Recht auf Auskunft durch die betroffene Person

Recht auf Auskunft
Kategorien:

Kontrolle der personenbezogenen Daten

Die Datenschutz-Grundverordnung (DSGVO) räumt den betroffenen Personen eine Reihe von Rechten ein, damit sie die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten und damit über ihre durch Grundrechte geschützte Persönlichkeitsrechte ausüben können. Diese Rechte werden allgemein als die “acht grundlegenden Rechte der betroffenen Person” bezeichnet und umfassen folgende Rechte:

 

  • Das Recht auf Berichtigung (Artikel 16)
  • Das Recht auf Löschung (Artikel 17)
  • Das Recht auf Einschränkung der Verarbeitung (Artikel 18),
  •  Das Recht auf Information (Artikel 19)
  • Das Recht auf Datenübertragbarkeit (Artikel 20)
  • Das Widerspruchsrecht (Artikel 21),
  • Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (Artikel 22)
  • Das Recht auf Auskunft (Artikel 15).

Das Recht auf Auskunft ist kein unbekanntes Recht. Die Richtlinie 95/46/EG und die Datenschutzgesetze der EU-Mitgliedstaaten sahen für die betroffene Person bereits die Möglichkeit vor, ihr Auskunftsrecht auszuüben zu können (Vgl..: Art. 12 der Richtlinie 95/46/EG; § 19 des BDSG-alt; Art. 35(1) des französischen Datenschutzgesetzes). Die betroffenen Personen sind sich dieses Rechts aber erst seit dem Inkrafttreten der Datenschutz-Grundverordnung (kurz: DS-GVO) und ihrer Bekanntheit, die sie genießt, stärker bewusst geworden.

 

Auskunftsrecht: Worum geht es?

 

Das Auskunftsrecht ist in Art. 15 DS-GVO verankert. Es gibt den betroffenen Personen, bei Vorliegen der entsprechenden Voraussetzungen, zwei Rechte. Zum einen müssen Betroffene auf Anfrage gegenüber dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber erhalten, ob personenbezogene Daten über die Person des Betroffenen verarbeitet werden oder nicht (Recht auf Bestätigung). Wenn dies der Fall ist, dann steht den Betroffenen, zum anderen, auch das Recht zu, eine Kopie der personenbezogenen Daten zu erhalten, welche aktuell durch den Verantwortlichen verarbeitet werden (Recht auf Erhalt einer Kopie).

Darüber hinaus hat der für die Verarbeitung Verantwortliche den betroffenen Personen zusätzliche Informationen zur Verfügung zu stellen, z. B. über die Zwecke der Verarbeitung (Art. 15 Abs. 1 lit. a DS-GVO), die Empfänger der betreffenden personenbezogenen Daten (Art. 15 Abs. 1 lit. c DS-GVO) oder die Aufbewahrungsfrist für personenbezogene Daten (Art. 15 Abs. 1 lit. d DS-GVO). Übt eine betroffene Person ihr Auskunftsrecht aus, dann muss der Verantwortliche dem Antrag unverzüglich, mindestens aber innerhalb eines Monats nach Eingang des Antrags, gemäß Art. 12 Abs. 3 der DS-GVO nachkommen. In Anbetracht der Komplexität des Antrags kann der für die Verarbeitung Verantwortliche die Frist aber um zwei weitere Monate verlängern (Artikel 12 Abs. 3 der DS-GVO).

Es ist darauf hinzuweisen, dass das Auskunftsrecht ein höchstpersönliches Recht ist, das den betroffenen Personen gewährt wird. Als unveräußerliches und nicht übertragbares Recht kann es daher nur von der betroffenen Person und nicht von einem Dritten ausgeübt werden. Es ist ausschließlich auf die personenbezogenen Daten beschränkt, die über die betroffene Person verarbeitet und gespeichert werde, die personenbezogenen Daten anderer spielen daher grundsätzlich keine Rolle.

 

Das Recht auf Auskunft: ein weitreichendes Recht?

 

Gemäß ErwG. 63 der DS-GVO soll das Auskunftsrecht die betroffenen Personen in die Lage versetzen, sich der Verarbeitung der eigenen Daten bewusst zu werden sowie deren rechtmäßige Verarbeitung durch den Verantwortlichen überprüfen zu können.

Der Europäische Gerichtshof (EuGH) bestärkt dies in seinem Ausführungen zum Recht auf Auskunft, da sich, seiner Ansicht nach, andere Rechte unmittelbar aus dem Auskunftsrecht ergeben, weil es notwendig ist, ” um es der betroffenen Person gegebenenfalls zu ermöglichen, von dem für die Verarbeitung Verantwortlichen die Berichtigung, Löschung oder Sperrung ihrer Daten zu verlangen […] “. Nicht abschließend beantwortet bleibt allerdings bisher die Frage, welchen Umfang dieses Recht hat und welche personenbezogenen Daten insgesamt von diesem Recht umfasst sind.

Gemäß Art. 4 Abs. 1 der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu gehören personenbezogene Daten wie der Name, das Geburtsdatum, die E-Mail-Adresse oder andere Merkmale, die die Identifizierung einer Person ermöglichen könnten, wie eine Konto-, Telefon- oder Sozialversicherungsnummer. Außerdem fallen darunter sensible Daten wie Daten über die Gesundheit der betroffenen Person (z. B. Diagnosen, Untersuchungsergebnisse, Angaben zu Behandlungen usw ). In einer Entscheidung des Landgerichts Köln vom 19. Juni 2019 hat das Gericht, nachdem es das Auskunftsrecht als ein umfassendes Recht anerkannt hatte, jedoch entschieden, seinen Anwendungsbereich einzuschränken , indem es feststellte, dass sich das Auskunftsrecht nicht ” auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann“ [bezieht]. “, und indem es darauf hinwies, dass dieses Recht darauf abzielt, die betroffene Person in die Lage zu versetzen, den Umfang und den Inhalt der gespeicherten personenbezogenen Daten zu beurteilen, und ihr nicht dabei zu helfen, ihre Buchführung zu vereinfachen.

In einem Urteil vom 15. Juni 2021 folgte das Bundesverfassungsgericht jedoch nicht dem Ansatz des Landgerichts Köln und vertrat, nachdem es darauf hingewiesen hatte, dass der Begriff der personenbezogenen Daten weit zu verstehen sei, die Auffassung, dass das Auskunftsrecht “potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen“, umfassen kann „unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Um zu beurteilen, ob sich eine Information auf eine betroffene Person bezieht, genügt es, wenn die Informationen aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkung mit einer bestimmten Person verknüpft ist“.

Die weite Auslegung des Umfangs des Auskunftsrechts wird jedoch durch Art. 15 Abs. 4 der DS-GVO eingeschränkt, in dem es heißt, dass “das Recht, eine Kopie zu erhalten, nicht […] die Rechte und Freiheiten anderer beeinträchtigen” darf. Dies bedeutet, dass der für die Verarbeitung Verantwortliche bei der Beantwortung eines Antrags auf Zugang zu den Daten die Rechte Dritter, wie deren Datenschutzrechte, Geschäftsgeheimnisse oder Rechte an geistigem Eigentum, berücksichtigen muss. Darüber hinaus ist darauf hinzuweisen, dass das Auskunftsrecht nur ausgeübt werden kann, wenn sich eine Verarbeitung auf personenbezogene Daten bezieht (der Begriff der personenbezogenen Daten ist allerdings weit zu verstehen). Das Auskunftsrecht erstreckt sich also nicht auf die Verarbeitung von allgemeinen Informationen, die nicht als personenbezogene Daten oder personenbezogene Informationen angesehen werden. In einem Urteil vom 20. Dezember 2017 entschied der EuGH in einem Fall, der sich auf die schriftlichen Antworten eines Prüfungskandidaten in einer Berufsprüfung bezog, dass die Antworten eines Prüfungskandidaten und die Kommentare der Prüfer als “personenbezogene Daten” zu betrachten sind, nicht aber die Prüfungsfragen, “die als solche keine personenbezogenen Daten der Kandidaten darstellen “. In gleicher Weise vertrat der EuGH die Auffassung, dass eine “rechtliche Analyse, […] obwohl sie personenbezogene Daten enthalten kann, als solche keine personenbezogenen Daten darstellt”. Diesem Ansatz folgte auch der deutsche Bundesgerichtshof, der zu dem Schluss kam, dass “Daten über Provisionszahlungen an Dritte ” nicht als personenbezogene Daten des Versicherungsnehmers angesehen werden können und daher nicht unter das Auskunftsrecht fallen.

 

Risiken bei Nichtbeantwortung eines Zugangsantrags

 

Gemäß Artikel 82 Abs. 1 DSGVO kann die betroffene Person eine Entschädigung verlangen, wenn sie infolge eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat. In einer Entscheidung vom 5. März 2020 hat das Arbeitsgericht Düsseldorf einer betroffenen Person eine Entschädigung in Höhe von 5000 EUR zugestanden, da die Kopie der personenbezogenen Daten, die der für die Verarbeitung Verantwortliche gegenüber der betroffenen Person zur Verfügung gestellt hatte, unvollständig war und nicht rechtzeitig bereitgestellt wurde. Das AG Düsseldorf argumentierte, dass aufgrund der monatelangen Verzögerung die [betroffene Person] “im Ungewissen“ über die Verarbeitung ihrer personenbezogenen Daten blieb und dass sie daher einen immateriellen Schaden erlitt .

Allerdings sind nicht alle deutschen Gerichte der Ansicht, dass eine verspätete Antwort auf einen Auskunftsantrag der betroffenen Person die Möglichkeit eröffnet, Schadensersatz zu verlangen. In seiner Entscheidung vom 01. Juli 2021 vertrat das Landgericht Bonn die Auffassung, dass die alleinige Tatsache, dass ein für die Verarbeitung Verantwortlicher der betroffenen Person nicht rechtzeitig geantwortet hat, nicht per se bedeutet, dass der betroffenen Person Schadensersatz gewährt werden muss . Um die Anwendung von Art. 82 Abs. 1 DS-GVO auszulösen, muss die betroffene Person nachweisen, dass ihr durch die verspätete Antwort des für die Verarbeitung Verantwortlichen ein (immaterieller) Schaden entstanden ist. Es ist zu beachten, dass der Begriff des “immateriellen Schadens” im Sinne von Art. 82 DS-GVO derzeit intensiv diskutiert wird und dass der Europäische Gerichtshof vom österreichischen Obersten Gerichtshof ersucht wurde, diesen Begriff gemäß Art. 82 der Datenschutz-Grundverordnung auszulegen .

Nichtsdestotrotz kann ein für die Verarbeitung Verantwortlicher auch gemäß Art. 83 Abs. 5 der Datenschutz-Grundverordnung mit einer Geldstrafe belegt werden: verletzt ein für die Verarbeitung Verantwortlicher die Rechte der betroffenen Person, z. B. das Auskunftsrecht, so kann er mit einer Geldbuße von bis zu 20 000 000 EUR oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden. Im Jahr 2020 verhängte die französische Aufsichtsbehörde gegen einen für die Verarbeitung Verantwortlichen ein Bußgeld in Höhe von 2.250.000 EUR, weil er gegen mehrere Datenschutzbestimmungen verstoßen hatte, darunter Art. 15 der Datenschutz-Grundverordnung.

 

Quellen:

  1. VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
  2. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
  3. CNIL (Die französische Aufsichtsbehörde), RGPD: quel bilan 6 mois après son entrée en application?, 23. November 2018
  4. OVG Lüneburg, 26. Juni 2019, 11 LA 274/18, ErwG. 15 – 16.
  5. ECJ, Peter Nowak v. Data Protection Commissioner, 20. Dezember 2017, C-434/16, ErwG. 57.
  6. ErwG. 63 der DSGVO.
  7. Landgericht Köln, 26. Zivilkammer, Urteil v. 19.06.2019, 26 S 13/18.
  8. Landgericht Köln, 26. Zivilkammer, Urteil v. 19.06.2019, 26 S 13/18, ErwG. 39.
  9. Landgericht Köln, 26. Zivilkammer, Urteil v. 19.06.2019, 26 S 13/18, ErwG. 39
  10. Landgericht Köln, 26. Zivilkammer, Urteil v. 19.06.2019, 26 S 13/18, ErwG 42.
  11. Bundesgerichtshof, Urteil v. 15. Juni 2021, VI ZR 576/19.
  12. Bundesgerichtshof, Urteil v. 15. Juni 2021, VI ZR 576/19, ErwG. 22.
  13. EuGH, Peter Nowak v. Data Protection Commissioner, 20. Dezember 2017, C-434/16, ErwG. 58.
  14. EuGH YS v. Minister voor Immigratie, 17. Juli 2014, C-141/12, ErwG.39.
  15. Bundesgerichtshof, Urteil v. 15. Juni 2021, VI ZR 576/19, ErwG. 28.
  16. Arbeitsgericht Düsseldorf, Urteil v. 3. März 2021, 9 Ca 6557/18.
  17. Arbeitsgericht Düsseldorf, Urteil v. 3. März 2021, 9 Ca 6557/18, ErwG. 111.
  18. Landgericht Bonn, Urteil v. 1. Juli 2021, 15 O 372/20, ErwG. 33.
  19. OGH, Entscheidung v. 14. April 2021, 6Ob120/21x.
  20. CNIL, Entscheidung v. 18. November 2020, Nr. SAN-2020-008.
Tags:
Share this post :
de_DEGerman