23. März 2022Datenschutz

Betroffenenrechte: Reichweite und Grenzen des Auskunfts­anspruchs

Update 23.03.2022

Die Leitlinien des Europäischen Datenschutzausschusses zum Auskunftsrecht nach Art. 15 DSGVO

Der Europäische Datenschutzausschuss (EDSA) hat am 28.01.2022 Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO veröffentlicht. Diese und andere Leitlinien des EDSA dienen allen voran als Wegweiser zu einer einheitlichen Anwendung der DSGVO in allen Mitgliedstaaten der Europäischen Union. Die Leitlinien sind zwar nicht rechtsverbindlich, jedoch orientieren sich die meisten Datenschutzbehörden an ihnen, sodass Unternehmen sie kennen sollten.

In unserem weiter unten verfassten Blogeintrag haben wir bereits die relevanten Fragen bezüglich des Auskunftsrechts aufgeworfen und Lösungsansätze aufgezeigt. Anhand der Leitlinien des EDSA wollen wir nun mögliche Antworten und Herangehensweisen für Unternehmen hinsichtlich Auskunftsersuchen darstellen.

Über welche Daten muss Auskunft erteilt werden?

Eine der Kernfragen ist bereits der Umfang des Auskunftsrechts. Der EDSA stellt sich ausdrücklich auf den Standpunkt, dass sich der Antrag auf Auskunft auf alle personenbezogenen Daten der betroffenen Person bezieht. Demnach fallen auch Kommunikationsverläufe, die häufig bezüglich stattgefundener E-Mail-Kommunikation angefordert werden, unter die auskunftspflichtigen Umstände. Dies gelte sogar dann, wenn die E-Mails bereits gelöscht wurden, der Server-Provider aber noch Zugriff auf diese hat. Der EDSA stützt seine Ansicht dabei auf den weiten Begriff des personenbezogenen Datums aus Art. 4 Nr. 1 DSGVO. Ausreichend ist, dass die sich eine Information (mittelbar) auf eine natürliche Person bezieht. Auf die Qualität der Information kommt es nicht an. Das Auskunftsrecht der DSGVO müsse ebenso weit gehen wie die Definition des personenbezogenen Datums. Nur wenn die Menge der Daten zu umfangreich ist, dürfe der Verantwortliche verlangen, dass der Betroffene seinen Antrag näher spezifiziert.

Der EDSA listet nicht abschließend folgende Daten auf, die unter Berücksichtigung von Rechten und Freiheiten anderer Personen, zu offenbaren sind:

  • Besondere Kategorien von personenbezogenen Daten: sensible Daten, wie zum Beispiel Gesundheitsdaten.
  • Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
  • Daten, die von der betroffenen Person wissentlich und aktiv zur Verfügung gestellt wurden: zum Beispiel Kontodaten oder Daten, die über Formulare etc. erfasst werden.
  • Daten, die durch die Nutzung eines Dienstes oder Gerätes erhoben werden konnten: Beispielsweise Zugriffsprotokolle, die Historie der Webseiten-Nutzung, Suchaktivitäten, Standortdaten, Klickaktivitäten, Tastenanschläge usw.
  • Daten, die aus anderen Daten abgeleitet werden: etwa die Kreditwürdigkeit anhand von verschiedenen Angaben zum Einkommen oder der Wohnsitz aus der Postleitzahl.
  • Daten, die aus anderen Daten abgeleitet sind, aber nicht von der Person zur Verfügung gestellt wurden, wie algorithmische Ergebnisse, Ergebnisse einer Gesundheitsbewertung oder eines Personalisierungs- oder Empfehlungsprozesses.
  • Pseudonymisierte Daten.

Im Beschäftigtenkontext führt der EDSA aus, dass Elemente, die für die Entscheidung über eine Beförderung, eine Gehaltserhöhung oder eine neue Aufgabenzuweisung maßgeblich sind, als auskunftswürdige personenbezogene Daten über den betreffenden Mitarbeiter einzustufen sind. Das könne die jährliche Leistungsbeurteilung, Fortbildungsanträge oder sonstige Karrieremöglichkeiten sein.

Grenzen der Auskunftserteilung

Zu den Grenzen stellt der EDSA klar, dass auch Geschäftsgeheimnisse und geistiges Eigentum des Verantwortlichen selbst zu den nicht zu beeinträchtigenden Rechten und Freiheiten anderer Personen gehört. Über diese Daten muss nicht beauskunftet werden. Daneben müssen auch die Rechte und Freiheiten Dritter beachtet werden. Dass eine Beeinträchtigung der Freiheit und Rechte anderer vorliegt, muss jedoch stets der Verantwortliche beweisen.

Sollte es zu einem Interessenskonflikt zwischen dem Auskunftsersuchenden und den Interessen anderer kommen, sieht der EDSA durchaus die Möglichkeit, dass entsprechende Stellen geschwärzt werden oder anderweitig unkenntlich gemacht werden. So könne die Auskunft dennoch unter Wahrung der Interessen einer anderen Person bzw. des Verantwortlichen selbst erteilt werden.

Wie sollte die Auskunft erteilt werden?

Anhand der Leitlinien können Vorgehensweisen für die Bearbeitung von Auskunftsersuchen hergeleitet werden. Unternehmen können sich an folgenden Punkten orientieren:

  1. Überprüfen Sie, ob es sich bei einem Antrag um ein Auskunftsersuchen nach Art. 15 DSGVO handelt, das personenbezogenen Daten erfragt.
  2. Checken Sie, ob der Antragsteller berechtigt ist Auskunft zu erlangen – durch Identitätsprüfung, ob er selbst Betroffener ist, oder ob er eine Berechtigung zum Antrag innehat.
  3. Werden Sie sich über den Umfang der Anfrage, über welche Daten Auskunft verlangt wird, bewusst. Falls notwendig können Sie den Betroffenen auffordern seinen Antrag zu spezifizieren.
  4. Die Auskunft erstreckt sich auf verarbeitete personenbezogene Daten und weitere Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO. Die Verwendung von vorgefertigten Textmodulen aus der Datenschutzerklärung zur Vermittlung der Informationen aus Art. 15 Abs. 1 lit. a-h DSGVO sieht der EDSA generell als möglich an. Dabei darf aber der Bezug zur konkreten Auskunftsanfrage eines spezifischen Betroffenen nicht vernachlässigt werden. Zu allgemeine Auskünfte erfüllen das Ersuchen nicht. Gewisse Informationen sind jedoch regelmäßig dieselben, sodass in solchen Fällen Textbausteine sinnvoll sein könnten. Das wäre zum Beispiel bei Art. 15 lit. f DSGVO denkbar, der die Mitteilung über das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde regelt.
  5. Für die Auskunftserteilung sollte, auch nach Ansicht des EDSA, ein automatisierter Prozess eingerichtet werden. Vor allem bei vielen Anfragen dient dies der Entlastung von Mitarbeitenden im Unternehmen. Es empfiehlt sich eine Liste zu erstellen, die das Datum der Anfrage, die anfragenden Person, den Kontakt der anfragenden Person, das Datum und die Art der Bearbeitung und den zuständigen unternehmensinternen Mitarbeiter dokumentiert. Ansonsten empfiehlt der EDSA die Einrichtung eines Self-Service-Tools, das die Anfragen automatisiert selbständig bearbeitet.
  6. Nehmen Sie Interessen von anderen Personen in den Blick und wägen ab, ob eine Auskunft dennoch erteilt werden kann. Beispielsweise das Schwärzen oder unkenntlich machen gewisser Informationen, könnte für eine Auskunftserteilung ausreichen.
  7. Überprüfen Sie, ob die Anfrage offenkundig unbegründet oder exzessiv gestellt wurde. Dann können Sie ein entsprechendes Entgelt für die Auskunft verlangen oder diese verweigern.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Fazit

Aus deutscher Sicht ergeben die Leitlinien des EDSA nur bedingt neue Erkenntnisse. Überwiegend werden die Standpunkte des EDSA bereits in der deutschen Rechtsprechung vertreten oder können unmittelbar aus dem Gesetz hergeleitet werden. Dennoch können die unverbindlichen Leitlinien unterstützend für solche Fragen herangezogen werden, bei denen noch Unsicherheiten seitens der Unternehmen bestehen.

Update 07.01.2022

Update zum Auskunftsverweigerungsrecht: rechtsmissbräuchliche Auskunftsansprüche

Das OLG Hamm hat sich vor kurzem mit der Frage beschäftigt, wann ein DSGVO-Auskunftsanspruch rechtsmissbräuchlich ist und somit das angefragte Unternehmen das Begehren ablehnen kann (OLG Hamm, Beschl. v. 15.11.2021 – Az.: 20 U 269/21).

Konkret ging es in dem Fall um einen Kläger, der bei der verklagten Versicherung krankenversichert war und sich gegen Prämienerhöhungen wehrte, die er für unbegründet hielt. Im Laufe des gerichtlichen Verfahrens verlangte er von der Beklagten auch Auskunft nach Art. 15 DSGVO. Doch dieses Auskunftsbegehren stufte das OLG Hamm als rechtsmissbräuchlich ein und urteile:

„Der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 Buchstabe b) DS-GVO zu.

Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 zu der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (…).

Anzumerken ist dabei, dass die Schwelle für die Missbräuchlichkeit hoch ist und der Kläger hier selbst zum Ausdruck gebracht hatte, dass es ihm eigentlich gar nicht um Datenschutzrechtliche Auskunft ging: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber nach seinem eigenen Klagevorbringen überhaupt nicht, Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr – wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt – ausschließlich die Überprüfung etwaiger vom Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mangel nach § 203 Abs. 5 VVG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (…).“

Ähnlich hatte zuvor bereits das LG Wuppertal in seinem Urteil vom 29.7.2021 (Az. 4 O 409/20) entschieden und ein Auskunftsanspruch nach Art. 15 DSGVO wegen Rechtsmissbrauch abgelehnt. In seiner Entscheidung geht das LG davon aus, dass einem Auskunftsbegehren nach Art. 15 DSGVO der Einwand des Rechtsmissbrauchs nach § 242 BGB entgegengehalten werden kann.

Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat nicht nur Unternehmen im Hinblick auf Datenschutz sensibilisiert. Auch die Bürgerinnen und Bürger sind sich ihrer Rechte beim Umgang mit ihren personenbezogenen Daten durch Unternehmen bewusstgeworden, wie die steigende Anzahl der eingehenden Beschwerden über Verstöße bei den Aufsichtsbehörden zeigt. Ein zentrales Vehikel der Personen, von denen personenbezogene Daten verarbeitet werden („betroffene Personen“), sind das Auskunftsrecht sowie dessen Unterfall des Rechts auf Kopie. Sie reihen sich in die Kette weiterer wichtiger Betroffenenrechte ein, wie das Recht auf Datenportabilität, Löschung oder Widerruf und Widerspruch. 

Unternehmen sollten dazu motiviert sein, die rechtskonforme Beantwortung von Auskunftsanfragen und das Bereitstellen von Kopien ernst zu nehmen. Nicht nur ist das Bußgeld bei Verstößen gegen die Betroffenenrechte mit dem Inkrafttreten der DSGVO deutlich gestiegen. Außerdem trägt der korrekte Umgang mit den Betroffenenrechten zu einem sehr guten Unternehmensimage und Kundenvertrauen bei und folglich zu einer steigenden Mitarbeiterzufriedenheit. 

Die Frage ist allerdings, wie weit der Auskunftsanspruch und das Recht auf Kopie reichen – kann eine betroffene Person verlangen, dass ihr umfassend alle über sie gespeicherten Daten zur Verfügung gestellt werden? Und wenn ja, müssen dann auch alle vorhandenen Datensätze vollumfänglich als Kopie bereitgestellt werden? Dies würde zwar die Bedürfnisse der Betroffenen gänzlich befriedigen, stünde allerdings im Spannungsfeld mit Unternehmensinteressen wie dem Schutz von Geschäftsgeheimnissen sowie einem enormen Arbeitsaufwand. Dieses Spannungsfeld wurde vom Gesetzgeber nicht konkret aufgelöst. Im Folgenden zeigen wir Ihnen auf, wie Gerichtsurteile und Aussagen von Datenschutzbehörden zu dieser Problematik in der Praxis helfen können.

Die Herausforderung: welche Daten erfasst der Auskunftsanspruch und wo liegen die Grenzen? 

Der Auskunftsanspruch der betroffenen Person richtet sich gegen den für die Datenverarbeitung Verantwortlichen, sprich gegen das Unternehmen, das personenbezogene Daten über sie erhebt, speichert oder nutzt. Dieser Anspruch erwächst aus dem in der DSGVO verankerten Transparenzprinzip und ist eine logische Konsequenz aus dem Umstand, dass heutzutage die Informationssysteme derart verknüpft sind, dass eine Nachverfolgung des Datenstroms für die betroffenen Personen kaum möglich ist. Der Auskunftsanspruch soll hier Abhilfe schaffen. Er wird in zwei Stufen gegliedert:

Stufe 1: Auskunft, ob überhaupt personenbezogene Daten verarbeitet werden.

Stufe 2: Wenn ja, dann Auskunft über diese Daten. Wenn nein, dann Negativauskunft.

Werden personenbezogene Daten verarbeitet, so müssen die in der DSGVO in Art. 15 Abs. 1 aufgezählten Informationen darüber erteilt werden:

  • Verarbeitungszwecke, Datenkategorien, Empfänger oder deren Kategorien, Speicherdauer, bestehende Betroffenenrechte
  • Ggf. Datenherkunft, automatische Entscheidungsfindung (insbesondere Profiling), Garantie für ein angemessenes Schutzniveau

Diese Aufzählung des Gesetzgebers ist zwar umfassend, doch zugleich sehr vage. Genau hier liegt das Problem für Unternehmen: wie genau müssen beispielsweise die Zwecke der Datenverarbeitung beschrieben werden? Müssten all diese aufgezählten Informationen detailliert der betroffenen Person genannt werden, dann stünden die Unternehmen vor einem erheblichen Kosten- und Zeitaufwand. Damit im Zusammenhang steht genau dasselbe Problem in Bezug auf die ebenfalls gesetzlich normierten Ausnahmen: wie weit sind sie zu verstehen und wo greifen sie in das Auskunftsrecht ein? Würde eine der folgenden (wichtigsten) Ausnahmen eingreifen, so bestünde für den Verantwortlichen ein Auskunftsverweigerungsrecht: 

  • Der Betroffene ist nicht identifizierbar; Stellung exzessiver oder unbegründeter Anträge
  • Beeinträchtigung von Rechten und Freiheiten anderer Personen (z.B. Persönlichkeits- oder Datenschutzrechte anderer), Geschäftsgeheimnisschutz
  • Unverhältnismäßiger Aufwand der Auskunftserteilung in Bezug auf Daten, die nur noch aufgrund gesetzlicher Aufbewahrungspflichten und zu Datensicherungs- und Kontrollzwecken gespeichert werden
  • Grundsatz der Fairness in der DSGVO (Treu und Glaube)

Das Recht auf Auskunft wird erweitert um den Anspruch auf Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Auch hier liegt die Herausforderung darin, den Umfang dieses Rechts korrekt zu bestimmen. Müssen alle Unterlagen, in denen sich personenbezogene Daten befinden, vollumfänglich bereitgestellt werden? Wäre dem so, dann müssten beispielsweise komplette E-Mail-Kommunikationen als Kopie überlassen werden. Oder reicht es zur Erfüllung des Rechts aus, wenn nur eine Kopie mit einer Übersicht der wesentlichen verarbeiteten Daten erstellt und ausgehändigt wird? Und wie sieht es mit dem Schutz schützenswerter Informationen des Verantwortlichen oder den berechtigten Interessen Dritter aus, wenn diese durch die Kopien beeinträchtigt werden?

Der Versuch der Auflösung des Spannungsfelds durch Gerichte und Datenschutzbehörden

Mit dieser Frage der Reichweite des Auskunftsanspruchs und des Rechts auf Kopie haben sich bereits Gerichte und Datenschutzbehörden befassen müssen, doch auch diese konnten keinen einheitlichen Konsens erreichen.

Das LAG Baden-Württemberg ging in einem arbeitsrechtlichen Fall von einer sehr extensiven Reichweite des Auskunftsrechts aus (Az. 17 Sa 11/18). In dem zugrundeliegenden Fall verlangte ein Arbeitnehmer Auskunft über sämtliche zu seiner Person gespeicherten Daten. Sein Arbeitgeber verweigerte diese Auskunft und berief sich auf den Schutz berechtigter Interessen der sog. „Whistleblower“ im Unternehmen. Das Gericht verurteilte den Arbeitgeber jedoch zur umfassenden Offenlegung der Informationen inklusive der nicht in der Personalakte gespeicherten Leistungs- und Verhaltensdaten sowie die Erkenntnisse aus internen Compliance-Ermittlungen. Folglich setzt das Gericht die Hürden für das Eingreifen der Ausnahmen hoch an und versteht den Umfang der zu erteilenden Informationen umfassend. Dementsprechend geht es auch von einem weitreichenden Recht auf Kopie aus und setzt die Maßstäbe an eine Einschränkung sehr hoch. Es erkannte der betroffenen Person einen Anspruch auf eine Kopie all seiner Leistungs- und Verhaltensdaten an, die Gegenstand einer Verarbeitung waren, erwähnt dabei jedoch nicht, was genau darunter zu verstehen ist.

Das LG Köln hingegen setzte die Schwelle des Auskunftsverweigerungsrechts der Verantwortlichen niedriger an (Az. 26 O 25/18). Die betroffene Person begehrte neben der ihr bereits erteilten Auskunft über die gespeicherten Stammdaten (z.B. Namen, Geburtsdatum, Kontonummer) eine weitere, die auch die Übermittlung interner Vermerke und von Kopien jedes jemals geführten Schriftverkehrs beinhaltet. Das Gericht ist jedoch der Auffassung, dass sich der Auskunftsanspruch nicht auf sämtliche interne Vorgänge des Verantwortlichen beziehe, zumal der gewechselte Schriftverkehr auch der betroffenen Person bereits bekannt sei. Es sei daher nur erforderlich, dass die betroffene Person Auskunft über die verarbeiteten personenbezogenen Daten erhalte, die die es ihr ermöglichen, den Umfang und Inhalt der gespeicherten Daten beurteilen zu können. Dasselbe gelte in Bezug auf die Kopie. 

Dieses Urteil wurde jedoch in der Berufung vom OLG Köln aufgehoben (Az. 20 U 75/18), wobei das Gericht wie das LAG Baden-Württemberg das Auskunftsrecht weit versteht. Auch Gesprächsvermerke und Telefonnotizen für den internen Gebrauch können personenbezogene Daten darstellen und darüber müsse Auskunft erteilt werden. Diese Daten würden auch keine Geschäftsgeheimnisse sein. Wirtschaftliche Erwägungen des Unternehmens, dass die Auskunft mit den ihm zur Verfügung stehenden Mitteln nicht möglich sei, seien ebenfalls bedeutungslos. Die Verantwortlichen müssten dafür Sorge tragen, dass sie ihre Datenverarbeitung im Einklang mit der Rechtsordnung organisieren und die Auskunftsrechte erfüllen können. 

Zu der Frage, ob das Recht auf Kopie so weit reicht, dass Duplikate von Datensätzen bereitgestellt werden müssen, hat sich der Europäische Gerichtshof bereits 2014 geäußert (Az. C-141/12). Damals war zwar die DSGVO noch nicht in Kraft, das Recht gab es jedoch schon nach alter Rechtslage und so kann das Urteil wertvolle Hinweise auch für die heutige Rechtslage geben. Der EuGH entschied, dass das Recht auf Auskunft gewährleistet sei, wenn die Auskunft vollständig und verständlich sei. Das Kriterium der Verständlichkeit lässt sich auch heute gut aus dem Transparenzprinzip der DSGVO ableiten. Die Voraussetzungen seien auch erfüllt, wenn nicht die gesamten Datensätze als Kopie zur Verfügung gestellt werden würden, zumal die Bereitstellung von Duplikaten die Verständlichkeit in der Regel nicht gewährleistet.

Die Datenschutzbehörden haben sich ebenfalls teilweise schon unternehmens- und praxisgerechter positioniert als die deutschen Gerichte. Das Bayrische Landesamt für Datenschutz beispielsweise lehnt einen allgemeinen umfassenden Anspruch auf Auskunft und Kopie von Dokumenten oder Akten ab. Eine Auskunft über die verarbeiteten personenbezogenen Daten würde eben nicht bedeuten, dass sämtliche Dokumente, E-Mails usw. herausgegeben werden müssten. Auch eine Kopie sei nur von den verarbeiteten personenbezogenen Daten erforderlich, nicht jedoch von den entsprechenden Akten oder Unterlagen, in denen sich diese Daten befinden. Für diese Begründung verweist die Behörde auf das Urteil des EuGH. 

Unsere Empfehlung für eine praxisgerechte Lösung! 

Datenschutzbehörden und Gerichte sind sich also nicht einig, wie Auskunftsrecht und Recht auf Kopie in der Praxis konkret ausgestaltet werden sollen. Vor allem die Auffassungen des OLG Köln und des LAG Baden-Württembergs stellen Unternehmen vor große Probleme, da der Arbeitsaufwand sowie die Kosten bei der Beantwortung von Auskunftsanfragen und dem Bereitstellen von Kopien immens wären. Allerdings gibt es bekanntlich für jedes Problem eine Lösung und wir geben Ihnen gerne einige praxisgerechte Empfehlungen an die Hand, die wir aus den Erkenntnissen aus Urteilen, Aussagen von Datenschutzbehörden und unserer tagtäglichen Arbeit mit Mandanten entwickelt haben:

1. Generell sollten Sie versuchen, einen vermittelnden Weg zwischen den Ansichten der Gerichte und der Datenschutzbehörden zu finden. Dazu empfiehlt es sich, zunächst eine übersichtliche und aussagekräftige Auskunft über die nach dem Gesetz erforderlichen Daten einer Person zu erteilen (s.o.) und ggfs. darauf hinzuweisen, dass der Betroffene sein Auskunftsrecht präzisieren kann, wenn die erteilte Auskunft aus seiner Sicht nicht ausreichend ist. Sollten daraufhin weitere Auskünfte angefordert werden, kann das weitere Vorgehen je nach Einzelfall entschieden werden. 

2. Grundsätzlich sollte ein etablierter Prozess im Unternehmen bestehen, wie eine Auskunft erteilt wird, sofern nicht eine technische (automatisierte) Lösung geschaffen wurde. Das heißt, es sind alle relevanten Systeme zu identifizieren, die zu beauskunfteten Daten und die Verantwortlichkeiten. Nur so kann gewährleistet werden, dass eine Auskunft vollständig und fristgerecht erfolgt. 

3. Zu einem guten Datenschutz-Management gehört auch ein korrektes und übersichtliches Verzeichnis über Verarbeitungstätigkeiten (VVT). Darin können Sie alle Empfänger der verarbeiteten Daten herauslesen und so der betroffenen Person leichter mitteilen.

4. Auch die ohnehin bestehende Pflicht zur Aufstellung eines Löschkonzepts zwingt Sie dazu, sich über die von Ihnen verarbeiteten Daten bewusst zu werden und Sie zu ordnen. Nutzen Sie diese Ordnung, wenn es um die Auskunftserteilung geht. Das spart Kosten und unnötige Arbeit.

Fazit: Sauberes Vorarbeiten erspart kostenintensives Ausbessern!

Es ist ganz normal, dass Gerichte, Behörden und die juristische Wissenschaft sich über Grenzen und Reichweiten von Rechten uneinig sind, wenn der Gesetzgeber diese nicht eindeutig festgelegt hat. Jeder Einzelfall ist anders und daher kann auch jedes Gerichtsurteil und jede Empfehlung anders ausfallen.

Genauso verhält es sich auch bei der Frage von der Reichweite des Auskunftsrechts und des Rechts auf Kopie nach der DSGVO. Die Urteile und Behördenaussagen können Anhaltspunkte sein. Es kommt jedoch beim Datenschutz und generell bei Compliance darauf an, wie gut ein Unternehmen in der Hinsicht organisiert ist. Es erweist sich immer als der bessere Weg, sich gut vorzubereiten und Konzepte und Prozesse an der Hand zu haben, um rechtskonform auftreten und agieren zu können. Dann gelingt es auch im Streitfall besser, eine Lösung zu finden. 

Wenn Sie eine Beratung hinsichtlich der von uns vorgeschlagenen Empfehlungen wünschen oder weitere, speziell auf Sie angepasste Lösungen suchen, dann melden Sie sich gerne bei uns! Wir sind eine im Datenschutz hochspezialisierte Kanzlei, die branchenspezifisch arbeitet und maßgeschneiderte juristische Hilfe für Ihr Unternehmen anbietet. Vertrauen auch Sie auf unsere Expertise, wir freuen uns auf Sie!

nach oben
Mehr zum Thema

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.