Auskunft richtig erteilen – innerhalb der Frist

Die verantwortlichen Stellen tun gut daran, nicht nur einen Prozess für die Bearbeitung von Auskunftsersuchen zu etablieren, sondern vor allem dafür Sorge zu tragen, dass dieser tatsächlich unter Einhaltung der Frist funktioniert. Wir beleuchten die Folgen einer nicht oder nicht rechtzeitig erteilten Auskunft.

Der Prozess zur Auskunft

Am Anfang steht die Analyse:

• Wer wird um Auskunft (Kunden, Lieferanten, Beschäftigte, Sonstige) gemäß Art. 15 Abs. 1 DSGVO ersuchen?
• Auf welchen Kanälen (Post, Mail, Fax, Online) kommen Auskunftsgesuche an und gibt es pro Kanal mehrere Anlaufstellen?
• Wie werden die vorhandenen Anlaufstellen pro Kanal betreut? Wird sichergestellt, dass die eingehenden Meldungen auch empfangen und an die zuständige, bearbeitende Stelle weitergeleitet werden?
• Kennt jeder seine Funktion in der Prozesskette?
• Wird die vollständige Bearbeitung des Auskunftsersuchens gemäß Art. 15 Abs. 1 lit. a bis h DSGVO sichergestellt?
• Wie wird der Gesamtvorgang gemäß Art. 5 Abs. 2 DSGVO dokumentiert?

Der Personenkreis „Sonstige“ wird oben erwähnt, weil es immer wieder Personen gibt, die sich nicht mehr ganz sicher sind, ob sie in irgendeiner Beziehung zum Verantwortlichen standen, d.h. ob es zu einer Datenerhebung kam und deshalb sicherheitshalber beim Verantwortlichen um Auskunft nach Art. 15 Abs. 1 DSGVO nachfragen.

Daneben gibt es aber auch Personen, die ganz bewusst z.B. Newsletter pro forma bei einer Vielzahl von Unternehmen abonnieren, um dann an eben diese Firmen wohlwissend, welche Daten verarbeitet werden, Auskunftsersuchen zu stellen. Sie tun dies mit dem Ziel bei

• Untätigkeit der Unternehmen,
• nicht richtiger/vollständiger Auskunft der Unternehmen,
• nicht rechtzeitiger Auskunft der Unternehmen

mit Hilfe von Anwälten Ansprüche geltend zu machen.

Wer ist betroffene Person?

Man kann zu diesem oben beschriebenen Gebaren eines gewissen Personenkreises stehen wie man will, eines steht fest, das datenschutzrechtliche Auskunftsrecht ist das Magna-Charta-Grundrecht der DSGVO. Ohne dieses sind alle anderen Betroffenenrechte aus Art. 12 ff DSGVO und Art. 34 DSGVO nichts und laufen ins Leere, will heißen sie können nicht vollumfänglich wahrgenommen werden.

Betroffener im Sinne der DSGVO kann jeder EU-Bürger sein, aber auch ein Bürger eines Drittlandes, der in der EU Waren von einem Unternehmen eines Drittlandes bezieht. Dies auch dann, wenn das Unternehmen keinen Sitz innerhalb der EU hat und gem. Art. 3 Abs. 2 DSGVO der räumliche Anwendungsbereich der DSGVO eröffnet ist (Marktortprinzip), d.h. es können dem Betroffenen aus dem Drittland innerhalb der EU mehr Rechte zustehen, als er diese in seinem Heimatland hätte.

Inhaltliche Ausgestaltung der Auskunft

Gibt es formelle oder inhaltliche Anforderungen an das Auskunftsersuchen?

Das Auskunftsersuchen muss nicht substantiiert begründet werden und ist nicht formgebunden. Es ist auch nicht notwendig, dass die betroffene Person geschäftsfähig ist.

Was beinhaltet der Auskunftsanspruch?

Die Reichweite des Auskunftsanspruches erstreckt sich auf sämtliche zu der betroffenen Person gespeicherten personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO , inkl. Metadaten nach Art. 15 Abs. 1 S. 1 DSGVO. Mit dem Verweis auf früher erteilte Auskünfte kann der Anspruch auf Auskunft nicht verweigert werden, weil sich seit dem Zeitpunkt der ursprünglichen Auskunftserteilung die Daten geändert haben könnten. Darüber hinaus ist auch die Auskunft nicht auf eine einmalige Beantwortung beschränkt, anders als die Kopie nach Art. 15 Abs. 3 DSGVO.

Wann kann die Auskunft verweigert werden?

• Offenkundig unbegründetes Auskunftsersuchen oder rechtsmißbräuchliche
  Liegt ein offenkundig unbegründetes Auskunftsersuchen oder ein exzessiver Antrag auf Auskunft vor, kann der Verantwortliche nach Art. 12 Abs. 5 S. 2 DSGVO die Auskunft verweigern. Das bedeutet jedoch nicht, dass der Verantwortliche einfach untätig bleiben kann. Im Fall des offenkundig unbegründeten Auskunftsersuchens erfolgt eine Negativauskunft und auch die Auskunftsverweigerung, wenn die Auskunft exzessiv, also mehrmals pro Jahr verlangt wird, muss nach meinem Dafürhalten kundgetan werden. Der Verantwortliche kann die Auskunft verweigern oder ein Entgelt hierfür verlangen. Wäre der Betroffene bereit dieses Entgelt zu bezahlen, dann könnte die Auskunftsverweigerung rechtsmißbräuchlich sein. Damit dieses Wahlrecht Sinn macht, muss der Betroffene zuvor Kenntnis über die Einschätzung des Verantwortlichen zu dem Auskunftsersuchen haben. Darüber hinaus besagt Art. 12 Abs. 5 S. 3 DSGVO, dass der Verantwortliche den Nachweis für den exzessiven Gebrauch bzw. den offenkundigen unbegründeten Charakter des Antrags bringen muss. Hieraus ergibt sich die Notwendigkeit, die betroffene Person darüber zu informieren, dass man das Auskunftsersuchen als offenkundig unbegründet ansieht und daher verweigert. Dies entspricht im Übrigen auch dem Transparenzgrundsatz in Art. 5 Abs. 1 a DSGVO.
• Forschungs- oder Statistikzwecke
  Über die Öffnungsklausel in Art. 23 DSGVO werden in §§ 27, 28 BDSG weitere Auskunftsbeschränkungen festgelegt, wenn hierdurch Forschungs- oder Statistikzwecke unmöglich gemacht oder ernsthaft beeinträchtigt werden oder aus Archivzwecken § 28 II BDSG.
• Gesetzliche oder anderweitige Aufbewahrungspflichten
  Auch kein Auskunftsrecht besteht für die Daten, die nach § 34 Abs. 1 Nr. 2 lit. a, b BDSG aufgrund gesetzlicher oder anderweitiger Aufbewahrungspflichten oder aus Gründen der Datenschutzkontrolle oder Datensicherung noch gespeichert werden. Des Weiteren muss die Auskunftserteilung zusätzlich einen unverhältnismäßigen Aufwand erfordern sowie die Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen sein, damit das Auskunftsrecht nicht greift.

Welche Fristen sind zu beachten?

In Art. 12 Abs. 3 und 4 DSGVO ist das Beantwortungsgebot sowie das Beschleunigungsgebot festgelegt. Dies gilt sowohl für die Positiv- als auch Negativantwort. Wobei unter Positivantwort auch schon das teilweise Nachkommen des Antrags verstanden wird. Was bedeutet dies:

• Grundsätzlich hat der Verantwortliche unverzüglich zu handeln, d.h. die Information an den Betroffenen und die Erfüllung des Betroffenenrechtes (z.B. Löschung) also beides hat unverzüglich zu erfolgen.
• Der Verantwortliche darf dafür höchstens einen Monat ab Antragseingang benötigen. Die Monatsfrist beginnt ab Zugang des Auskunftsersuchen.
• Für eine Positivantwort darf der Verantwortliche gem. Art. 12 Abs. 3 S. 2 DSGVO die Auskunftsfrist um weitere zwei Monate verlängern, wenn dies für die Beantwortung erforderlich ist. Die Gründe hierfür sind jedoch restriktiv auszulegen. Eine routinemäßige Verlängerung scheidet aus, vielmehr ist auf den Einzelfall, dessen Komplexität und der sich hieraus ergebende Arbeitsaufwand abzustellen.

Wie die Berechnung der Monatsfrist im Einzelfall erfolgt, hatten wir im Beitrag „Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage“ anhand eines Beispiels dargestellt.

Schadensersatz bei Fristversäumnis

Wird die Monatsfrist durch den Verantwortlichen versäumt, dann tritt Verzug ohne Mahnung gem. § 286 BGB i.V.m. Art. 12 Abs. 3 S. 1 DSGVO ein, weil sich die Leistung nach dem Kalender berechnen lässt. Nimmt sich der Betroffene daher nach Ablauf der Frist einen Anwalt zur vorgerichtlichen Geltendmachung des Auskunftsanspruches, kann er die hierfür angefallenen Kosten als Verzugsschaden gem. § 280 i.V.m. § 286, 288 Abs. 4 BGB geltend machen. Bei den Anwaltskosten handelt sich um Mehrkosten, die durch den Verzug verursacht wurden und gem. § 249 BGB zu ersetzen sind. Das LG München I hat den Streitwert für die vorgerichtliche Tätigkeit des Anwaltes auf 5.000 EUR festgelegt und zwar unabhängig von den möglichen datenschutzrechtlichen Folgen bei einer Beschwerde an die Aufsichtsbehörde.

Ein funktionierender Prozess, der sicherstellt, dass eingehende Auskunftsersuchen termingerecht bearbeitet werden, ist daher mehr als sinnvoll.