Das Auskunftsrecht nach Art. 15 DSGVO nimmt eine bedeutende Rolle im Datenschutzrecht ein – und erfreut sich seit einigen Jahren zunehmender Beliebtheit. Dabei bestehen trotz oder gerade wegen der umfangreichen Rechtsprechungen weiterhin Unklarheiten zur Reichweite dieses Betroffenenrechts. So kann die von der Datenverarbeitung betroffene Person vom Verantwortlichen die Auskunft über die in Art. 15. Abs. 1 DSGVO genannten Informationen oder aber nach Art. 15 Abs. 3 DSGVO eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung sind. Zum Begriff der „Kopie“ äußerten sich mittlerweile auch schon der BGH und der EuGH.
Reichweite der Auskunft
Doch soll die betroffene Person damit auch das Recht haben, Auskunft über die getroffenen technischen und organisatorischen Maßnahmen (TOM) im Sinne von Art. 32 DSGVO zu verlangen? Kann sie also entsprechende Unterlagen, z. B. zu den technischen Schutzvorkehrungen an den Systemen, einem Backupkonzept oder einem Schulungskonzept des Unternehmens verlangen? Und kann die betroffene Person damit gar die TOMs überprüfen, also vor Ort bis ins kleinste Detail sichten?
Zunächst liegt der Verdacht nahe, dass die betroffene Person im Rahmen dieses Auskunftsrechts das umfangreiche Wissen über die sie betreffende Datenverarbeitung erlangen darf, womit indirekt auch Informationen zur Sicherheit der Datenverarbeitung erfasst sein könnten. Immerhin betrifft das Auskunftsrecht auch Informationen zur Speicherdauer oder Herkunft der Daten. Im Falle der Übermittlung ihrer Daten an ein Drittland, wäre die betroffene Person über die geeigneten Garantien zur Übermittlung (z. B. mittels Benennung des abgeschlossenen Datenschutzvertrages zwischen dem Verantwortlichen und den Empfänger) zu unterrichten. Bei der Geltendmachung des Anspruchs auf Kopie könnte die betroffene Person sogar begleitende Informationen zum Verständnis der Daten erhalten – vielleicht ist damit auch die Darstellung der Funktionsweise eines CRM gemeint, um zu verstehen, wie die Daten im System verarbeitet werden könnten.
Einschränkung
Ein näherer Blick in die Vorschrift verdeutlicht jedoch, dass die Angaben zu den getroffenen TOMs im Sinne von Art. 32 DSGVO nicht explizit in Art. 15 Abs. 1 DSGVO erwähnt werden und ebenso auch kein Verweis hierauf besteht. Dies ist auch insofern konsequent, als dass die Vorgaben zu den TOMs in Art. 32 DSGVO eine andere Zweckrichtung verfolgen. Die TOMs sind vom Verantwortlichen, wie auch vom Auftragsverarbeiter, zu treffen und bspw. im Wege des Vertrages über die Auftragsverarbeitung (AV-Vertrag) gegenseitig zu dokumentieren respektive zu überprüfen, um hiermit auch der datenschutzrechtlichen Haftung zu begegnen sowie den Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO nachkommen zu können. So kann der Verantwortliche auf Basis eines AV-Vertrages (bzw. von Art. 28 Abs. 3 S. 2 lit. c und lit. h DSGVO) diese Informationen vom Auftragsverarbeiter abfragen und damit diese Maßnahmen kontrollieren, wie es sich aus der Haftung nach dem Datenschutzrecht aufdrängt.
Überdies dürfte sich der Verantwortliche aller Voraussicht nach mit Erfolg auf das Argument stützen können, dass die Angaben aus Art. 32 DSGVO einen relativ tiefen Einblick in das Unternehmen ermöglichen und daher unter Umständen auch vom Geschäftsgeheimnis geschützt sind. Also wird auch keine mittelbare Herausgabe gefordert.
Schließlich weist das Auskunftsrecht in Art. 15 Abs. 4 DSGVO eine gern übersehende Ausnahme auf, die nach überwiegend herrschender Ansicht auch (analog) auf den Katalog an Informationen aus Art. 15 Abs. 1 DSGVO anzuwenden wäre: „Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“ (Art. 15 Abs. 4 DSGVO) – in diesem Fall kann also die Auskunft über solche Informationen verweigert werden, wenn die Rechte und Freiheiten anderer Personen, zu welchen auch die des Verantwortlichen zählen, beeinträchtigt werden. Sensible Angaben zu internen Sicherheitskonzepten oder Nachweise von Schulungen der Beschäftigten etc. dürften ebenfalls hierunter fallen. Verantwortliche würden sich einem zu großen Angriffsziel, z. B. von Hackern, ausgesetzt sehen, wenn sie derartig sensible Informationen quasi jeder betroffenen Person, die bspw. nur eine einzige E-Mail an ein Unternehmen geschickt hat oder im Foyer eines überwachten Gebäudes kurzzeitig verweilte, auf Basis des Auskunftsverlangen übermitteln müssten.
Im Übrigen besteht nicht einmal über die allgemeinen Informationspflichten über die Datenverarbeitung nach Art. 13 und Art. 14 DSGVO eine derartige, weitreichende Pflicht zur Darstellung der konkreten TOMs. Denn in den sehr detailliert geregelten Vorgaben aus Art. 13 und Art. 14 DSGVO findet sich keine Brücke zu den TOMs im Sinne von Art. 32 DSGVO.
Fazit
Weder über das Auskunftsrecht aus Art. 15 DSGVO noch über die ohnehin verpflichtenden allgemeinen Informationen über die Datenverarbeitung (Art. 13 und Art. 14 DSGVO) steht der betroffenen Person das Recht zu, konkrete Informationen zu den getroffenen TOMs zu verlangen. Solche Informationen können primär nur die Vertragsparteien im Wege einer Auftragsverarbeitung oder gemeinsamen Verantwortlichkeit abfragen bzw. überprüfen, was eine andere Zweckrichtung dieser Abfrage und Kontrolle der Informationen erfüllt. Das ohnehin weitreichende Auskunftsrecht, das sich in die Betroffenenrechte einbettet, gibt der betroffenen Person ein ausreichendes Instrument zur Kontrolle der sie betreffenden Datenverarbeitung.