Umsetzungsstand des Rechts auf Auskunft nach Art. 15 DS-GVO in der EU
Die Ergebnisse aus der Prüfaktion im Rahmen des koordinierten Durchsetzungsrahmens
Mit der 2024 durchgeführten europaweiten Untersuchung zur Umsetzung des Rechts auf Auskunft gem. Art. 15 DS-GVO konnte einerseits der aktuelle Umsetzungsstand festgestellt werden, andererseits aber auch Herausforderungen bei der Umsetzung des Auskunftsrechts identifiziert werden. Einige dieser Herausforderungen werden im Beitrag näher beleuchtet.
I. Die Coordinated Enforcement Action 2024 (CEF 2024)
Das Recht auf Auskunft gem. Art. 15 DS-GVO ist wesentlicher Bestandteil der in der DS-GVO normierten Betroffenenrechte1, gewährt es doch den Betroffenen selbst das Recht, zu erfahren ob und welche Daten auf welche Weise zu ihrer Person durch den Verantwortlichen verarbeitet werden. Da erst diese Kenntnis der betroffenen Person ermöglicht, die Rechtmäßigkeit der Verarbeitung zu überprüfen und ihre weiteren Datenschutzrechte wahrzunehmen, ist das Auskunftsrecht der Geltendmachung dieser anderen Rechte „vorgelagert“.2
Es konnte deshalb nicht erstaunen, dass sich die Datenschutzaufsichtsbehörden in Europa 2024 dazu entschieden haben, in einer europaweit koordinierten Prüfung die Umsetzung des Auskunftsrechts gem. Art. 15 DS-GVO zu untersuchen. Insbesondere sollte mit dieser festgestellt werden, inwieweit die Leitlinien 01/2022 zu den Rechten betroffener Personen und deren Auskunftsrecht3 sowie die Rechtsprechung des EuGH zum Recht auf Auskunft gem. Art. 15 DS-GVO den Verantwortlichen bekannt sind und befolgt werden. Durchgeführt wurde diese Prüfung im Rahmen des Koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework CEF).4
An dieser Prüfaktion beteiligten sich insgesamt 30 Datenschutzbehörden aus der EU; darunter aus Deutschland Datenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Hierfür erarbeiteten die teilnehmenden Aufsichtsbehörden unter Federführung des EDSA sowie maßgeblicher Beteiligung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit5 einen Musterfragebogen, der in der Folge von jeder Aufsichtsbehörde entweder vollständig oder teilweise für die jeweils eigenen Untersuchungen verwendet werden konnte.
Auf dieser Grundlage leiteten die an der Prüfaktion teilnehmenden Aufsichtsbehörden förmliche Untersuchungen ein oder führten Umfragen bei den Verantwortlichen im jeweiligen Zuständigkeitsbereich durch.
Europaweit beantworteten 1.185 Verantwortliche die Fragen der Aufsichtsbehörden. Die an der Prüfaktion beteiligten Aufsichtsbehörden aus Deutschland kontaktierten insgesamt 116 Verantwortliche aus dem öffentlichen und nicht-öffentlichen Bereich, von denen 115 auf die Fragen antworteten.
Die Ergebnisse der europaweiten Prüfaktion wurden in einem Bericht vorgestellt, den der Europäische Datenschutzausschuss (EDSA) am 16.01.2025 verabschiedete.6
Dieser Bericht des EDSA gründet auf den jeweiligen nationalen Berichten der beteiligten Aufsichtsbehörden, die in einem Anhang zu dem Bericht veröffentlicht sind.7
II. Erkenntnisse aus der CEF 2024
Der EDSA hebt positiv hervor, dass zwei Drittel der teilnehmenden Datenschutzbehörden den Grad der Konformität der antwortenden Verantwortlichen in Bezug auf das Auskunftsrecht von „durchschnittlich“ bis „hoch“ bewertet haben. Dennoch wurde festgestellt, dass ein Erfordernis für eine stärkere Sensibilisierung für die Leitlinien 01/2022 sowohl auf nationaler als auch auf EU-Ebene besteht, die den Verantwortlichen eine Hilfestellung bei der Umsetzung des Auskunftsrechts geben sollen.8 Insgesamt wurden europaweit eine Reihe von Herausforderungen ermittelt, die in dem Bericht behandelt werden und zu denen Empfehlungen an die Verantwortlichen, aber auch Aufsichtsbehörden sowie den EDSA selbst ausgesprochen werden.
Mit Blick auf die in Deutschland geprüften Verantwortlichen wurde seitens der hieran beteiligten Aufsichtsbehörden der Grad der Konformität im nicht-öffentlichen Bereich als hoch oder sogar sehr hoch gesehen, während dieser im öffentlichen Bereich im Durchschnitt etwas niedriger eingeschätzt wurde.9 Konkret werden in dem nationalen Bericht acht Themen benannt, die sich während der Prüfung als am wenigsten bekannt oder implementiert herausgestellt haben.10
Dazu gehören insbesondere Fragen über den Umfang der zu erteilenden Auskunft, der Identifizierung und Authentifizierung der anfragenden Person sowie der Umstände, unter denen ein Präzisierungsverlangen des Verantwortlichen berechtigt ist.
Im Folgenden wird ein Überblick über diese ausgewählten, bei der Prüfaktion festgestellten Herausforderungen und Empfehlungen gegeben.
III. Ausgewählte Herausforderungen und Empfehlungen
1. Umfang der Auskunft11
Die Feststellungen der Prüfaktion zeigen, dass sich Verantwortliche mangels organisatorischer Vorbereitung oft nicht darüber im Klaren zu sein scheinen, welche Informationen personenbezogene Daten enthalten und wo (zum Beispiel in welchen Datenbanken) im Falle einer Antragsbearbeitung geprüft werden muss, inwieweit personenbezogene Daten der betroffenen Person verarbeitet werden. Insbesondere blieben teilweise nicht-textliche Dateien, Metadaten oder Backup-Daten von
vornherein unbeachtet.
Art. 15 DS-GVO verlangt jedoch grundsätzlich12 eine umfassende Auskunft über die durch den Verantwortlichen verarbeiteten personenbezogenen Daten der betroffenen Person zum Zeitpunkt des Antragseingangs.13 Es ist nicht dem Verantwortlichen überlassen, nur die aus seiner Sicht wichtigen Informationen zu erteilen oder der betroffenen Person (vermutlich) bekannte Informationen vorzuenthalten.
Vielmehr muss dieser sich bereits vor konkreten Auskunftsersuchen darüber bewusst sein, welche Informationen im Rahmen eines Auskunftsersuchens zu erteilen sind und wo diese zu finden sind. In diesem Zusammenhang sei auch darauf hingewiesen, dass nach der EuGH-Rechtsprechung14 zur Verständlichkeit der Auskunft gegebenenfalls auch Auszüge aus Dokumenten oder ganze Dokumente oder Auszüge von Datenbanken, die unter anderem die personenbezogenen Daten enthalten, mitgeteilt werden müssen.
Der EDSA empfiehlt den Verantwortlichen, ihre Datenorganisation so zu gestalten, dass bei Bearbeitung eines Auskunftsantrages klar ist, welche Informationen personenbezogene Daten enthalten können und wo, also an welchen Speicherorten, personenbezogenen Daten verarbeitet werden. Orientierung kann insbesondere das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DS-GVO geben, soweit dies ordnungsgemäß geführt und aktuell gehalten wird.
2. Identifizierung und Authentifizierung15
Bei der Prüfaktion stellte sich weiter heraus, dass nicht immer eine konkrete Auseinandersetzung mit den Anforderungen des Art. 12 Abs. 2 und Abs. 6 DS-GVO stattfand und Verantwortliche teilweise zu Zwecken der Identifizierung und Authentifizierung pauschal Zusatzinformationen bei der betroffenen Person abfragen oder Kopien von Identitätsausweisen fordern, die im Einzelfall nicht erforderlich sind.
Nur dann, wenn eine Zuordnung anhand der von der auskunftsersuchenden Person zur Verfügung gestellten Daten nicht möglich ist, können zusätzliche Daten zu Zwecken der Identifizierung verlangt werden (Art. 12 Abs. 2 i.V.m. Art. 11 Abs. 2 DS-GVO). Hierzu muss der Verantwortliche die betroffene Person – soweit dies möglich ist – darüber informieren, dass er zu deren Identifikation nicht in der Lage ist. Stellt die betroffene Person daraufhin ausreichende zusätzliche Informationen zur Verfügung, ist dem Auskunftsersuchen nachzukommen. Kann der Verantwortliche hingegen glaubhaft machen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, darf sich der Verantwortliche weigern, eine Auskunft zu erteilen.16 Bestehen „begründete Zweifel an der Identität“, oder Zweifel, dass es sich bei der Person, die um die Auskunft ersucht, tatsächlich um die betroffene Person handelt, über deren Daten Auskunft verlangt wird, dürfen und müssen Verantwortliche „zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind“ (Art. 12 Abs. 6 DS-GVO). Das können weitere verhältnismäßige Authentifizierungsangaben sein.
Beispielsweise können weitere, mit dem vorhandenen Datensatz abgleichbare Angaben erfragt werden, die in der Kumulation nur die betroffene Person selbst kennen kann.
Pauschal die Kopie eines Ausweisdokuments zu verlangen ist jedoch nicht zulässig.17 Im Regelfall ist eine solche Kopie weder geeignet noch erforderlich, um eine Authentifizierung durchzuführen. Darüber bestehen Missbrauchsrisiken soweit die Personalausweiskopie missbräuchlich durch unberechtigte Personen genutzt wird. Ist im Einzelfall die Authentifizierung mittels Ausweis gerechtfertigt, so muss diese in der Art und Weise erfolgen, dass keine weiteren Risiken für die betroffene Person geschaffen werden und die entsprechende Verarbeitung den Grundsätzen der DS-GVO gerecht wird, insbesondere dem Grundsatz der Datenminimierung sowie dem Grundsatz von Integrität und Vertraulichkeit.
Hierzu zählen beispielsweise das Post-Ident-Verfahren, bei dem vor Übergabe des Briefes ein Ausweisdokument vorzulegen ist oder die Nutzung der Online-Funktion des Personalausweises.
Dementsprechend betont der EDSA, dass es einer Einzelfallprüfung bedarf, ob eine weitere Identifizierung oder Authentifizierung der betroffenen Person erforderlich ist und diese Prüfung insbesondere den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DS-GVO), die Pflicht des Verantwortlichen, der betroffenen Person die Ausübung ihrer Rechte zu erleichtern (Art. 12 Abs. 2 DS-GVO) sowie die Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DS-GVO) beachten muss.
3. Unberechtigte Präzisierungsverlangen19
Werden große Mengen personenbezogener Daten verarbeitet, kann der Verantwortliche eine Präzisierung dahingehend verlangen, auf welche Informationen oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht (vgl. Erwägungsgrund 63 S. 7 DS-GVO). Die Leitlinien zum Auskunftsrecht sehen es zunächst als Voraussetzung für dieses Präzisierungsverlangen an, dass der Verantwortliche Zweifel daran hat, ob das konkrete Auskunftsersuchen wirklich darauf abzielt, Informationen über jegliche Datenverarbeitung in allen Tätigkeitsbereichen zu erhalten. Soweit ein Verantwortlicher die betroffene Person zur Präzisierung auffordert, müssen der betroffenen Person aussagekräftige Informationen über die Verarbeitungsvorgänge erteilt werden (siehe Erleichterung der Antragstellung, Art. 12 Abs. 2 DS-GVO). Denn nur wenn die betroffene Person Kenntnis der einschlägigen Verarbeitungsvorgänge hat, ist es ihr möglich, das Auskunftsverlangen zu präzisieren oder gegebenenfalls einzuschränken. Bestätigt die betroffene Person dennoch, dass sie eine vollständige Auskunft wünscht, muss ihr auch die Auskunft in vollem Umfang zur Verfügung gestellt werden.20
Um von einer betroffenen Person die Präzisierung eines Auskunftsersuchens verlangen zu können, bedarf es im konkreten Einzelfall deshalb nachweisbar
- der Verarbeitung einer großen Menge an Informationen über die betroffene Person,
- eines konkreten Zweifels daran, dass nicht eine vollumfängliche Auskunft, sondern gegebenenfalls nur für bestimmte Verarbeitungsvorgänge eine Teilauskunft verlangt wird und
- einer Information der betroffenen Person über die ihre Daten betreffenden Verarbeitungstätigkeiten.
Die Untersuchung zur Umsetzung des Auskunftsrechtes ergab jedoch, dass Verantwortliche auch dann, wenn diese Voraussetzungen für ein Präzisierungsverlangen nicht erfüllt sind, häufig eine Präzisierung pauschal einfordern und zur Voraussetzung für die Beantwortung des Auskunftsersuchens machen. Der EDSA empfiehlt deshalb den Verantwortlichen vor dem Verlangen auf Präzisierung eine Einzelfallprüfung dahingehend, ob die Voraussetzungen dafür erfüllt sind, und weist auf die Möglichkeit hin, betroffenen Personen zum Beispiel mit „Self-Service-Tools“ zur Vorauswahl eine, mehrere oder alle Verarbeitungstätigkeiten zur Verfügung zu stellen.
In diesem Zusammenhang wird seitens des EDSA klargestellt, dass eine Präzisierungsaufforderung nicht mit dem mehrschichtigen Ansatz („layered approach“) verwechselt werden darf, wie ihn die Leitlinien zur Transparenz21 in Bezug auf Datenschutzhinweise empfehlen. Denn auch dieser führt nicht dazu, dass die Auskunft eingeschränkt werden kann oder die Auskunft in mehreren (Antrags-)Schritten erteilt wird. Vielmehr handelt es sich hierbei um eine Möglichkeit, eine umfangreiche Auskunft leicht verständlich zur Verfügung zu stellen (vgl. Art. 12 Abs. 1 DS-GVO). Der Ansatz ist geeignet, wenn es aufgrund der großen Anzahl personenbezogener Daten für die betroffene Person schwierig wäre, die Informationen zu verstehen, ohne dass eine Abschichtungen vorgenommen wird. In diesem Fall kann die Information auf mehreren Ebenen bereitgestellt werden, so dass die betroffene Person selbst entscheiden kann, welche Ebenen sie aktiv einsieht, ohne dass damit unverhältnismäßiger Aufwand für die betroffene Person verbunden ist. Kurz gesagt: es müssen alle Ebenen gleichzeitig zur Verfügung beziehungsweise zum Abruf bereitgestellt werden. Dieser Ansatz ist primär für den Online-Bereich geeignet.
FAZIT
Wie die ausgewählten Beispiele der bei der Prüfaktion festgestellten Herausforderungen zeigen, konnten durch die Untersuchungen der an der Prüfaktion beteiligten Aufsichtsbehörden bestimmte, häufige Fehlerquellen bei der Umsetzung des Auskunftsrechts erkannt werden, die über die ausgewählten Problembereiche hinaus insbesondere durch ein oft unzureichendes Bewusstsein über Inhalt und Umfang des Auskunftsrechts, fehlende interne Verfahrensregelungen der Organisationen und eine zu weitgehende Auslegung der Grenzen des Auskunftsrechts bedingt sind. Diesen Fehlerquellen sollten nunmehr, auch mit Unterstützung des EDSA und der Aufsichtsbehörden, begegnet werden, indem die Kenntnisse in diesen Bereichen vertieft werden und eine konkrete europaweit abgestimmte Orientierung gegeben wird, die Grundlage für eine wirksame Umsetzung und Durchsetzung dieses wesentlichen Rechts der betroffenen Person ist.
Quellen
1. BeckOK DatenschutzR/Schmidt-Wudy DS-GVO Art. 15 Rn. 2.
2. Ehmann/Selmayr DS-GVO/Ehmann Art. 15 Rn. 3.
3. Abrufbar unter https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_de.pdf (zuletzt abgerufen am 02.03.2025).
4. EDSA-Dokument über den Rahmen für eine koordinierte Durchsetzung der Verordnung 2016/679, abrufbar unter edpb_documents_20201020_coordinatedenforcementframework_de.pdf (zuletzt abgerufen am 22.02.2025).
5. Da der Themenvorschlag für die Prüfung seitens der BfDI eingebracht wurde, war diese maßgeblich mit der Prüfungskoordinierung befasst.
6. EDSA-Bericht zur Umsetzung des Auskunftsrechts durch Verantwortliche, https://www.edpb.europa.eu/system/files/2025-01/edpb_cefreport-2024_20250116_rightofaccess_en.pdf (zuletzt abgerufen am 23.02.2025).
7. Anlage 1 zum EDSA-Bericht, https://www.edpb.europa.eu/system/files/2025-01/edpb_cef-report-2024_20250116_annex_en.pdf (zuletzt abgerufen am 23.02.2025).
8. https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full implementation-right-access_de (zuletzt abgerufen am 23.02.2025).
9. Nationaler Bericht Deutschland, Antwort zu Frage 29.1, S. 74 (https://www.edpb.europa.eu/system/files/2025-01/edpb_cef-report-2024_20250116_annex_en.pdf) – zuletzt abgerufen am 23.02.2025).
10. Nationaler Bericht Deutschland, Antwort zu Frage 31, S. 74 f.
11. EDSA-Bericht, Kapitel 4.2.1, S. 15 ff., Nationaler Bericht Deutschlands, S. 66 f.
12. Soweit der Erteilung der Auskunft keine Gründe entgegenstehen (z.B. Art. 15 Abs. 4 DS-GVO).
13. Vgl. Leitlinien 01/2022, Rn. 35 ff.
14. EuGH, Urt. V. 4.05.2023, Rs. C-487/21, Rn. 45.
15. EDSA-Bericht, Kapitel 4.2.4., S. 20 ff.; Nationaler Bericht Deutschlands, S. 71.
16. Vgl. Leitlinien 01/2022, Rn. 58 ff.
17. Vgl. Leitlinien 01/2022, Rn. 74 f.
18. Vgl. Leitlinien 01/2022, Rn. 74.
19. EDSA-Bericht, Kapitel 4.2.6, S. 24 f.; Nationaler Bericht Deutschlands, s. 68 f.
20. Leitlinien 01/2022, Rn. 35 b.
21. Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev.01, Rn. 35 ff., https://www.datenschutzkonferenz-online.de/wp29-leitlinien.html
