Das DSGVO-Betroffenenrecht, das Organisationen vermutlich am meisten auf Trab hält, ist das Auskunftsrecht gemäß Art. 15 DSGVO. Es ist nicht neu, auch das alte BDSG sah ein solches Auskunftsrecht vor. Die DSGVO hat es aber einfacher und umfassender gestaltet. Was gut für die Betroffenen ist, deren Daten verarbeitet werden, stellt jedoch immer wieder eine Herausforderung für die Verantwortlichen dar, also die datenverarbeitenden Unternehmen und Organisationen. Wie wird die Auskunft richtig erteilt? Welche Daten müssen wirklich mitgeteilt werden? Was gehört in die Datenkopie?

Wie alle anderen Betroffenenrechte auch (Kapitel III DSGVO) kann das Recht auf Auskunft beim Verantwortlichen auf jedem erdenklichem Kanal gestellt werden, über den der Verantwortliche kommuniziert: E-Mail, Messenger, Brief, Fax, Telefon, Webinterface. Die Betroffenen haben die freie Wahl.

Beschäftigte, die die verschiedenen Kontaktkanäle überwachen und betreuen, müssen demnach einen Auskunftsantrag erkennen und an die zuständige interne Abteilung zur Bearbeitung weiterleiten können. Der Umgang mit den Betroffenenrechten nach DSGVO sollte demnach in einem Prozess dokumentiert werden und regelmäßig Schulungsgegenstand sein.

Eine Auskunft darf natürlich nur an den richtigen Betroffenen erteilt werden. Daher muss zunächst die Identität des Antragsstellers geprüft werden. Bestehen Zweifel an der Identität, darf der Verantwortliche nachfragen und zum Beispiel eine teilweise geschwärzte Ausweiskopie anfordern oder den Antragsteller bitten, den Antrag über die beim Verantwortlichen hinterlegte E-Mail-Adresse oder Telefonnummer zu bestätigen. Eine Auskunft an den Falschen wäre datenschutzrechtlich der Worst Case.

Art. 15 DSGVO sieht zunächst einmal vor, dass Betroffene Auskunft darüber verlangen können, ob überhaupt Daten verarbeitet werden. Wenn nein, ist der Antrag einfach negativ zu beantworten. Wenn ja, will der Antragsteller meist auch mehr wissen, sodass dann die folgenden Informationen zusammengestellt und dem Antragsteller zur Verfügung gestellt werden müssen:

• die Verarbeitungszwecke, also wozu die Daten verarbeitet werden (wozu?);
• die Kategorien personenbezogener Daten, die verarbeitet werden (was?);
• die Empfänger oder Kategorien von Empfängern, das heißt den konkreten Empfänger, wenn man ihn kennt, und sonst eine strukturelle Beschreibung der Empfänger (an wen?)
• bei Empfängern in Drittländern oder bei internationalen Organisationen zudem die geeigneten Garantien zu Absicherung der Übermittlung (also Angemessenheitsbeschlüsse, Standardvertragsklauseln, Binding Corporate Rules);
• die geplante Speicherdauer, oder, falls das nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (wie lange?);
• das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• alle verfügbaren Informationen über die Herkunft der Daten, wenn die Daten nicht bei der betroffenen Person erhoben wurden (woher?);
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik und die Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Neben der Auskunft erhält der Betroffene vom Verantwortlichen auch eine Datenkopie (Art. 15 Abs. 3 DSGVO). Umstritten war, was denn nun alles zu der Datenkopie gehört. Sind das nur die Stammdaten und Vertragsunterlagen oder wirklich alles, was irgendwie mal angefallen ist?

Diese Fragestellung beschäftigte auch den BGH, der dann immerhin für Klarheit gesorgt hat: Der Kläger wollte von seiner Versicherung zurückliegende Korrespondenz einschließlich der Daten des vollständigen Prämienkontos, Zweitschriften und Nachträge zum Versicherungsschein sowie sämtliche Telefon-, Gesprächs- und Bewertungsvermerke zum Versicherungsverhältnis. Die Vorinstanz meinte: „Nein, das sind nur interne Vorgänge der Beklagten.“ Der BGH stellte jedoch fest, dass auch diese Angaben dem Betroffenen helfen, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Das OLG München sieht einen eigenständigen Anspruch auf Datenkopie und legte nach: Auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe sind jeweils in ihrem gesamten Inhalt herauszugeben.

Heißt: Beim Auskunftsanspruch besser alles als Kopie mitschicken. Vor Aussendung der Kopien müssen die jedoch darauf geprüft werden, inwiefern Dritte beeinträchtigt werden. Soweit das der Fall ist, dürfen und müssen zum Beispiel Schwärzungen vorgenommen werden (Art. 15 Abs. 4 DSGVO).

Da die Erstellung einer Datenkopie gerade in komplexeren Verarbeitungssituationen wie einem Beschäftigungsverhältnis einen sehr hohen Aufwand bedeuten kann, wird die datenschutzrechtliche Auskunft auch gerne mal zweckentfremdet. Das Bundesarbeitsgericht bemängelte bei einem derartigen Vorgehen bereits die „Bestimmtheit“ der Anträge.

Abhilfe, insbesondere bei komplexeren Verarbeitungssituationen wie dem Beschäftigungsverhältnis, kann ein zweistufiges Verfahren anbieten, das auch von der bayerischen Aufsichtsbehörde empfohlen wird:

• 1. Stufe: Im ersten Schritt werden die beschriebenen allgemeinen Informationen zur Verarbeitung beauskunftet (Zweck, Datenkategorien, Empfänger etc. gemäß Art. 15 Abs. 1 DSGVO). Für eine weitergehende Auskunft dürfen Verantwortliche die Betroffenen bitten, ihren Anspruch zu präzisieren und zu Beispiel anzugeben, zu welchen einzelnen Verarbeitungstätigkeiten oder Zwecken die jeweiligen Datenkopien gewünscht werden.
• 2. Stufe: Im zweiten Schritt stellt der Verantwortliche den Betroffenen dann die gewünschten weiterführenden Informationen und Datenkopien zur Verfügung (Art. 15 Abs. 3 DSGVO).

Eine Kopie muss kostenfrei zur Verfügung gestellt werden; für jede weitere kann der Verantwortliche ein angemessenes Entgelt verlangen.

Die Antwort auf ein Auskunftsersuchen muss innerhalb eines Monats beim Betroffenen eingehen; sind die Anträge sehr zahlreich und/oder komplex, kann diese Frist auch um zwei Monate verlängert werden. Hierüber muss aber der Verantwortliche ebenfalls innerhalb eines Monats informieren.

Die Beantwortung des Auskunftsanspruchs kann regelmäßig auf dem Kanal erfolgen, über den er gestellt wurde, ein Antrag per E-Mail kann also auch per E-Mail beantwortet werden, es sei denn der Antragsteller wünscht einen anderen Weg. Im Blick zu behalten ist jeweils die Datensicherheit, in der Regel muss der Verantwortliche deshalb eine (Transport-)Verschlüsselung gewährleisten.

Die Sicherstellung von Betroffenenrechten und insbesondere des Rechts auf Auskunft kann eine komplexe und aufwendige Angelegenheit sein. Unternehmen und Organisationen sind als Verantwortliche gut beraten, interne Prozesse für die Bearbeitung und Beantwortung von Auskunftsanträgen und anderen Betroffenenanfragen zu implementieren und sie regelmäßig zum Gegenstand von Schulungen zu machen. So können unzufriedene Betroffene und Beschwerden weitgehend vermieden und das Bußgeldrisiko verringert werden.