Aktuell in CR

Das Auskunftsrecht der betroffenen Person in der DSGVO (Kremer, CR 2018, 560)

Die DSGVO hat die Rechte betroffener Personen neu gefasst und deren Geltendmachung formalisiert. Auf eine Einordnung des Auskunftsrechts in den Gesamtkontext der Rechte betroffener Personen in der DSGVO (A.) folgt eine Darstellung der einzelnen Elemente des Auskunftsrechts, einschließlich des Rechts auf Bereitstellung einer Kopie der gespeicherten Daten (B.). Hieran anschließend werden die Beschränkungen des Auskunftsrechts (C.) sowie das Verfahren zur Geltendmachung und Bearbeitung des Auskunftsrechts (D.) erläutert. Der Beitrag endet mit einem Fazit und der Feststellung, dass das Auskunftsrecht sich auf die gesamten Compliance-Pflichten des Verantwortlichen nach der DSGVO auswirkt.

Inhaltsverzeichnis:

A. Einordnung

I. Verantwortlicher als einziger Anspruchsschuldner
1. Unterstützungspflicht des Auftragsverarbeiters
2. Anspruchserfüllung bei gemeinsam Verantwortlichen

II. Rechte der betroffenen Person in der DSGVO
1. Gewährleistung der Transparenz der Verarbeitung
2. Gewährleistung der Ordnungsgemäßheit der Verarbeitung
3. Beschränkung möglicher Verarbeitungen

B. Gegenstand des Auskunftsrechts

I. Zweistufigkeit des Auskunftsrechts

II. Zu beauskunftende Angaben
1. Personenbezogene Daten
2. Zwecke der Verarbeitung
3. Datenkategorien
4. Empfänger oder Kategorien von Empfängern
5. Geplante Dauer der Speicherung oder Kriterien für deren Festlegung
6. Bestehen von Rechten der betroffenen Person und Beschwerderecht
7. Bestehen eines Beschwerderechts
8. Automatisierte Entscheidungsfindung einschließlich Profiling
9. Angabe der Garantien bei Übermittlungen in Drittländer

III. Bereitstellung von Kopien personenbezogener Daten

IV. Bereitstellung der Kopie in einem gängigen elektronischen Format

V. Konkretisierung des Auskunftsverlangens

C. Beschränkungen des Auskunftsrechts

I. Ausnahmen wegen Beachtung der Rechte Dritter, Art. 15 Abs. 4 DSGVO
1. Beschränkung des Rechts auf eine Kopie
2. Auswirkungen der Beschränkung
3. Rechte der betroffenen Person bei Beschränkung der Kopie

II. Beschränkungen durch das BDSG
1. Verarbeitung zu Forschungs-, Statistik- oder Wissenschaftszwecken
2. Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
3. Beschränkung im Fall von Geheimhaltungspflichten
4. Allgemeine Beschränkung des Auskunftsrechts

III. Andere Beschränkungen
1. Missbräuchliche Geltendmachung des Auskunftsrechts
2. Nicht auszuräumende Zweifel an der Identität der betroffenen Person

D. Verfahren zur Geltendmachung des Auskunftsrechts

I. Form der Erteilung von Auskünften

II. Erleichterte Ausübung

III. Fristen für Auskunftserteilung
1. Unverzügliche Erfüllung längstens in einem Monat
2. Verlängerung der Frist auf bis zu drei Monate
3. Unterrichtung der betroffenen Person

IV. Unentgeltlichkeit und Missbrauchsgebühr

E. Fazit


A. Einordnung

1

Die Rechte der betroffenen Person sind in Kapitel III der DSGVO geregelt. Sie dienen der Gewährleistung des Rechts auf informationelle Selbstbestimmung und der Absicherung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO1 aus Sicht der betroffenen Personen.

I. Verantwortlicher als einziger Anspruchsschuldner

2

Die Rechte der betroffenen Person stehen ihr ausschließlich gegenüber dem Verantwortlichen zu. Dieser ist gem. Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. b DSGVO verpflichtet, die betroffenen Personen über die ihnen zustehende Rechte zu informieren.

1. Unterstützungspflicht des Auftragsverarbeiters

3

Auftragsverarbeiter i.S.v. Art. 28 DSGVO haben den Verantwortlichen bei der Erfüllung dieser Rechte „nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnah-MaßnahmenCR 2018, 561men“ zu unterstützen. Dies ist im Vertrag zwischen Verantwortlichem und Auftragsverarbeiter gem. Art. 28 Abs. 3 S. 2 lit. e, S. 1 DSGVO ausdrücklich festzulegen.2 Anders kann die verordnungskonforme Erfüllung der Rechte betroffener Personen durch den Verantwortlichen nicht gewährleistet werden.3

2. Anspruchserfüllung bei gemeinsam Verantwortlichen

4

Bei gemeinsam Verantwortlichen i.S.v. Art. 26 Abs. 14 obliegt diesen gem. Art. 26 Abs. 1 S. 2 DSGVO in einer Vereinbarung festzulegen, wer von ihnen die Rechte betroffener Personen erfüllt.5 Diese Festlegung ist von den gemeinsam Verantwortlichen den betroffenen Personen gem. Art. 26 Abs. 2 S. 2 zur Verfügung zu stellen, dies ergänzend zu den von Ihnen ohnehin gem. Art. 13, 14 DSGVO zu erfüllenden Informationspflichten.6 Hiervon unberührt bleibt gem. Art. 26 Abs. 3 DSGVO das Recht der betroffenen Person, sich gleichwohl unmittelbar an jeden der gemeinsam Verantwortlichen zu wenden. Dieser ist dann zur Erfüllung des jeweiligen Anspruchs im Außenverhältnis verpflichtet, kann ggf. aber die Erledigung im Innenverhältnis an den nach den getroffenen Festlegungen zuständigen anderen Verantwortlichen delegieren.7

II. Rechte der betroffenen Person in der DSGVO

5

Die Rechte betroffener Personen lassen sich abhängig von Ihrem Zweck in drei Kategorien einteilen.

1. Gewährleistung der Transparenz der Verarbeitung

6

Rechte der betroffenen Person, welche die Transparenz der Verarbeitung gewährleisten, sind (i) die Informationspflichten des Verantwortlichen gem. Art. 13, 14 DSGVO, (ii) das in diesem Beitrag im Detail beschriebene Auskunftsrecht der betroffenen Person gem. Art. 15 DSGVO, und die (iii) Mitteilungspflichten des Verantwortlichen gem. Art. 19 DSGVO im Zusammenhang mit der Ausübung von Rechten einer betroffener Person.

2. Gewährleistung der Ordnungsgemäßheit der Verarbeitung

7

Rechte der betroffenen Person, welche die Ordnungsgemäßheit der Verarbeitung gewährleisten, sind (i) das Recht auf Berichtigung gem. Art. 16 DSGVO, (ii) das Recht auf Löschung („Recht auf Vergessenwerden“) gem. Art. 17 DSGVO, (iii) das Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO, und – mit Einschränkungen – (iv) das Recht auf Datenübertragbarkeit gem. Art. 18 DSGVO.

3. Beschränkung möglicher Verarbeitungen

8

Rechte der betroffenen Person, welche der Beschränkung der Verarbeitung oder möglicher zukünftiger Verarbeitungen dienen, sind (i) das Widerspruchsrecht gem. Art. 21 DSGVO, (ii) das Widerrufsrecht bei Einwilligungen gem. Art. 7 Abs. 3 DSGVO, und – mit Einschränkungen – (iii) die Beschränkungen automatisierter Entscheidungen einschließlich Profiling gem. Art. 22 DSGVO.

B. Gegenstand des Auskunftsrechts

9

Das Auskunftsrecht ist zentraler Bestandteil des Schutzkonzepts für betroffene Personen in der DSGVO. Nur wenn eine betroffene Person tatsächlich weiß, wer in welchem Umfang Daten zu ihr gespeichert hat, kann sie ihr Recht auf informationelle Selbstbestimmung vollumfänglich ausüben und sich ggf. schützen.8 Das Auskunftsrecht ist zudem eine wesentliche Vorstufe für die anderen Rechte der betroffenen Person, insbesondere das Recht auf Löschung.

I. Zweistufigkeit des Auskunftsrechts

10

Das Auskunftsrecht gem. Art. 15 Abs. 1 DSGVO ist zweistufig ausgestaltet:

Auf der ersten Stufe kann die betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
Erst auf der zweiten Stufe muss dann tatsächlich die Auskunft erteilt werden und zwar gem. Art. 15 Abs. 3 DSGVO unter Bereitstellung einer Kopie der personenbezogenen Daten (dazu Rz. 29f. unten).

11

In der Praxis wird die erste Stufe nur selten eigenständige Bedeutung erlangen. Kann eine von der betroffenen Person begehrte Auskunft nicht erteilt werden, weil über diese Person vom Verantwortlichkeiten keine personenbezogenen Daten verarbeitet werden, wird der Verantwortliche hierauf eine Negativauskunft erteilen, also gem. Art. 12 Abs. 4 DSGVO Mitteilung an die betroffene Person machen, wonach der Verantwortliche auf die Geltendmachung des Auskunftsrechts mangels Verarbeitung personenbezogener Daten nicht tätig wird.

II. Zu beauskunftende Angaben

12

Vom Verantwortlichen sind gem. Art. 15 Abs. 1, Abs. 2 DSGVO die dort benannten Angaben zu beauskunften.

13

Die Auskunft ist geordnet und nachvollziehbar bereitzustellen,9 wobei sich als Ordnungsmerkmal die Orientierung an der durch Art. 15 Abs. 1 DSGVO vorgegebenen Sortierung empfiehlt. Sind zu beauskunftende Angaben nicht aus sich selbst heraus verständlich, sind diese ggf. ergänzend zu erläutern. Wird etwa in einer Auskunft mitgeteilt, dass die betroffene Person einen „Kommunikationswert = 1“ hat und steht der Kommunikationswert für den bevorzugten Ansprachekanal der betroffenen Person als Kunde des Verantwortlichen (beispielswei-beispielsweiseCR 2018, 562se 1 = E‑Mail, 2 = Telefon, 3 = WhatsApp), ist dies z.B. in einer Fußnote zu erklären.

14

Im Einzelnen erstreckt sich die Auskunft neben den über die betroffene Person verarbeiteten personenbezogenen Daten (Art. 15 Abs. 1 DSGVO) auf folgende Meta-Informationen:

  • Zwecke der Verarbeitung (Art. 15 Abs. 1 lit. a DSGVO), dazu Rz. 16 ff.,
  • Kategorien der verarbeiteten personenbezogenen Daten (Art. 15 Abs. 1 lit. b DSGVO), dazu Rz. 19,
  • Empfänger oder Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen (Art. 15 Abs. 1 lit. c DSGVO), dazu Rz. 20,
  • Falls möglich die geplante Dauer der Speicherung der personenbezogenen Daten, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer (Art. 15 Abs. 1 lit. d DSGVO), dazu Rz. 21,
  • Der betroffenen Person zustehende Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder ein der betroffenen Person zustehendes Widerspruchsrecht (Art. 15 Abs. 1 lit. e DSGVO), dazu Rz. 22,
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 15 Abs. 1 lit. f DSGVO), dazu Rz. 23,
  • alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten, wenn diese nicht bei der betroffenen Person erhoben wurden (Art 15. Abs. 1 lit. g DSGVO),
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 Abs. 1, Abs. 4, einschließlich aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 15 Abs. 1 lit. h DSGVO), dazu Rz. 24-26, und
  • Unterrichtung über die geeigneten Garantien gem. Art. 46 zur Wahrung eines angemessenen Datenschutzniveaus bei Übermittlungen in Drittländer oder an internationale Organisationen (Art. 15 Abs. 2 DSGVO), dazu Rz. 27 f.

1. Personenbezogene Daten

15

Zu beauskunften sind gem. Art. 15 Abs. 1 DSGVO die im Zeitpunkt der Geltendmachung des Auskunftsrechts gespeicherten personenbezogenen Daten.10 Eine Auskunft über bereits gelöschte Daten ist unmöglich, denn dann wären die Daten nicht gelöscht. Nach Geltendmachung des Auskunftsrechts vorgenommene Veränderungen an den gespeicherten personenbezogenen Daten sind der betroffenen Person mit der Auskunft mitzuteilen.

2. Zwecke der Verarbeitung

16

Die Auskunft über die Zwecke der Verarbeitung gem. Art. 15 Abs. 1 lit. a) DSGVO dient der betroffenen Person der Verifizierung, ob der Verantwortliche dem Zweckbindungsgrundsatz gem. Art. 5 Abs. 1 lit. b DSGVO Rechnung getragen hat.11

17

  • Die Zwecke sind nicht den zu beauskunftenden personenbezogenen Daten zuzuordnen, sondern können separat in einem eigenen Abschnitt beauskunftet werden. Anderenfalls liefe die Erteilung der Auskunft (...)

Verlag Dr. Otto Schmidt vom 17.09.2018 10:43

zurück zur vorherigen Seite