Umsetzung der Datenschutz-Grundverordnung Das Auskunftsrecht nach DSGVO kennt Grenzen

Anbieter zum Thema

Das Auskunftsrecht ermöglicht es Einzelpersonen, zu erfahren, wie und warum ihre personenbezogenen Daten verarbeitet werden, so der Europäische Datenschutzausschuss (EDSA). Doch das Auskunftsrecht wird auch missbraucht oder falsch angewendet. Unternehmen sollten deshalb auch die Grenzen des Auskunftsrechts kennen, wie sie aktuelle Urteile aufzeigen.

Die Betroffenenrechte nach DSGVO sind ein Herzstück des Datenschutzes und werden nicht leichtfertig zur Disposition gestellt. Aber es gibt durchaus Grenzen für Auskunftsersuchen, wie Gerichtsurteile zeigen.
Die Betroffenenrechte nach DSGVO sind ein Herzstück des Datenschutzes und werden nicht leichtfertig zur Disposition gestellt. Aber es gibt durchaus Grenzen für Auskunftsersuchen, wie Gerichtsurteile zeigen.
(Bild: duncanandison - stock.adobe.com)

„Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen“, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber.

Manchmal wollen Bürgerinnen und Bürger auch etwas vom Finanzamt wissen, wo doch ansonsten eher das Finanzamt die Fragen stellt. So hat man durchaus die Möglichkeit, auch gegenüber dem Finanzamt sein Auskunftsrecht nach Datenschutz-Grundverordnung (DSGVO) geltend zu machen.

Man sollte dies aber nicht übertreiben, denn das Auskunftsrecht nach DSGVO hat seine Grenzen. So befand zum Beispiel das Finanzgericht Berlin-Brandenburg (16 K 2059/21): Ein Auskunftsverlangen betreffend jedwede Art von Daten in einem Zeitraum von mehr als 50 Jahren ist exzessiv, so dass der Auskunftsverpflichtete die Auskunft verweigern kann.

Man kann also nicht einfach erwarten, dass das Finanzamt so ohne weiteres alle Aufzeichnungen über das eigene Leben als Steuerzahler bereitstellt.

Nicht jedes Auskunftsersuchen ist berechtigt

Tatsächlich zeigen mehrere Urteile in der jüngeren Vergangenheit, dass nicht nur Unternehmen Fehler bei der Bearbeitung von Auskunftsersuchen nach DSGVO passieren, auch die Personen, die von ihrem Auskunftsrecht Gebrauch machen wollen, missverstehen das Recht oder aber missbrauchen es sogar.

So geht es zum Beispiel darum, dass das Auskunftsrecht nach DSGVO dem Datenschutz dient, also dem Recht des oder der Betroffenen, selbst über die eigenen Daten zu entscheiden. Wer aber das Datenschutzrecht auf Auskunft zu anderen Zweck nutzen will, kann sich nicht auf den Datenschutz berufen.

So verhandelte das Oberlandesgericht Dresden über das Auskunftsersuchens eines Versicherungsnehmers, der letztlich die Auskunft dazu nutzen wollte, in Erfahrung zu bringen, ob die ihm gegenüber erfolgten Beitragserhöhungen aus formellen Gründen unwirksam sind. Das aber ist unzulässig, so das Gericht.

Es ist interessant, die Begründung für ein ähnliches Urteil des Oberlandesgerichts Hamm zum Auskunftsrecht und seine Grenzen zu lesen: „Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DSGVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 zu der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (...)."

Aufsichtsbehörden bieten Leitlinien

Vielfach sind es Missverständnisse und eine Rechtsunsicherheit, die dazu führen, dass die DSGVO nicht korrekt umgesetzt wird. So findet man zwar das Recht auf Auskunft explizit als Artikel 15 in der Datenschutz-Grundverordnung. „Allerdings lässt der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum“, erklärt der Bundesdatenschutzbeauftragte. Der Europäische Datenschutzausschuss (EDSA) hat mit einer Leitlinie für mehr Klarheit und Einheitlichkeit gesorgt, was die deutschen Aufsichtsbehörden für den Datenschutz ausdrücklich begrüßen.

Die Leitlinien legen insbesondere fest, welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist. Außerdem müssen die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, damit keine unberechtigten Dritten an die Daten gelangen.

Es dürfen aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden, als für die Identifizierung erforderlich, so der Bundesdatenschutzbeauftragte. Ebenso darf ein Auskunftsersuchen beispielsweise nicht alleine unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden.

Welche Grenzen es für Auskunftsersuchen gibt

Die Leitlinien des EDSA erklären aber auch, dass nicht jedes Auskunftsersuchen erfüllt werden muss, es gibt auch hier durchaus Grenzen, wie die zuvor erwähnten Gerichtsurteile bestätigen.

So sagt die DSGVO: Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Allerdings: Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Was aber ist offenkundig unbegründet oder exzessiv? Hier hilft der EDSA bei der Interpretation.

Unbegründete Anträge oder Anträge mit exzessiven Charakter

Ein Auskunftsersuchen ist offensichtlich unbegründet, wenn die Voraussetzungen nach Artikel 15 DSGVO eindeutig und offensichtlich nicht erfüllt sind. Der EDSA betont, dass es nur sehr begrenzte Möglichkeiten gibt, sich auf „offensichtlich unbegründet“ zu berufen und die Auskunft abzulehnen.

Beispielsweise sollte eine Anfrage nicht als „offensichtlich unbegründet“ angesehen werden, wenn sich der Antrag auf die Verarbeitung personenbezogener Daten bezieht, die nicht der DSGVO unterliegen. Wenn aber die angefragten Daten eindeutig und offensichtlich nicht Gegenstand der Verarbeitungstätigkeiten sind, ist eine Anfrage danach offensichtlich unbegründet.

Aber: Ein für die Verarbeitung Verantwortlicher sollte nicht davon ausgehen, dass eine Anfrage offensichtlich unbegründet ist, weil die betroffene Person schon einmal Anträge eingereicht hatte, die offensichtlich unbegründet oder übertrieben waren, so der EDSA. Jede einzelne Anfrage muss also überprüft werden.

Zur Beurteilung, ob ein Antrag einen exzessiven Charakter hat, empfiehlt der EDSA zum Beispiel: Bei der Entscheidung, ob ein angemessener Zeitraum verstrichen ist oder ob die Anfrage häufiger als berechtigt kommt, sollten die Verantwortlichen zum Beispiel berücksichtigen, wie oft sich die Daten geändert haben. Wenn ein Datenpool offensichtlich nach der Speicherung nicht mehr verändert wurde und der Betroffene sich dessen bewusst sein wird, könnte dies ein Hinweis auf eine übermäßige Anforderung sein, so der EDSA.

Zudem könnte ein Antrag als übertrieben angesehen werden, wenn die Anfrage eine böswillige Absicht hat und genutzt wird, um einen Verantwortlichen oder seine Mitarbeitenden zu belästigen, oder die Person ausdrücklich in der Anfrage selbst oder in anderen Mitteilungen angegeben hat, dass sie beabsichtigt, Störungen zu verursachen.

Wichtig ist es aber, nicht einfach jemanden als Störenfried zu klassifizieren und alle Auskunftsersuchen abzulehnen, vielmehr muss man die Anfrage prüfen und eine Ablehnung genau begründen und dokumentieren. Ebenso muss man auf die Möglichkeit des oder der Betroffenen hinweisen, Beschwerde bei der Datenschutzaufsicht einzulegen oder Rechtsmittel zu ergreifen.

Wer nun meint, die Grenzen für das Auskunftsrecht seien aber nicht leicht zu nutzen: Das ist richtig und absichtlich so. Die Betroffenenrechte nach DSGVO sind ein Herzstück des Datenschutzes und werden nicht leichtfertig zur Disposition gestellt. Aber es gibt durchaus Grenzen für Auskunftsersuchen, wie auch die Gerichtsurteile zeigen.

(ID:48503369)