Die Datenschutz-Grundverordnung (DSGVO) räumt den von einer Datenverarbeitung betroffenen Personen in den Art. 15 – 22 DSGVO individuelle Rechte ein. Der Auskunftsanspruch stellt dabei eines der essenziellen Betroffenenrechte dar. In diesem Blogbeitrag sollen die Möglichkeiten sowie Anforderungen an eine elektronische Auskunftserteilung beleuchtet werden.
Auskunftsrecht nach Art. 15 DSGVO als Ausgangspunkt
Das Auskunftsrecht ist in Art. 15 DSGVO verankert. Demzufolge sind betroffene Personen berechtigt, von dem für die Datenverarbeitung Verantwortlichen Auskunft über die zu ihrer Person gespeicherten personenbezogenen Daten zu verlangen (Art. 15 Abs. 1 DSGVO). Der Verantwortliche muss neben den Daten selbst auch weitere Informationen, z. B. die Zwecke der Verarbeitung und die Dauer der Speicherung, mitteilen. Art. 15 Abs. 3 DSGVO sieht darüber hinaus ein Recht auf Kopie der personenbezogenen Daten vor.
An die Geltendmachung des Auskunftsrechts durch die betroffene Person sind wenige Anforderungen geknüpft. Insbesondere ist der Auskunftsanspruch nicht an eine bestimmte Form gebunden. Die betroffene Person hat somit grundsätzlich die Möglichkeit, ihr Auskunftsersuchen postalisch, elektronisch (z. B. per E-Mail), telefonisch oder auch persönlich vor Ort zu stellen.
Form der Auskunftserteilung
Auf Seiten des Verantwortlichen stellt sich nun die Frage, in welcher Form die Auskunft zu erteilen ist. Je nach Sachverhalt kann auch hier die Auskunftserteilung postalisch, elektronisch oder – auf Wunsch der betroffenen Person – auch mündlich erfolgen. In der Regel sind Auskunftsersuchen auf dem gleichen Weg zu beantworten, auf dem sie eingegangen sind.
Stellt die betroffene Person ihr Auskunftsersuchen elektronisch, sind die Informationen nach Art. 12 Abs. 3 S. 4 DSGVO und Art. 15 Abs. 3 S. 3 DSGVO – sofern die betroffene Person nichts anderes angibt – in einem gängigen elektronischen Format zur Verfügung zu stellen. Ein „gängiges elektronisches Format“ ist beispielsweise das PDF-Format. Der Erwägungsgrund 63 S. 4 DSGVO eröffnet dem Verantwortlichen zudem die Möglichkeit, der betroffenen Person einen Fernzugang zu einem sicheren System zur Verfügung zu stellen, über das sie direkt auf ihre personenbezogenen Daten zugreifen kann.
Vertraulichkeit der Kommunikation als wesentliche Anforderung
Bei einer Auskunftserteilung werden regelmäßig eine Vielzahl personenbezogener Daten an die betroffene Person übermittelt. Nicht selten sind auch sensible personenbezogener Daten Bestandteil der Auskunft (z. B. Gesundheitsdaten). Die Verantwortlichen müssen daher die Vertraulichkeit der Kommunikation gewährleisten und sicherstellen, dass Unbefugte Dritte nicht auf die Daten zugreifen können. Dies gilt umso mehr bei einer elektronischen Auskunft. Wird eine Auskunft per E-Mail erteilt, sollten die Dateianhänge durch sichere Passwörter geschützt werden, welche der betroffenen Person auf einem anderen Kommunikationsweg (z. B. per Telefon) mitzuteilen sind.
Bußgeld aufgrund technisch unsicherer Auskunftserteilung
Die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) verhängte im Jahr 2020 ein Bußgeld in sechsstelliger Höhe gegen ein Unternehmen, welches eine Auskunftsanfrage per E-Mail beantwortete und die Passwörter zu den geschützten Dateianhängen kurz danach in einer weiteren E-Mail mitteilte (LDA Brandenburg, Tätigkeitsbericht Datenschutz 2020, S. 49 ff.). Die zweite E-Mail war dabei lediglich mit der standardmäßig voreingestellten Transport Layer Security (TLS) verschlüsselt, die nur den Transportweg der E-Mail sichert. Sowohl auf dem E-Mail-Server des Absenders als auch des Empfängers lag die E-Mail unverschlüsselt vor.
Aufgrund weiterer identischer Verstöße leitete die LDA Brandenburg ein Bußgeldverfahren wegen Verstoß gegen Art. 32 DSGVO ein, welcher Verantwortliche dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Ausschlaggebend für die Annahme eines Verstoßes war der enge zeitliche und inhaltliche Zusammenhang zwischen dem Versand der E-Mails. So sei es für unbefugte Dritte, die die E-Mail-Kommunikation abgefangen hätten, möglich gewesen, die verschlüsselten Anhänge der ersten E-Mail durch Kenntnisnahme des in der zweiten E-Mail in Klartext übermittelten Passworts zu öffnen. Darüber hinaus enthielt die Auskunft auch sensible personenbezogene Daten, die einem besonderen Schutzbedarf unterliegen.
Als geeignete Maßnahme zum Schutz vor unberechtigten Zugriffen schlug die Aufsichtsbehörde eine Ende-zu-Ende Verschlüsselung der E-Mails vor, wodurch die E-Mails auch auf den Mail Servern verschlüsselt werden. Alternativ dazu wäre es möglich gewesen, dass Passwort auf einem anderen Kommunikationsweg mitzuteilen.
Hessische Aufsichtsbehörde zur elektronischen Auskunftserteilung
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) beschäftigte sich in seinem aktuellen Tätigkeitsbericht ebenfalls mit der elektronischen Auskunftserteilung (HBDI, Tätigkeitsbericht 2023, S. 132 ff.). Hintergrund war die Anfrage einer Person, die ein Auskunftsersuchen per E-Mail an einen Adresshändler stellte und innerhalb der gesetzlichen Frist von einem Monat keine Antwort erhielt. Im Rahmen des vom HBDI eingeleiteten Verfahrens stellte sich heraus, dass das Unternehmen die Auskunft postalisch an die im Unternehmen hinterlegte Adresse versandte. Hierbei handelte es sich jedoch um die ehemalige Adresse des Betroffenen, sodass die Auskunft nicht erfolgreich zugestellt werden konnte.
Der HBDI wies das Unternehmen zunächst auf die Vorgabe des Art. 12 Abs. 3 S. 4 DSGVO hin, wonach die Auskunft in einem gängigen elektronischen Format zu erteilen ist, sofern die betroffene Person – wie im vorliegenden Fall – den Antrag auf Auskunftserteilung elektronisch stellt. Im vorliegenden Fall sei jedoch zu berücksichtigen, dass im Bereich des Adresshandels und der Neukundengewinnung kein direktes Kundenverhältnis bestehe und eine Verifizierung einer E-Mail-Adresse kaum möglich ist. Die Anforderung weitere Legitimationsdokumente (z. B. Ausweis oder Vollmacht) könne durch die betroffene Person als Hindernis und erweiterte Datensammlung verstanden werden. Der HBDI wies das Unternehmen folglich darauf hin, dass auch ein vom Verantwortlichen eingerichteter sicherer Fernzugriff auf die eigenen Daten eine Option für die Auskunftserteilung darstellt.
In Zusammenarbeit mit dem HBDI setzte der Adresshändler diese Vorgaben wie folgt um: Die betroffene Person, die eine Auskunft elektronisch geltend gemacht hat, erhält eine direkte elektronische Rückmeldung, die den Medienwechsel von elektronisch auf postalisch transparent ankündigt und diesen für die betroffene Person nachvollziehbar begründet (Sicherheitsbedenken gegenüber Web-Portalen und einer unzulänglichen Legitimations- und Identitätsprüfung). Das anschließend übermittelte Auskunftsschreiben enthält ein eindeutiges Aktenzeichen sowie einen leicht verständlichen Hinweistext. Sollte die betroffene Person weiterhin eine elektronische Kopie ihrer personenbezogenen Daten benötigen, kann Sie diese unter Verwendung des eindeutigen Aktenzeichens jederzeit beim Verantwortlichen anfordern.
Mit der ursprünglichen Adresse des postalischen Werbeschreibens, der verwendeten Anschrift des Auskunftsschreibens und der Nennung des Aktenzeichens sei der Verantwortliche somit zweifelsfrei in der Lage, die auskunftsersuchende Person zu identifizieren und folglich eine elektronische Auskunft zu erteilen.
Fazit
Verantwortliche können im Falle einer elektronische Antragsstellung zur Erteilung einer elektronischen Auskunft verpflichtet sein. In diesem Fall hat der Verantwortliche technische und organisatorische Maßnahmen zu treffen, um einerseits die Vertraulichkeit und Sicherheit der Kommunikation zu gewährleisten und andererseits die Berechtigung des Empfängers zu überprüfen. Eine elektronische Auskunftserteilung sollte daher unbedingt mit dem Datenschutzbeauftragten abgestimmt werden.
Nicholas Vollmer
19. Juli 2024 @ 8:31
Sie schreiben „Art. 15 Abs. 3 DSGVO sieht darüber hinaus ein Recht auf Kopie der personenbezogenen Daten vor.“
Das klingt so, als wären die Absätze 1 und 3 als zwei verschiedene Rechte zu verstehen. Doch der EuGH hat klargemacht, dass es hier keine Trennung gibt (C-487/21 vom 04.05.2023).
Felix Schneider
22. Juli 2024 @ 10:02
Hallo Herr Vollmer,
vielen Dank für Ihren Kommentar.
Die von Ihnen angeführte EuGH-Rechtsprechung spricht in der Tat dafür, dass das Recht auf Kopie den Auskunftsanspruch (lediglich) konkretisiert, indem dieses die Art und Weise der Auskunftserteilung beschreibt. Im Ergebnis wäre die Datenkopie somit als Teilgehalt des Auskunftsrechts zu verstehen, sodass kein eigenständiges Recht der betroffenen Personen auf Datenkopie bestünde.
In Teilen der Kommentarliteratur wird jedoch auch die gegenteilige Ansicht vertreten (vgl. Schmidt-Wudy in BeckOK, Art. 15 Rn. 86). Demnach spreche der Art. 15 Abs. 3 S. 3 DSGVO ausdrücklich von einem „Antrag“ der betroffenen Person. Im Zusammenhang mit dem Transparenzprinzip aus Art. 12 Abs. 1 S. 1 DSGVO ergebe sich hieraus, dass die betroffene Person den Auskunftsinhalt selbst in der Hand haben müsse, um zu vermeiden, dass bei jeder Auskunft eine (möglicherweise ungewollte) Datenkopie zur Verfügung gestellt werde. Darüber hinaus spreche auch der Vergleich der Kostenpflichtigkeit einer „weiteren Datenkopie“ i.S.v. Art. 15 Abs. 3 S. 2 DSGVO mit der kostenfreien Auskunft dafür, die Auskunft nach Abs. 1 von der Kopie nach Abs. 3 zu unterscheiden. Denn wenn man die Gegenansicht folgt, habe der Betroffene keine Möglichkeit, eine nach Art. 12 Abs. 5 grundsätzlich stets kostenfreie Zweitauskunft zu verlangen, da mit dem zweiten Auskunftsverlangen reflexartig eine Datenkopie mitzuteilen wäre, die u.U. nach Abs. 3 S. 2 kostenpflichtig ist.
Die dargestellte Literaturansicht verdeutlicht, dass das Thema nach wie vor umstritten ist. Auch wenn der EuGH diesbezüglich Aussagen auf höchstrichterlicher Ebene getroffen hat, wäre eine explizite Regelung im Art. 15 DSGVO im Sinne der Rechtspraxis wünschenswert.