungsanträge oder sonstige Karrieremöglichkeiten sein. Das stellte bereits das LAG Hamm mit Urteil vom 11.5.2021 (Az. 2 AZR 363/21) fest, indem es Leistungs- und Verhaltensdaten eines Arbeitnehmers als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO verstand. 

Unternehmen müssen außerdem auch unrichtige oder unrechtmäßig verarbeitete Daten bei einer Anfrage offenlegen. Das hilft betroffenen Personen, sich über alle Verarbeitungen überhaupt im Klaren zu werden. Anders als beim Recht auf Datenportabilität nach Art. 20 DSGVO, bei dem Daten von einem Verantwortlichen zu einem anderen Verantwortlichen mitgenommen werden können, umfasst das Recht auf Auskunft auch abgeleitete Rechte. Bei der Datenportabilität können nur vom jeweiligen Unternehmen selbst generierte Daten mitgenommen werden. Auskunft müssen Unternehmen hingegen auch hinsichtlich abgeleiteter personenbezogener Daten von anderen Providern erteilen. 

Die mitzuteilenden Informationen

Die betroffene Person darf die Mitteilung folgender Informationen in Bezug auf die Verarbeitung ihrer angefragten personenbezogenen Daten verlangen:

  • Die Zwecke, zu denen die Daten verarbeitet werden,
  • die Kategorien der Daten, also zum Beispiel Gesundheitsdaten, biometrische oder genetische Daten,
  • Informationen über Empfänger, denen die Daten offengelegt wurden,
  • soweit möglich die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer,
  • Information zum Bestehen des Rechts auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung oder des Widerspruchrechts,
  • das Bestehen eines Beschwerderechts,
  • alle verfügbaren Informationen über die Herkunft der Daten,
  • das Bestehen einer automatisierten Entscheidungsfindung, zum Beispiel mittel Künstlicher Intelligenz,
  • Informationen im Zusammenhang einer Drittlandübermittlung, soweit die Daten in ein Drittland übermittelt wurden.

Zur Mitteilung dieser Informationen können Unternehmen, so der EDSA, auch auf Textbausteine aus der Datenschutzerklärung oder aus dem Verarbeitungsverzeichnis (vgl. Art. 30 DSGVO) zurückgreifen. Hier sollte jedoch zuerst sehr sorgfältig geprüft werden, ob die Information mittels eines Textbausteins die Anfrage auch spezifisch genug beantworten kann. Gerade bei allgemeinen regelmäßig gleichlautenden Informationen, wie etwa die Mitteilung über das Recht auf Berichtigung, erscheint dies sinnvoll, sodass Unternehmen hier auf automatisierte Prozesse setzen können. 


Weitere spannende Themen


Wie sollten Unternehmen Auskunft erteilten?

Wie können Unternehmen entsprechende Daten abrufen?

Hierfür sollten, so der EDSA, neben den Daten, die in IT-Systemen aufzufinden sind, auch alle Nicht-IT-Dateisysteme berücksichtigt werden. Demnach gilt auch, Daten aus Papierakten zu recherchieren und offenzulegen. Auch personenbezogene Daten, die in einem Computerspeicher mittels Binärcode gesammelt wurden oder solche, die auf einem Videoband gespeichert sind, gelten als potentielle Datenquellen für eine solche Betroffenenanfrage. Dabei sollten Unternehmen bereits vor dem Hintergrund der Datenschutzgrundsätze Privacy by Design und Privacy by Default angemessene Wege in ihre IT-Systeme implementiert haben, um angefragte Daten schnell auffinden zu können. Dabei geht es um datenschutzfreundliche technische Voreinstellungen bei Datenverarbeitungsprozessen.

Form

Unternehmen müssen die Daten sowie die Informationen in schriftlicher oder anderer Form, gegebenenfalls auch elektronisch, mitteilen. Dabei sollte die Auskunft in einer permanenten Form als Kopie erteilt werden. Sollte der Betroffene zum Beispiel eine mündliche Auskunftserteilung wünschen, sollten Unternehmen dem nachkommen. Datenkopien sollten Unternehmen aber dennoch bereitstellen können, soweit der Betroffene dies verlangt. In der Regel werden Auskunftsersuchen über den elektronischen Weg angefragt. Sollte die Anfrage auf elektronischem Wege gesendet worden sein, sollte auch per elektronischem Kommunikationsweg die Datenkopie übermittelt werden, so der EDSA. Zu denken wäre beispielsweise an eine PDF-Datei, die per E-Mail versendet wird. Ein Online-Self-Service-Tool, das automatisiert Anfragen bearbeitet, könnte ebenfalls eingesetzt werden. Anders ist es nur, wenn der Betroffene ausdrücklich die Auskunftserteilung in einer gewissen Form wünscht, zum Beispiel als Schriftstück mit Sendung per Post. Dann sollten Unternehmen diesem Wunsch auch nachkommen. 

Art und Weise der Auskunftserteilung

Alle Mitteilungen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Besondere Herausforderung für Unternehmen stellt dabei häufig die enorme Menge von offenzulegenden Daten dar, welche in Konflikt mit der prägnanten Mitteilung stehen kann. Als möglichen Ansatz nennt der EDSA eine mehrschichtige Auskunft, bei welcher die Informationen auf verschiedenen Ebenen mitgeteilt werden. Unternehmen könnten auf erster Ebene über die Verarbeitung und die Rechte der betroffenen Person sowie ein erster Teil der verarbeiteten personenbezogenen Daten mitteilen. In einer zweiten Schicht sollten dann detailliertere personenbezogene Daten bereitgestellt werden. 

Zeitlicher Rahmen für die Auskunft

Bei Eingang einer Auskunftsanfrage gilt unverzüglicher Handlungsbedarf. Unternehmen müssen so schnell wie möglich, jedenfalls innerhalb eines Monats die Anfrage beantwortet haben. In Ausnahmefällen, wie bei einer hohen Anzahl und sehr komplexen Anträgen, kommt eine Fristverlängerung um weitere zwei Monate in Betracht. 

Die Grenzen

Das Recht auf Erhalt einer Kopie über die verarbeiteten Daten und Informationen darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Zu den Grenzen meint der EDSA, dass auch Geschäftsgeheimnisse und geistiges Eigentum des Unternehmens selbst, zu den nicht zu beeinträchtigenden Rechten und Freiheiten anderer Personen gehöre. Dass eine Beeinträchtigung der Freiheit und Rechte anderer vorliegt, muss stets das Unternehmen beweisen.

Sollte es zu einem Interessenkonflikt zwischen dem Auskunftsersuchenden und den Interessen anderer kommen, sieht der EDSA durchaus die Möglichkeit, dass entsprechende Stellen geschwärzt oder anderweitig unkenntlich gemacht werden. So könne die Auskunft dennoch unter Wahrung der Interessen einer anderen Person bzw. des Unternehmens selbst erteilt werden. So entschied bereits das Landgericht Köln (Urt. v. 24.06.2020, Az. 20 O 241/19) hinsichtlich der Datenauskunft durch Übersendung einer Schadensakte. Grundsätzlich sei die vollständige Übersendung der Schadensakte einer Versicherung wegen Interessen Dritter, nicht möglich. Jedoch können personenbezogene Daten Dritter in einem solchen Fall geschwärzt werden, um so dennoch eine Auskunft zu erteilen.

Ein Weigerungsrecht kommt Unternehmen zu, wenn Anträge offenkundig unbegründet sind. Dabei betont der EDSA, dass davon nur in sehr wenigen Fällen auszugehen ist. Unternehmen können eine Auskunft ebenfalls verweigern, wenn Anträge häufig wiederholt gestellt werden und damit einen exzessiven Charakter haben. 

Weitere Beschränkungen des Auskunftsrechts finden Unternehmen in § 34 BDSG. Nach dieser Regelung besteht unter anderem kein Auskunftsrecht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Insbesondere bei personenbezogenen Daten, die sich in Handelsbüchern, Jahresabschlüssen oder Geschäftsbriefen finden, können Unternehmen ggf. die Auskunft verweigern. Gleiches gilt, wenn Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Das meint etwa Sicherheitskopien oder Logfiles. Hinzutreten muss allerdings auch ein unverhältnismäßiger Aufwand, wobei es in erster Linie auf die Abwägung der Interessen des Betroffenen oder des Verantwortlichen ankommt. 

Checkliste für Auskunftsersuchen

Unternehmen sollten Auskunftsersuchen ernst nehmen und sorgfältig bearbeiten. Andernfalls werden Bußgelder oder Schadensersatzforderungen nach der DSGVO riskiert. Folgende Checkliste soll eine strukturierte Bearbeitung erleichtern:

  • Überprüfen Sie, ob es sich bei einem Antrag um ein Auskunftsersuchen nach Art. 15 DSGVO handelt, das personenbezogene Daten erfragt.
  • Checken Sie, ob der Antragsteller berechtigt ist, Auskunft zu erlangen – durch Identitätsprüfung, ob er selbst Betroffener ist, oder ob er eine Berechtigung zum Antrag innehat.
  • Werden Sie sich über den Umfang der Anfrage, über welche Daten Auskunft verlangt wird, bewusst. Falls notwendig, können Sie den Betroffenen auffordern, seinen Antrag zu spezifizieren. 
  • Die Auskunft erstreckt sich auf verarbeitete personenbezogene Daten und weitere Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO. Die Verwendung von vorgefertigten Textmodulen aus der Datenschutzerklärung zur Vermittlung der Informationen aus Art. 15 Abs. 1 lit. a-h DSGVO sieht der EDSA generell als möglich an.
  • Für die Auskunftserteilung sollte, auch nach Ansicht des EDSA, ein automatisierter Prozess eingerichtet werden. Vor allem bei vielen Anfragen dient dies der Entlastung von Mitarbeitenden im Unternehmen. Es empfiehlt sich eine Liste zu erstellen, die das Datum der Anfrage, die anfragenden Person, den Kontakt der anfragenden Person, das Datum und die Art der Bearbeitung und den zuständigen unternehmensinternen Mitarbeiter dokumentiert. Ansonsten empfiehlt der EDSA die Einrichtung eines Self-Service-Tools, das die Anfragen automatisiert selbständig bearbeitet.
  • Nehmen Sie Interessen von anderen Personen in den Blick und wägen ab, ob eine Auskunft dennoch erteilt werden kann. Beispielsweise das Schwärzen oder unkenntlich machen gewisser Informationen, könnte ausreichen. 
  • Überprüfen Sie, ob die Anfrage offenkundig unbegründet oder exzessiv gestellt wurde. Dann können Sie ein entsprechendes Entgelt für die Auskunft verlangen oder diese verweigern.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!