Das in Artikel 15 der DS-GVO verankerte Recht auf Auskunft ist ein wichtiges Instrument einer jeden betroffenen Person zur informationellen Selbstbestimmung, also zur Gewährleistung des Rechts eines Einzelnen, über Umgang und Preisgabe seiner Daten selbst zu bestimmen. Gleichwohl besteht auch hier – wie bei anderen Rechten auch – grundsätzlich die Gefahr, dass das Auskunftsrecht nicht gemäß seiner eigentlichen Bestimmung bzw. der eigentlichen Intention des Verordnungsgebers entsprechend genutzt, sondern ausgenutzt – missbraucht – wird.
Der Missbrauch des Rechts auf Auskunft kann vielfältig sein und die zuvor genannten Praxisbeispiele stellen sicherlich nur die Spitze des Eisbergs dar.
Inwiefern Lösungs- und Abhilfemöglichkeiten für betroffene Unternehmen gefunden werden können, steht in Abhängigkeit vom Ansinnen der betroffenen Person. Insofern kann es durchaus als fraglich angesehen werden, ob hinsichtlich unbegründeter Auskunftsanfragen, die aufgrund von Unwissenheit oder mangelnder datenschutzrechtlicher Kenntnis von Betroffenen gestellt werden, Abhilfemaßnahmen überhaupt möglich sind.
Anders stellt es sich in Fällen dar, bei denen der Missbrauch einer Auskunftsanfrage eher aus Unbedachtheit erfolgte. Hier ist jeder einzelne Betroffene gefordert, sich vorab selbst ehrlich zu hinterfragen, ob der Grund seiner Auskunftsanfrage der tatsächlichen Intention der DS-GVO entspricht. Auch wenn emotionale Gründe für ein Auskunftsersuchen oftmals nur allzu menschlich erscheinen, so bewirken sie in der Regel selten das, was der Betroffene sich vielleicht davon erhofft oder damit zu bezwecken versucht.
Der vorsätzliche Missbrauch des datenschutzrechtlichen Auskunftsrechts ist zukünftig sicherlich eine wachsende Herausforderung für Verantwortliche, Aufsichtsbehörden und auch Gerichte. Solange noch keine Konkretisierung des Auskunftsrechts nach Art. 15 DS-GVO um einen gesetzlich normierten Unverhältnismäßigkeitseinwand per höchstrichterlicher Entscheidung erfolgt ist, muss mit einer kontinuierlichen Zunahme derartiger Fälle gerechnet werden.
Unternehmen bleibt unterdessen nur zu empfehlen, sämtliche Auskunftsanfragen mit der gebotenen Sorgfalt zu bearbeiten und die hierfür notwendigen internen Abläufe des erforderlichen Datenschutzmanagements sicherzustellen. Neben den ausdrücklichen inhaltsrelevanten Vorgaben des Art. 15 DS-GVO, empfiehlt es sich, auf folgende Punkte bei der Beauskunftung zu achten:
- Sofern Unklarheiten bestehen, kann der Betroffene zunächst aufgefordert werden, die gewünschten Daten näher zu spezifizieren.
- Grundsätzlich ist detailliert zu prüfen, welche Daten tatsächlich herausgegeben werden müssen und welche Einwände gegebenenfalls geltend gemacht werden können. Bei Bedarf kann die Aufsichtsbehörde kontaktiert und um Unterstützung gebeten werden.
- Soweit Daten/Kopien herausgegeben werden, sind Informationen, welche die Rechte Dritter beeinträchtigen, zu schwärzen.
- Sollte sich der Verantwortliche ganz oder teilweise entschließen, dem Auskunftsverlangen nicht nachzukommen, so ist diese Entscheidung mit Blick auf Art. 12 Abs. 4 DS-GVO ausführlich zu begründen und die betroffene Person hierüber innerhalb eines Monats zu informieren.