Das Auskunftsrecht nach Art. 15 DSGVO in der Praxis

Jede natürli­che Per­son hat das Recht, Aus­kunft darüber zu ver­lan­gen, ob ihre per­so­nen­be­zo­ge­nen Da­ten ver­ar­bei­tet wer­den. Aus­kunfts­pflich­tig sind z. B. Un­ter­neh­men, die als „Ver­ant­wort­li­cher“ Da­ten ver­ar­bei­ten. In ei­ner be­reits bis­lang er­gan­ge­nen Reihe ge­richt­li­cher Ver­fah­ren hat zu­letzt das Ober­lan­des­ge­richt Köln ent­schie­den, dass auch über den In­halt von Ge­sprächs- und Te­le­fon­no­ti­zen Aus­kunft zu er­tei­len ist (Ur­teil vom 26.07.19, Az. 20 U 75/18). Für die Pra­xis las­sen sich dar­aus fol­gende Schlüsse zie­hen:

© Unsplash

Anträge auf Auskunft erkennen

Anträge auf Aus­kunft können form­los ge­stellt wer­den und da­mit in an­de­ren Schrei­ben „ver­steckt“ sein. Be­schäftigte des aus­kunfts­pflich­ti­gen Un­ter­neh­mens müssen sen­si­bi­li­siert wer­den, da­mit sie sol­che Anträge er­ken­nen und an den zuständi­gen Mit­ar­bei­ter wei­ter­lei­ten. Denn: Anträge sind un­verzüglich, spätes­tens aber nach einem Mo­nat zu be­ant­wor­ten. An­sons­ten dro­hen Bußgelder.

Antragsteller identifizieren

Trotz Zeit­druck gilt: Keine Aus­kunft ohne Iden­titätsprüfung. Zu groß ist die Ge­fahr, dass ein Un­be­fug­ter durch Vor­spie­len ei­ner fal­schen Iden­tität Da­ten ei­ner an­de­ren Per­son erhält. Dies ist dann ein Da­ten­schutz­vor­fall, der zur Mel­dung bei der Da­ten­schutz­behörde ver­pflich­tet und leicht zu ne­ga­ti­ver Presse führen kann. So ist es etwa laut ei­ner Mel­dung der Frank­fur­ter All­ge­mei­nen Zei­tung vom 14.8.2019 einem Stu­den­ten ge­lun­gen, durch Aus­kunfts­anträge an zahl­rei­che Da­ten sei­ner in die­ses Vor­ge­hen ein­ge­weih­ten Freun­din zu ge­lan­gen. Vor­sicht ist ins­be­son­dere ge­bo­ten, falls Per­so­nen über eine an­dere, nicht beim Un­ter­neh­men hin­ter­legte E-Mail-Adresse Anträge stel­len.

Wie aber sind An­trag­stel­ler zu iden­ti­fi­zie­ren? Anträge, die über ein pass­wort­ge­schütz­tes Nut­zer­konto ein­ge­reicht wer­den können, das Post- oder Vi­deo-Ident-Ver­fah­ren eig­nen sich gut zur Iden­titätsprüfung. Oft wird aber schon ein Ab­gleich der beim Un­ter­neh­men hin­ter­leg­ten Stamm­da­ten aus­rei­chen.

Nicht ver­langt wer­den darf, dass der An­trag­stel­ler sich persönlich in den Ge­schäftsräumen des Un­ter­neh­mens aus­weist. Eine von ei­ni­gen Da­ten­schutz­behörden emp­foh­lene Möglich­keit zur Iden­ti­fi­zie­rung sind Aus­weis­ko­pien, die nach Schwärzung al­ler Da­ten bis auf Name, An­schrift, Ge­burts­da­tum und Gültig­keits­dauer per Post ver­sandt wer­den. Nach Überprüfung der Iden­tität sind sie zu ver­nich­ten. Die Da­ten­schutz­be­auf­trag­ten in Ber­lin und in NRW be­to­nen da­ge­gen, dass Aus­weis­ko­pien nur aus­nahms­weise an­ge­for­dert wer­den dürfen (Prin­zip der „Da­ten­mi­ni­mie­rung“).

Ver­wei­gert der An­trags­stel­ler eine Mit­wir­kung bei der Iden­ti­fi­zie­rung, kann der Aus­kunfts­an­trag ab­ge­lehnt wer­den.

Auskunft erteilen und dokumentieren

Selbst wenn ein Un­ter­neh­men bis zum Ein­gang des An­trags keine Da­ten des An­trag­stel­lers ver­ar­bei­tet hat, muss der An­trag in ei­ner be­stimm­ten Form be­ant­wor­tet wer­den. Ver­ar­bei­tet das Un­ter­neh­men Da­ten die­ser Per­son, müssen ihr u.a. die Zwecke der Da­ten­ver­ar­bei­tung und die ab­strakte Art der Da­ten mit­ge­teilt wer­den.

Bei­spiel: „Wir ver­ar­bei­ten Ihre Da­ten, um die Ware aus­zu­lie­fern und Ih­nen eine Rech­nung zu stel­len. Es han­delt sich um fol­gende Da­ten­ka­te­go­rien: An­rede, Vor- und Nach­name, Adresse.“

Die Aus­kunfts­pflicht be­schränkt sich nicht nur auf Stamm­da­ten. Viel­mehr sind alle Da­ten­ar­ten an­zu­ge­ben, die ir­gend­ei­nen Per­so­nen­be­zug ha­ben. Außer­dem sind noch wei­tere In­for­ma­tio­nen an­zu­ge­ben, wie man sie aus „Da­ten­schutz­erklärun­gen“ kennt. Zur Ver­mei­dung von „Dop­pel­ar­beit“ soll­ten Mus­ter­schrei­ben er­stellt wer­den.

Auskünfte dürfen nicht in Form ei­ner un­ver­schlüssel­ten E-Mail er­teilt wer­den. Zu groß ist das Ri­siko, dass sie von Kri­mi­nel­len ab­ge­fan­gen wird. Bes­ser ist eine Be­reit­stel­lung in einem pass­wort­ge­schütz­ten Kun­den­por­tal.

Die Aus­kunfts­er­tei­lung ist zu do­ku­men­tie­ren und für ma­xi­mal drei Jahre zu spei­chern.

Datenkopie

Zusätz­lich ver­langt die DS­GVO, dass dem An­trag­stel­ler eine Ko­pie der Da­ten, die Ge­gen­stand der Ver­ar­bei­tung sind, über­mit­telt wird. Muss dem An­trag­stel­ler nun je­des Do­ku­ment, in dem sein Name auf­taucht, in Ko­pie über­sandt wer­den?

Wahr­schein­lich nicht. Dies ist auch die Auf­fas­sung des Land­ge­richts Köln und der Da­ten­schutz­be­auf­trag­ten aus Hes­sen und Bay­ern. Es be­steht keine Pflicht zur Über­mitt­lung des bis­he­ri­gen Schrift­ver­kehrs mit die­ser Per­son. Aus­rei­chend ist hier­nach, dass eine Liste mit den kon­kret ver­ar­bei­te­ten Da­ten über­mit­telt wird (LG Köln, Ur­teil vom 18.03.19, Az. 26 O 25/18).

Bei­spiel: Max Müller, Mus­ter­straße 1, Ge­burts­da­tum: 01.01.2000

Das Lan­des­ar­beits­ge­richt Ba­den-Würt­tem­berg ver­langt da­ge­gen mögli­cher­weise, dass Ko­pien von Do­ku­men­ten über­mit­telt wer­den müssen, in de­nen die Da­ten ent­hal­ten sind (Ur­teil vom 20.12.18, Az. 17 Sa 11/18, nicht rechtskräftig). Si­cher ist eine sol­che In­ter­pre­ta­tion des Ur­teils aber nicht. Es be­steht also wei­ter­hin Rechts­un­si­cher­heit.

In der Pra­xis stel­len sich schwie­rige Fol­ge­fra­gen: Wie kann si­cher­ge­stellt wer­den, dass alle Do­ku­mente mit einem Be­zug zum An­trag­stel­ler auf­ge­fun­den wer­den? Wie können Da­ten an­de­rer Per­so­nen oder Ge­schäfts­ge­heim­nisse „ge­schwärzt“ wer­den? Eine prag­ma­ti­sche Lösung ist fol­gen­des ab­ge­stuf­tes Vor­ge­hen:

1. Ver­langt der An­trag­stel­ler zunächst nur Aus­kunft, kann auf Über­mitt­lung ei­ner „Da­ten­ko­pie“ ver­zich­tet wer­den. Denn das Recht auf „Da­ten­ko­pie“ ist nach Auf­fas­sung des Da­ten­schutz­be­auf­trag­ten aus Nie­der­sach­sen ein ge­son­dert gel­tend zu ma­chen­des Recht ne­ben dem Aus­kunfts­recht. Der Da­ten­schutz­be­auf­tragte aus Hes­sen sieht dies an­ders – Un­ter­neh­men aus Hes­sen soll­ten da­her gleich eine Liste der kon­kre­ten Da­ten über­mit­teln.
2. So­bald der An­trag­stel­ler eine „Da­ten­ko­pie“ ver­langt, kann zunächst nur eine Liste der kon­kret zu die­ser Per­son ge­spei­cher­ten Da­ten ver­sandt wer­den.
3. Wenn sich der An­trag­stel­ler da­mit nicht zu­frie­den gibt, können zur Si­cher­heit im­mer noch „Da­ten­ko­pien“ der Do­ku­mente über­mit­telt wer­den, in de­nen sich die Da­ten be­fin­den. Al­ler­dings sollte mit dem An­trag­stel­ler ab­ge­spro­chen wer­den, auf wel­chen Be­reich sich sein Aus­kunfts­er­su­chen be­zieht. So kann der Um­fang ei­nes Ver­sands von „Da­ten­ko­pien“ in Gren­zen ge­hal­ten wer­den.

Hin­weis: Das Aus­kunfts­recht hat nicht zu­letzt we­gen sei­ner Miss­brauchs­anfällig­keit er­heb­li­che Pra­xis­re­le­vanz. Un­ter­neh­men soll­ten sich da­her schon vor Ein­gang des ers­ten Aus­kunfts­an­trags Ge­dan­ken ma­chen, wie sie mit sol­chen An­fra­gen um­ge­hen. Da­bei soll­ten die Hand­lungs­emp­feh­lun­gen der für das Un­ter­neh­men zuständi­gen Da­ten­schutz­behörden berück­sich­tigt wer­den. Er­geb­nis die­ser Über­le­gun­gen ist ein „in­ter­ner Pro­zess“, der zu Do­ku­men­ta­ti­ons­zwe­cken schrift­lich fest­ge­legt wer­den sollte.