Kein ande­res Betrof­fe­nen­recht erfreut sich solch kon­tro­ver­ser Dis­kus­sio­nen und unter­schied­li­cher Recht­spre­chun­gen wie das Aus­kunfts­recht nach Art. 15 DSGVO. Fast immer stellt sich die Fra­ge, in wel­chem Umfang die Aus­kunft erteilt wer­den muss. Oft­mals lohnt sich aller­dings die vor­an­ge­stell­te Fra­ge, ob der Ver­ant­wort­li­che über­haupt Aus­kunft ertei­len muss. Sowohl die DSGVO und das BDSG als auch län­der­spe­zi­fi­sche Rege­lun­gen in den jewei­li­gen Lan­des­da­ten­schutz­ge­set­zen sehen diver­se Aus­nah­men vor, in denen die Aus­kunft ver­wei­gert wer­den kann und darf. 

Der Anspruch aus Art. 15 DSGVO dient aber nicht der ver­ein­fach­ten Buch­füh­rung des Betrof­fe­nen, son­dern soll sicher­stel­len, dass der Betrof­fe­ne den Umfang und Inhalt der gespei­cher­ten per­so­nen­be­zo­ge­nen Daten beur­tei­len kann.” – LG Köln, Urteil v. 19. Juni 2019 – 26 S 13/18

Über­sicht der Grün­de, eine Aus­kunft nicht zu erteilen:

Datenschutz-Grundverordnung

  • 12 Abs. 2 S. 2 DSGVO

Danach ist eine Ver­wei­ge­rung der Aus­kunft durch den Ver­ant­wort­li­chen nur dann zuläs­sig, wenn er glaub­haft macht, dass er nicht in der Lage ist, die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren. Eine Iden­ti­fi­zie­rung ist z.B. dann nicht mög­lich, wenn sich die betrof­fe­ne Per­son ihr Recht unter einer pseudo- oder anony­mi­sier­ten E‑Mailadresse gel­tend macht, die im Manage­ment­sys­tem kei­nem Kun­den / Man­dan­ten zuge­ord­net wer­den kann. Die Ver­wei­ge­rung ist jedoch nur so lan­ge mög­lich bis sich der Betrof­fe­ne ein­deu­tig iden­ti­fi­zier­bar gemacht hat. Begrün­de­te Zwei­fel an der Iden­ti­tät berech­ti­gen nicht zur Ver­wei­ge­rung der Aus­kunft, viel­mehr dür­fen gemäß Art. 12 Abs. 6 DSGVO mehr Infor­ma­tio­nen bei der betrof­fe­nen Per­son ein­ge­holt wer­den, um das Recht auf Aus­kunft letzt­lich durch­set­zen zu kön­nen (oder eben nicht).

  • 12 Abs. 5 S. 2 lit. b DSGVO

Bei offen­sicht­lich unbe­grün­de­ten oder exzes­si­ven Aus­kunfts­an­trä­gen einer betrof­fe­nen Per­son, kann der Ver­ant­wort­li­che die Aus­kunft ver­wei­gern. Exzes­siv sind Aus­kunfts­an­trä­ge ins­be­son­de­re dann, wenn sie häu­fig wie­der­holt wer­den. Das ist z.B. der Fall, wenn die betrof­fe­ne Per­son zuvor bereits beaus­kunftet wur­de und nach­weis­lich in der Zwi­schen­zeit kei­ne Daten­ver­ar­bei­tun­gen mehr statt­ge­fun­den haben. Offen­sicht­lich unbe­grün­det ist ein Antrag, wenn ohne eine ver­tief­te Prü­fung erkenn­bar ist, dass die Vor­aus­set­zun­gen des gestell­ten Antra­ges nicht vor­lie­gen. Dane­ben hat die Rege­lung den Zweck leicht­fer­ti­ge Antrag­stel­lun­gen prä­ven­tiv zu ver­hin­dern und etwa Betrü­ger davon abzu­hal­ten, an gro­ße Men­gen von Ver­brau­cher­da­ten zu gelangen.

  • 15 Abs. 4 DSGVO

Grund­sätz­lich hat die betrof­fe­ne Per­son im Rah­men ihres Aus­kunfts­er­su­chens das Recht auf eine Kopie ihrer per­so­nen­be­zo­ge­nen Daten, Art. 15 Abs. 3 DSGVO. Die Aus­nah­me bezieht sich auf die Her­aus­ga­be der Kopie und besagt, dass die­se nicht her­aus­ge­ge­ben wer­den muss, wenn dadurch die Rech­te und Frei­hei­ten einer ande­ren Per­son beein­träch­tigt wer­den. Die Aus­nah­me eröff­net die Mög­lich­keit, eine Grund­rechts­ab­wä­gung zwi­schen den Rech­ten des Ver­ant­wort­li­chen und den Rech­ten der betrof­fe­nen Per­son vor­zu­neh­men. Argu­men­te für die Inter­es­sen des Ver­ant­wort­li­chen lie­gen z.B. in der Offen­ba­rung von Betriebs­ge­heim­nis­sen oder von Rech­ten des geis­ti­gen Eigen­tums (z.B. Urhe­ber einer Soft­ware), wenn die­se durch die Aus­kunft preis­ge­ge­ben wer­den würden.

  • Infor­ma­tio­nen des Betriebsrates

Bezo­gen auf die Her­aus­ga­be einer Kopie der per­so­nen­be­zo­ge­nen Daten und deren Ver­wei­ge­rung hat­ten wir in eige­ner Sache den Lan­des­da­ten­schutz­be­auf­trag­ten Baden-Württembergs um Unter­stüt­zung gebe­ten. Im vor­ge­leg­ten Fall wur­de das Recht auf Aus­kunft gegen­über dem Betriebs­rat gestellt. Unab­hän­gig der Fra­ge, ob der Betriebs­rat Ver­ant­wort­li­cher i.S.d. Art. 4 Nr. 7 DSGVO und damit zur Aus­kunft ver­pflich­tet ist, ant­wor­te­te der Lan­des­da­ten­schutz­be­auf­trag­te auf die Fra­ge, ob Doku­men­te des Betriebs­rats­gre­mi­ums her­aus­ge­ge­ben wer­den müs­sen, wie folgt: „Doku­men­te des Betriebs­rats­gre­mi­ums ent­hal­ten idR. sen­si­ble per­so­nen­be­zo­ge­ne Daten ande­rer Arbeitnehmer-/ innen (z.B. in Anhö­rungs­schrei­ben § 102 BetrVG etc.). Ob die­se umfas­send vom „Recht auf Kopie“ erfasst sind, hal­ten wir für sehr frag­lich.“ Auch Betriebs­rä­te sind also ange­hal­ten, vor der Beaus­kunf­tung zu prü­fen, ob die Durch­füh­rung des Rechts ver­wei­gert wer­den kann.

Bun­des­da­ten­schutz­ge­setz

Ergänzt wer­den die Aus­nah­me­re­ge­lun­gen der DSGVO durch das natio­na­le Daten­schutz­ge­setz BDSG. Das BDSG ist sowohl auf öffent­li­che als auch nicht-öffentliche Stel­len anwendbar.

  • 27 Abs. 2 BDSG

27 Abs. 2 BDSG ent­hält gleich zwei Aus­nah­men­tat­be­stän­de. Sie bezie­hen sich auf Daten­ver­ar­bei­tun­gen zu wis­sen­schaft­li­chen oder his­to­ri­schen For­schungs­zwe­cken und zu sta­tis­ti­schen Zwecken.

Satz 1 beschränkt das Aus­kunfts­recht, wenn die Durch­set­zung von Art. 15 DSGVO vor­aus­sicht­lich die Ver­wirk­li­chung der Forschungs- oder Sta­tis­tik­zwe­cke unmög­lich macht oder ernst­haft beein­träch­tigt und die Beschrän­kung für die Erfül­lung der Forschungs- oder Sta­tis­tik­zwe­cke not­wen­dig ist.

Das Recht auf Aus­kunft besteht dar­über hin­aus nicht, wenn die Daten für Zwe­cke der wis­sen­schaft­li­chen For­schung erfor­der­lich sind und die Aus­kunfts­er­tei­lung einen unver­hält­nis­mä­ßi­gen Auf­wand erfor­dern würde.

Man­gels brei­tem Anwen­dungs­be­reich soll hier nicht wei­ter dar­auf ein­ge­gan­gen werden.

  • 28 Abs. 2 BDSG

Danach kann die Aus­kunft ver­wei­gert wer­den, wenn ein im öffent­li­chen Inter­es­se lie­gen­des Archiv­gut nicht durch den Namen der Per­son erschlos­sen ist oder kei­ne Anga­ben gemacht wer­den, die das Auf­fin­den des betref­fen­den Archiv­guts mit ver­tret­ba­rem Ver­wal­tungs­auf­wand ermöglichen.

Auch hier soll man­gels brei­tem Anwen­dungs­be­reich nicht wei­ter dar­auf ein­ge­gan­gen werden.

  • 29 Abs. 1 S. 2 BDSG

Das Recht auf Aus­kunft der betrof­fe­nen Per­son besteht nicht, soweit durch die Aus­kunft Infor­ma­tio­nen offen­bart wür­den, die nach einer Rechts­vor­schrift oder ihrem Wesen nach, ins­be­son­de­re wegen der über­wie­gen­den berech­tig­ten Inter­es­sen eines Drit­ten, geheim gehal­ten wer­den müssen.

Die Aus­nah­me ermög­licht es vor allem Berufs­ge­heim­nis­trä­gern das Aus­kunfts­recht gegen­über der betrof­fe­nen Per­son ein­zu­schrän­ken. Die Rege­lung erstreckt sich aller­dings nur so weit, wie geheim­hal­tungs­wür­di­ge Infor­ma­tio­nen offen­bart wer­den wür­den. Ein Anspruch auf Aus­kunft besteht daher in Fäl­len, in denen per­so­nen­be­zo­ge­ne Daten betrof­fen sind, die nicht im Rah­men eines Man­dats­ver­hält­nis­ses erho­ben wur­den, z. B. bei der Ver­ar­bei­tung der Daten eige­ner Mit­ar­bei­ter oder Dienst­leis­ter. Sind aller­dings Daten betrof­fen, die der Berufs­ge­heim­nis­trä­ger in eben die­ser Eigen­schaft erhal­ten hat, wird man von einem voll­stän­di­gen Aus­schluss des Aus­kunfts­an­spru­ches aus­ge­hen müssen.

  • 34 BDSG 

34 BDSG ergänzt die Rei­he der Aus­nah­men in den §§ 27 – 29 BDSG und ent­hält alter­na­ti­ve als auch kumu­la­ti­ve Vor­aus­set­zun­gen. Das Recht auf Aus­kunft besteht ergän­zend nicht, wenn (1) die betrof­fe­ne Per­son nach § 33 Abs. 1 Nr. 1, 2 lit. b oder Abs. 3 nicht zu infor­mie­ren ist, oder (2) die Daten (a) nur des­halb gespei­chert sind, weil sie auf­grund gesetz­li­cher oder sat­zungs­mä­ßi­ger Auf­be­wah­rungs­vor­schrif­ten nicht gelöscht wer­den dür­fen, oder (b) aus­schließ­lich Zwe­cken der Daten­si­che­rung oder der Daten­schutz­kon­trol­le die­nen und die Aus­kunfts­er­tei­lung einen unver­hält­nis­mä­ßi­gen Auf­wand erfor­dern wür­de sowie eine Ver­ar­bei­tung zu ande­ren Zwe­cken durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men aus­ge­schlos­sen ist.

Lan­des­da­ten­schutz­ge­set­ze

Abschlie­ßen soll der Über­blick der Voll­stän­dig­keit hal­ber mit einem Ver­weis auf die Aus­nah­me­tat­be­stän­de des Lan­des­da­ten­schutz­ge­set­zes Baden-Württemberg. Der Anwen­dungs­be­reich der LDSG erstreckt sich auf Behör­den und sons­ti­ge Stel­len des Lan­des, der Gemein­den und Gemein­de­ver­bän­de und der sons­ti­gen der Auf­sicht des Lan­des unter­ste­hen­den juris­ti­schen Per­so­nen des öffent­li­chen Rechts (öffent­li­che Stel­len). Juris­ti­sche Per­so­nen des Pri­vat­rechts sind hier­von ent­spre­chend aus­ge­nom­men. Wich­tig: Die Rege­lun­gen ergän­zen die Durch­füh­rung der DSGVO und die des BDSG glei­cher­ma­ßen, die des BDSG jedoch nur dann, wenn sie spe­zi­el­ler sind.

Daten­schutz­be­auf­trag­te öffent­li­cher Stel­len müs­sen bei der Prü­fung, ob die Aus­kunft an die betrof­fe­ne Per­son zu ertei­len ist, neben den oben auf­ge­lis­te­ten Aus­nah­me­tat­be­stän­den der DSGVO und des BDSG auch die § § 9, 13 (4), 14 und 16 LDSG BW beach­ten. Ent­spre­chen­de Rege­lun­gen fin­den sich in ähn­li­cher Wei­se auch in den LDSG der übri­gen Länder.

Fazit

Bevor sich Ver­ant­wort­li­che in die teils auf­wen­di­ge Arbeit stür­zen, dem Recht auf Aus­kunft gemäß Art. 15 DSGVO adäquat nach­zu­kom­men, soll­te im Pro­zess­ma­nage­ment zuerst geprüft wer­den, ob eine Aus­nah­me oder eine Beschrän­kung des Rechts in der DSGVO oder dem BDSG bzw. dem ent­spre­chen­den LDSG vor­liegt. Ergänzt wird die Lis­te der gesetz­li­chen Aus­nah­me­tat­be­stän­de zukünf­tig durch Ein­zel­fäl­le in der Recht­spre­chung. Aggres­si­ve, auf­dring­li­che und beharr­li­che Aus­kunfts­er­su­chen dür­fen nicht zur Ein­schüch­te­rung füh­ren. Auch wenn die Rechts­la­ge rund um Art. 15 DSGVO noch nicht ein­heit­lich und klar ist, bie­tet es doch auch die Chan­ce die Durch­set­zung des Rechts berech­tigt zu verweigern.

Was Sie noch interessieren könnte:

 

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN