Hilfesuchend rund ums Auskunftsersuchen: was Art. 15 DSGVO für Sie wirklich bedeutet

Inhaltsverzeichnis:

1. Was ist das Recht auf Auskunft nach Art. 15 DSGVO?
2. Wie sollten Verantwortliche mit Anfragen nach Art. 15 DSGVO umgehen?
3. Wann wird keine Auskunft erteilt?
4. Mögliche Schadensersatzansprüche bei Verstößen gegen das Recht auf Auskunft
5. Fazit

Wer vom Datenschutz noch nicht gehört hat, lebt vermutlich sehr abgeschieden. Das Hören alleine reicht allerdings nicht aus, wenn es um den Betrieb eines Online-Shops geht. Die Datenschutz-Grundverordnung (DSGVO) stellt eine Vielzahl von Regelungen, welche im Umgang mit personenbezogenen Daten zu beachten sind. Nicht zuletzt räumt sie den betroffenen Personen eine ganze Reihe an Rechten ein. Bestimmt haben Sie schon von dem Recht auf Auskunft nach Art. 15 DSGVO gehört. In diesem Rechtstipp der Woche erfahren Sie, was das Recht auf Auskunft umfasst und welche Aufgaben sich daraus ergeben.

Was ist das Recht auf Auskunft nach Art. 15 DSGVO?

Das Recht auf Auskunft nach Art. 15 DSGVO gibt jeder Person das Recht, Auskunft darüber zu verlangen, ob ihre personenbezogene Daten verarbeitet werden und wenn ja, welche. Die betroffene Person kann auch verlangen, dass eine Kopie ihrer personenbezogenen Daten zur Verfügung gestellt wird, die in einem maschinenlesbaren Format vorzulegen ist (z.B. als Auszug aus dem CRM-System).

Das Recht auf Auskunft gibt somit den betroffenen Personen mehr Kontrolle über eigene personenbezogene Daten. Es gibt ihnen des Weiteren die Möglichkeit, die Daten zu überprüfen und sicherzustellen, dass diese korrekt sind, und ob die Verarbeitung überhaupt rechtmäßig ist.

Wie sollten Verantwortliche mit Anfragen nach Art. 15 DSGVO umgehen?

Verantwortliche müssen sicherstellen, dass sie in der Lage sind, Anfragen nach Art. 15 DSGVO zu beantworten. Dies bedeutet, dass sie an allererster Stelle über geeignete Verfahren verfügen müssen, um personenbezogene Daten zu identifizieren und dem/der Antragsteller*in zugänglich zu machen.

Folgende Informationen sind dem/der Betroffenen mitzuteilen:

• die Verarbeitungszwecke;
• die Kategorien der personenbezogenen Daten;
• die konkreten Empfänger*innen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
• bei Drittlandübermittlung: Mitteilung der geeigneten Garantien gemäß
  Art. 46 DSGVO;
• falls möglich die geplante Speicherdauer, oder, falls dies nicht möglich ist, die Kriterien der Speicherdauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

 Diese Informationen können zum Teil dem erstellten Verzeichnis der Verarbeitungstätigkeiten oder auch der eigenen Datenschutzerklärung entnommen werden.

Nicht zu vergessen ist, dass die Anfragen innerhalb der vorgeschriebenen Frist von einem Monat beantwortet werden müssen. Eine Fristverlängerung ist um weitere 2 Monate möglich, hierfür müssen jedoch entsprechende Gründe mitgeteilt werden. Die Mitteilung selbst ist jedoch unverzüglich in jedem Fall spätestens innerhalb eines Monats nach Antragseingang vorzunehmen. Eine Verlängerung kann z.B. aufgrund der Komplexität oder der Anzahl der Anfragen erforderlich sein.

Das Vorgehen bei der Bearbeitung von Auskunftsanfragen sieht folgendermaßen aus:

1. Bitte stellen Sie sicher, dass die antragstellende Person auch gleichzeitig die betroffene Person ist, da die Erfüllung des Auskunftsersuchens nicht an unbefugte Dritte erfolgen darf. Es ist wichtig zu überprüfen, ob die Identität der betroffenen Person eindeutig festgestellt werden kann.
2. Des Weiteren sollten Sie klären, was genau die betroffene Person möchte. Möglicherweise werden neben der Auskunft auch andere Ersuchen gestellt, wie beispielsweise die Berichtigung der Daten, die Datenübertragung oder der Widerruf einer Einwilligung. Falls ein Widerruf vorliegt (zum Beispiel im Falle einer Einwilligung wie dem Erhalt von Newslettern), ist es wichtig zu prüfen, ob auch ein Widerspruch gegen die zugrundeliegende Datenverarbeitung vorliegt, wenn diese aufgrund berechtigter Interessen erfolgt (zum Beispiel bei postalischer Werbung).
3. Um das Auskunftsersuchen zu erfüllen, müssen Sie die zugehörigen Daten in Ihren Systemen lokalisieren. Dabei sollten Sie auch die personenbezogene Daten berücksichtigen, die bei dem Besuch auf der Website verarbeitet werden, wie beispielsweise durch Cookies und ähnliche Technologien.
4. Beantworten Sie die Anfrage innerhalb der gesetzlichen Frist. Stellen Sie dabei sicher, dass Sie alle Informationen zur Verfügung stellen, die von der betroffenen Person angefordert wurden. Wenn Sie bestimmte Informationen nicht bereitstellen können, müssen Sie dies begründen und die Gründe dafür erklären.
5. Dokumentieren Sie die Bearbeitung. Es ist wichtig, dass Sie Aufzeichnungen über die Bearbeitung von Auskunftsanfragen nach Art. 15 DSGVO aufbewahren. Dies dient als Nachweis, dass Sie Ihre Verpflichtungen erfüllt haben und kann im Falle von Beschwerden oder Rechtsstreitigkeiten verwendet werden.

Verarbeiten Sie hingegen keine personenbezogenen Daten der betroffenen Person, dürfen Sie das Auskunftsverlangen nicht einfach unbeantwortet lassen. Vielmehr sind Sie in diesem Fall zur Erteilung einer Negativauskunft verpflichtet.

Wann wird keine Auskunft erteilt?

Es gibt Ausnahmen zu jeder Regel, und das Auskunftsrecht ist dabei keine Ausnahme. In seltenen Fällen müssen Sie tatsächlich keine Auskunft erteilen. Dies ist z.B. dann der Fall, wenn die betroffene Person aufgrund ihrer Angaben nicht eindeutig identifizierbar ist. In einem solchen Fall kann die Auskunft verweigert werden, bis ausreichende Daten zur Identifizierung bereitgestellt werden. Eine Auskunft kann auch verweigert werden, wenn Anfragen exzessiv gestellt werden. Exzessiv ist ein Antrag z.B. dann, wenn er zu häufig wiederholt wird. Ob ein Antrag tatsächlich exzessiv ist, hängt von den Umständen des Einzelfalls und der Art der Datenverarbeitung ab. In den meisten Fällen werden Verantwortliche jedoch Auskünfte erteilen müssen.

Mögliche Schadensersatzansprüche bei Verstößen gegen das Recht auf Auskunft

Die DSGVO sieht in Art. 82 Abs. 1 einen Anspruch auf Ersatz des materiellen und immateriellen Schadens für betroffene Personen vor, die Opfer eines Datenschutzverstoßes geworden sind.

Wenn ein Unternehmen oder eine Organisation nicht in der Lage ist, eine Anfrage nach Art. 15 DSGVO (vollständig) zu beantworten oder dies nicht innerhalb der vorgeschriebenen Frist tut, kann dies auch zu Schadensersatzansprüchen führen.

Es ist wichtig zu beachten, dass dies nicht unbedingt ein finanzieller Schaden sein muss. Ein Verstoß gegen das Recht auf Auskunft kann auch einen immateriellen Schaden darstellen.

Unter den immateriellen Schaden fallen dabei alle Beeinträchtigungen des Persönlichkeitsrechts der betroffenen Personen durch den Datenschutzverstoß, insbesondere:

• Rufschädigung
• Verlust der Kontrolle über die personenbezogenen Daten
• Diskriminierung
• Einschränkung von Rechten

Wann genau der Schadensersatz verlangt werden kann, und wie dieser zu bemessen ist, war lange Gegenstand der langwierigen und hitzigen Diskussionen. Die Rechtsprechung dazu erwies sich bis jetzt als sehr widersprüchlich. Bagatellverstöße, die eine bloße individuell empfundene Unannehmlichkeit darstellen und nicht zu einer ernsthaften Beeinträchtigung führen, fallen zum Beispiel nach Ansicht des AG Diez sowie des AG Goslar nicht darunter. Ob eine solche Erheblichkeitsschwelle jedoch tatsächlich (konkludent) in Art. 82 DSGVO enthalten ist, musste der Europäische Gerichtshof entscheiden. Das Bundesverfassungsgericht hat ihm im Januar 2021 u.a. diese Frage zur Entscheidung vorgelegt.

Am 04.05.2023 hat der EuGH sein Urteil nun verkündet. Laut dem Gerichtshof begründet der bloße Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch. Es müssen vielmehr drei kumulative Voraussetzungen erfüllt sein:

• ein Verstoß gegen die DSGVO,
• ein materieller oder immaterieller Schaden und
• ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Der Gerichtshof stellte fest, dass der bloße Verstoß gegen die DSGVO allein keinen Schadenersatzanspruch begründet. Allerdings beschränkt sich der Schadenersatzanspruch nicht auf immaterielle Schäden, die eine gewisse Erheblichkeit erreichen. Eine solche Beschränkung stünde laut EuGH zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch.

Der Ersatz eines immateriellen Schadens wird somit nicht von einer Erheblichkeitsschwelle abhängig gemacht.

Weiterhin stellte der EuGH fest, dass die DSGVO keine Bestimmungen zur Bemessung eines Schadensersatzes enthalte. Die Kriterien für die Ermittlung des geschuldeten Schadensersatzumfangs aufzustellen, ist Aufgabe der nationalen Gerichte.

Ob diese Entscheidung gleichzeitig das Tor für eine neue Abmahnwelle öffnet, bleibt nun abzuwarten. Mehr zu den aktuellen Abmahntücken bei der Auskunftserteilung finden Sie in unserem Artikel: Aktuelle Abmahngefahr für Newsletter-Anmeldung 15 DSGVO – Schadensersatz nach fehlerhafter Auskunftserteilung.

Fazit

Das Recht auf Auskunft nach Art. 15 DSGVO ist ein Instrument, das betroffenen Personen mehr Kontrolle über ihre persönlichen Daten gibt. Unternehmen und Organisationen müssen sicherstellen, dass sie in der Lage sind, Anfragen nach Art. 15 DSGVO zu beantworten und dies innerhalb der vorgeschriebenen Frist tun. Andernfalls können Schadensersatzansprüche entstehen, die finanzielle und immaterielle Schäden umfassen können. Es ist daher unerlässlich, sich der Bedeutung des Rechts auf Auskunft bewusst zu sein und sicherzustellen, dass Sie angemessene Maßnahmen ergreifen, um Ihren Verpflichtungen nachzukommen.

Benötigen Sie dabei Hilfe? Dann schauen Sie sich gerne unsere Legal Produkte an und vereinbaren Sie einen Beratungstermin, damit wir genau das Richtige für Sie finden!

Über die Autorin

Tetiana Popova ist Wirtschaftsjuristin und als Legal Consultant bei Trusted Shops tätig. Ihr Bachelorstudium des Wirtschaftsrechts sowie Masterstudium des Medienrechts und Medienwirtschafts hat sie an der Technischen Hochschule Köln absolviert. Sie betreut die Trusted Shops Legal Produkte und setzt sich intensiv mit den für Online-Shops relevanten Rechtsgebieten, wie Datenschutz- und E-Commerce-Recht auseinander.