Sie befinden sich hier:

Umfang des Auskunftsrechts

Werden personenbezogene Daten über die betroffene Person gespeichert, muss eine vollständige Auskunft erteilt werden und alle personenbezogenen Daten betreffen, die zum Zeitpunkt des Auskunftsersuchens beim Verantwortlichen verarbeitet werden. Was bedeutet das?

Dem Auskunftssuchenden ist insbesondere Folgendes mitzuteilen:

  • Verarbeitungszwecke (Zeitpunkt der Auskunft),
  • Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten zum Zeitpunkt der Auskunft bereits erhalten haben oder künftig noch erhalten werden (Soweit es sich um eine begrenzte Anzahl von Empfängern handelt, an die regelmäßig Daten weitergegeben werden, sind diese namentlich zu erwähnen.),
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
  • Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO,
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Verarbeitungszwecke

Der betroffenen Person ist Auskunft zu erteilen über die Verarbeitungszwecke (Art. 15 Abs. 1 Buchstabe a DSGVO. Dadurch sollen die betroffenen Personen in die Lage versetzt werden, zu prüfen, ob die Verarbeitung für einen oder mehrere bestimmte Zwecke wie die Weiterverarbeitung zulässig ist.

Es reicht nicht aus, die allgemeinen Zwecke des für die Verarbeitung Verantwortlichen aufzuführen, ohne klarzustellen, welche(n) Zweck(e) der Verantwortliche im aktuellen Fall der antragstellenden betroffenen Person verfolgt. Erfolgt die Verarbeitung zu mehreren Zwecken, muss der für die Verarbeitung Verantwortliche klarstellen, welche Datenkategorien für welche(n) Zweck(e) verarbeitet werden.

Die Mitteilung der Rechtsgrundlage, auf der die Verarbeitung der personenbezogenen Daten beruht, schreibt der Gesetzgeber im Rahmen der Auskunftserteilung nicht vor. Da jedoch einige Rechte der betroffenen Personen von der anwendbaren Rechtsgrundlage abhängen, sind diese Informationen für die betroffenen Personen wichtig, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und um festzustellen, welche Rechte in der konkreten Situation anwendbar sind. Um den betroffenen Personen die Ausübung ihrer Rechte gemäß Art. 12 Abs. 2 DSGVO zu erleichtern, wird dem Verantwortlichen empfohlen, die betroffene Person auch über die anwendbare Rechtsgrundlage für jede Verarbeitung zu informieren. In jedem Fall erfordert der Grundsatz der transparenten Verarbeitung, dass die Informationen über die Rechtsgrundlagen der Verarbeitung der betroffenen Person in zugänglicher Form zur Verfügung gestellt werden (z. B. in einem Datenschutzhinweis).

Kategorien personenbezogener Daten

Einer betroffenen Person sind auch die Kategorien personenbezogener Daten (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.) mitzuteilen (Art. 15 Abs. 1 Buchstabe b DSGVO), die verarbeitet werden. Dazu zählen insbesondere die in Art. 9 Abs. 1 DSGVO definierten besonderen Kategorien personenbezogener Daten (z. B. rassische oder ethnische Herkunft, politische Meinungen, Gesundheitsdaten).

Die Unterrichtung über Datenkategorien kann trotz des allgemeinen Charakters dieser Kategorien und je nach den Umständen des Einzelfalls auch auf die Situation der betroffenen Person zugeschnitten werden müssen.

Grundsätzlich hat der Verantwortliche – nach Prüfung des Einzelfalls – insbesondere folgende Arten von Daten zu übermitteln:

  • Besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO;
  • Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO;
  • Daten, die von der betroffenen Person wissentlich und aktiv zur Verfügung gestellt werden (z. B. über Formulare übermittelte Kontodaten, Antworten auf einen Fragebogen);
  • Beobachtete Daten oder Rohdaten, die von der betroffenen Person aufgrund der Nutzung des Dienstes oder des Geräts zur Verfügung gestellt werden (Daten, die von verbundenen Objekten verarbeitet werden, Transaktionsverlauf, Aktivitätsprotokolle wie Zugriffsprotokolle, Verlauf der Website-Nutzung, Suchaktivitäten, Standortdaten, Klickaktivitäten, einzigartige Aspekte des Verhaltens einer Person wie Handschrift, Tastenanschläge, besondere Art zu gehen oder zu sprechen);
  • Daten, die aus anderen Daten abgeleitet sind und nicht direkt von der betroffenen Person zur Verfügung gestellt werden (z. B. Kreditwürdigkeit, Klassifizierung auf der Grundlage gemeinsamer Attribute der betroffenen Personen; aus der Postleitzahl abgeleitetes Wohnsitzland);
  • Daten, die nicht direkt von der betroffenen Person zur Verfügung gestellt werden, sondern aus anderen Daten abgeleitet werden (z. B. zur Zuweisung einer Kreditwürdigkeit oder zur Einhaltung von Vorschriften zur Bekämpfung der Geldwäsche, algorithmische Ergebnisse, Ergebnisse einer Gesundheitsbewertung oder eines Personalisierungs- oder Empfehlungsprozesses);
  • Pseudonymisierte Daten im Gegensatz zu anonymisierten Daten. Anonyme Daten, also Daten, die sich weder direkt noch indirekt auf eine identifizierbare Person beziehen sind vom Anwendungsbereich der DSGVO ausgeschlossen.

Empfänger oder Kategorien von Empfängern

Des Weiteren muss Auskunft erteilt werden über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 Abs. 1 Buchstabe c DSGVO), insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.

„Empfänger“ ist gemäß Art. 4 Nr. 9 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung“.

Da im Rahmen einer Auftragsverarbeitung keine Datenübermittlung an einen Dritten (siehe Art. 4 Nr. 10 DSGVO) stattfindet, muss nur die Tatsache selbst, dass eine Auftragsverarbeitung stattfindet angegeben werden, nicht aber der Name des Auftragsverarbeiters.

Auch Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten nicht als Empfänger im Sinne des Art. 4 Nr. 9 DSGVO. Soweit die Verarbeitung dieser Daten durch die genannten Behörden im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung erfolgt, müssen sie ebenfalls nicht im Rahmen des Auskunftsersuchens benannt werden.

Werden personenbezogenen Daten an ein Drittland oder eine internationale Organisation außerhalb des Europäischen Wirtschaftsraums (EU-Staaten und Island, Liechtenstein und Norwegen) übermittelt, ist dem Betroffenen auch dies und die dabei bestehenden Risiken (z. B. kein gleichrangiges Datenschutzniveau) mitzuteilen.

Der Verantwortliche sollte in der Regel die tatsächlichen Empfänger nennen, es sei denn, es wäre nur möglich, die Kategorie der Empfänger anzugeben. Dennoch ist es manchmal nicht möglich, die tatsächlichen Empfänger zum Zeitpunkt der Unterrichtung gemäß Art. 13 und 14 DSGVO zu nennen, sondern erst zu einem späteren Zeitpunkt, z. B., wenn ein Antrag auf Zugang gestellt wird. Die Speicherung von Informationen über die tatsächlichen Empfänger ist unter anderem auch erforderlich, um den Verpflichtungen des Verantwortlichen gemäß Art. 5 Abs. 2 und 19 DSGVO nachkommen zu können.

Dauer der Datenspeicherung

Falls möglich muss über die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer und der Beginn dieser Frist oder das auslösende Ereignis (z. B. Beendigung eines Vertrags, Ablauf einer Gewährleistungsfrist usw.) Auskunft erteilt werden (Art. 15 Abs. 1 Buchstabe d DSGVO). Der bloße Hinweis z. B. auf „Löschung nach Ablauf der gesetzlichen Aufbewahrungsfristen“ ist nicht ausreichend. Ist das auslösende Ereignis bereits eingetreten, so ist die konkrete Speicherdauer anzugeben. Die Angaben zu den Speicherfristen müssen sich auf die konkreten Daten der betroffenen Person beziehen. Gelten für die personenbezogenen Daten der betroffenen Person unterschiedliche Löschungsfristen (z. B., weil nicht alle Daten gesetzlichen Aufbewahrungspflichten unterliegen), sind die Löschungsfristen in Bezug auf die jeweiligen Verarbeitungen und Datenkategorien anzugeben.

Mit dieser Verpflichtung soll der Verantwortliche dazu angehalten werden, eine Speicherfrist (in Jahren, Monaten, Wochen oder Tagen) festzulegen, insbesondere dann, falls keine gesetzliche Speicherfrist vorgegeben ist.

Ist bei einer gesetzlich vorgegebenen Löschfrist das fristauslösende Ereignis bereits eingetreten und hat der Verantwortliche einen Aussonderungstermin bereits berechnet, so kann die Auskunft zu Art. 15 Abs. 1 Halbsatz 2 Variante 2 Buchstabe d DSGVO auch durch Nennung dieses Termins erteilt werden. Fehlt es noch an einer Berechnung, genügt es, dass der Verantwortliche die gesetzlich vorgegebene Löschfrist benennt.

Betroffenenrechte

Eine weitere Verpflichtung besteht darin, den betroffenen Personen das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts (nach Art. 21 DSGVO) gegen diese Verarbeitung im Rahmen einer Auskunftserteilung mitzuteilen (Art. 15 Abs. 1 Buchstabe e DSGVO).

Während die Information über das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (Art. 15 Abs. 1 Buchstabe f DSGVO), nicht von den konkreten Umständen abhängt, sind die in Art. 15 Abs. 1Buchstabe e genannten Rechte der betroffenen Personen je nach der der Verarbeitung zugrunde liegenden Rechtsgrundlage unterschiedlich. In Bezug auf ihre Verpflichtung, die Ausübung der Rechte der betroffenen Person gemäß Art. 12 Abs. 2 DSGVO zu erleichtern, muss die Antwort des Verantwortlichen auf diese Rechte individuell auf den Fall der betroffenen Person zugeschnitten sein und sich auf die betreffenden Verarbeitungsvorgänge beziehen. Informationen über Rechte, die für die betroffene Person in der konkreten Situation nicht anwendbar sind, sollten vermieden werden.

Beschwerderecht

Die Betroffenen müssen auch über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde unterrichtet werden (Art. 15 Abs. 1 Buchstabe f DSGVO). Gleiches gilt für den Fall, dass keine Auskunft erteilt wird. Auch in diesem Fall muss die betroffene Person über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, aufgeklärt werden (Art. 12 Abs. 4 DSGVO).

Herkunft der Daten

Werden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, müssen der betroffenen Person alle verfügbaren Informationen über die Herkunft der Daten mitgeteilt werden.

Ungeachtet der Wendung „alle verfügbaren Informationen“ ist im Rahmen von Art. 15 Abs. 1 Halbsatz 2 Variante 2 Buchstabe g DSGVO regelmäßig keine weiterreichende Information angezeigt. Da allerdings der Stand im Zeitpunkt der Auskunft maßgeblich ist, sollte beachtet werden, dass Informationen zur Herkunft nachträglich „verfügbar“ werden können. Dies gilt insbesondere dann, wenn die Quelle dem Verantwortlichen zunächst nicht bekannt war oder wenn ein rechtlicher Schutz von Vertraulichkeitsinteressen nachträglich weggefallen ist.

Das Ausmaß der verfügbaren Informationen kann sich im Laufe der Zeit ändern.

Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Zusätzlich muss die betroffene Person über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik (mathematische Berechnungsgrundlage der automatischen Entscheidungsfindung) sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für ihn informiert werden (Art. 15 Abs. 1 Buchstabe h DSGVO).

Mit Hilfe dieser Informationen soll sich die betroffene Person ein Bild von den Auswirkungen dieser speziellen Datenverarbeitung auf ihre Person machen können.

Wenn möglich, müssen die Gründe, die zu bestimmten Entscheidungen über die betroffene Person, die um Auskunft ersucht hat, geführt haben, genauer dargelegt werden.

Datenübermittlung an ein Drittland oder an eine internationale Organisation

Die Datenschutz-Grundverordnung stellt für den rechtmäßigen Drittlandtransfer vor allem mit der Einrichtung von Angemessenheitsbeschlüssen (Art. 45 DSGVO), von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules; Art. 47, Art. 4 Nr. 20 DSGVO) und von Standarddatenschutzklauseln (EU-Standardvertragsklauseln; Art. 46 Abs. 2 Buchstabe c DSGVO) verschiedene Tools zur Verfügung, damit der Verantwortliche trotz Transfers ins Drittland eine rechtmäßige Datenverarbeitung vornehmen kann. Auch darüber müssen die Betroffenen informiert werden, falls eine entsprechende Datenübermittlung stattfindet.

Drittländer sind Staaten, die nicht Mitglied der Europäischen Union sind oder – als Mitglieder des Europäischen Wirtschaftsraums – die Datenschutz-Grundverordnung anwenden, der Begriff der internationalen Organisation ist in Art. 4 Nr. 26 DSGVO definiert. Demgemäß ist eine „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

Art. 15 Abs. 2 DSGVO soll der betroffenen Person eine Einschätzung ermöglichen, ob im Fall einer von Art. 46 DSGVO erfassten Übermittlung geeignete Garantien vorgesehen sind. Die Information kann in der Form erteilt werden, wie Art. 13 Abs. 1 Buchstabe f DSGVO und Art. 14 Abs. 1 Buchstabe f DSGVO dies vorsehen; mindestens muss ein Dokument unproblematisch auffindbar gemacht werden, das die Garantien vollständig wiedergibt.

In Art. 15 Abs. 2 DSGVO sind zwar die Fälle einer Übermittlung auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO) sowie einer Übermittlung ohne Garantien (Art. 49 DSGVO) nicht angesprochen. Aus datenschutzrechtlicher Sicht ist es allerdings empfehlenswert, auskunftssuchende Personen auf freiwilliger Grundlage auch hinsichtlich solcher Übermittlungen zu informieren.