Betroffenenrechte: Reichweite und Grenzen des Auskunftsanspruchs: Welche Daten erfasst der Auskunftsanspruch und wo liegen die Grenzen?
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat nicht nur Unternehmen im Hinblick auf Datenschutz sensibilisiert. Auch die Bürgerinnen und Bürger sind sich ihrer Rechte beim Umgang mit ihren personenbezogenen Daten durch Unternehmen bewusstgeworden, wie die steigende Anzahl der eingehenden Beschwerden über Verstöße bei den Aufsichtsbehörden zeigt. Ein zentrales Vehikel der Personen, von denen personenbezogene Daten verarbeitet werden („betroffene Personen“), sind das Auskunftsrecht sowie dessen Unterfall des Rechts auf Kopie. Sie reihen sich in die Kette weiterer wichtiger Betroffenenrechte ein, wie das Recht auf Datenportabilität, Löschung oder Widerruf und Widerspruch.
Unternehmen sollten dazu motiviert sein, die rechtskonforme Beantwortung von Auskunftsanfragen und das Bereitstellen von Kopien ernst zu nehmen. Nicht nur ist das Bußgeld bei Verstößen gegen die Betroffenenrechte mit dem Inkrafttreten der DSGVO deutlich gestiegen. Außerdem trägt der korrekte Umgang mit den Betroffenenrechten zu einem sehr guten Unternehmensimage und Kundenvertrauen bei und folglich zu einer steigenden Mitarbeiterzufriedenheit.
Die Frage ist allerdings, wie weit der Auskunftsanspruch und das Recht auf Kopie reichen – kann eine betroffene Person verlangen, dass ihr umfassend alle über sie gespeicherten Daten zur Verfügung gestellt werden? Und wenn ja, müssen dann auch alle vorhandenen Datensätze vollumfänglich als Kopie bereitgestellt werden? Dies würde zwar die Bedürfnisse der Betroffenen gänzlich befriedigen, stünde allerdings im Spannungsfeld mit Unternehmensinteressen wie dem Schutz von Geschäftsgeheimnissen sowie einem enormen Arbeitsaufwand. Dieses Spannungsfeld wurde vom Gesetzgeber nicht konkret aufgelöst. Im Folgenden zeigen wir Ihnen auf, wie Gerichtsurteile und Aussagen von Datenschutzbehörden zu dieser Problematik in der Praxis helfen können.
Die Herausforderung: welche Daten erfasst der Auskunftsanspruch und wo liegen die Grenzen?
Der Auskunftsanspruch der betroffenen Person richtet sich gegen den für die Datenverarbeitung Verantwortlichen, sprich gegen das Unternehmen, das personenbezogene Daten über sie erhebt, speichert oder nutzt. Dieser Anspruch erwächst aus dem in der DSGVO verankerten Transparenzprinzip und ist eine logische Konsequenz aus dem Umstand, dass heutzutage die Informationssysteme derart verknüpft sind, dass eine Nachverfolgung des Datenstroms für die betroffenen Personen kaum möglich ist. Der Auskunftsanspruch soll hier Abhilfe schaffen. Er wird in zwei Stufen gegliedert:
Stufe 1: Auskunft, ob überhaupt personenbezogene Daten verarbeitet werden.
Stufe 2: Wenn ja, dann Auskunft über diese Daten. Wenn nein, dann Negativauskunft.
Werden personenbezogene Daten verarbeitet, so müssen die in der DSGVO in Art. 15 Abs. 1 aufgezählten Informationen darüber erteilt werden:
- Verarbeitungszwecke, Datenkategorien, Empfänger oder deren Kategorien, Speicherdauer, bestehende Betroffenenrechte
- Ggf. Datenherkunft, automatische Entscheidungsfindung (insbesondere Profiling), Garantie für ein angemessenes Schutzniveau
Diese Aufzählung des Gesetzgebers ist zwar umfassend, doch zugleich sehr vage. Genau hier liegt das Problem für Unternehmen: wie genau müssen beispielsweise die Zwecke der Datenverarbeitung beschrieben werden? Müssten all diese aufgezählten Informationen detailliert der betroffenen Person genannt werden, dann stünden die Unternehmen vor einem erheblichen Kosten- und Zeitaufwand. Damit im Zusammenhang steht genau dasselbe Problem in Bezug auf die ebenfalls gesetzlich normierten Ausnahmen: wie weit sind sie zu verstehen und wo greifen sie in das Auskunftsrecht ein? Würde eine der folgenden (wichtigsten) Ausnahmen eingreifen, so bestünde für den Verantwortlichen ein Auskunftsverweigerungsrecht:
- Der Betroffene ist nicht identifizierbar; Stellung exzessiver oder unbegründeter Anträge
- Beeinträchtigung von Rechten und Freiheiten anderer Personen (z.B. Persönlichkeits- oder Datenschutzrechte anderer), Geschäftsgeheimnisschutz
- Unverhältnismäßiger Aufwand der Auskunftserteilung in Bezug auf Daten, die nur noch aufgrund gesetzlicher Aufbewahrungspflichten und zu Datensicherungs- und Kontrollzwecken gespeichert werden
- Grundsatz der Fairness in der DSGVO (Treu und Glaube)
Das Recht auf Auskunft wird erweitert um den Anspruch auf Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Auch hier liegt die Herausforderung darin, den Umfang dieses Rechts korrekt zu bestimmen. Müssen alle Unterlagen, in denen sich personenbezogene Daten befinden, vollumfänglich bereitgestellt werden? Wäre dem so, dann müssten beispielsweise komplette E-Mail-Kommunikationen als Kopie überlassen werden. Oder reicht es zur Erfüllung des Rechts aus, wenn nur eine Kopie mit einer Übersicht der wesentlichen verarbeiteten Daten erstellt und ausgehändigt wird? Und wie sieht es mit dem Schutz schützenswerter Informationen des Verantwortlichen oder den berechtigten Interessen Dritter aus, wenn diese durch die Kopien beeinträchtigt werden?
Der Versuch der Auflösung des Spannungsfelds durch Gerichte und Datenschutzbehörden
Mit dieser Frage der Reichweite des Auskunftsanspruchs und des Rechts auf Kopie haben sich bereits Gerichte und Datenschutzbehörden befassen müssen, doch auch diese konnten keinen einheitlichen Konsens erreichen.
Das LAG Baden-Württemberg ging in einem arbeitsrechtlichen Fall von einer sehr extensiven Reichweite des Auskunftsrechts aus (Az. 17 Sa 11/18). In dem zugrundeliegenden Fall verlangte ein Arbeitnehmer Auskunft über sämtliche zu seiner Person gespeicherten Daten. Sein Arbeitgeber verweigerte diese Auskunft und berief sich auf den Schutz berechtigter Interessen der sog. „Whistleblower“ im Unternehmen. Das Gericht verurteilte den Arbeitgeber jedoch zur umfassenden Offenlegung der Informationen inklusive der nicht in der Personalakte gespeicherten Leistungs- und Verhaltensdaten sowie die Erkenntnisse aus internen Compliance-Ermittlungen. Folglich setzt das Gericht die Hürden für das Eingreifen der Ausnahmen hoch an und versteht den Umfang der zu erteilenden Informationen umfassend. Dementsprechend geht es auch von einem weitreichenden Recht auf Kopie aus und setzt die Maßstäbe an eine Einschränkung sehr hoch. Es erkannte der betroffenen Person einen Anspruch auf eine Kopie all seiner Leistungs- und Verhaltensdaten an, die Gegenstand einer Verarbeitung waren, erwähnt dabei jedoch nicht, was genau darunter zu verstehen ist.
Das LG Köln hingegen setzte die Schwelle des Auskunftsverweigerungsrechts der Verantwortlichen niedriger an (Az. 26 O 25/18). Die betroffene Person begehrte neben der ihr bereits erteilten Auskunft über die gespeicherten Stammdaten (z.B. Namen, Geburtsdatum, Kontonummer) eine weitere, die auch die Übermittlung interner Vermerke und von Kopien jedes jemals geführten Schriftverkehrs beinhaltet. Das Gericht ist jedoch der Auffassung, dass sich der Auskunftsanspruch nicht auf sämtliche interne Vorgänge des Verantwortlichen beziehe, zumal der gewechselte Schriftverkehr auch der betroffenen Person bereits bekannt sei. Es sei daher nur erforderlich, dass die betroffene Person Auskunft über die verarbeiteten personenbezogenen Daten erhalte, die die es ihr ermöglichen, den Umfang und Inhalt der gespeicherten Daten beurteilen zu können. Dasselbe gelte in Bezug auf die Kopie.
Dieses Urteil wurde jedoch in der Berufung vom OLG Köln aufgehoben (Az. 20 U 75/18), wobei das Gericht wie das LAG Baden-Württemberg das Auskunftsrecht weit versteht. Auch Gesprächsvermerke und Telefonnotizen für den internen Gebrauch können personenbezogene Daten darstellen und darüber müsse Auskunft erteilt werden. Diese Daten würden auch keine Geschäftsgeheimnisse sein. Wirtschaftliche Erwägungen des Unternehmens, dass die Auskunft mit den ihm zur Verfügung stehenden Mitteln nicht möglich sei, seien ebenfalls bedeutungslos. Die Verantwortlichen müssten dafür Sorge tragen, dass sie ihre Datenverarbeitung im Einklang mit der Rechtsordnung organisieren und die Auskunftsrechte erfüllen können.
Zu der Frage, ob das Recht auf Kopie so weit reicht, dass Duplikate von Datensätzen bereitgestellt werden müssen, hat sich der Europäische Gerichtshof bereits 2014 geäußert (Az. C-141/12). Damals war zwar die DSGVO noch nicht in Kraft, das Recht gab es jedoch schon nach alter Rechtslage und so kann das Urteil wertvolle Hinweise auch für die heutige Rechtslage geben. Der EuGH entschied, dass das Recht auf Auskunft gewährleistet sei, wenn die Auskunft vollständig und verständlich sei. Das Kriterium der Verständlichkeit lässt sich auch heute gut aus dem Transparenzprinzip der DSGVO ableiten. Die Voraussetzungen seien auch erfüllt, wenn nicht die gesamten Datensätze als Kopie zur Verfügung gestellt werden würden, zumal die Bereitstellung von Duplikaten die Verständlichkeit in der Regel nicht gewährleistet.
Die Datenschutzbehörden haben sich ebenfalls teilweise schon unternehmens- und praxisgerechter positioniert als die deutschen Gerichte. Das Bayrische Landesamt für Datenschutz beispielsweise lehnt einen allgemeinen umfassenden Anspruch auf Auskunft und Kopie von Dokumenten oder Akten ab. Eine Auskunft über die verarbeiteten personenbezogenen Daten würde eben nicht bedeuten, dass sämtliche Dokumente, E-Mails usw. herausgegeben werden müssten. Auch eine Kopie sei nur von den verarbeiteten personenbezogenen Daten erforderlich, nicht jedoch von den entsprechenden Akten oder Unterlagen, in denen sich diese Daten befinden. Für diese Begründung verweist die Behörde auf das Urteil des EuGH.
Unsere Empfehlung für eine praxisgerechte Lösung!
Datenschutzbehörden und Gerichte sind sich also nicht einig, wie Auskunftsrecht und Recht auf Kopie in der Praxis konkret ausgestaltet werden sollen. Vor allem die Auffassungen des OLG Köln und des LAG Baden-Württembergs stellen Unternehmen vor große Probleme, da der Arbeitsaufwand sowie die Kosten bei der Beantwortung von Auskunftsanfragen und dem Bereitstellen von Kopien immens wären. Allerdings gibt es bekanntlich für jedes Problem eine Lösung und wir geben Ihnen gerne einige praxisgerechte Empfehlungen an die Hand, die wir aus den Erkenntnissen aus Urteilen, Aussagen von Datenschutzbehörden und unserer tagtäglichen Arbeit mit Mandanten entwickelt haben:
1. Generell sollten Sie versuchen, einen vermittelnden Weg zwischen den Ansichten der Gerichte und der Datenschutzbehörden zu finden. Dazu empfiehlt es sich, zunächst eine übersichtliche und aussagekräftige Auskunft über die nach dem Gesetz erforderlichen Daten einer Person zu erteilen (s.o.) und ggfs. darauf hinzuweisen, dass der Betroffene sein Auskunftsrecht präzisieren kann, wenn die erteilte Auskunft aus seiner Sicht nicht ausreichend ist. Sollten daraufhin weitere Auskünfte angefordert werden, kann das weitere Vorgehen je nach Einzelfall entschieden werden.
2. Grundsätzlich sollte ein etablierter Prozess im Unternehmen bestehen, wie eine Auskunft erteilt wird, sofern nicht eine technische (automatisierte) Lösung geschaffen wurde. Das heißt, es sind alle relevanten Systeme zu identifizieren, die zu beauskunfteten Daten und die Verantwortlichkeiten. Nur so kann gewährleistet werden, dass eine Auskunft vollständig und fristgerecht erfolgt.
3. Zu einem guten Datenschutz-Management gehört auch ein korrektes und übersichtliches Verzeichnis über Verarbeitungstätigkeiten (VVT). Darin können Sie alle Empfänger der verarbeiteten Daten herauslesen und so der betroffenen Person leichter mitteilen.
4. Auch die ohnehin bestehende Pflicht zur Aufstellung eines Löschkonzepts zwingt Sie dazu, sich über die von Ihnen verarbeiteten Daten bewusst zu werden und Sie zu ordnen. Nutzen Sie diese Ordnung, wenn es um die Auskunftserteilung geht. Das spart Kosten und unnötige Arbeit.
Fazit: Sauberes Vorarbeiten erspart kostenintensives Ausbessern!
Es ist ganz normal, dass Gerichte, Behörden und die juristische Wissenschaft sich über Grenzen und Reichweiten von Rechten uneinig sind, wenn der Gesetzgeber diese nicht eindeutig festgelegt hat. Jeder Einzelfall ist anders und daher kann auch jedes Gerichtsurteil und jede Empfehlung anders ausfallen.
Genauso verhält es sich auch bei der Frage von der Reichweite des Auskunftsrechts und des Rechts auf Kopie nach der DSGVO. Die Urteile und Behördenaussagen können Anhaltspunkte sein. Es kommt jedoch beim Datenschutz und generell bei Compliance darauf an, wie gut ein Unternehmen in der Hinsicht organisiert ist. Es erweist sich immer als der bessere Weg, sich gut vorzubereiten und Konzepte und Prozesse an der Hand zu haben, um rechtskonform auftreten und agieren zu können. Dann gelingt es auch im Streitfall besser, eine Lösung zu finden.
Wenn Sie eine Beratung hinsichtlich der von uns vorgeschlagenen Empfehlungen wünschen oder weitere, speziell auf Sie angepasste Lösungen suchen, dann melden Sie sich gerne bei uns! Wir sind eine im Datenschutz hochspezialisierte Kanzlei, die branchenspezifisch arbeitet und maßgeschneiderte juristische Hilfe für Ihr Unternehmen anbietet. Vertrauen auch Sie auf unsere Expertise, wir freuen uns auf Sie!