Ihre
Suche

    20.09.2024

    Leitfaden für öffentlich-rechtliche Einrichtungen zur Auskunftserteilung nach Art. 15 DSGVO


    Das Auskunftsrecht nach Art. 15 DSGVO ist in der Praxis ohne Zweifel das am meisten genutzte Betroffenenrecht und regelmäßig Gegenstand von Diskussion und gerichtlichen Auseinandersetzungen. Insbesondere im Arbeitsrecht gehört die Geltendmachung des Auskunftsrechts und das Recht auf Kopie mittlerweile zum guten Ton, oft um aus taktischen Gründen den Druck auf den Arbeitgeber in arbeitsrechtlichen Verfahren zu erhöhen. Erschwerend kommt hinzu, dass ein Verstoß gegen die Auskunftspflicht unter Umständen Schadensersatzansprüche des Betroffenen oder auch Bußgelder der Datenschutzbehörde nach sich ziehen kann.

    Auch für die öffentliche Hand haben Auskunftsansprüche eine hohe Relevanz und werden regelmäßig geltend gemacht. Jüngst hat deshalb die Sächsische Datenschutz- und Transparenzbeauftragte einen Handlungsleitfaden für Kommunen und Verwaltung zur Auskunftserteilung nach Artikel 15 DSGVO veröffentlicht. Der Leitfaden berücksichtigt die neuste Rechtsprechung von nationalen Gerichten und des Europäischen Gerichtshofes und bietet Empfehlungen und Anleitungen für Verantwortliche von öffentlichen Stellen, um dem Auskunftsanspruch nachzukommen.

    Dieser Leitfaden dient als Grundlage, um im Rahmen dieses Beitrags die wichtigsten Voraussetzungen des Auskunftsanspruchs und damit verbundene Handlungsempfehlungen zusammenzufassen.

    1. Regelungen im Vorfeld der Auskunft

    Es ist ein Prozess zur Auskunftserteilung zu etablieren. Dazu sind die Zuständigkeiten innerhalb der Organisationseinheit festzulegen. Die Beschäftigten müssen sensibilisiert werden, damit Anfragen nicht untergehen und zeitnah an die richtige Stelle weitergeleitet werden. Zudem muss eine fachübergreifende Kommunikation gewährleistet werden. Es sollten dazu interne Dienstanweisungen formuliert werden, in denen die genauen Modalitäten der Beantwortung von Auskunftsersuchen festgelegt werden. Die Datenschutzbeauftragten sind zu beteiligen, auch wenn es grundsätzlich nicht Aufgabe der Datenschutzbeauftragten ist, Auskunftsersuchen selbst zu bearbeiten.

    2. Prüfung und Berechnung der Frist

    Auskünfte sind nach Art. 12 Abs. 3 DSGVO unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags zu beantworten. Da eine verspätete Auskunft bereits einen Datenschutzverstoß darstellt, ist sicherzustellen, dass die Monatsfrist notiert wird und Anfragen zeitnah bearbeitet werden.

    Im Ausnahmefall kann die Frist um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Personalmangel, etwa wegen Krankheit oder Urlaub von Beschäftigten, wird jedoch nicht als Ausnahmefall akzeptiert. In jedem Fall muss der Antragsteller innerhalb der Monatsfrist über eine Verlängerung der Frist und deren Gründe informiert werden.

    3. Klärung der Identität und Berechtigung des Antragstellers

    Die Auskunft über die Verarbeitung von personenbezogenen Daten darf nur gegenüber der tatsächlich betroffenen Person erteilt werden. Ansonsten riskiert der Verantwortliche wiederum einen Datenschutzverstoß. Weitere Informationen, insbesondere Ausweisdokumente, dürfen vom Antragsteller aber dennoch nur bei begründetem Zweifel an dessen Identität angefordert werden und müssen auf das Erforderliche begrenzt werden.

    4. Prüfung, ob eine Pflicht zur Auskunft besteht

    Auf jeden Fall muss die öffentliche Stelle prüfen, ob sie für die Auskunftserteilung überhaupt zuständig ist. Dabei ist auch entscheidend, ob die Stelle als Auftragsverarbeiter oder als Verantwortlicher agiert und ob ggf. eine gemeinsame Verantwortlichkeit vorliegt. Des Weiteren müssen Antragsteller selbst antragsberechtigt sein. Dies ist z. B. nicht der Fall, wenn sie Auskunft über Daten zu anderen Personen verlangen oder es sich um Erben einer verstorbenen Person handelt.

    5. Prüfung einer Ausnahme oder Einschränkung

    Vor der Auskunftserteilung ist zu prüfen, ob ggf. eine Ausnahme oder Beschränkung vorliegt. Bei offenkundig unbegründeten oder exzessiven Anträgen darf die Auskunft abgelehnt werden. Diese Einschränkungen werden jedoch sehr restriktiv ausgelegt und werden in der Praxis meist nicht greifen. Es ist ausdrücklich nicht missbräuchlich, wenn der Antrag nicht begründet wird oder offensichtlich für datenschutzfremde Zwecke genutzt werden soll.

    Immer zu beachten ist, dass bei Auskunftserteilung keine Rechte Dritter verletzt werden dürfen. Daher ist z. B. bei der Herausgabe von Akten immer zu prüfen, ob personenbezogene Daten oder sonstige Rechte Dritter berührt sind. Ggf. sind Dokumente daher zu schwärzen oder ist die Auskunft einzuschränken, was jedoch stets begründet werden muss.

    6. Umfang der Auskunftspflicht

    Sehr kontrovers diskutiert wird die Frage des Umfangs der Auskunft. In jedem Fall muss mitgeteilt werden, ob überhaupt Daten über den Antragsteller verarbeitet werden. Auch die sonstigen Informationen gemäß Art. 15 Abs. 1 Hs. 2 DSGVO sind zu erteilen. Der Auskunftsanspruch wird sehr weit ausgelegt und umfasst alle personenbezogenen Daten des Antragstellers, sodass unter Umständen auch ganze Dokumente oder sogar Aktenteile beauskunftet werden müssen, wenn dies unerlässlich ist, um ihre Verständlichkeit zu gewährleisten. Auch interne Vermerke und Gesprächsprotokolle können daher umfasst sein. Der Antragsteller muss in der Lage sein, aufgrund der erteilten Auskunft die Rechtmäßigkeit der Datenverarbeitung durch die öffentliche Stelle zu prüfen. Generell sind die Details zu Umfang und Reichweite des Anspruchs stark umstritten. Die Sächsische Datenschutzbehörde empfiehlt ein zweistufiges Verfahren, bei dem zunächst die grundlegenden Informationen erteilt werden und gleichzeitig um eine Präzisierung gebeten wird. Im Zweifel ist der Verantwortliche aber verpflichtet, eine vollständige Auskunft und eine Kopie aller Daten zu erteilen, die Gegenstand der Verarbeitung sind, auch wenn dies eine hohen Arbeitsaufwand verursacht.

    7. Form der Auskunftserteilung

    Eine bestimmte Form sieht die DSGVO nicht vor. Die Auskunft kann schriftlich, elektronisch, oder auf Wunsch des Antragstellers auch mündlich erteilt werden. Wünscht der Antragsteller aber eine bestimmte Form der Auskunft, muss diese grundsätzlich eingehalten werden. Bei elektronischer Versendung, etwa per E-Mail, ist immer auf eine ausreichende Verschlüsselung zu achten.

    8. Rechtsbehelf gegen die Versagung einer Auskunft

    Die – auch teilweise – Nichterteilung einer Auskunft ist durch die antragstellende Person gerichtlich überprüfbar. Bei der Entscheidung über einen datenschutzrechtlichen Auskunftsanspruch durch eine öffentlich-rechtliche Einrichtung handelt es sich nach herrschender Meinung um einen Verwaltungsakt, sodass die Verpflichtungsklage statthafte Klageart für die gerichtliche Geltendmachung eines Auskunftsanspruchs ist.

    Der Auskunftsanspruch nach Art. 15 DSGVO wird flankiert vom Akteneinsichtsrecht als Beteiligter eines Verfahrens sowie dem Anspruch auf Informationszugang nach den Informationsfreiheitsgesetzen, die jeweils eigene Voraussetzungen vorsehen.

    Jason Komninos