Erwartet denn niemand die Spanische Inquisition? Die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO

Art. 15 DSGVO regelt ausführlich, welche Auskunftsrechte eine betroffene Person gegenüber einem Verantwortlichen geltend machen kann. Aber wie ist dies praktisch umzusetzen? Wie weit reicht der Auskunftsanspruch gemäß EU-Datenschutzgrundverordnung? Der folgende Beitrag zeigt, welche Überlegungen die zur Auskunft Verpflichteten anstellen sollten, um ihren Pflichten gegenüber den Auskunftsberechtigten nachzukommen.

Daten sind überall, und das Netz ist der Computer

Es ist eigentlich eine Binsenweisheit: Informationssysteme sind nicht nur komplex, sie sind auch miteinander verknüpft. Sie speichern immer mehr personenbezogene Daten aus immer mehr Quellen und können diese in immer mehr Zusammenhänge bringen. Die Möglichkeiten zur Verknüpfung von Systemen und Datenbeständen enden längst nicht mehr an der Mauer des Rechenzentrums. In Form von Cloud-Diensten (siehe auch Peters Beitrag zu Cloud-Computing) hat der frühere SUN-Werbeslogan „das Netz ist der Computer“ eine damals wohl nicht vorhergesehene Realisierung gefunden. Ob Daten online, d.h. „im Netz“, oder offline, d.h. auf lokalen Geräten, verarbeitet werden, ist mittlerweile vor allem eine Frage der Wirtschaftlichkeit der Verarbeitung. Es wundert kaum, dass es dadurch enorm schwierig ist, die Formen der Speicherung und Verarbeitung personenbezogener Daten in einem auch nur kleinen Unternehmen nachzuvollziehen.

Das Auskunftsrecht: Fundament des Datenschutzes

Das Datenschutzrecht versucht seit langem, dieser fehlenden Nachvollziehbarkeit mit der Etablierung eines gesetzlichen Auskunftsanspruchs entgegenzuwirken. Eine betroffene Person, in der englischen Fassung der DSGVO treffend als „data subject“ bezeichnet, muss erfahren können, wer welche Daten wann und bei welcher Gelegenheit oder aus welcher Quelle über diese Person gespeichert hat. Das in Art. 15 DSGVO geregelte Auskunftsrecht ist gleichzeitig Ausdruck des der DSGVO zugrunde liegenden Transparenzprinzips, Art. 5 DSGVO. Ergänzend dazu zwingt die in Art. 30 DSGVO geregelte Pflicht, Beschreibungen der Verarbeitungstätigkeiten zu erstellen und in einem Verzeichnis vorzuhalten, Verantwortliche dazu, die eigenen Verarbeitungsprozesse zu dokumentieren. Unternehmen müssen sich somit im Klaren darüber sein, wo denn welche Daten überhaupt sind. Ein Ziel dieser oft als bürokratisch empfundenen Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten der Dokumentation ist daher, den Verantwortlichen überhaupt erst auskunftsfähig zu machen.

Die schnöde Realität: gelebte Vielfalt

Bei der Erstellung der Verfahrensbeschreibung und spätestens dann, wenn es um die Implementierung des von der DSGVO ebenfalls geforderten Löschkonzepts geht, stellen viele Unternehmen fest, dass sie eigentlich gar nicht genau wissen, welche Daten sie aus welchen Gründen über eine betroffene Person gespeichert haben. Richtig schwierig wird es, wenn nachvollzogen werden muss, in welchen Systemen welche Daten überall gespeichert sind. Zentrale Stammdatensysteme, die auf Grundlage eines genauen Datenflussplans alle anderen Systeme eines Unternehmens direkt oder indirekt mit Daten bestücken, sind in der Praxis eher die Ausnahme denn die Regel. Üblich ist vielmehr ein Zoo von verschiedenen, historisch gewachsenen Applikationen, die untereinander kaum oder nur mit Hilfe von oft komplexer Middleware miteinander kommunizieren, und schon deshalb auf Grundlage von teilweise redundante Datenbeständen operieren. Was operativ schon ein erhebliches Risiko ist, kann aufgrund der DSGVO zu einer bußgeldauslösenden Stolperfalle werden.

Risiko Auskunftsrecht

Mit Anwendbarkeit der DSGVO erhielten viele Unternehmen Anfragen von Personen, die Auskunft über die – oft auch nur vermeintlich – über sie gespeicherten Daten bekommen wollten. Je nach verwendetem Musterschreiben wurden dabei oft sehr weitreichende Forderungen gestellt. Demgegenüber fehlt vielen Applikationen bis heute die technische Unterstützung  für die Erteilung von Auskünften. Betroffene erhalten meist nur manuell erstellte, statische Datenbankauszüge und keine aussagekräftigen Informationen über vergangene Datenerhebungen, Weitergaben und Informationsflüsse. Von besondere Bedeutung ist daher die Frage, wie weit denn das Auskunftsrecht wirklich reicht.

Bisheriges Recht: Anspruch auf Auskunft gem. § 34 BDSG

Das Auskunftsrecht ist keinesfalls eine Erfindung der Verfasser der DSGVO. Schon im bisherigen Bundesdatenschutzgesetz (BDSG-alt) war es in § 34 geregelt, und wer suchte, fand zahlreiche Muster mit Auskunftsanfragen, die etwa Datenschutzbehörden oder Verbraucherschutzverbände bereitstellten. § 34 BDSG-alt regelte, dass Auskunft verlangt werden konnte über

  • alle Daten, die zu dem Auskunftsberechtigten gespeichert waren;
  • die Herkunft der Daten, d.h. wo und wann sie erhoben wurden, oder von wem die Daten stammten;
  • den jeweiligen Zweck der Speicherung; und,
  • sofern eine Übermittlung an Dritte stattfand, alle Empfänger bzw. Empfängerkategorien, an die die gespeicherten Daten übermittelt wurden;
  • Beim Scoring (§ 28b BDSG-alt) bestand zudem ein detailliert geregelter Anspruch auf Erläuterung von Einzelheiten des Scoring-Verfahrens, einschließlich der Empfänger der Scores.

Ja, aber – was ist dann im Art. 15 DSGVO neu?

Nicht wirklich viel. Schaut man sich diese Liste an und vergleicht sie mit Art. 15 DSGVO, wird man erhebliche Parallelen feststellen:

  • Es besteht ein Recht auf Auskunft zu allen Daten, die zu dem Auskunftsberechtigten gespeichert waren; über
  • Verarbeitungszwecke, Kategorien von Daten, Empfängern der Daten einschließlich Auftragsverarbeitern; über
  • Speicherdauer oder Löschkriterien; über die
  • Herkunft der Daten, d.h. wo und wann sie erhoben wurden, oder von wem die Daten stammten;
  • Auskünfte zu automatisierten Entscheidungen; sowie
  • über eventuelle Übermittlungen in Drittländer.

Vergleicht man Art. 15 DSGVO mit § 34 BDSG-alt, fällt schnell auf, dass erhebliche Parallelen bestehen und einige Regelungen, wie z.B. der sehr ausführliche § 34 Abs. 2 BDSG-alt zum Scoring, in der DSGVO sehr viel geraffter geregelt sind. Auch der bisher geltende Grundsatz, die Auskunft sei „unverzüglich“ zu erteilen, womit praktisch eine Frist von zwei Wochen und nur mit guter Begründung deutlich längere Antwortzeiten zulässig waren, ist durch die Fristen in Art. 12 Abs. 3 DSGVO eher günstiger für Unternehmen geworden.

Aufrüttelnd wirkt allerdings, dass die bisher relativ niedrige Bußgelddrohung von bis zu 50.000 EUR (§ 43 Abs. 1 Nr. 8a – 8c i.V.m. § 43 Abs. 3 BDSG-alt) durch die zumindest theoretisch drakonisch hohen Strafen in Art. 83 DSGVO ersetzt wurden. Ob die aber ausgerechnet bei einer fehlenden oder fehlerhaften Auskunft verhängt werden, bleibt abzuwarten. Problematisch kann dabei vor allem sein, dass viele Auskünfte nicht vollständig zu sein scheinen. Die Verbraucherschutzvereine verfolgen Publikationen wie diese von der Stiftung Warentest sicherlich mit besonderer Aufmerksamkeit.

https://youtu.be/7XwHmOkNUhw

Unerbittlich: Durchsetzung von Auskunftsansprüchen im Vereinigten Königreich

 

Als eine wirkliche Neuerung in der DSGVO kann man das „Recht auf Datenübertragbarkeit“ aus Art. 20 DSGVO bezeichnen – wenn man es denn als eine spezielle, weitreichende Form des Auskunftsrechts versteht. Hierin liegt in der Tat eine deutliche Erweiterung der bisherigen Verpflichtungen der Verantwortlichen.

Inhalt und Form der Auskunftserteilung

Art. 15 DSGVO regelt nur sehr kurz, in welcher Form die Auskunft zu erteilen ist: Nach Abs. 3 sei „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen. Elektronische Anfragen seien elektronisch zu beantworten, falls nicht anders gewünscht. Für die Bereitstellung zusätzlicher Kopien kann ein angemessenes Entgelt zur Deckung der Verwaltungskosten verlangt werden. Einige unserer Mandanten haben sich nun gefragt, ob sie wirklich „Kopien“, also Duplikate der Datensätze, zur Verfügung zu stellen haben. Gerade bei komplexen Datenbanken kann dies sehr aufwendig sein, während die Lesbarkeit darunter leidet.

Um diese Frage zu beantworten, kann ein Urteil des Europäischen Gerichtshofes (EuGH) aus dem Jahr 2014, d.h. noch vor der Verabschiedung, aber bereits während der Beratungen zu DSGVO, wertvolle Hinweise geben. Der EuGH hat darin (EuGH, Urt. vom 17.07.2014, verb. RSen C-141/12 und C-372-12) u.a. Stellung zur Reichweite des Auskunftsanspruchs genommen.

In den entschiedenen Fällen war streitig, ob sich aus dem – damals noch in der EU-Datenschutzrichtlinie und deren nationalen Umsetzungen – geregelten Auskunftsrecht auch ein Anspruch auf Überlassung einer Kopie des gesamten Originaldokuments ergibt, in dem die Daten enthalten sind, oder ob es reicht, die Auskunft in Form einer Übersicht zu den  gespeicherten Daten zu erteilen.

Der EuGH hat diese Frage dahingehend entschieden, dass kein Anspruch auf Überlassung einer Kopie des gesamten Dokuments besteht (vgl. Rz 57f. der EuGH-Entscheidung). Das Auskunftsrecht garantiere der  betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten zu erhalten. Die Auskunft müsse vollständig sein, aber solange die Mitteilung „verständlich“ sei, gebe die EU-Datenschutzrichtlinie nicht vor, in welcher konkreten Form die Mitteilung zu erfolgen habe. „Verständlich“ bedeute, dass die Auskunft es der betroffenen Person „ermöglicht, von diesen Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der Richtlinie gemäß verarbeitet werden“. Die betroffene Person solle so in die Lage versetzt werden, zu prüfen, ob sie weitere, ihr zustehende, Rechte ausüben könne.

Dieser Zweck sei auch dann erfüllt, wenn die Auskunft in anderer Form als durch eine Kopie der betreffenden Dokumente erteilt werde. Um sicherzustellen, dass die betroffene Person keinen Zugang zu anderen Informationen als den sie selbst betreffenden personenbezogenen Daten erhalte, könnten im Dokument enthaltene andere Informationen unkenntlich gemacht werden (vgl. Rz 59 der EuGH-Entscheidung).

Anwendung auf die DSGVO

Die DSGVO enthält keine konkretere Festlegung zur Form des Auskunftsanspruches. Anders als bei der EU-Datenschutzrichtlinie gibt es aber nur sehr eingeschränkte Möglichkeiten der nationalen Gesetzgeber, konkretisierende Regelungen zu erlassen. Von daher liegt es nahe, den Grundgedanken des EuGH-Urteils auch auf Art. 15 Abs. 3 DSGVO zu übertragen: das Auskunftsrecht reicht nicht so weit, als dass dem Betroffenen Teile von Datenbanken zur Verfügung gestellt werden müssen, die womöglich auch Daten von andere Betroffenen enthalten. Es reicht vielmehr aus, eine vollständige (!) aber eben lesbare und verständliche Darstellung bereitzustellen. Der vom EuGH bemühte Gedanke der „Verständlichkeit“ lässt sich in Art. 12 Abs. 1 DSGVO wiederfinden. Danach müssen Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden. Ein bloßer Datenbank-Dump als PDF, wie ihn einstmals Max Schrems von Facebook erhielt, würde diesen Anforderungen nicht genügen.

Auskunftsrecht nach Art. 15 DSGVO: Zusammenfassung

Das Auskunftsrecht nach Art. 15 DSGVO stellt an Unternehmen nur wenige wirklich neue Anforderungen. Wer schon unter dem BDSG-alt seine Auskunftsprozesse im Griff hatte, wird nur wenige Änderungen vorgenommen haben, als die DSGVO anwendbar wurde. Dabei kann die kürzere und kompaktere Regelung in der DSGVO als Aufforderung verstanden werden, den Betroffenen die Auskünfte in einer aufbereiteten, lesbaren Form zu erteilen. Darüber hinausgehenden Ansprüchen muss der Verantwortliche nicht nachkommen.

Bei der praktischen Umsetzung der Prozesse zur Auskunftserteilung sollten Verantwortliche ganzheitlich denken: Löschkonzept und Verfahrensbeschreibung zwingen sie ohnehin dazu, „auskunftsfähig“ zu werden. Hierin liegt also ein großes Potential, um aus den scheinbar quälenden, quasi folternden Ansprüchen des Gesetzgebers an die Verantwortlichen einen Prozess zu schaffen, der dem Ganzen eine Melodie und Struktur gibt.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen

Torquemada tanzt die Spanische Inquisition. Aus: History of the World, Part 1 (1981)

 

Titelbild / Cover picture: Copyright © fotolia



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
Einbahnstraße FiDA – warum gut gemeint nicht gut gemacht ist
Weiterlesen

Einbahnstraße FiDA – warum gut gemeint nicht gut gemacht ist

Mit ihrem Vorschlag für eine Verordnung über einen Rahmen für den Zugang zu Finanzdaten (Financial Data Access – „FiDA“) will die Europäische Kommission dem Prinzip des Open Banking einen erheblichen Schub verpassen. Vorbild ist der Zugang zu Zahlungskonten, wie ihn die 2. Zahlungsdiensterichtlinie („PSD2“) und entsprechend das Zahlungsdiensteaufsichtsgesetz („ZAG“) gewähren, wobei die Kommission in der FiDA ganz andere Zugangsmechanismen vorsieht.
Weiterlesen
KI-Verordnung der EU – Was Finanzinstitute jetzt wissen müssen
Weiterlesen

KI-Verordnung der EU – Was Finanzinstitute jetzt wissen müssen

Der Einfluss von Künstlicher Intelligenz (KI) auf die Entwicklung der Finanzdienstleistungen reicht von der Personalisierung des Bankerlebnisses für die Kunden über die Optimierung der Kreditvergabe bis hin zu Alpha-Investitionsstrategien und modernen Chatbot-Diensten. Die am 13.03.2024 von der EU verabschiedete Verordnung über Künstliche Intelligenz (KI) ist ein wegweisender und weltweit erstmaliger Rechtsakt, der darauf abzielt, die Nutzung von KI in verschiedenen Sektoren zu regulieren, wobei der Finanzsektor einen Schwerpunkt bildet.
Weiterlesen