Als Segen gedacht – zum Fluch gemacht? Das Auskunftsrecht der Datenschutz-Grundverordnung (DS-GVO)

Wenn es um die Frage nach den Zielen und der eigentlichen Intention der DS-GVO geht, so wird man mit einem Blick in diese schnell fündig, denn der Artikel 1 DS-GVO stellt direkt zu Anfang klar, dass das Hauptaugenmerk der Verordnung auf dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (1) (2), dem Schutz ihrer Grundrechte und Freiheiten sowie insbesondere deren Recht auf Schutz personenbezogener Daten (3) liegt.
In den Mittelpunkt hat der Verordnungsgeber also die natürliche – die betroffene Person – gestellt und sich somit direkt und unmissverständlich auf der Seite desjenigen positioniert, dessen Daten verarbeitet werden.
Daraus folgend sind die in den Artikel 13 - 22 DS-GVO definierten Rechte der betroffenen Person, also die „Betroffenenrechte“, elementare Grundlage des Datenschutzes zur Gewährleistung der informationellen Selbstbestimmung. Auf diese Grundrechte kann sich jede betroffene Person berufen, ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsortes. (4)

Im Alltag des betrieblichen Datenschutzmanagements hat sich gezeigt, dass sich die Inanspruchnahme von Betroffenenrechten häufig auf zwei Rechte fokussiert: Das Recht auf Auskunft (5) sowie das Recht auf Löschung („Recht auf Vergessenwerden“) (6).
Dass insbesondere das Recht auf Auskunft immer tiefer im Bewusstsein der Bürgerinnen und Bürger verankert ist, spiegelt sich auch in den Beschwerden an die Aufsichtsbehörden wider. So schreibt bereits das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in seinem Tätigkeitsbericht 2019:

Mit der Gewährung von individuellen Rechten geht grundsätzlich auch immer die Gefahr einher, dass diese nicht im Sinne ihrer eigentlichen Bestimmung in Anspruch genommen werden, sondern vorsätzlich oder unbewusst für andere Zwecke missbraucht werden.
Als zentrale, eigentliche Bestimmung des Rechts auf Auskunft ist die Schaffung der notwendigen Transparenz einer Verarbeitung zu bezeichnen. Die betroffene Person soll mit dem Auskunftsrecht in die Lage versetzt werden, ihr Recht auf informationelle Selbstbestimmung auszuüben, um ggf. weitere Betroffenenrechte hieraus ableiten zu können oder kurz gesagt:

„Nur wenn ich als Betroffener weiß, welche Daten zu meiner Person verarbeitet werden, kann ich auch weitere Rechte, wie z. B. Löschung oder Berichtigung meiner Daten, geltend machen.“

Sofern nun diese zentrale Bestimmung vom Auskunftsersuchenden missachtet wird, ist von einem Missbrauch von Auskunftsbegehren zu sprechen. Aufgrund der vielfältigen, sehr individuellen Intentionen, die eine betroffene Person dazu veranlassen, von ihrem Auskunftsrecht Gebrauch zu machen, sind pauschalisierte Bewertungen allerdings nicht nur unangebracht, sondern es besteht durchaus die Gefahr, dass der Verantwortliche durch eine falsche Einschätzung der datenschutzrechtlichen Sachlage mit Sanktionen der Aufsichtsbehörden konfrontiert wird.

Anhand der nachfolgenden Praxisbeispiele aus dem datenschutzrechtlichen Alltag soll aufgezeigt werden, dass es hilfreich sein kann, potenziell missbräuchliche Auskunftsbegehren in unterschiedliche Kategorien einzuteilen, um als Verantwortlicher hieraus ggf. geeignete Maßnahmen ableiten zu können:

Praxisbeispiel:

1. Der Kunde eines Onlineshops fordert unmittelbar nach getätigter Bestellung den Verantwortlichen zur Löschung seiner Daten auf. Der Verantwortliche sagt ihm schriftlich die schnellstmögliche Löschung zu, verweist aber gleichzeitig auf die noch nicht abgeschlossene Bestellverarbeitung sowie bestehende handelsrechtliche Aufbewahrungsfristen.
   Diese Antwort stößt beim Kunden auf Unverständnis und fortan schickt er wöchentlich ein Auskunftsverlangen an den Onlineshop, damit er – seinem Empfinden nach zu Recht – laufend überprüfen kann, ob der Verantwortliche seiner Löschpflicht inzwischen nachgekommen ist.

Inwiefern in diesem Beispiel von einem Missbrauch von Betroffenenrechten gesprochen werden kann, wenn dieser aus der Unwissenheit der betroffenen Person heraus erfolgte, mag ebenso eher eine Frage philosophischer Natur sein, wie auch von Juristen und Nicht-Juristen unterschiedlich bewertet werden.
Fakt ist jedoch, dass die Auswirkung auf alle Akteure des Auskunftsprozesses gleichbleibend ist, denn sie geht, unabhängig von ihrer Bewertung, mit vermeidbarem und erhöhtem Aufwand für diese einher.
Der Flut von Auskunftsbegehren kann durch den Verantwortlichen, unter Hinweis auf das Verweigerungsrecht bei exzessiven und unbegründeten Anträgen gemäß Art. 12 Abs. 5, lit. b DS-GVO, mit einem freundlichen, aber deutlich formulierten Ablehnungsschreiben an den Kunden entgegnet werden. Alternativ hat der Verantwortliche auch die Möglichkeit, ein angemessenes Entgelt für die entstandenen Verwaltungskosten gemäß Art. 12 Abs. 5, lit. a DS-GVO zu verlangen.

Sofern daraufhin eine Beschwerde des Betroffenen an die Aufsichtsbehörde ergehen sollte, kann davon ausgegangen werden, dass diese das verordnungskonforme Vorgehen des Verantwortlichen bestätigt.

Praxisbeispiele:

1. Ein Kunde ist über die unvorteilhaften Kündigungsklauseln seines Mobilfunkanbieters oder Energieversorgers dermaßen verärgert, dass er auf Revanche sinnt. Als geeignetes Mittel erscheint ihm ein Auskunftsbegehren als angebracht. Schließlich möchte er doch hierdurch dem Verantwortlichen wenigstens „zum Dank“ für den ganzen Ärger noch ein wenig Arbeit bereiten.
2. Der Datenschutzbeauftragte des Unternehmens XY beabsichtigt seine Standardschreiben zur Beantwortung von Auskünften zu überarbeiten und stellt bei mehreren Unternehmen, bei denen über ihn personenbezogene Daten vorliegen, eine Anfrage zur Datenauskunft, um aus den erhaltenen Antworten, Muster für das eigene Datenschutzmanagement ableiten zu können.

Mit Blick auf die Definition des Begriffes „Missbrauch“, also etwas nicht nach seiner eigentlichen Bestimmung oder seinem eigentlichen Verwendungszweck entsprechend zu gebrauchen, mögen diese Praxisbeispiele durchaus den Tatbestand des Missbrauchs im eigentlichen Sinn erfüllen.
Im Unterschied zum vorherigen Fallbeispiel Nr. 1 (Missbrauch aus Unwissenheit), ist in diesem Fall eine verordnungskonforme Ablehnung der Auskunftsansprüche durch den Verantwortlichen nur schwer durchsetzbar, da in der Praxis die gemäß Art. 12 Abs. 5 lit. b DS-GVO erforderliche Nachweisführung eines offensichtlich unbegründeten Auskunftsantrags nicht möglich sein wird.

Letztendlich sollte sich aber auch jede betroffene Person, die ihr Auskunftsersuchen vor dem Hintergrund eines persönlichen Revancheakts stellt, fragen, inwieweit ihr Ansinnen zielführend ist. Schließlich fällt der Bearbeitungsaufwand eines Auskunftsersuchens i.d.R. nicht direkt bei demjenigen an, gegen den sich ihr Zorn richtet.

Praxisbeispiel:

1. Im Rahmen arbeitsrechtlicher Streitigkeiten fordert der Anwalt eines Arbeitnehmers das beklagte Unternehmen auf, die vollständige digitale Personalakte seines Mandanten auf einen USB-Stick zu kopieren und ihm zu übergeben. Nach Rücksprache mit dem Datenschutzbeauftragten verweigert die Personalabteilung die Herausgabe und verweist auf ihr mehrfaches schriftliches Angebot an den Arbeitnehmer, gemäß §83 BetrVG zu jeder Zeit Einblick in seine Personalakte nehmen zu können und zusätzlich, falls gewünscht, von beliebigen Dokumenten hieraus Ausdrucke bzw. Kopien erstellen zu dürfen.
   Diese Vorgehensweise lehnt der Anwalt jedoch ab und veranlasst seinen Mandanten stattdessen, ein datenschutzrechtliches Auskunftsersuchen gemäß Art. 15 DS-GVO zu stellen, mit expliziter Anforderung der vollständigen digitalen Personalakte.

In diesem konkreten Fall aus dem datenschutzrechtlichen Alltag wandte sich der Datenschutzbeauftragte des Verantwortlichen zunächst an die zuständige Aufsichtsbehörde, mit der Bitte um Einschätzung des Sachverhaltes.
In seiner Schilderung des Vorgangs verwies er darauf, dass das Auskunftsersuchen des Arbeitnehmers in seinen Augen nicht der Intention der DS-GVO entspräche, sondern durchaus von einem offensichtlichen Missbrauch die Rede sein könne. Ebenso stellte er infrage, dass die angeforderte Übermittlung der digitalen Personalakte grundsätzlich gerechtfertigt sei, da das bereits unterbreitete Angebot eines Einblicks in die Personalakte mit Kopiermöglichkeit relevanter Dokumente als geeigneteres und sichereres Mittel der Übermittlung angesehen werden kann, durch Verortung innerhalb der geschützten Unternehmensräume.

Die Aufsichtsbehörde wies die Einwände des Datenschutzbeauftragten zurück und verwies darauf, dass nach Art. 15 Abs. 3 DS-GVO eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, im Rahmen der Gewährleistung von Betroffenenrechten zu übermitteln seien und nicht im Rahmen eines Einsichtsrechts des Betriebsverfassungsgesetzes.
Dem Vorwurf eines ungerechtfertigten, weil missbräuchlichen Auskunftsersuchens, folgte die Aufsichtsbehörde somit nicht.

Auch wenn die Anfrage des Datenschutzbeauftragten in diesem geschilderten Fall nicht erfolgreich war, so stellen Anfragen an die Aufsichtsbehörde in Fällen, zu denen eine unterschiedliche Rechtsauffassung besteht und auch noch kein Präzedenzfall vorliegt, ein hilfreiches Mittel für den betrieblichen Datenschutzalltag dar. Die Beantwortungsfristen des Art. 12 Abs. 3 DS-GVO dürfen allerdings hierbei nicht außer Acht gelassen werden.

Praxisbeispiel:

1. Im Februar 2021 wies die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) in einem Informationsschreiben ihre Mitglieder auf eine Häufung von Vorfällen hin, bei denen Anfragen zu Betroffenenauskünften dazu benutzt wurden, falsche oder unzureichende Beantwortungen durch die Verantwortlichen zu provozieren, um in der Folge entstandene Rechtsanwaltskosten einzufordern und Schadensersatzansprüche in vierstelliger Höhe für die Betroffenen geltend zu machen. (8)
   Eine praktizierte Vorgehensweise war hierbei, dass sich über das Kontaktformular der Website eines Unternehmens eine Person per Angabe ihrer Telefonnummer mit der Bitte um Rückruf meldete. Versuchte das Unternehmen nun diese Person telefonisch zu erreichen, wurde der Anruf nicht angenommen. Mehrere Wochen später erging ein Auskunfts- und Löschersuchen dieser Person an das Unternehmen, welches darauf abzielte, dass die innerbetrieblichen Auskunftsprozesse des Verantwortlichen nicht ausreichend gesteuert waren und die vorliegende Telefonnummer in der Folge nicht beauskunftet wurde. Zeitlich nachgelagert machte danach ein Rechtsanwalt Schadensersatzansprüche für seine Mandantschaft aufgrund von Verletzung von Betroffenenrechten sowie die Vergütung für seine eigene anwaltliche Tätigkeit geltend. Zusätzlich wurde zumeist Druck über die Androhung eines gerichtlichen Verfahrens aufgebaut.

Inwiefern ein angedrohtes gerichtliches Verfahren zur Durchsetzung von Schadensansprüchen im Sinne des Art. 82 DS-GVO tatsächlich angestrengt würde, ist sicherlich auch eine Frage der eingeschätzten Erfolgsaussichten vor deutschen Gerichten, da in der Vergangenheit für deutsche Gerichte entscheidend war, ob ein konkreter, nachweisbarer immaterieller Schaden für eine betroffene Person entstanden war und nicht nur auf einer eher unbedeutsamen Verletzung von Persönlichkeitsrechten beruhte.

Eine Zunahme gerichtlicher Schadensersatzverfahren könnte jedoch zunehmend zu einer „weiteren“ Auslegung des immateriellen Schadensbegriffs durch deutsche Gerichte führen. Eine entsprechend zunehmende Kommerzialisierung von Schadensersatzansprüchen nach Art. 82. DS-GVO wäre zu befürchten.
Selbstverständlich steht außer Frage, dass die Beantwortung einer Betroffenenauskunft sowie die Durchführung von Löschungsaufforderungen grundsätzlich vollumfänglich und gewissenhaft durch die Verantwortlichen vorzunehmen sind, da diese ansonsten wirkungslos wären.

Als Missbrauch ist es allerdings zu bezeichnen, wenn Betroffenenrechte zum Gegenstand eines Geschäftsmodells gemacht werden und die seitens des Verordnungsgebers zugedachte eigentliche Bestimmung der Betroffenenrechte keine Rolle mehr spielt.
Gleichwohl ist ein Schutz gegen diese Praktiken, die allenfalls moralisch infrage gestellt werden können, nur durch ein wirksames internes Auskunftsmanagement, welches mit regelmäßigen Schulungen und Sensibilisierungen aller relevanten Unternehmensbereiche einhergeht, möglich. Insbesondere bedarf es einer kontinuierlichen Evaluierung von sämtlichen Datenpools und Kommunikationskanälen, über die Betroffenendaten im Unternehmen verarbeitet werden können.

Das in Artikel 15 der DS-GVO verankerte Recht auf Auskunft ist ein wichtiges Instrument einer jeden betroffenen Person zur informationellen Selbstbestimmung, also zur Gewährleistung des Rechts eines Einzelnen, über Umgang und Preisgabe seiner Daten selbst zu bestimmen. Gleichwohl besteht auch hier – wie bei anderen Rechten auch – grundsätzlich die Gefahr, dass das Auskunftsrecht nicht gemäß seiner eigentlichen Bestimmung bzw. der eigentlichen Intention des Verordnungsgebers entsprechend genutzt, sondern ausgenutzt – missbraucht – wird.
Der Missbrauch des Rechts auf Auskunft kann vielfältig sein und die zuvor genannten Praxisbeispiele stellen sicherlich nur die Spitze des Eisbergs dar.

Inwiefern Lösungs- und Abhilfemöglichkeiten für betroffene Unternehmen gefunden werden können, steht in Abhängigkeit vom Ansinnen der betroffenen Person. Insofern kann es durchaus als fraglich angesehen werden, ob hinsichtlich unbegründeter Auskunftsanfragen, die aufgrund von Unwissenheit oder mangelnder datenschutzrechtlicher Kenntnis von Betroffenen gestellt werden, Abhilfemaßnahmen überhaupt möglich sind.

Anders stellt es sich in Fällen dar, bei denen der Missbrauch einer Auskunftsanfrage eher aus Unbedachtheit erfolgte. Hier ist jeder einzelne Betroffene gefordert, sich vorab selbst ehrlich zu hinterfragen, ob der Grund seiner Auskunftsanfrage der tatsächlichen Intention der DS-GVO entspricht. Auch wenn emotionale Gründe für ein Auskunftsersuchen oftmals nur allzu menschlich erscheinen, so bewirken sie in der Regel selten das, was der Betroffene sich vielleicht davon erhofft oder damit zu bezwecken versucht.

Der vorsätzliche Missbrauch des datenschutzrechtlichen Auskunftsrechts ist zukünftig sicherlich eine wachsende Herausforderung für Verantwortliche, Aufsichtsbehörden und auch Gerichte. Solange noch keine Konkretisierung des Auskunftsrechts nach Art. 15 DS-GVO um einen gesetzlich normierten Unverhältnismäßigkeitseinwand per höchstrichterlicher Entscheidung erfolgt ist, muss mit einer kontinuierlichen Zunahme derartiger Fälle gerechnet werden.

Unternehmen bleibt unterdessen nur zu empfehlen, sämtliche Auskunftsanfragen mit der gebotenen Sorgfalt zu bearbeiten und die hierfür notwendigen internen Abläufe des erforderlichen Datenschutzmanagements sicherzustellen. Neben den ausdrücklichen inhaltsrelevanten Vorgaben des Art. 15 DS-GVO, empfiehlt es sich, auf folgende Punkte bei der Beauskunftung zu achten:

• Sofern Unklarheiten bestehen, kann der Betroffene zunächst aufgefordert werden, die gewünschten Daten näher zu spezifizieren.
• Grundsätzlich ist detailliert zu prüfen, welche Daten tatsächlich herausgegeben werden müssen und welche Einwände gegebenenfalls geltend gemacht werden können. Bei Bedarf kann die Aufsichtsbehörde kontaktiert und um Unterstützung gebeten werden.
• Soweit Daten/Kopien herausgegeben werden, sind Informationen, welche die Rechte Dritter beeinträchtigen, zu schwärzen.
• Sollte sich der Verantwortliche ganz oder teilweise entschließen, dem Auskunftsverlangen nicht nachzukommen, so ist diese Entscheidung mit Blick auf Art. 12 Abs. 4 DS-GVO ausführlich zu begründen und die betroffene Person hierüber innerhalb eines Monats zu informieren.