Allgemeine Grundsätze des Auskunftsrechts
Wenn eine betroffene Person einen Auskunftsantrag stellt, müssen ihr grundsätzlich alle in Art. 15 DSGVO genannten Informationen zur Verfügung gestellt werden. Daher hat der Verantwortliche, wenn er die betroffene Person betreffende Daten verarbeitet, alle in Art. 15 Abs, 1 und gegebenenfalls die in Art. 15 Abs. 2 genannten Informationen zur Verfügung zu stellen.
Jeder Verantwortliche muss alle geeigneten Maßnahmen treffen, um sicherzustellen, dass die Informationen vollständig und aktuell sind und dem Stand der zum Zeitpunkt des Erhalts des Antrags verarbeiteten Daten entsprechen. Falls Daten von zwei oder mehreren Verantwortlichen gemeinsam verarbeitet werden, berührt die Vereinbarung der gemeinsam Verantwortlichen über ihre jeweiligen Verpflichtungen im Hinblick auf die Wahrnehmung der Rechte der betroffenen Person, insbesondere die Beantwortung von Auskunftsanträgen, nicht die Rechte der betroffenen Person gegenüber dem Verantwortlichen, an den sie ihren Antrag richtet.
a) Vollständigkeit der Auskunft
Die betroffene Person hat vorbehaltlich der nachstehend genannten Ausnahmen das Recht, vollständige Auskunft über alle sie betreffenden Daten zu erhalten. Sofern von der betroffenen Person nicht ausdrücklich etwas anderes verlangt wird, muss grundsätzlich davon ausgegangen werden, dass ihr Auskunftsantrag alle sie betreffenden personenbezogenen Daten umfasst. Eine Beschränkung des Zugangs zu einem Teil der Informationen kann in den folgenden Fällen in Betracht gezogen werden:
- Die betroffene Person hat ihren Antrag ausdrücklich auf eine Teilmenge von Daten beschränkt. Um unvollständige Informationen zu vermeiden, darf der Verantwortliche diese Einschränkung des Antrags der betroffenen Person nur dann erwägen, wenn er sicher sein kann, dass diese Auslegung dem Wunsch der betroffenen Person entspricht. Grundsätzlich soll die betroffene Person die Übermittlung aller Daten, für die sie Auskunftsrecht hat, nicht erneut beantragen müssen.
- Wenn der Verantwortliche eine große Menge von Daten über die betroffene Person verarbeitet, mag er bezweifeln, dass ein sehr allgemein formulierter Antrag auf Auskunft wirklich darauf abzielt, Informationen über alle Arten von Daten, die verarbeitet werden, oder über alle Tätigkeitsbereiche des Verantwortlichen im Einzelnen zu erhalten. Solche Zweifel können insbesondere in Situationen auftreten, in denen es keine Möglichkeit gab, der betroffenen Person von Anfang an Instrumente zur Spezifizierung ihres Antrags zur Verfügung zu stellen, oder in denen die betroffene Person von diesen keinen Gebrauch gemacht hat. Der Verantwortliche steht dann vor dem Problem, wie er eine vollständige Antwort geben und gleichzeitig vermeiden kann, dass die betroffene Person mit Informationen überhäuft wird, an denen sie nicht interessiert ist und die sie nicht effektiv verwenden kann. Je nach den Umständen und den technischen Voraussetzungen lässt sich dieses Problem eventuell lösen, z. B. durch die Bereitstellung von Selbstbedienungstools in Online-Kontexten. Falls eine solche Möglichkeit nicht vorhanden ist, kann der Verantwortliche, der eine große Menge von Informationen über die betroffene Person verarbeitet, verlangen, dass die betroffene Person präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich ihr Auskunftsantrag bezieht, bevor er ihr Auskunft erteilt (siehe Erwägungsgrund 63 der DSGVO). Beispiele hierfür sind ein Unternehmen mit mehreren Tätigkeitsbereichen oder eine Behörde mit verschiedenen Verwaltungseinheiten, wenn der Verantwortliche festgestellt hat, dass zahlreiche Daten der betroffenen Person in diesen einzelnen Bereichen verarbeitet werden. Eine große Menge an Daten kann auch von Verantwortlichen verarbeitet werden, die Daten über häufige Aktivitäten der betroffenen Person über einen längeren Zeitraum hinweg erheben.
Beschließt der Verantwortliche in solchen Fällen, die betroffene Person zur Präzisierung ihres Antrags aufzufordern, um ihr die Ausübung des Auskunftsrechts zu erleichtern (Art. 12 Abs. 2 DSGVO), muss er ihr gleichzeitig aussagekräftige Informationen über seine Verarbeitungsvorgänge erteilen, die für die betroffene Person von Belang sein könnten, etwa hinsichtlich seiner einschlägigen Tätigkeitsbereiche, Datenbanken usw.
Es ist wichtig zu betonen, dass das Ersuchen um Präzisierung nicht darauf abzielt, die Antwort auf den Auskunftsantrag einzuschränken, und nicht dazu verwendet werden darf, Informationen zu den über die betroffene Person gehaltenen Daten oder zu deren Verarbeitung zu verbergen. Wenn die betroffene Person, die gebeten wurde, den Umfang ihres Antrags zu präzisieren, bestätigt, dass sie alle sie betreffenden personenbezogenen Daten anfordert, muss der Verantwortliche diese natürlich vollständig zur Verfügung stellen.
Der Verantwortliche sollte auf jeden Fall nachweisen können, dass die Art und Weise der Bearbeitung des Antrags darauf abzielt, dem Auskunftsrecht die größtmögliche Wirkung zu verleihen, und dass sie im Einklang mit seiner Verpflichtung steht, der betroffenen Person die Ausübung ihrer Rechte zu
erleichtern (Art. 12 Abs. 2 DSGVO). Entsprechend diesen Grundsätzen kann der Verantwortliche die Antwort der betroffenen Person abwarten, bevor er ihr zusätzliche Daten entsprechend ihrem Antrag zur Verfügung stellt, sofern er der betroffenen Person einen klaren Überblick über sämtliche Verarbeitungsvorgänge gegeben hat, die sie betreffen könnten – einschließlich insbesondere derjenigen, mit denen die betroffene Person nicht gerechnet hat –, er der betroffenen Person jedenfalls Auskunft über alle von ihr zweifelsohne angeforderten Daten erteilt hat und diese Informationen darüber hinaus klare Hinweise darauf enthielten, wie man Zugang zu den übrigen Teilen der verarbeiteten Daten erhält.
- Das Auskunftsrecht unterliegt bestimmten Ausnahmen und Einschränkungen (siehe weiter unten). In solchen Fällen sollte der Verantwortliche sorgfältig prüfen, welche Teile der Informationen von der Ausnahmeregelung erfasst werden, und alle Informationen zur Verfügung stellen, für die die Ausnahme nicht greift. So darf beispielsweise die Bestätigung der Verarbeitung personenbezogener Daten als solche von der Ausnahme nicht betroffen sein. Folglich muss Auskunft über alle personenbezogenen Daten und alle Informationen gemäß Art. 15 Abs. 1 und 2 erteilt werden, die nicht von der Ausnahme oder Einschränkung betroffen sind.
b) Richtigkeit der Angaben
Die Informationen, die in der Kopie der personenbezogenen Daten enthalten sind, die der betroffenen Person ausgehändigt wird, müssen die tatsächlichen Informationen oder personenbezogenen Daten umfassen, die über die betroffene Person gespeichert sind. Dazu gehört auch, dass Auskunft über unrichtige Daten oder über eine Datenverarbeitung, die nicht oder nicht mehr rechtmäßig ist, erteilt werden muss. Die betroffene Person kann das Auskunftsrecht beispielsweise in Anspruch nehmen, um herauszufinden, woher die unrichtigen Daten stammen, die zwischen verschiedenen Verantwortlichen übermittelt werden. Würde der Verantwortliche unrichtige Daten berichtigen, bevor er die betroffene Person davon in Kenntnis gesetzt hat, wäre die betroffene Person dieser Möglichkeit beraubt. Das Gleiche gilt für den Fall einer unrechtmäßigen Verarbeitung. Die Möglichkeit der betroffenen Person, über eine sie betreffende unrechtmäßige Verarbeitung Kenntnis zu erlangen, ist einer der Hauptzwecke des Auskunftsrechts. Die Verpflichtung, über den unveränderten Stand der Verarbeitung zu informieren, gilt unbeschadet der Verpflichtung des Verantwortlichen, eine unrechtmäßige Verarbeitung zu beenden oder unrichtige Daten zu berichtigen.
c) Referenzzeitpunkt für die Beurteilung
Die Beurteilung der verarbeiteten Daten muss so genau wie möglich die Situation zu dem Zeitpunkt widerspiegeln, zu dem der Verantwortliche den Antrag erhält, und die Antwort sollte alle zu diesem Zeitpunkt verfügbaren Daten umfassen. Der Verantwortliche muss also versuchen, sämtliche die betroffene Person betreffenden Datenverarbeitungsvorgänge unverzüglich ausfindig zu machen. Entsprechend ist der Verantwortliche nicht verpflichtet, personenbezogene Daten zu übermitteln, die er in der Vergangenheit verarbeitet hat und über die er nicht mehr verfügt. So kann es beispielsweise sein, dass der Verantwortliche personenbezogene Daten im Einklang mit seiner Datenspeicherungspolitik und/oder gemäß gesetzlichen Bestimmungen gelöscht hat und daher nicht mehr in der Lage ist, die angeforderten personenbezogenen Daten bereitzustellen. In diesem Zusammenhang ist daran zu erinnern, dass die Dauer der Speicherung der Daten gemäß Art. 5 Abs. 1 Buchstabe e DSGVO festgelegt werden sollte, da jede Aufbewahrung von Daten objektiv gerechtfertigt sein muss.
Zudem muss der Verantwortliche im Voraus die erforderlichen Maßnahmen ergreifen, um die Ausübung des Auskunftsrechts zu erleichtern und um solche Anträge so schnell wie möglich (siehe Art. 12 Abs. 3), und bevor die Daten gelöscht werden müssen, zu bearbeiten. Bei kurzen Aufbewahrungsfristen sollten die zur Beantwortung des Antrags getroffenen Maßnahmen daher an die entsprechende Aufbewahrungsfrist angepasst werden, um die Ausübung des Auskunftsrechts zu erleichtern und zu vermeiden, dass der Zugang zu den zum Zeitpunkt des Antrags verarbeiteten Daten permanent unmöglich ist. In einigen Fällen kann es jedoch unmöglich sein, einen Antrag vor dem Zeitpunkt der geplanten Löschung der Daten zu beantworten.
Darüber hinaus darf sich der Verantwortliche nicht vorsätzlich der Verpflichtung entziehen, die angeforderten personenbezogenen Daten bereitzustellen, indem er personenbezogene Daten auf einen Auskunftsantrag hin löscht oder ändert. Stellt der Verantwortliche bei der Bearbeitung des Auskunftsantrags fest, dass die Daten unrichtig sind oder unrechtmäßig verarbeitet werden, muss er den Stand der Verarbeitung ermitteln und die betroffene Person entsprechend informieren, bevor er seinen sonstigen Verpflichtungen nachkommt. Der Verantwortliche sollte Informationen über nachfolgende Berichtigungen oder Löschungen im eigenen Interesse hinzufügen, um weitere Mitteilungen zu vermeiden, aber auch um dem Transparenzgrundsatz gerecht zu werden.
Um den Grundsatz der Transparenz zu wahren, sollte der Verantwortliche die betroffene Person über den konkreten Zeitpunkt der Verarbeitung informieren, auf die sich die Antwort des Verantwortlichen bezieht.
d) Einhaltung der Anforderungen an die Datensicherheit
Da es sich bei der Übermittlung und Bereitstellung personenbezogener Daten an die betroffene Person um einen Verarbeitungsvorgang handelt, ist der Verantwortliche stets verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko der Verarbeitung angemessenes Maß an Sicherheit zu gewährleisten (siehe Art. 5 Abs. 1 Buchstabe f, Art. 24 und Art. 32 DSGVO). Dies gilt unabhängig davon, in welcher Form die Auskunft erteilt wird. Im Falle einer nicht elektronischen Übermittlung der Daten an die betroffene Person kann der Verantwortliche je nach den mit der Verarbeitung verbundenen Risiken den Versand per Einschreiben in Erwägung ziehen oder alternativ der betroffenen Person anbieten, sie jedoch nicht dazu verpflichten, die Datei gegen Unterschrift direkt in einer Niederlassung des Verantwortlichen abzuholen. Werden gemäß Art. 12 Abs. 1 und 3 Informationen auf elektronischem Weg übermittelt, wählt der Verantwortliche elektronische Mittel, die den Anforderungen an die Datensicherheit entsprechen.
Falls eine Kopie der Daten in einem gängigen elektronischen Format (siehe Art. 15 Abs. 3) zur Verfügung gestellt wird, muss der Verantwortliche bei der Wahl der Mittel zur Übermittlung der elektronischen Datei an die betroffene Person die Anforderungen an die Datensicherheit berücksichtigen. Dies kann Verschlüsselung, Passwortschutz usw. umfassen. Um den Zugang zu verschlüsselten Daten zu erleichtern, sollte der Verantwortliche auch sicherstellen, dass geeignete Informationen zur Verfügung gestellt werden, damit die betroffene Person Zugang zu den entschlüsselten Informationen hat. In Fällen, in denen die Anforderungen an die Datensicherheit eine Ende-zu-Ende-Verschlüsselung elektronischer Nachrichten erfordern würden, der Verantwortliche aber nur eine normale E-Mail versenden kann, muss er auf andere Mittel zurückgreifen, z. B. einen USB-Stick per (eingeschriebener) Briefpost an die betroffene Person senden.
Fundstelle: Version 2.1 der „Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht“ des Europäischen Datenschutzausschusses (EDSA) – abrufbar im Internet beispielsweise unter https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_de.pdf