Ein zentrales Ziel der DSGVO ist es, Betroffenen die Kontrolle über ihre personenbezogenen Daten zu geben. Unternehmen müssen daher in der Praxis eine Vielzahl von Betroffenenrechten beachten und umsetzen. Welche Rechte Betroffene gegenüber Unternehmen geltend machen können, regelt das dritte Kapitel der DSGVO. Darin enthalten ist auch das aktuell besonders relevante Recht auf Auskunft (Art. 15 DSGVO). Unternehmen benötigen ein Management von Betroffenenrechten im Allgemeinen, aber auch für die Beantwortung von Auskunftsersuchen im Speziellen. Sind die dazugehörigen Prozesse im Unternehmen nicht etabliert und kommt es in der Folge zu Verstößen gegen die DSGVO, drohen neben empfindlichen Bußgeldern insbesondere Klagen auf immateriellen Schadensersatz.
Das Recht auf Auskunft
Durch die Auskunft sollen Betroffene in die Lage versetzt werden, Kenntnis von der Verarbeitung ihrer personenbezogenen Daten zu erhalten und infolgedessen die Verarbeitung auf ihre Rechtmäßigkeit hin überprüfen zu können. Auf Anfrage eines Betroffenen muss ein Unternehmen Auskunft über die konkret verarbeiteten Daten und die vorgegebenen Informationen erteilen. In der Praxis kann der Umfang der Auskunft sehr komplex und herausfordernd sein. Dies gilt insbesondere, da die Rechtslage in den relevanten Einzelheiten ungeklärt und die bislang ergangene Rechtsprechung hierzu bislang sehr uneinheitlich ist. Zur Orientierung hat das European Data Protection Board (EDPB) Leitlinien zum Recht auf Auskunft veröffentlicht (PDF) und sich darin auch mit Fragen zur praktischen Umsetzung beschäftigt.
Was droht bei Verstößen?
Verstoßen Unternehmen gegen die DSGVO, weil sie Auskunftsersuchen von Betroffenen nicht im gesetzlich vorgeschriebenen Rahmen beantworten, drohen unter anderem Bußgelder durch die Datenschutzaufsichtsbehörden. So hat beispielsweise die niederländische Datenschutzaufsichtsbehörde unlängst gegen ein Medienunternehmen ein Bußgeld von 525.000 Euro verhängt, weil das Unternehmen die Beantwortung von Auskunftsersuchen von der Kopie eines Identitätsnachweises abhängig gemacht hatte.
Ein weiteres Risiko, das mit der nicht ordnungsgemäßen Beantwortung von Auskunftsersuchen einhergeht, sind Schmerzensgeldansprüche von Betroffenen. Diese erfreuen sich insbesondere im Zusammenhang mit arbeitsgerichtlichen Streitigkeiten derzeit großer Beliebtheit. Ein Beispiel hierfür ist ein Urteil des Landesarbeitsgerichts Niedersachsen vom 22.10.2021 (Az. 16 Sa 761/20), mit dem das Gericht entschieden hat, dass eine verspätete und unvollständige Auskunft einen Anspruch auf ein Schmerzensgeld in Höhe von 1.250 Euro begründet. Das Landesarbeitsgericht Berlin-Brandenburg hat einem Beschäftigten mit Urteil vom 18.11.2021 (Az. 10 Sa 443/21) sogar ein Schmerzensgeld in Höhe von 2.000 Euro zugesprochen, da bei dem Betroffenen ein Kontrollverlust über seine personenbezogenen Daten eingetreten sei. Die zugesprochenen Schmerzensgelder mögen im Einzelfall in ihrer Höhe nicht sehr gravierend sein, praktische Beobachtungen sowie der verstärkte öffentliche Fokus legen jedoch nahe, dass zukünftig die Anzahl an entsprechenden Klagen – und damit auch die Summe der Schmerzensgelder – erheblich steigen wird.
Herausforderungen bei der Beantwortung von Auskunftsersuchen
Praktische Herausforderungen des Art. 15 DSGVO bestehen unter anderem in folgenden Bereichen:
- Identifikation des Betroffenen: Die Identifikation darf kein unzulässiges Hindernis darstellen, muss jedoch zugleich sicherstellen, dass personenbezogene Daten nicht in die falschen Hände gelangen. Das Bußgeld gegen den Mobilfunkanbieter 1&1 i.H.v. zuletzt 900.000 EUR wegen unzulässiger Herausgabe der Telefonnummer des Betroffenen an dessen Ex-Frau ist ein eindrückliches Beispiel für die Herausforderungen bei der ausreichenden Identifizierung von Betroffenen.
- Fristen: Auskunftsersuchen müssen binnen eines Monats beantwortet werden. Nur in Ausnahmefällen kann eine Verlängerung der Frist um weitere zwei Monate in Betracht kommen.
- Umfang der Auskunft: Die Auskunft umfasst in erster Linie die Bestätigung der Verarbeitung und darüber hinaus die Auskunft über die Daten. Die betroffene Person hat grundsätzlich ein umfassendes Auskunftsrecht.
- Können Auskunftsersuchen wegen eines hohen Bearbeitungsaufwands oder der Begründung, dass es sich um exzessive Auskunftsersuchen handelt, abgelehnt werden? Das LAG Sachen begrenzt Auskunftsansprüche, soweit sie nicht ausreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO) oder präzise sind oder es sich um funktionswidrige oder exzessive Auskunftsersuchen handelt.
Das Management von Auskunftsersuchen im Unternehmen
Unserer Erfahrung nach sind für eine effektive und nachhaltige Umsetzung des Rechts auf Auskunft und der weiteren Betroffenenrechte nach der DSGVO geeignete Datenschutzprozesse unerlässlich. Wegen der Komplexität der Thematik beginnen Unternehmen idealerweise präventiv mit der Umsetzung der Betroffenenrechte auf Prozessebene und warten nicht, bis sie erste Ersuchen von Betroffenen erreichen. Durch frühzeitiges Handeln kann insbesondere gewährleistet werden, dass die notwendigen technischen Voraussetzungen für die Umsetzung der Betroffenenrechte, etwa die Möglichkeit, personenbezogene Daten aus einem System zu exportieren oder zu löschen, vorhanden sind. Kurzfristig ist dies oft nicht möglich und kann beispielsweise zu einer unvollständigen Auskunft und einem damit einhergehenden Verstoß gegen die DSGVO führen.