Neue Guidline zum Auskunftsrecht nach Art. 15 DSGVO

Geschrieben von Lucas Schlenkhoff, veröffentlicht am 10.10.2022

Es gibt kaum ein Unternehmen, das noch keine Anfrage nach einer Datenkopie von einem Kunden erhalten hat. Doch wie weit das Auskunftsrecht nach Art. 15 DSGVO tatsächlich geht, wirft in der Praxis immer wieder Fragen auf. Das European Data Protection Board (EDPB), welches als unabhängige europäische Behörde mit der einheitlichen Anwendung der Datenschutzgrundverordnung und der Förderung der Zusammenarbeit zwischen den nationalen Datenschutzbehörden betraut ist, hat eine 60-seitige Guideline veröffentlicht. Die wichtigsten Punkte fasst WS-Datenschutz zusammen: 

Das Recht auf Bereitstellung einer Kopie gem. Art. 15 Abs. 3 S.1 DSGVO 

Papier oder elektronische Form? 

Nach Ansicht des EDPB ist der Begriff der Kopie durch eine dauerhafte Form und eine leichte Verfügbarkeit geprägt. Die Datenkopien können somit sowohl schriftlich als auch in elektronischer Form versendet werden. Bei der Versendung per E-Mail müssen die erforderlichen Sicherheitsmaßnahmen getroffen werden.  

Was muss die Kopie enthalten? 

Inhaltlich muss die Datenkopie alle personenbezogenen Daten enthalten, die vom Verantwortlichen verarbeitet wurden. Eine Zusammenfassung des Inhalts ist auch bei umfangreichen Datensätzen nicht zulässig. Der Verhältnismäßigkeitsgrundsatz findet also bezogen auf den Aufwand der Antragsbearbeitung keine Anwendung. In der Schlußvolgerung bedeutet das, dass auch unrichtige oder unrechtmäßig verarbeitete Daten in der Datenkopie enthalten sein müssen.  

Sehr umfangreiche Datensätze können dem Antragsteller aber auch mittels eines Selbstbedienungs-Tools zur Verfügung gestellt werden. Zudem kann der Verantwortliche um eine Spezifizierung des Antrags bitten, solange dies nicht dazu dient, Daten zu verbergen oder die Datenkopie einzuschränken.

Gibt es eine Frist bei der Antragsbearbeitung? 

Die Anfrage nach einer Kopie muss so schnell wie möglich, spätestens aber nach einem Monat beantwortet werden. Sollte sich die Bearbeitung des Antrags verzögern, muss die betroffene Person über die Verzögerung und ihre Gründe unverzüglich informiert werden.  

Wie ist ein zweiter Antrag zu behandeln? 

Treffen innerhalb eines kurzen Zeitraums mehrere Anträge auf eine Kopie beim Verantwortlichen ein, so ist schwer auszumachen, ob es sich beim zweiten Antrag um einen neuen, kostenfreien Antrag handelt, oder ob eine Zusätzliche Datenkopie verlangt wird. Denn für eine zusätzliche Kopie kann der Verantwortliche gem. Art. 15 Abs. 3 S.2 DSGVO ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen. Stimmt der zweite Antrag inhaltlich mit dem ersten Antrag überein und liegen beide Anträge zeitlich nah beieinander, so ist laut EDPB davon auszugehen, dass es sich bei der zweiten Anfrage um eine Bitte nach einer zusätzlichen Kopie handelt. Ein Jahr nach Eingang des ersten Antrags ist nach EDPB in jedem Fall von einem neunen, kostenfreien Antrag auszugehen. Hinweise der betroffenen Personen auf die Unvollständigkeit oder Fehlerhaftigkeit der Kopie sind hingegen grundsätzlich nicht als zusätzliche Kopie zu werten und somit kostenfrei.  

Die Gebühr für eine zusätzliche Kopie ist laut EDPB nur dann angemessen, wenn sie sich an den Verwaltungskosten, nicht aber Gemeinkosten und allgemeinen Kosten orientiert. Wichtig ist dabei, dass der Verantwortliche dem Antragsteller vor Erhebung der Gebühr die Möglichkeit des Rückzugs des Antrags einräumt und ihm die Aufstellung der Gebühren genau aufschlüsseln kann.  

Was gilt bei unbegründeten oder exzessiven Anträgen?  

Anträge auf eine Kopie können nach Art. 12 Abs. 5 S.1 lit. b) DSGVO verweigert werden. Dazu muss der Antrag aber entweder offenkundig unbegründet oder -insbesondere im Fall von häufiger Wiederholung- exzessiv sein.  

Die Begriffe „unbegründet“ und „exzessiv“ sind nicht legal definiert. Nach EDPB sind sie aber eng auszulegen. Dies liegt laut EDPB an den wenigen Voraussetzungen für einen Antrag nach Art. 15 Abs.3 S.1 DSGVO, die begrenzten Spielraum für eine Einstufung als unbegründet lassen. Ob Anfragen zahlenmäßig exzessiv sind, hängt von den Besonderheiten des Sektors ab, in dem der Verantwortliche tätig ist. Je häufiger ein Unternehmen Änderungen in seiner Datenbank vornimmt, desto häufiger sind die betroffenen Personen antragsberechtigt. Anstatt den Antrag abzulehnen kann der Verantwortliche zudem beschließen, von der betroffenen Person eine Gebührt zu erheben.  

Ein Antrag ist allerdings dann exzessiv, wenn die betroffene Person einen Antrag stellt, gleichzeitig aber anbietet, ihn gegen einen Vorteil wieder zurückzuziehen. Darüber hinaus kann ein Antrag laut EDPB als exzessiv bezeichnet werden, wenn er in sehr kurzen Intervallen mehrmals gestellt wird, sich die Datenmenge nicht geändert hat und anhand des Umfangs der verarbeiteten Daten und des Verarbeitungszwecks kein hohes Risiko für die betroffen Person zu erwarten ist. Sollte der Antragsteller zudem böswillig handeln, indem er die Anträge nur deshalb stellt, um den Verantwortlichen zu belästigen und den Betrieb zu stören, kann die Bearbeitung des exzessiven Antrags gem. Art. 12 Abs. 5 S.1 lit. b) DSGVO verweigert werden.  

In jedem Fall muss der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags erbringen können, Art. 12 Abs. 5 S. 3 DSGVO.  

Fazit:  

Bei Streitfragen zwischen unterschiedlichen nationalen Behörden hat das EDPB nicht nur Vermittlungskompetenzen, sondern kann zur Sicherstellung der einheitlichen Anwendung der DSGVO auch verbindliche Beschlüsse für nationale Datenschutzbehörden erlassen. Die Guidline ist daher ein einheitlicher Referenzrahmen und kein bloßes Empfehlungsschreiben. Sie nennt gute Beispiele für den Umgang mit Anträgen auf eine Datenkopie und hilft den Betroffenen wie Verantwortlichen der Datenverarbeitung gleichermaßen. Sollten dennoch Unsicherheiten über Umfang und Art des Antrags bestehen, so ist die Konsultation eines Datenschutzbeauftragten empfehlenswert.