SBS Firmengruppe Logos

| Datenschutzrecht

Reichweite des DSGVO-Auskunftsanspruchs ist einschränkbar


Welche Informationen können nach dem Auskunftsrecht der DSGVO verlangt werden?

Der Auskunftsanspruch aus Artikel 15 Absatz 1 der Datenschutzgrundverordnung (DSGVO) bietet allen Betroffenen die Möglichkeit, Auskunft über die von ihnen gesammelten personenbezogenen Daten zu bekommen und die Rechtmäßigkeit der Verarbeitung zu überprüfen. Auch wenn eine Vielzahl von Informationen und Daten, die angefordert werden können, von der Reichweite umfasst sind, hat der Europäische Gerichtshof (EuGH) kürzlich entschieden, dass selbst das Auskunftsrecht im Einzelfall in seiner Reichweite einschränkbar ist. 

Was ist der Auskunftsanspruch aus der DSGVO?

Heutzutage werden fast überall personenbezogene Daten von Privatpersonen erfasst und verarbeitet. Um die betroffenen Personen allerdings davor zu schützen, dass ihre Daten missbräuchlich verwendet werden, beinhaltet die DSGVO zahlreiche Regelungen zu den Voraussetzungen und Maßgaben über die Verarbeitungen und außerdem einen Auskunftsanspruch für Betroffene, um überprüfen zu können welche Daten gesammelt wurden und ob dies rechtmäßig geschehen ist. Die Ausübung des Rechts ist allerdings nicht grenzenlos. Stattdessen ist sie durch ein Recht für die Verantwortlichen der Datenverarbeitung, sich bei unbegründeten oder exzessiven Anträgen zu weigern, die gewünschten Informationen preiszugeben, einschränkbar. 


EuGH soll Fragen bezüglich der Reichweite klären

Der Europäischen Gerichtshofs (EuGH) war kürzlich mit der Frage konfrontiert, welche Informationen von dem DSGVO-Auskunftsanspruch umfasst sind und inwiefern dieses Recht eingeschränkt werden kann. Im Ausgangsfall ging es darum, dass der Kläger mitbekommen hat, dass seine Bank, bei der er Kunde und Mitarbeiter war, innerhalb eines Zeitraums von zwei Monaten mehrmals personenbezogene Daten abgefragt hat. Nachdem er das Arbeitsverhältnis kündigte, bekam er Zweifel an der Rechtmäßigkeit dieser Abfragen, weshalb er die Bank dazu aufforderte, die Identität der verarbeitenden Personen, den Zeitpunkt der Abfragen und den Zweck der Datenverarbeitung preiszugeben. Die Bank verweigerte die Auskunft allerdings mit der Begründung, die fraglichen Protokolldateien enthielten personenbezogene Daten der anderen Arbeitnehmer. Sie erklärte allerdings, dass der Grund für die Abfragen gewesen sei, sicherzustellen dass es zu keinem Interessenkonflikt im Zusammenhang mit dem Kläger gekommen war. Die Verarbeitung der Daten sei deshalb zur Klärung dieser Frage notwendig gewesen und der Verdacht konnte dadurch ausgeräumt werden. Laut der Bank hätte jeder Mitarbeiter, der an der Verarbeitung der personenbezogenen Daten beteiligt war, eine Erklärung mit den jeweiligen Gründen für die Nutzung abgeben müssen. Als der Kläger sich daraufhin an die zuständige Aufsichtsbehörde wandte und diese seinen Antrag ablehnte, weil das Ersuchen sich nicht speziell auf die Daten des Klägers, sondern auf die Identität der Arbeitnehmer beziehe, wollte der Kläger seinen Anspruch gerichtlich durchsetzen lassen. Das jeweilige Gericht zog den EuGH für die genaue Festlegung der Reichweite des DSGVO-Auskunftsanspruchs zu Rate.


Gibt es zeitliche Einschränkungen für die Ausübung des Anspruchs?

Zunächst sollte von dem EuGH geklärt werden, ob das Recht auf Auskunft aus Artikel 15 Absatz 1 der DSGVO überhaupt in Fällen angewendet werden kann, in der die fraglichen personenbezogenen Daten vor dem Inkrafttreten der DSGVO verarbeitet wurden, das Auskunftsersuchen allerdings nach Beginn der Anwendbarkeit der Verordnung gestellt wurde. Dafür müssen zwei Arten an rechtlichen Vorschriften unterschieden werden: während Verfahrensvorschriften grundsätzlich ab dem Zeitpunkt des Inkrafttretens Anwendung finden, sind materiell-rechtliche Vorschriften so auszulegen, dass sie nur auf zuvor entstandene oder erworbene Rechtspositionen anwendbar sind, wenn nicht explizit etwas anderes geregelt wurde. Artikel 15 der DSGVO betrifft nicht die (materiell-rechtlichen) Voraussetzungen für die Rechtmäßigkeit der Verarbeitung und beschränkt sich stattdessen auf die Reichweite des Auskunftsrechts bezüglich der aufgeführten personenbezogenen Daten und Informationen. Der EuGH ordnete die Norm deshalb als verfahrensrechtlich ein, sodass der Auskunftsanspruch für jede Verarbeitung anwendbar ist, wenn das Ersuchen gestellt wurde, nachdem die DSGVO in Kraft getreten ist.

Reichweite umfasst auch Protokolldatein, die externe Faktoren beinhalten

Der DSGVO-Auskunftsanspruch umfasst bezüglich grundsätzlich die Informationen bezüglich der Bestätigung der Verarbeitung, des Verarbeitungszwecks, der Frage, welche eigenen personenbezogene Daten betroffen sind, der Logik, nach der verarbeitet wurde, und des Empfängers oder den Kategorien an Empfängern. Um einen umfassenden Überblick über die die eigene Person betreffenden gesammelten Daten bekommen zu können, können grundsätzlich auch Informationen über andere Personen, die mit dem Inhalt oder Zweck der Verarbeitung verbunden sind, erfasst sein. Dem Kläger ging es hier vor allem darum, herauszufinden, zu welchem Zeitpunkt welche personenbezogenen Daten von wem abgefragt und somit verarbeitet wurden, was vollumfänglich durch die Übermittlung der Protokolldatein hätte beantwortet werden können. Insbesondere die Abfrage des Zeitpunkts hätte bestätigt, wann die Daten tatsächlich verarbeitet wurden, und zudem einen Gesichtspunkt in Bezug auf die Prüfung der Rechtmäßigkeit bieten können. Gemäß Artikel 15 Absatz 3 der Verordnung kann eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung geworden sind, angefordert werden, wodurch die betroffene Person eine originalgetreue Reproduktion oder Abschrift der verarbeiteten Daten verlangen darf. Eine allgemeine Umschreibung der Daten reicht daher nicht aus, sodass die Übermittlung der Protokolldateien eine geeignete Reproduktion der Daten darstellen würde und dadurch grundsätzlich von der Reichweite des DSGVO-Auskunftsanspruchs umfasst ist. 

Können verarbeitende Arbeitnehmer überhaupt Empfänger der personenbezogenen Daten sein? 

Auch wenn der Wortlaut des Auskunftsrechts grundsätzlich auch die Informationen über die Empfänger beziehungsweise Kategorien an Empfängern umfasst, war nicht klar, wie weit der Kreis möglicher Empfänger ausgelegt werden kann und ob die Reichweite in Bezug darauf einschränkbar ist. Der Kläger wollte explizit wissen, von welchen Mitarbeitern seine personenbezogenen Daten verarbeitet wurden, obwohl diese eigentlich der Daten verarbeitenden Bank unterstellt sind.

Wer gilt generell als Empfänger der personenbezogenen Daten?

Artikel 4 der DSGVO enthält die wichtigen Definitonen für das Verständnis und die Auslegung der Verordnung. Empfänger ist demnach jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der die personenbezogenen Daten offengelegt werden, unabhängig davon, ob diese Person ein außenstehender Dritter ist oder nicht. 


Die Daten sind zwar an sich auch für die Mitarbeiter der Bank zugänglich, diese müssen aber zwingend für die Ausübung ihrer Arbeit auf die personenbezogenen Daten der Kunden zugreifen können und verarbeiten die Daten unter Aufsicht des Verantwortlichen, in diesem Fall der Bank, und im Einklang mit dessen Weisungen. Sie sind grundsätzlich nicht von dem Empfängerkreis im Sinne der DSGVO umfasst. Es stellt sich allerdings die Frage, ob die Identität der verarbeitenden Personen trotzdem für die Reichweite des Auskunftsrechts relevant sein könnte, um sicherzustellen, dass wirklich unter Anweisung des Verantwortlichen gehandelt wurde. Der Erwägungsgrund 63 der DSGVO stellt allerdings fest, dass die Rechte und Freiheiten anderer Personen grundsätzlich nicht beeinträchtigt werden sollen, sodass der Auskunftsanspruch dahingehend einschränkbar ist. Der EuGH hat in Anbetracht dessen entschieden, dass die Bereitstellung von Daten über die Identität anderer von der Reichweite umfasst ist, allerdings nur, wenn dies für die Rechtmäßigkeitsprüfung wirklich notwendig ist. Die gegenseitigen Interessen müssen dadurch im Einzelfall abgewägt werden, wodurch die Rechte und Freiheiten Anderer eine Einschränkung der Reichweite des Anspruchs durchaus begründen können. In diesem Fall versucht der Kläger allerdings nicht, mit den Informationen über die Identitäten der Mitarbeiter deren Handeln nach der Anweisung der Bank zu überprüfen, sondern verlangte die Auskunft, weil er an der Richtigkeit der erteilten Informationen über den Verarbeitungszweck seiner Daten zweifelte. Er hat deshalb kein Recht aus Art. 15 Absatz 1 DSGVO, selbst die Auskunft erteilt zu bekommen, sondern kann sich lediglich bei der zuständigen Aufsichtsbehörde beschweren, die ihrerseits dann die Bank dazu anweisen kann, ihr gegenüber alle für die Beschwerdeprüfung notwendigen Informationen bereitzustellen. 

Ist es von Bedeutung, dass der Betroffene selbst Mitarbeiter war?

Für den Auskunftsanspruch aus Artikel 15 Absatz 1 der DSGVO gibt es an sich keine Unterscheidung bei der Art der Tätigkeiten des für die Verarbeitung Verantwortlichen oder der persönlichen Eigenschaften der betroffenen Person. Es gibt zwar die Möglichkeit für die Mitgliedsstaaten der Europäischen Union, den Umfang der daraus entstehenden Rechte und Pflichten im Wege der nationalen Gesetzgebung zu beschränken, von dieser wurde im vorliegenden Fall allerdings kein Gebrauch gemacht. Es gibt auch keinen Einfluss des Kontextes, in dem das Auskunftsersuchen gestellt wurde, auf die Reichweite des Rechts, sodass es keinen Unterschied macht, dass der Kläger zuvor für die Bank, die seine Daten verarbeitet hat, gearbeitet hat.


SBS LEGAL - Ihre Anwälte für Datenschutzrecht 

Die DSGVO begegnet uns nahezu überall und mit jeder Zustimmung werden neue Daten gesammelt und verarbeitet. Auch wenn das Auskunftsrecht allen Betroffenen zusteht, so kann die Ausübung trotzdem zu einer Herausforderung werden. Durch seine jahrelange Expertise im Datenschutzrecht steht unser Team Ihnen bei allen Fragen in Bezug auf Ihre Rechte zur Seite.

Haben Sie noch Fragen zu dem DSGVO-Auskunftsanspruch oder dem Datenschutzrecht?

Zögern Sie nicht, sich an uns zu wenden! Egal ob Sie Verantwortlicher oder Betroffener sind, Ihren Auskunftsanspruch geltend machen wollen oder Auskunft erteilen müssen - unsere Anwälte begleiten Sie mit ihrer fachlichen Kompetenz und jahrelangen Erfahrung. 

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht