2. Juli 2019
Am 24. Juni 2019 hat der Hessische Beauftragte für Datenschutz seinen 47. Tätigkeitsbericht veröffentlicht. Dabei nimmt er unter anderem Stellung zu umstrittenen Fragen bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO.
Auf Grundlage von Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Sie können danach von einem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, ob sie betreffende personenbezogenen Daten verarbeitet werden. Ist dies der Fall, muss der Verantwortliche weitere Informationen über die Datenverarbeitung zur Verfügung stellen. Strittig ist insofern der Umfang und die Form, in denen diese Informationen beauskunftet werden müssen. Artikel 15 Abs. 3 DSGVO regelt außerdem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse. Welche Rolle diese Kopie spielt und was sie im Konkreten beinhaltet, wird im Tätigkeitsbericht näher erläutert.
Vereinzelt wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der diesen dazu berechtigt, von dem Verantwortlichen alle Daten in der Form herauszuverlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des Kopie-Begriffs führt faktisch zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Dies hätte etwa zur Folge, dass auch sämtliche E-Mail-Korrespondenz übermittelt werden müsste, sofern die betreffenden E-Mails einschlägige personenbezogenen Daten enthalten.
Der Hessische Datenschutzbeauftragte schließt sich dieser Auffassung nicht an und legt den Kopie-Begriff aus Abs. 3 einschränkend aus. So müssen den Betroffenen nicht sämtliche sie betreffenden Dokumente in Kopie zur Verfügung gestellt werden. Es reicht vielmehr, wenn diesen eine „sinnvoll strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.
Begründet wird die Ansicht des Datenschutzbeauftragten vor allem mit dem Sinn und Zweck der DSGVO: Das Auskunftsrecht aus Art. 15 DSGVO solle die Betroffenen in die Lage versetzen, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Würde man Art. 15 Abs. 3 DSGVO weit auslegen, bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden.
Eine einschränkende Auslegung des Kopie-Begriffs als eine sinnvoll strukturierte Zusammenfassung stünde überdies im Einklang mit dem in Art. 12 DSGVO normierten Transparenzgebot. Hiernach sind Mitteilungen, die sich auf die Verarbeitung beziehen, in transparenter, verständlicher Form und in klarer sowie einfacher Sprache zu übermitteln. Eine unsortierte Bereitstellung sämtlicher Dokumente wird diesem Gebot nicht gerecht.
Gleichwohl kann der Verantwortliche im Einzelfall aus Art. 15 DSGVO zur Übersendung eines bestimmten Dokuments verpflichtet sein. Dies ist etwa dann der Fall, wenn das Recht der Betroffenen, die Rechtmäßigkeit der Datenverarbeitung eigenständig zu überprüfen, untrennbar mit der Übersendung eines einzelnen Schriftstücks verbunden ist. Nach der Einschätzung des Hessischen Datenschutzbeauftragten genügt es jedoch in aller Regel, wenn den Betroffenen die in einem Schriftstück enthaltenen personenbezogenen Daten mitgeteilt werden.
Im Bereich des Beschäftigtendatenschutzes hielt die Datenschutzbehörde es beispielsweise für ausreichend, wenn der Verantwortliche bei Nutzung eines Personalinformationssystems einen Auszug des Profils vom Betroffenen bereitstellt. Ebenso könne auch eine Liste der zu einer Person gespeicherten Schriftstücke oder Aktenzeichen ausreichen, soweit der Verantwortliche entsprechende Daten in einem Dokumentenmanagement- oder Registratursystem verarbeite.
Für die Praxis folgt aus der Stellungnahme der Hessischen Aufsichtsbehörde Folgendes:
Paul Voigt and Alexander Schmalenberger look at Germany's progress on NIS2 implementation.
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Alexander Schmalenberger, LL.B.
Michael Tan, Julian Sun, Paul Voigt and Wiebke Reuter look at what China's new SCCs mean for businesses looking to export personal data from China to the EU.
von mehreren Autoren