DSGVO - BDSG - TTDSG

Art. 15 Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

1 a) die Verarbeitungszwecke;

2 b) die Kategorien personenbezogener Daten, die verarbeitet werden;

3 c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

4 d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

5 e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

6 f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

7 g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

8 h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Mit der Norm korrespondieren die Erwägungsgründe 63 und 64.

Literatur: Albrecht, Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung, CR 2016, 88; Bräutigam/Schmidt-Wudy, Das geplante Auskunfts- und Herausgaberecht des Betroffenen nach Art. 15 der EU-Datenschutzgrundverordnung, CR 2015, 56; Brink/Joos, Reichweite und Grenzen des Auskunftsanspruchs und des Rechts auf Kopie, ZD 2019, 483; Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Remagen 2018; Dausend, Der Auskunftsanspruch in der Unternehmenspraxis, ZD 2019, 103; Eckhardt/Menz, Bußgeldsanktionen der DS-GVO, DuD 2018, 139; Franck, System der Betroffenenrechte, RDV 2015, 137; Franck, Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO), RDV 2016, 111; Härting, Was ist eigentlich eine Kopie?, CR 2019, 219; Hoffmann/Kevekordes, Das Right to Explanation, DuD 2021, 609; Mester, Haftungsrisiko i.S.d. DS-GVO, DuD 2018, 181; Nugel, Auslesen von Fahrzeugdaten auf Grundlage der DS-GVO, ZD 2019, 341; Roßnagel/Nebel/Richter, Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO, ZD 2015, 455; Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Schläger/Thode, Handbuch Datenschutzrecht und IT-Sicherheit, Berlin 2018; Schulte/Welge, Der datenschutzrechtliche Kopieanspruch im Arbeitsrecht, NZA 2019, 1110; Steffen, Zivilrechtliche Haftung von Datenschutzbeauftragten für Bußgelder, DuD 2018, 145; Sundermann, Abdingbarkeit technischer oder organisatorischer Maßnahmen, DuD 2021, 594; Taeger, Scoring in Deutschland nach der EU-Datenschutzgrundverordnung, ZRP 2016, 72; Wybitul/Brams, Welche Reichweite hat das Recht auf Auskunft und auf eine Kopie nach Art. Art. 15 I DS-GVO?, NZA 2019, 672; Zikesch/Sörup, Der Auskunftsanspruch nach Art. 15 DS-GVO, ZD 2019, 239.

Übersicht

I. Regelungsinhalt

1

Art. 15 enthält in Abs. 1 und 2 zunächst einmal ein allgemeines Recht der betroffenen Person zur Auskunft über die von ihr verarbeiteten Daten und gegebenenfalls den dazu gehörenden Metainformationen.1 Das Recht auf Auskunft stellt ein zentrales Element zur Ausübung der Betroffenenrechte dar, denn nur durch die notwendigen Auskünfte kann die betroffene Person die weiteren Rechte (bspw. auf Berichtigung und Löschung) überhaupt entsprechend wahrnehmen.2 Verarbeitet der Verantwortliche personenbezogene Daten der betroffenen Person, besteht außerdem ein Anspruch auf Datenkopie, sofern die Rechte und Freiheiten anderer nicht beeinträchtigt werden (Abs. 3).3 Die Wahrnehmung des Rechts aus Art. 15 erfordert allerdings einen Antrag der betroffenen Person, den sie an den Verantwortlichen richten muss. Gemäß Art. 28 Abs. 3 Satz 2 lit. e ist der Auftragsverarbeiter dem Verantwortlichen gegenüber zur Unterstützung bei der Auskunftserteilung verpflichtet.4 Andere Auskunftsrechte in nationalen gesetzlichen Regelungen (Patientenakte, Personalakte) werden durch Art. 15 nicht verdrängt.5 Zudem kann das Auskunftsrecht nicht abgetreten werden, da es sich um ein höchst persönliches Recht handelt.

II. Auskunftsrecht

2

Das Recht auf Auskunft ist voraussetzungslos, d.h. die Frage des Vorhandenseins von personenbezogenen Daten stellt keine Voraussetzung des Auskunftsanspruchs dar, sondern ist Gegenstand der Auskunft selbst, die dann gegebenenfalls in Form einer Negativauskunft zu erteilen ist.6 Den Verantwortlichen trifft demgegenüber nicht die Pflicht extra Daten zu speichern, nur um im Fall eines Auskunftsbegehrens dieses erfüllen zu können. Eine Speicherung personenbezogener Daten nur zum Zweck der Auskunftserteilung würde vielmehr dem Prinzip der Datenminimierung widersprechen.7 Das wird ebenso durch ErwG 64 klargestellt, wonach der Verantwortliche nicht deshalb personenbezogene Daten speichern darf, um möglichen späteren Auskunftswünschen entsprechen zu können. Werden vom Verantwortlichen hingegen personenbezogene Daten der betroffenen Person verarbeitet, muss er über die verarbeiteten Daten und bestimmten Metainformationen die entsprechende Auskunft der betroffenen Person geben.8 Welche Informationen dies neben den verarbeiteten Daten sind, ergibt sich dabei zunächst einmal aus Abs. 1. Darüber hinaus muss der Verantwortliche die betroffene Person aber außerdem bei einer Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation gegebenenfalls über geeignete Garantien nach Art. 46 DSGVO unterrichten (Art. 15 Abs. 2 DSGVO). Bei einer Negativauskunft ist zudem zu beachten, dass zum Nachweis der erfolgten Auskunft gegenüber etwaigen Aufsichtsbehördenanfragen, diese personenbezogenen Daten gespeichert werden. Hierzu sind der betroffenen Person die notwendigen Informationen zu geben, einschließlich vorhandener Löschfristen.9

III. Auskunftsumfang

3

Die Pflicht zur Auskunft trifft den Verantwortlichen zunächst einmal in Bezug auf die verarbeiteten Daten, wovon alle Daten der betroffenen Person erfasst werden, die vorhanden sind. Nicht erfasst werden demgegenüber solche Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nicht mehr verfügt.10 Dies betrifft aber nur solche Daten, die bereits vor dem Auskunftsbegehren nicht mehr vorhanden waren, sodass vollumfänglich über alle bei Auskunftsersuchen vorliegenden Daten Auskunft zu geben ist.11 Weder die Löschung bei Eingang des Auskunftsverlangens durch den Verantwortlichen, noch die Beschränkung einer Auskunft auf die seit einer vorherigen Auskunftserteilung hinzugekommenen Daten, erfüllen daher die Notwendigkeit einer vollständigen Auskunftserteilung und würden damit den Vorgaben des Art. 15 DSGVO nicht genügen.12 Werden aufgrund vorhandener Daten zudem Berechnungen vorgenommen, die zwar nicht gespeichert werden, aber jederzeit neu ausgewertet werden können, müssen auch diese zum Gegenstand der Auskunft gemacht werden (bspw. tagesaktueller Scorewert bei Scoringunternehmen).13 Sonst wäre es der betroffenen Person nicht möglich, die Tragweite einzelner vorhandener Daten in ihrer Gesamtheit zu erfassen, was dem Sinn des Auskunftsrechts zuwider liefe. Sofern es sich hingegen um ein missbräuchliches Auskunftsbegehren handelt, verbleibt es beim Schutz des Verantwortlichen nach Art. 12 Abs. 5 Satz 2 DSGVO.

4

Überdies hat der Verantwortliche der betroffenen Person bei Auskunftsverlangen die in Abs. 1 und Abs. 2 genannten Informationen zu erteilen (bestimmte Metainformationen), unabhängig davon, dass diese schon einer Informationspflicht nach Art. 13 und Art. 14 DSGVO unterlagen.14 Sofern es seit der Informationserteilung Veränderungen gegeben hat, muss der Verantwortliche die Informationen entsprechend aktualisieren und ergänzen, da nur so sichergestellt ist, dass die betroffene Person einen vollständigen und aktuellen Überblick erhält.15

1. Verarbeitungszwecke (Abs. 1 lit. a)

5

Der Verantwortliche muss der betroffenen Person daher nach Abs. 1 lit. a gegebenenfalls nochmals Auskunft über den Verarbeitungszweck erteilen (vgl. Art. 13 Abs. 1 lit. c) und Art. 14 Abs. 1 lit. c DSGVO.16 Allerdings ist von der Auskunftsverpflichtung nach Abs. 1 lit. a die Rechtsgrundlage – anders als bei Art. 13 und Art. 14 DSGVO – nicht umfasst. Doch auch wenn die Rechtsgrundlage bereits Gegenstand der Informationspflicht gewesen ist, muss bedacht werden, dass die betroffene Person vollumfänglich Auskunft erhalten soll.17 Hierzu kommt es gerade auf die zusätzlichen Metainformationen an, damit sichergestellt ist, dass die betroffene Person zuverlässig einen vollständigen und aktuellen Überblick über die Gegenstände und Modalitäten der Datenverarbeitung des Verantwortlichen erlangen kann. Aus diesem Grund ist nicht nachvollziehbar, wieso bzgl. der Rechtsgrundlage die betroffene Person sich erst mit den bereits erhaltenen Informationen erneut auseinandersetzen soll. Bei Auskunftserteilung sollte daher neben der Auskunft über die Verarbeitungszwecke, richtigerweise außerdem die Information über die Rechtsgrundlage nochmals mit aufgenommen werden.18

2. Kategorien personenbezogener Daten (Abs. 1 lit. b)

6

Bei Auskunftserteilung hat der Verantwortliche außerdem die verarbeiteten Datenkategorien mitzuteilen (Abs. 1 lit. b), was der Informationsverpflichtung nach Art. 14 Abs. 1 lit. d DSGVO entspricht. Der Verantwortliche muss die Datenkategorien bei Auskunftserteilung so bilden, dass die betroffene Person einen raschen und zugleich aussagekräftigen Überblick über die Datenverarbeitung erhält.19 Durch die Angabe der Datenkategorien soll die betroffene Person vor allem dann zu einer besonders intensiven Prüfung der Rechtsgrundlage sensibilisiert werden, wenn es sich dabei um besondere personenbezogene Daten im Sinne des Art. 9 DSGVO handelt.20

3. Empfänger und Kategorien von Empfängern (Abs. 1 lit. c)

7

Ebenfalls mitzuteilen sind die Empfänger und Kategorien von Empfängern (Abs. 1 lit. c), was den Informationsverpflichtungen aus Art. 13 Abs. 1 lit. e DSGVO sowie Art. 14 Abs. 1 lit. e DSGVO entspricht.21 Sofern möglich, müssen die Empfänger konkret benannt werden, da nur so die betroffene Person die Möglichkeit erhält, sich gegebenenfalls direkt an diese zu wenden.22 Hierfür ist der Verantwortliche verpflichtet, vollständig Auskunft über die bereits erfolgte oder noch geplante Offenlegung der Daten an andere zu erteilen; berechtigte Interessen zur Geheimhaltung müssen sich insoweit aus Regelungen der Union oder der Mitgliedstaaten im Sinne des Art. 23 ergeben.23 Zur Erteilung der Auskunft über die Empfänger ist der Verantwortliche notfalls verpflichtet, die hierzu notwendigen Angaben zu speichern.24 Dem widerspricht auch nicht der Gedanke des ErwG 64. Dieser befasst sich lediglich mit Daten, die eine Identifikation einer betroffenen Person zulassen und steht daher der Speicherung von Metainformationen über Empfänger zur Auskunftserteilung nicht entgegen.25

8

Problematisch erscheint hingegen die Festlegung von Speicherfristen bzw. Löschregeln für die Information zu den Empfängern.26 Zwar kann es angezeigt sein, dass diese Daten vor der eigentlichen Löschung der von der betroffenen Person verarbeiteten Daten erfolgt, allerdings ist zu berücksichtigen, dass die Daten zumindest so lange vorgehalten werden müssen, wie die betroffene Person noch die Möglichkeit hat, Rechte gegenüber den Empfängern geltend zu machen. Doch auch über diesen Zeitpunkt hinaus, kann eine Löschung der Empfängerinformationen nur dann erfolgen, wenn sichergestellt ist, dass zumindest im Rahmen der Informationspflichten die betroffene Person Kenntnis darüber erlangt hat, wem ihre Daten bereits offengelegt wurden und außerdem der Sinngehalt der restlichen Auskunft weiterhin auch ohne diese Information ausreichend sichergestellt ist.27

4. Speicherdauer (Abs. 1 lit. d)

9

Weiterhin hat der Verantwortliche der auskunftsersuchenden betroffenen Person Auskunft über die Dauer der Datenspeicherung zu erteilen (Abs. 1 lit. d).28 Die Inhalte dieser Auskunft entsprechen ebenfalls den nach Art. 13 Abs. 2 lit. a bzw. Art. 14 Abs. 2 lit. a DSGVO zu erteilenden Informationen.29

5. Betroffenen- (Abs. 1 lit. e) und Beschwerderecht (Abs. 1 lit. f)

10

Die Betroffenenrechte und das Beschwerderecht sind überdies Gegenstand der Auskunftserteilung nach Abs. 1 lit. e und Abs. 1 lit. f, die insgesamt den Verpflichtungen zur Information aus Art. 13 Abs. 2 lit. b und d DSGVO sowie Art. 14 Abs. 2 lit. c und e DSGVO entsprechen, allerdings reduziert um die Information über die Rechte, die bereits mithilfe des Auskunftsbegehrens geltend gemacht werden, nämlich dem Recht auf Auskunft. Allerdings wird von Abs. 1 lit. e auch das Recht auf Datenübertragbarkeit nicht erfasst, was wenig überzeugend ist, da gerade bei der Auskunftserteilung der betroffenen Person dieses Recht vergegenwärtigt werden sollte.30 Schon aus dem Gedanken der transparenten und fairen Datenverarbeitung heraus, spricht auch wenig dagegen, dass die Auskunft über dieses Recht ebenfalls bei Auskunftserteilung mit aufgenommen wird.

6. Datenherkunft (Abs. 1 lit. g)

11

Nach Abs. 1 lit. g ist der betroffenen Person außerdem Auskunft über die Herkunft der Daten zu erteilen, was der Informationsverpflichtung aus Art. 14 Abs. 2 lit. f DSGVO entspricht, auch wenn zwischen den Regelungen keine absolute Gleichheit in der Formulierung besteht.31 Erfasst werden hier wiederum der Gegenstand und das Mittel der Datenerhebung.32 Zur Auskunftserteilung muss der Verantwortliche notfalls die erforderlichen Angaben speichern, die dann mit den verarbeiteten Daten zusammen gelöscht werden können, ohne dass es einer eigenen Löschungsregelung bedarf.33

7. Automatisierte Einzelfallentscheidungen (Abs. 1 lit. h)

12

Über eine automatisierte Entscheidungsfindung und Profilingmaßnahmen muss der Verantwortliche gemäß Abs. 1 lit. h ebenfalls Auskunft erteilen. Es handelt sich auch hier um eine Angabe, die den Informationspflichten aus Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO entspricht. Neben der Information über die Methoden und Kriterien sowie der Tragweite und Auswirkungen der Datenverarbeitung hinaus,34 müssen aber außerdem die bereits ermittelten Auswertungsergebnisse sowie die darauf beruhenden Entscheidungen mitgeteilt werden.35 Auch hier muss der Verantwortliche zur Auskunftserteilung notfalls die Angaben speichern, die dann aber der strengen Zweckbindung der Auskunftserteilung unterliegen und nur dazu verwendet werden dürfen. Problem ist in diesem Zusammenhang ebenfalls, dass, wenn kürzere Speicherfristen für die erhaltenen Ergebnisse als für die verarbeiteten Daten der betroffenen Person festgelegt werden, sicherzustellen ist, dass Nachteile für die betroffene Person aufgrund der erfolgten Auswertung vollständig ausgeschlossen werden können, denn nur dann kann die betroffene Person auf diese Information verzichten.36

IV. Geeignete Garantien (Abs. 2)

13

Art. 15 Abs. 2 DSGVO verpflichten den Verantwortlichen außerdem, die betroffene Person bei Auskunftserteilung über geeignete Garantien im Sinne von Art. 46 zu unterrichten.37 Die Angaben entsprechen zum Teil den Informationspflichten nach Art. 13 Abs. 1 lit. f DSGVO bzw. Art. 14 Abs. 1 lit. f DSGVO und setzen voraus, dass der Verantwortliche sichergestellt hat, dass die betroffene Person die Garantien auch wirklich erlangen kann.38

V. Verfahren, Form und Darstellungsweise

14

Art. 12 Abs. 2 bis 6 DSGVO regelt für die Auskunftserteilung ebenfalls das Verfahren, wonach für das Auskunftsbegehren (Antrag) weder inhaltlich noch in Bezug auf die Form bestimmte Anforderungen gestellt werden. Ebenfalls nicht erforderlich ist eine irgendwie geartete Begründung des Auskunftswunsches.39 Notwendig ist es lediglich, dass der Verantwortliche überhaupt erkennen kann, worauf sich das Auskunftsverlangen der betroffenen Person richtet. Dies kann bei umfangreicher Datenverarbeitung dazu führen, dass der Verantwortliche Hinweise zum Auffinden verlangen kann. In diesem Fall kann die betroffene Person aufgefordert werden, näher auszuführen auf welche Informationen bzw. welche Verarbeitungsvorgänge sich das Auskunftsverlangen bezieht (vgl. ErwG 63).40 Zu berücksichtigen sind die sich aus Art. 12 Abs. 3 und Abs. 4 DSGVO ergebenden Beantwortungs- und Beschleunigungsgebote sowie die Notwendigkeit der unentgeltlichen Auskunftserteilung (Art. 12 Abs. 5 DSGVO), sofern nicht weitere Kopien im Sinne des Art. 15 Abs. 3 DSGVO verlangt werden, für die dann ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden kann.41 Eine mangelnde Identifikation des Auskunftsersuchenden richtet sich demgegenüber nach Art. 11 Abs. 2 DSGVO sowie Art. 12 Abs. 2 Satz 2 und Abs. 6 DSGVO.42

15

Für die Form der Auskunftserteilung finden sich die Regelungen in Art. 12 Abs. 1 Satz 2 und 3, Abs. 3 Satz 4 DSGVO. Danach kommt es vor allem auf den Wunsch bzw. den Antrag der betroffenen Person an, die gemäß Art. 12 Abs. 1 Satz 3 DSGVO die mündliche Auskunft verlangen kann. Demgegenüber kann aber bei einem elektronisch eingereichten Auskunftsersuchen, dieses auf gleiche Weise beantwortet werden, sofern die betroffene Person nichts anderes angibt (vgl. Art. 12 Abs. 3 Satz 4 DSGVO).43 Eine elektronische Auskunftserteilung kann überdies mittels eines Fernzugriffs auf ein elektronisches Auskunftssystem des Verantwortlichen ermöglicht werden (vgl. ErwG 63).44

16

Für die Darstellung der Auskunft ist außerdem das in Art. 12 Abs. 1 Satz 1 DSGVO enthaltene Gebot der Genauigkeit und Verständlichkeit zu beachten, damit die betroffene Person in die Lage versetzt wird, ihre Betroffenenrechte gegebenenfalls umfassend umzusetzen. Danach kann es notwendig sein, dass der Verantwortliche die Auskunft über die verarbeiteten Daten so aufbereitet und erläutert, dass die betroffene Person überhaupt in die Lage versetzt wird, die Auskunft mit einem vertretbaren Zeit- und Arbeitsaufwand zu verstehen.45

17

Art. 15 verlangt nicht die unverzügliche Bearbeitung des Auskunftsantrages. Unter Berücksichtigung des Art. 12 Abs. 1 und 2 DSGVO ist jedoch davon auszugehen, dass zumindest eine „schleunige Bearbeitung“ verlangt werden kann, sodass bei der Auskunftserteilung zumindest keine offensichtlichen Verzögerungen erfolgen dürfen.46