Auskunftsanspruch nach Art. 15 DSGVO: Konsequenzen einer unzureichenden oder unterlassenen Auskunftserteilung
In den letzten Wochen und Monaten hat die IT-Recht Kanzlei wiederholt über den Auskunftsanspruch nach Art. 15 DSGVO berichtet. So erging erst im Juni dieses Jahr eine markante Entscheidung des OLG Köln, die den Begriff der personenbezogenen Daten überraschend weit auslegte und den Auskunftsanspruch nun auch auf Gesprächsnotizen und Vermerke erstreckte. Mit solch erhöhten Anforderungen besteht dringend Anlass, sich mit den Rechtsfolgen zu befassen, die ein Verstoß gegen die Auskunftspflicht nach der DSGVO nach sich zieht. Die IT-Recht Kanzlei gibt hierüber im Folgenden einen umfassenden Überblick.
Inhaltsverzeichnis
- I. Form und Frist
- 1. Form
- 2. Frist
- II. Hindernisse bezüglich des Auskunftsanspruches
- 1. Begründete Zweifel an Identität des Auskunftsersuchenden
- 2. Untätigkeit aus anderen Gründen
- III. Sanktionen, Rechtsbehelfe, Schadensersatz
- 1. Beschwerde bei der Aufsichtsbehörde
- 2. Sanktionierung durch Geldbußen
- 3. Gerichtlicher Rechtsbehelf gegen Auskunftsverantwortlichen
- IV. Fazit
I. Form und Frist
Geht ein Auskunftsersuchen bei der verantwortlichen Stelle ein, haben die Auskunftsverantwortlichen zunächst gewisse Fristen und Formerfordernisse zu beachten.
1. Form
Nach Art. 12 DSGVO trifft den Verantwortlichen die Pflicht, die Informationen in präziser, transparenter, verständlicher, leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Informationen können schriftlich oder in elektronischer Form erteilt werden. Denkbar ist auch, einen Fernzugang zu einem sicheren System einzurichten, das der betroffenen Person Zugang zu ihren personenbezogenen Daten gewährt. Sofern die Identität der auskunftsersuchenden Person zweifelsfrei nachgewiesen wurde, kann die Information auch mündlich erteilt werden, sofern dies verlangt wird.
Beachte: Stellt der Betroffene den Antrag auf Auskunft auf elektronischem Wege, ist auch die Auskunft in einem gängigen elektronischen Format zu erteilen!
2. Frist
Die Informationen sind dem Antragssteller unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden. Dies ist dem Betroffenen jedoch innerhalb eines Monats unter Angaben von Gründen mitzuteilen.
II. Hindernisse bezüglich des Auskunftsanspruches
1. Begründete Zweifel an Identität des Auskunftsersuchenden
Bestehen begründete Zweifel oder Unsicherheiten über die Identität des Auskunftsersuchenden, so kann der Verantwortliche von ihm zusätzliche Informationen anfordern, die es ihm ermöglichen die Identität zweifelsfrei zu bestätigen.
2. Untätigkeit aus anderen Gründen
Wir der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er die betroffene Person ohne Verzögerung, jedoch spätestens innerhalb eines Monats nach Eingang des Antrags, über die Gründe hierfür in Kenntnis setzen. Zudem obliegt es ihm, die Person über die Möglichkeit aufzuklären, bei einer Aufsichtsbehörde Beschwerde einzulegen, oder auch einen gerichtlichen Rechtsbehelf (beispielsweise Klage) einzulegen.
III. Sanktionen, Rechtsbehelfe, Schadensersatz
Für die Sanktionierung von Verstößen gegen das Auskunftsrecht sind die datenschutzrechtlichen Aufsichtsbehörden zuständig. Die Zuständigkeit, diese Aufsichtsbehörden einzurichten, liegt in Deutschland bei den Ländern. Jedes Bundesland stellt daher eigene Aufsichtsbehörden.
1. Beschwerde bei der Aufsichtsbehörde
Fühlt sich eine betroffene Person in ihrem Auskunftsrecht verletzt, steht ihr das Recht auf Beschwerde bei einer der zuständigen datenschutzrechtlichen Aufsichtsbehörden zu. Die Beschwerde kann unentgeltlich eingelegt werden. Die betroffene Person hat sich hierzu insbesondere an die Aufsichtsbehörden ihres Aufenthalts, ihres Arbeitsplatzes Person oder des Ortes des mutmaßlichen Verstoßes in richten, ist in der Wahl jedoch generell frei.
Das Recht auf Beschwerde besteht unbeschadet neben anderen möglichen gerichtlichen oder verwaltungsrechtlichen Rechtsbehelfen.
Das Beschwerderecht begründet allerdings an sich keinen Anspruch auf den Erlass einer konkreten Maßnahme der Aufsichtsbehörde. Die Aufsichtsbehörde kann, wenn sie einen Verstoß gegen das Auskunftsrecht feststellt, auf die ordnungsgemäße Erteilung der Auskunft hinwirken bzw. Maßnahmen und Sanktionen gegen den Verantwortlichen erlassen.
2. Sanktionierung durch Geldbußen
Sollte dem Auskunftsverlangen nicht oder nur ungenügend Folge geleistet werden, können gegen den Verantwortlichen bzw. das Unternehmen durch die Aufsichtsbehörden Geldbußen verhängt werden (Art. 83 Abs. 5 lit. b) DSGVO). Je nachdem, welcher Betrag höher ist, kann diese bis zu 20.000 Euro, oder im Fall eines Unternehmens bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.
Die Aufsichtsbehörde stellt sicher, dass die Verhängung der Geldbußen im Einzelfall wirksam, verhältnismäßig und abschreckend ist. Dabei werden bei der Höhe der Geldbuße folgende Kriterien berücksichtigt:
- Art, Schwere und Dauer des Verstoßes
- Art, Umfang und Zweck der Verarbeitung sowie die Anzahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; Grad der Verantwortung des Verantwortlichen
- Getroffene Maßnahmen zur Minderung des entstandenen Schadens
- Frühere einschlägige Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine Auswirkungen zu mindern
- Kategorie der Daten, die von dem Verstoß betroffen sind
- die Art und Weise wie der Verstoß der Aufsichtsbehörde bekannt geworden ist, insbesondere ob der Verantwortliche den Verstoß selbst mitgeteilt hat
- Einhaltung früherer von der Aufsichtsbehörde gegen den Verantwortlichen angeordneter Maßnahmen, die in Bezug auf denselben Verstoß ergangen sind
- jegliche anderen erschwerenden oder mildernde Umstände im Einzelfall, wie beispielsweise durch den Verstoß erlangte Gewinne oder vermiedene Verluste
Nicht mit einer Geldbuße sanktioniert werden kann hingegen das Unterlassen einer Negativauskunft, sprich die Bestätigung, dass keine Daten der anfragenden Person verarbeitet werden. Hier fehlt es an einer „Betroffeneneigenschaft“ im Sinne des Art. 4 Nr. 1 HS. 1 DSGVO, die jedoch von Art. 83 Abs. 5 lit. b DSGVO vorausgesetzt wird.
3. Gerichtlicher Rechtsbehelf gegen Auskunftsverantwortlichen
Die betroffene Person kann gegen den Verstoß gegen das Auskunftsrecht auch gerichtlich im Wege einer Klage vorgehen. Einzulegen ist die Klage wahlweise bei dem Gericht des Mitgliedstaates, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder in dem Staat, in dem die betroffene Person ihren Aufenthaltsort hat. Zuständig für Klagen gegen den Verantwortlichen sind in Deutschland die Zivilgerichte. Neben der Erteilung auf Auskunft und Herausgabe der Daten kann der Betroffene im Wege der objektiven Klagehäufung auch auf Schadensersatz, Löschung oder Berichtigung der Daten klagen. Er hat dabei (außer im Fall der Negativauskunft) zunächst darzulegen, dass personenbezogene Daten über ihn gespeichert worden sind.
Der Anspruch auf Schadensersatz erfordert zudem, dass der Kläger auch den Eintritt eines Schadens substantiiert darlegen kann. Dabei kann der Schaden materieller oder ideeller Natur (beispielsweise bei Verletzung des Persönlichkeitsrechts) sein.
IV. Fazit
Die umfassenden Sanktions- und Rechtsschutzmöglichkeiten auf dem Gebiet des Datenschutzes sorgen dafür, dass dar Auskunftsanspruch nach Art. 15 der DSGVO kein bloßer zahnloser, bürokratischer Papiertiger ist. Jedem Verantwortlichen, der Daten erhebt, speichert oder verarbeitet, ist daher dringend anzuraten, sich mit dem Auskunftsanspruch auseinander zu setzen und eine verlässliche Infrastruktur zu installieren, mithilfe derer er etwaigen Auskunftsverlangen rechtskonform und zügig begegnen kann.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
Nicht so klar sind für mich allerdings noch 2 Punkte: 1. ab wann im Falle eines strittigen DSGVO-Verletzung aufgrund der versäumten Monatsfrist tatsächlich die Frist beginnt. D.h. wer oder was definiert / beweist genau den Zeitpunkt des Zugangs des Auskunftsersuchens z.B. bei postalischen Anfragen und damit den Tag, ab wann die Monatsfrist zu ticken beginnt?
2. "Die Aufsichtsbehörde stellt sicher, dass die Verhängung der Geldbußen im Einzelfall wirksam, verhältnismäßig und abschreckend ist." Wie wird sichergestellt, dass die Aufsichtsbehörden auch bei Sanktionen gegen öffentliche Stellen - und welche keine Bußgelder erhalten - nicht als zahnlose Papiertiger daherkommen?