EU-DSGVO - Datenschutzgrundverordnung - Wie ändern sich die Betroffenenrechte?

A. Aktuelle Rechtslage nach dem BDSG

Die neue Datenschutz-Grundverordnung (kurz: DSGVO), die seit Mai 2016 verabschiedet und ab dem 25. Mai 2018 unmittelbar verbindlich Rechtsgrundlage für die Verarbeitung personenbezogener Daten werden wird, wird das bisher geltende Bundesdatenschutzgesetz in weiten Teilen ersetzen.

In diesem Blogbeitrag soll ausschließlich das Augenmerk auf den Auskunftsanspruch des Betroffenen nach § 34 BDSG gerichtet werden, denn die Betroffenenrechte  werden durch die GDSVO gestärkt.

Bildquelle: businessman thinking of problem stasique fotolia.com

Bislang muss - gem. BDSG - auf Nachfrage des Betroffenen Auskunft erteilt werden, über:

- die Herkunft der Daten,

- den Empfänger der Daten,

- den Zweck der Datenweitergabe an die genannten Empfänger und

- den Zweck der Datenspeicherung

1. Anspruchsumfang gem. § 34 BDSG

Dabei hat die verantwortliche Stelle gem. § 34 Abs. 1 BDSG dem Betroffenen Auskunft über alle seine gespeicherten personenbezogenen Daten zu erteilen. Dazu zählen alle gespeicherten Angaben über persönliche oder sachliche Verhältnisse, die auf die anfragende Person bezogen oder beziehbar sind. Auf dieses Recht kann ein Betroffener gem. § 6 Abs. 1 BDSG auch nicht verzichten.

Einzige Voraussetzung für eine Auskunftspflicht i.S.d. § 34 BDSG ist das Auskunftsverlangen. Dieses kann ohne Angabe von Gründen gestellt werden, sodass weder ein Anlass noch ein berechtigtes oder ein rechtliches Interesse dargelegt werden oder vorliegen muss.

Selbst wenn der Verantwortliche keine Daten über die betroffene Person gespeichert hat, ist er zur Erteilung einer Negativauskunft verpflichtet. Dies bedeutet, dass der Verantwortliche sich also zumindest kurz zurückmelden muss und mitteilen muss, dass keine personenbezogenen Daten über den Betroffenen gespeichert sind.

§ 34 Abs. 7 BDSG bestimmt, unter welchen Voraussetzungen eine Pflicht zur Auskunftserteilung nicht besteht (zB bei Geheimhaltungsinteressen).

Kommt ein Unternehmen seiner Auskunftspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nach, kann von der Aufsichtsbehörte ein Bußgeld verhängt werden (§ 43 Abs. 1 Nr. 8a-c BDSG). Allerdings muss eine Auskunft nur in angemessenen Abständen erteilt werden. Ein Betroffener kann also nicht im Wichenrythmus Anfragen stellen. Der Verantwortliche ist also vor einer rechtsmissbräuchlichen Inanspruchnahme des Auskunftsrechts gem. § 34 BDSG geschützt.

Ferner besteht lediglich ein Anspruch auf Auskunft und nicht auf Vorlage oder Herausgabe von Unterlagen.

2. Kosten für die Auskunftserteilung gem. § 34 BDSG

Die Auskunftserteilung gegenüber dem Betroffenen ist gem. § 34 BDSG im Grundsatz unentgeltlich, bei geschäftsmäßigen Datenverarbeitern jedoch in der Regel nur einmal pro Kalenderjahr kostenfrei möglich (§ 34 Abs.8 BDSG).

Ist die Auskunft nach ihrem Inhalt für eine Nutzung zu wirtschaftlichen Zwecken geeignet, kann ein Entgelt verlangt werden. Auf eine Nutzungsabsicht kommt es dabei nicht an. Soweit ein Entgelt verlangt werden kann, darf dieses nach § 34 Abs. 8 S. 4 BDSG nicht über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten hinausgehen.

3. Frist der Auskunftserteilung gem. § 34 BDSG

Das BDSG enthält keine ausdrückliche Frist, innerhalb derer der Verantwortliche die Auskunft zu erteilen hat.

Aus dem Schutzzweck der Vorschrift des § 34 BDSG folgt jedoch, dass der Betroffene eine unverzügliche und schnelle Auskunftserteilung verlangen kann. Dabei wird höchstens ein Monat als zumutbare Grenze anzusehen sein.

4. Form der Auskunftserteilung gem. § 34 BDSG

Die Auskunftserteilung ist an keine besondere Form gebunden, sodass diese grundsätzlich auch mündlich erteilt werden kann.

Allerdings ist nach § 34 Abs. 6 BDSG auf Verlangen des Betroffenen die Auskunft in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. Dies ist vor allem dann der Fall, wenn die verarbeitende Stelle keine Daten zu dem Betroffenen gespeichert hat (sog. Negativauskunft). § 126b BGB setzt insoweit eine lesbare Erklärung voraus, in der die Person des Erklärenden genannt ist und die auf einem dauerhaften Datenträger abgegeben wird. Es werden folglich sehr geringe Anforderungen an die Form gestellt, sodass auch ein Computerfax, eine E-Mail oder eine SMS ausreichend ist. Eine Namensunterschrift ist nicht erforderlich, solange der Abschluss der Auskunft anders ersichtlich wird.

5. Identitätsfeststellung gem. § 34 BDSG

Die Auskunft muss an die richtige Person – also an den Betroffenen – erteilt werden.

Die verantwortliche Stelle muss sich daher vor der Erteilung der Auskunft über die Identität des Auskunftsersuchenden vergewissern. Dies folgt zwar nicht unmittelbar aus dem Gesetz, jedoch aus dem strafbewehrten Verbot, Daten unbefugt zu übermitteln.

Eine Kopie des Personalausweises aber kann nur dann verlangt werden, wenn die verantwortliche Stelle vernünftige Zweifel an der Identität hat. Jedenfalls wird dies teilweise so vertreten. Die Praxis einiger Unternehmen, zunächst einmal immer eine Personalausweiskopie zu verlangen, baut hingegen unnötige Hürden für den Auskunftsanspruch auf und dürfte unzulässig sein.

B. Was ändert sich durch die DSGVO?

Das Auskunftsrecht der betroffenen Person wird zukünftig in Art. 15 DSGVO geregelt sein. Gem. Art. 15 DSGVO werden die die Betroffenen ebenfalls einen Anspruch darauf haben, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er personenbezogene Daten des Betroffenen verarbeitet.

Der Anspruch gem. Art. 15 DSGVO geht aber über den bislang in § 34 BDSG normierten Auskunftsrecht hinaus.

Zukünftig können die betroffenen Personen unter Berufung auf Art. 15 Abs. 1 DSGVO folgende Informationen verlangen:

a) Informationen über die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogen

en Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(Hervorhebungen durch den Verfasser)

1. Anspruchsumfang des Auskunftsanspruches gem. Art. 15 DSGVO

Der Anspruchsumfang wird nun auf die geplante Dauer der Speicherung, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, das Recht auf Berichtigung, Löschung und Widerspruch, einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde sowie der Herkunft der Daten, soweit diese vom Betroffenen nicht selbst erhoben wurden, erweitert. Ebenso besteht ein Anspruch darauf, ob Daten in Drittländer oder an internationale Organisationen übermittelt wurden.

Damit besteht vor allem das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden. Der Katalog an Informationen wurde damit im Vergleich zur bisherigen deutschen Rechtslage gem. §34 BDSG erheblich erweitert.

Ausnahmen zur Auskunftspflicht sind nach Art. 89 Abs. 2 und 3 DSGVO möglich, wenn die Datenverarbeitung zu wissenschaftlichen oder statistischen Zwecken erfolgt oder zu Zwecken der historischen Forschung oder des Archivwesens im öffentlichen Interesse.

Art. 15 Abs. 3 DSGVO bestimmt außerdem, dass der Verantwortliche dem Betroffenen auf Verlangen eine Kopie aller verarbeiteten Daten zu überlassen hat. Für alle weiteren Kopien kann der Verantwortliche allerdings ein angemessenes Entgelt verlangen. Dies stellt eine Neuerung zu § 34 BDSG dar.

Da die DSGVO hinsichtlich des Regelungsgehalts des § 6 BDSG keinen Raum für eine mitgliedsstaatliche Regelung lässt, wird § 6 BDSG voraussichtlich aus dem neuen „Allgemeinen Bundesdatenschutzgesetz“ (Referentenentwurf, vgl.: https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/09/Entwurf-ABDSG-E-08.2016.pdf) gestrichen. Korrespondierende Normen zu § 6 BDSG sind die Art. 12ff. DSGVO.

2. Kosten des Auskunftsanspruches gem. Art. 15 DSGVO

Auch nach der DSGVO bleibt die Auskunft im Grundsatz unentgeltlich (Art. 12 Abs. 5 DSGVO). Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person „kann“ (=Ermessen) der Verantwortliche allerdings ein angemessenes Entgelt verlangen.

3. Frist des Auskunftsanspruches gem. Art. 15 DSGVO

Während es im BDSG keine ausdrückliche Fristbestimmung gab, innerhalb welchen Zeitraums die verantwortliche Stelle die Auskunft zu erteilen hat, regelt Art. 12 Abs. 3 DSGVO ausdrücklich, dass die Auskunft unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags zu erfolgen hat. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

4. Form des Auskunftsverlangens gem. Art. 15 DSGVO

Die DSGVO sieht keine besondere Form für den Antrag auf Auskunft vor.

Demgegenüber wird der Verantwortliche mehr in die Pflicht genommen. Nach Erwägungsgrund 59 S. 1 und 2 DSGVO soll der Verantwortliche dem Betroffenen die Geltendmachung von Ansprüchen nach den Art. 15ff. DSGVO erleichtern, bspw. durch Bereitstellung elektronischer Formulare.

Zudem normiert Art. 12 Abs. 3 S. 4 DSGVO, dass der Betroffene nach Möglichkeit auf elektronischem Weg zu unterrichten ist, wenn die betroffene Person den Antrag ebenfalls auf elektronischem Wege einreicht.

Eine weitere Neuerung besteht nach Art. 12 Abs. 4 DSGVO darin, dass der Verantwortliche die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags, unterrichtet, wenn der Verantwortliche auf den Antrag hin nicht tätig wird (sog. „kleine Rechtsbehelfsbelehrung“).

5. Identitätsfeststellung ge. Art. 15 DSGVO

Wenn der Verantwortliche begründete Zweifel an der Identität des Antragstellers hat, ist er nach Art. 12 Abs. 6 DSGVO berechtigt, eine Ausweiskopie oder andere Information und Dokumente beim Antragsteller anzufordern, die ihm eine Feststellung der Identität ermöglichen. Nach Erwägungsgrund 57 S. 3 DSGVO sollte die digitale Identifizierung einer betroffenen Person — beispielsweise durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen.

C. Fazit

Durch die Einführung der EU-Datenschutz-Grundverordnung erhält der Betroffene hinsichtlich seines Auskunftsrechts Anspruch auf mehr Informationen.

Dem Verantwortlichen werden mehr Pflichten übertragen, aber auch genauere Angaben zur Form und Frist zur Hand gegeben.

Unternehmen haben sich auf diesen Wandel einzustellen und ihre Datenschutzmanagementsysteme entsprechend anzupassen (zB durch Anlegung digitaler Verzeichnisse für jeden einzelnen Kunden), um möglichst schnelle (1 Monat) und zielgerichtete Auskünfte zu geben. Für eine präzise Umsetzung dürfte Art. 83 Abs. 5b DSGVO den Anreiz geben. Dort wird festgelegt, dass bei Verstößen gegen das Auskunftsrecht nach Art. 15 DSGVO Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden kann. Im Vergleich zum BDSG (§ 43 Abs. 3 BDSG), welche lediglich ein Bußgeld von bis zu 50.000 Euro vorsah, ist dies eine deutliche Anhebung und setzt ein deutliches Zeichen für den Datenschutz.