Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) haben Personen, deren Daten gespeichert und verarbeitet werden, viele zusätzliche Rechte bekommen. Eines davon ist das „Auskunftsrecht der betroffenen Person“, welches im Artikel 15 geregelt wird.
Wer sein Recht in Anspruch nehmen will, muss dabei aber Regeln einhalten. Für Unternehmen, die entsprechende Anfragen bekommen, kann der Aufwand für eine Auskunft enorm sein – erst recht, wenn sich mit dem Thema vorher keiner beschäftigt und die Prozesse nicht dokumentiert sind. Die DSGVO nimmt darauf aber letztlich keinerlei Rücksicht.
Das „Recht der Rechte“
Das Auskunftsrecht gilt als das wichtigste Recht, dass die DSGVO Betroffenen gewährt. Schließlich kann nur der, der weiß wo Daten über ihn gespeichert sind, weitere Rechte geltend machen. Jede Person hat laut der Datenschutz-Grundverordnung auch das Recht auf Berichtigung oder Löschung von Daten.
Wenn man sich den Artikel 15 der DSGVO genauer betrachtet, dann unterscheidet die Verordnung zwei Stufen des Auskunftsrechts:
Stufe 1
Die betroffene Person kann Auskunft darüber verlangen, ob ein Unternehmen oder eine Behörde überhaupt Daten gespeichert hat, die sie selbst betreffen. Die Antwort auf diese Frage ist im Ergebnis einfach: Ist das der Fall, lautet die Antwort „ja“ (Fall der Positivauskunft). Ist das nicht der Fall, lautet die Antwort „nein“ (Fall der Negativauskunft).
Stufe 2
Sind Daten vorhanden, besteht ein Anspruch der betroffenen Person, diese Daten zu erhalten. Außerdem muss die Person eine ganze Reihe von Informationen zu den Daten bekommen. Dazu gehört etwa die Angabe des Zwecks, zu dem die Daten verarbeitet werden oder wurden.
Verlangt eine betroffene Person Auskunft, dann erhält sie die Daten übrigens so, wie sie vorliegen. Es besteht kein Recht auf ausführliche Erklärung. Ob man mit den Daten immer etwas anfangen kann, ist fraglich. Vor allem im medizinischen Bereich, denn auch der Auskunftsanspruch von Patientenakten ist gegeben, ist die Verständlichkeit der dort verwendeten Fachbegriffe und Abkürzungen in keiner Weise garantiert. Es besteht also laut DSGVO kein Anspruch auf verständliche Auskunft.
Inhalte der Auskunft
Sind personenbezogene Daten über die betroffene Person vorhanden, müssen in der Auskunft darüber folgende Informationen angegeben werden:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Unternehmen in Sorge vor erheblichem Aufwand
Auch wenn Unternehmen die Informationen nicht für die betroffenen Personen verständlich aufbereiten müssen, sind sie in Sorge. Und das nicht, weil sie was zu verbergen haben, wie viele Kritiker denken. Vielmehr scheuen sie den Aufwand, der auf sie zukommen könnte.
Der Aufwand setzt sich aus mehreren Aspekten zusammen:
- Zunächst einmal muss überall im Unternehmen gesucht werden, ob Daten über die anfragende Person vorhanden sind. Nützliche Hinweise darauf, wo wahrscheinlich etwas zu finden ist, erleichtern die Suche natürlich. Beispiel: Die anfragende Person gibt an, dass sie mehrfach als Minijobber im Unternehmen gearbeitet hat. Verpflichtet ist sie zu solchen Angaben allerdings nicht. Die Hinweise sind dennoch sinnvoll, da sie eine Antwort wesentlich beschleunigen
- Der Anspruch auf Auskunft betrifft auch gedruckte Daten auf Papier. Dies kann den Aufwand bei der Suche vervielfachen. Die DSGVO nimmt auf die Besonderheiten von Daten auf Papier aber letztlich keine Rücksicht mehr.
- Der Auskunftsanspruch ist zeitlich nicht begrenzt. Er erstreckt sich auf alle Daten, die vorhanden sind – auch auf solche, die schon viele Jahre unangetastet im Firmenkeller liegen.
- Der Auskunftsanspruch besteht auch dann, wenn es um sehr große Datenmengen geht, etwa um mehrere tausend Seiten.
Eine Kopie ist kostenlos
Sind Daten der betroffenen Person vorhanden, hat die Person Anspruch auf eine kostenlose Kopie der Daten. „Eine“ Kopie ist dabei wörtlich zu nehmen. Wer eine zweite Kopie möchte, der muss dafür im Zweifel bezahlen. Besonders bei umfangreichen Papierunterlagen kann dies für Unternehmen ansonsten ins Geld gehen. Unternehmen und Behörden müssen die Kopie der Daten unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen.
Grenzen beim Auskunftsrecht
Das Recht auf Auskunft geht zwar weit, Grenzen gibt es aber trotzdem. Es ist ausdrücklich festgelegt, dass „das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ darf. Das bedeutet im Detail, dass der Auskunftsanspruch Geschäftsgeheimnisse nicht beeinträchtigen darf. Der Auskunftsanspruch darf sie nicht aushebeln.
