Der Auskunftsanspruch nach Art 15 DSGVO ist in der Praxis eines der bedeutendsten Betroffenenrechte. Das schlägt sich auch in der Rechtsprechung nieder. Gerichte und Behörden wurden mehrfach angerufen und nehmen bei ihren Entscheidungen den Umgang der Verantwortlichen mit Auskunftsansprüchen detailliert unter die Lupe. Das DORDA Datenschutz-Team fasst die aktuellen Entwicklungen für den richtigen Umgang mit entsprechenden Ersuchen anhand einiger einschlägiger Entscheidungen zusammen:
Umfang der Auskunft über die Datenherkunft
In Deutschland hat zuletzt das Amtsgericht Wertheim (1 C 66/19) eine weitreichende E zum Umfang des Auskunftsanspruchs über die Datenherkunft erlassen: Demnach umfasse die Auskunftspflicht nicht nur die Mitteilung der Datenquelle, sondern auch wann und mit welchem Inhalt personenbezogene Daten aus der Datenquelle übermittelt wurden. Da der Verantwortliche diese Informationen im konkreten Fall nicht bereitgestellt hat, habe er den Auskunftsanspruch verletzt.
Diese pauschale Aussage des deutschen Untergerichts zum Umfang der zwingenden Beauskunftung der Datenherkunft ist uE zu weit gefasst: Sie entspricht weder dem Gesetzeswortlaut noch der Intention des Gesetzgebers und findet auch in Literaturmeinungen keine Deckung. Vielmehr hat der Verantwortliche nach Art 15 Abs 1 lit g DSGVO nur die Informationen zur Datenquelle zu beauskunften, über die er tatsächlich verfügt. Sinn und Zweck der Regelung ist schließlich, dass Betroffene Kenntnis vom Ursprung der Daten erlangen, um auch dort ihr Auskunftsrecht geltend machen zu können. Damit kann sich der Betroffene rückwärts zur Datenquelle arbeiten. Die Entscheidung findet somit keine Deckung in der DSGVO. Nachdem diese Regelungen aber vollharmonisierend sind, ist eine national strengere Auslegung auch unzulässig. Die (überschießende) Entscheidung zeigt aber den zunehmend strengen Zugang der Behörden, wenn es um den erforderlichen Detailgrad einer Auskunft geht. In diese Kerbe schlagen auch jüngere E der österreichischen Datenschutzbehörde:
Detaillierte Beschreibung von Profiling
Die Datenschutzbehörde hat sich zuletzt aufgrund von Betroffenenbeschwerden vermehrt mit dem Thema Bonitätsprüfung und Scoring beschäftigt. Sowohl für Banken als auch Versicherungen ist es aufsichtsrechtlich notwendig, eine sorgfältige Risiko- und Ausfallsprüfung vorzunehmen. Damit ist in der Praxis regelmäßig eine Datenabgleich mit Wirtschaftsauskunfteien verbunden. Bei Finanzierungen findet zudem ein Scoring statt, das vereinfacht dargestellt von festgelegten Parametern ausgehend bestimmte Werte ausrechnet. Anhand dieser wird der Kunde oder Interessent sodann in Risikoklassen eingeordnet. Stellt nun ein Betroffener eine Auskunftsanfrage, umfasst das nach aktueller Rechtsprechung nicht nur die Basisdaten, an denen das Scoring anknüpft. Vielmehr muss der Verantwortliche darlegen, wie die Daten des Betroffenen dabei verarbeitet wurden. Dabei ist es nach der Datenschutzbehörde nicht ausreichend, bloß die allgemeinen Parameter des Profilings anzugeben. Mit ihrer Position schließt sich die Behörde, wie in vielen Fällen, den Leitlinien der Art-29-Datenschutzgruppe (bzw seines Nachfolgers, dem EDSA) an: Das WP 251 empfiehlt, dass dem Betroffenen "die zur Profilerstellung verwendeten Eingabedaten zur Verfügung zu stellen sowie die Informationen zum Profil und Details zu den Segmenten, in die die betroffene Person eingeteilt wurde, mitzuteilen" sind. Auch die herrschende Literaturmeinung vertritt, dass es dem Betroffenen durch die Auskunft möglich sein muss, die Richtigkeit der Ergebnisse zu überprüfen. Dementsprechend müssen in der Auskunft einerseits die Methodik und der Zweck des Scorings beschrieben und andererseits die Bedeutung der Auswertungsergebnisse und die darauf basierten Entscheidungen erläutert werden.
Der für die Nachvollziehbarkeit erforderlichen Herausgabe der Scoring Logik stehen in der Praxis aber berechtigte Interessen des Verantwortlichen entgegen: Basis für die marktüblichen Scoringverfahren sind über Jahre entwickelte, mathematische Verfahren. Diese stellen dabei nicht nur auf allgemeine Parameter ab, sondern sind de facto für jedes Unternehmen maßgeschneidert. Damit stellen sie aber regelmäßig Betriebs- und Geschäftsgeheimnisse dar. Dafür sieht § 4 Abs 6 DSG iVm ErwGr 63 Satz 5 DSGVO aber explizit die Möglichkeit zur Beschränkung der Auskunft vor, wenn eine Weitergabe von Informationen bestehende Betriebs- und Geschäftsgeheimnisse gefährden würde. Im Sinne der immanenten Interessensabwägung ist somit einzelfallbezogen detailliert zu prüfen, ob und welche Informationen zurückgehalten werden dürfen bzw müssen: Die Auskunft soll also die Methodik, den Zweck und die Auswirkung des Scorings soweit offenlegen, damit eine Nachprüfung durch den Betroffenen möglich ist. Die Herausgabe der Details der verwendeten Logik sind dafür aber nicht zwingend erforderlich. Hier kann auch bei der von der Rechtsprechung sonst geforderten Transparenz eine Grenze gezogen und die diesbezügliche Auskunft verweigert werden. Ob das berechtigt ist, entscheidet die Datenschutzbehörde im Einzelfall in einer konkreten, detaillierten Güterabwägung, wie auch folgende weitere Entscheidungen belegen:
Keine Auskunft bei Verletzung der Rechte und Freiheiten Dritter
Neben dem Schutz von Betriebs- und Geschäftsgeheimnissen führt auch die Wahrung von Rechten und Freiheiten anderer Personen iSd Art 15 Abs 4 DSGVO iVm ErwG 63 zu einer zulässigen Einschränkung der Auskunft: So hat sich die DSB zu DSB-D123.874/0016-DSB/2019 mit dem Antrag eines Betroffenen auf Auskunft gegenüber einer österreichischen Religionsgemeinschaft beschäftigt. Diese hat gegenüber dem ausgetretenen Betroffenen die Bereitstellung von personenbezogenen Daten verweigert. Konkret handelte es sich um Unterlagen, die von der Gemeinschaft in einem verschlossenen Umschlag aufbewahrt wurden, da diese "naturgemäß die Intim- und Privatsphäre der Beteiligten" betreffen. Obwohl die Datenschutzbehörde die Zulässigkeit der Einschränkung des Auskunftsrechts im konkreten Fall überwiegend mit dem Privileg der inneren Angelegenheiten einer Religionsgemeinschaft begründet hat, lässt sich aus der Entscheidung aber eine wertvolle Erkenntnis für die Praxis gewinnen: Die Auskunft kann nicht nur dann eingeschränkt werden, wenn Rechte Dritter gefährdet sind, sondern auch wenn es um direkte Rechte des Verantwortlichen geht. Neben Geschäftsgeheimnissen hat die Datenschutzbehörde daher auch Rechte des geistigen Eigentums oder das Grundrecht auf kooperative Religionsfreiheit genannt. Das ist nur konsistent: Eine ähnliche Ansicht hat die Behörde bereits in einer früheren Entscheidung zu DSB-D122.913/0001-DSB/2019 vertreten. Darin hat sie zum Umfang der Auskunft hinsichtlich E-Mails Stellung genommen. In Zusammenschau lässt sich daher ableiten, dass zwar eine Herausgabepflicht hinsichtlich des Inhalts von Urkunden, Unterlagen und Korrespondenz bestehen kann, aber dabei nicht zwingend Kopien preisgegeben werden müssen. Die Wahrung der Rechte Dritter steht nämlich idR einer vollumfänglichen Offenlegung von E-Mails und vergleichbaren Unterlagen, die bereits denklogisch auch Daten Dritter enthalten, entgegen. Ob und in welchem Umfang dabei (Teil-)Anonymisierungen erforderlich sind, ist dabei immer im Sinne der Interessensabwägung auszuloten. Dabei werden uE auch wirtschaftliche Überlegungen – etwa hinsichtlich des damit einhergehenden Aufwands und notwendige Ressourcen – zu berücksichtigen sein.
Reminder: Heilung durch nachträgliche Auskunft während eines Beschwerdeverfahrens
In der Praxis kann es vorkommen, dass die erste Auskunft des Verantwortlichen nicht vollständig ist. Das kann ua auch an einer fehlenden Mitwirkung des Betroffenen liegen, wenn diese auch auf Nachfragen zum erforderlichen Umfang nicht reagieren sondern zB gleich den Beschwerdeweg einschlagen. Für derartige und vergleichbare Fälle sieht § 24 Abs 6 DSG aber vor, dass Verantwortliche die behauptete Rechtsverletzung bis zum Abschluss des Verfahrens vor der DSB beseitigen können, indem sie dem Antrag des Betroffenen entsprechen. Die DSB hat in der E vom 2.9.2019 zu DSB-D123.862/0008-DSB/2019 nunmehr ausdrücklich klargestellt, dass die nachträgliche Erfüllung des Auskunftsbegehrens zudem auch dann als erfolgt gilt, wenn nicht der Verantwortliche selbst, sondern die DSB die gewünschte Auskunft an den Betroffenen weiterleitet. Dieser pragmatische Zugang ist zu begrüßen – Hintergrund der Bestimmung ist ja, dass der Betroffene keine weitere Beschwer hat, weil ihm die fehlende Auskunft tatsächlich zugegangen ist.