Umfang des Auskunftsanspruchs nach Art. 15 DSGVO – Stellungnahme des Hessischen Datenschutzbeauftragten

Am 24. Juni 2019 hat der Hessische Beauftragte für Datenschutz seinen 47. Tätigkeitsbericht veröffentlicht. Dabei nimmt er unter anderem Stellung zu umstrittenen Fragen bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO.

Auf Grundlage von Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Sie können danach von einem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, ob sie betreffende personenbezogenen Daten verarbeitet werden. Ist dies der Fall, muss der Verantwortliche weitere Informationen über die Datenverarbeitung zur Verfügung stellen. Strittig ist insofern der Umfang und die Form, in denen diese Informationen beauskunftet werden müssen. Artikel 15 Abs. 3 DSGVO regelt außerdem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse. Welche Rolle diese Kopie spielt und was sie im Konkreten beinhaltet, wird im Tätigkeitsbericht näher erläutert.

Kein eigenständiges Recht auf Herausgabe von Datenkopien

Vereinzelt wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der diesen dazu berechtigt, von dem Verantwortlichen alle Daten in der Form herauszuverlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des Kopie-Begriffs führt faktisch zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Dies hätte etwa zur Folge, dass auch sämtliche E-Mail-Korrespondenz übermittelt werden müsste, sofern die betreffenden E-Mails einschlägige personenbezogenen Daten enthalten.

Der Hessische Datenschutzbeauftragte schließt sich dieser Auffassung nicht an und legt den Kopie-Begriff aus Abs. 3 einschränkend aus. So müssen den Betroffenen nicht sämtliche sie betreffenden Dokumente in Kopie zur Verfügung gestellt werden. Es reicht vielmehr, wenn diesen eine „sinnvoll strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.

Weite Auslegung entspricht nicht dem Datenschutzziel der DSGVO

Begründet wird die Ansicht des Datenschutzbeauftragten vor allem mit dem Sinn und Zweck der DSGVO: Das Auskunftsrecht aus Art. 15 DSGVO solle die Betroffenen in die Lage versetzen, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Würde man Art. 15 Abs. 3 DSGVO weit auslegen, bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden.

Eine einschränkende Auslegung des Kopie-Begriffs als eine sinnvoll strukturierte Zusammenfassung stünde überdies im Einklang mit dem in Art. 12 DSGVO normierten Transparenzgebot. Hiernach sind Mitteilungen, die sich auf die Verarbeitung beziehen, in transparenter, verständlicher Form und in klarer sowie einfacher Sprache zu übermitteln. Eine unsortierte Bereitstellung sämtlicher Dokumente wird diesem Gebot nicht gerecht.

Recht auf Herausgabe bestimmter Kopien im Einzelfall

Gleichwohl kann der Verantwortliche im Einzelfall aus Art. 15 DSGVO zur Übersendung eines bestimmten Dokuments verpflichtet sein. Dies ist etwa dann der Fall, wenn das Recht der Betroffenen, die Rechtmäßigkeit der Datenverarbeitung eigenständig zu überprüfen, untrennbar mit der Übersendung eines einzelnen Schriftstücks verbunden ist. Nach der Einschätzung des Hessischen Datenschutzbeauftragten genügt es jedoch in aller Regel, wenn den Betroffenen die in einem Schriftstück enthaltenen personenbezogenen Daten mitgeteilt werden.

Im Bereich des Beschäftigtendatenschutzes hielt die Datenschutzbehörde es beispielsweise für ausreichend, wenn der Verantwortliche bei Nutzung eines Personalinformationssystems einen Auszug des Profils vom Betroffenen bereitstellt. Ebenso könne auch eine Liste der zu einer Person gespeicherten Schriftstücke oder Aktenzeichen ausreichen, soweit der Verantwortliche entsprechende Daten in einem Dokumentenmanagement- oder Registratursystem verarbeite.

Hinweis für die Praxis

Für die Praxis folgt aus der Stellungnahme der Hessischen Aufsichtsbehörde Folgendes:

• Einen Anspruch auf Herausgabe einzelner Kopien, etwa im Sinne einer Fotokopie bestimmter Dokumente, verschafft Art. 15 Abs. 3 DSGVO grundsätzlich nicht. Vielmehr hat der Verantwortliche eine strukturierte Zusammenfassung der personenbezogenen Daten bereitzustellen. Dem Betroffenen muss insofern kenntlich gemacht werden, welche Daten zu seiner Person vom Verantwortlichen verarbeitet werden.
• Im Einzelfall kann auch aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments erwachsen. Dies ist dann der Fall, wenn die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist. In der Regel muss die Kopie eines Schriftstücks jedoch nicht zur Verfügung gestellt werden.
• Verantwortliche müssen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, bereits mit dem Auskunftsverlangen nach Art. 15 Abs. 1 DSGVO zur Verfügung stellen. Eine gesonderte Aufforderung ist nicht notwendig.
• Andere Herausgabeansprüche des Betroffenen aus der DSGVO bleiben von den Ausführungen der Datenschutzbehörde unberührt. So gewährt Art. 20 DSGVO das Recht auf Datenübertragbarkeit, aus dem ein eigenständiger Herausgabeanspruch folgen kann.