Neues zum Datenschutzrecht
5.5.2023
Recht auf Auskunft – Leitlinien des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien 01/2022 zum Recht auf Auskunft unter der DSGVO veröffentlicht. Gegenstand dieser Leitlinien zu den Rechten der betroffenen Personen ist das in Art. 15 DSGVO geregelte Recht auf Auskunft.
Die neuen Leitlinien konkretisieren unter anderem, welche Daten vom Recht auf Auskunft erfasst sind und wie es sich mit der Pflicht des Verantwortlichen verhält, die Auskunft ersuchende Person zu identifizieren. Hierzu sind nach Auffassung des EDSA angemessene Maßnahmen treffen, damit keine unberechtigten Dritten an die personenbezogenen Daten gelangen. Das können beispielsweise eine Multi-Faktor-Authentifizierung, Sicherheitsfragen oder ein Passwort-Versand an die zu einem Nutzerkonto gespeicherte E-Mail-Adresse sein. Das Anfordern weiterer Informationen zur Verifizierung der Identität muss aber verhältnismäßig sein, so dass insbesondere die Art der verarbeiteten Daten und der potenzielle Schaden im Fall einer falschen Identität zu berücksichtigen sind. Schließlich dürfen vom Verantwortlichen laut EDSA keine höheren Anforderungen aufgestellt werden, als für die Identifizierung tatsächlich erforderlich sind, also nicht solche, die eine Durchsetzung des Rechts auf Auskunft letztlich nur erschweren würden.
Über den Inhalt und Umfang der Auskunft sowie die Frage der Identifizierung hinaus enthalten die Leitlinien 01/2022 die Sicht der Aufsicht in Bezug auf weitere praxisrelevante Punkte wie das „Recht auf Erhalt einer Kopie“, die Konkretisierung des Auskunftsanspruchs, die Datenspeicherung zu Zwecken der Auskunft, die Art bzw. Form der Auskunftserteilung und das Vorliegen „offenkundig unbegründeter oder exzessiver Anträge“.
Aktuell sind die Leitlinien 01/2022 nur in englischer Sprache abrufbar.
Fazit und Praxishinweis
Die Leitlinien 01/2022 zum Recht auf Auskunft geben Aufschluss darüber, was die Datenschutzaufsicht im Hinblick auf das Handling von Auskunftsersuchen erwartet. Die erörterten Fallkonstellationen haben – wie es bei EDSA-Leitlinien zuweilen der Fall ist – einen eher begrenzten Wert.
Leitlinien des EDSA stellen die aufsichtsbehördliche Sicht dar, die als solche rechtlich nicht bindend ist. Das letzte Wort hat im Zweifel die Rechtsprechung. Und dass die tägliche Praxis immer wieder neue und auch von den Leitlinien 01/2022 nicht erörtere Fragen aufwirft, zeigt beispielsweise ein Anfang 2021 vom LAG Köln entschiedener Fall (Az. 9 TaBV 32/22). Hier ging es u.a. um eine Auskunft gegenüber einer Beschäftigten, die zugleich Betriebsratsmitglied und Kundin des Unternehmens war, sowie um die zum Zweck der Auskunftserteilung erfolgte Datenverarbeitung durch das Unternehmen. Das Betriebsratsmitglied hatte umfassende Auskunft nach Art. 15 DSGVO verlangt und zwar sowohl in der Rolle als Beschäftigte als auch in der Rolle als Kundin. Im Rahmen der Auskunft monierte die Beschäftigte, dass ihr nicht der gesamte E-Mail-Verkehr zur Verfügung gestellt worden sei. Nachdem der Arbeitgeber u.a. Ausdrucke der E-Mail-Korrespondenz der letzten 12 Monate übermittelt hatte, klagte die Beschäftigte auf Unterlassung einer inhaltlichen Sichtung und der damit verbundenen unzulässigen Verarbeitung und Nutzung ihrer E-Mail-Kommunikation als Betriebsratsmitglied. Das LAG Köln hat die vom Betriebsratsmitglied geforderte Unterlassungsverpflichtung aus § 78 Satz 1 Betriebsverfassungsgesetz (BetrVG) verneint. Das Gericht hat zwar dahinstehen lassen, ob es der Antragstellerin nicht ohnehin verwehrt ist, sich auf eine Behinderung ihrer Betriebsratsarbeit zu berufen und darauf einen Unterlassungsanspruch zu stützen, „weil sich ihr Verhalten als grober Verstoß gegen den in § 2 Abs. 1 BetrVG niedergelegten Grundsatz der vertrauensvollen Zusammenarbeit und als rechtsmissbräuchlich i.S.d. § 242 Bürgerliches Gesetzbuch (BGB) darstellt, nachdem sie die Arbeitgeberin durch ihr Auskunftsverlangen erst zu einer Überprüfung ihres E-Mail-Postfachs veranlasst und gerichtlich geltend gemacht hatte, dass die zunächst erfolgte Auskunft hinsichtlich der Korrespondenz nicht vollständig gewesen sei.“ Das LAG stellte letztlich darauf ab, dass es jedenfalls an der notwendigen Wiederholungsgefahr fehlt, weil der Arbeitgeber die E-Mails der Beschäftigten nur aus Anlass ihres umfassenden Auskunftsverlangens gesichtet hatte. Der Arbeitgeber handelte in Erfüllung des Auskunftsbegehrens der Beschäftigten nach Art. 15 Abs. 1 DSGVO. Nachdem die Beschäftigte im Gerichtsverfahren klargestellt hatte, dass sie – entgegen ihrem bisherigen umfassenden Verlangen – auch bei einem Auskunftsbegehren nach Art. 15 Abs. 1 DSGVO keine Sichtung ihres E-Mail-Accounts wünscht, ist nach (zutreffender) Ansicht des LAG Köln nicht damit zu rechnen, dass der Arbeitgeber ohne ausdrückliche Aufforderung der Antragstellerin deren E-Mail-Kommunikation auswerten wird, sofern sie dazu nicht gesetzlich berechtigt oder verpflichtet ist.
Ungeachtet dessen, dass EDSA-Leitlinien lediglich die aufsichtsbehördliche Sicht darstellen, die als solche rechtlich nicht bindend ist, und dass im Zweifel die Rechtsprechung das letzte Wort hat, sollten die Leitlinien 01/2022 grundsätzlich für die Ausgestaltung oder Überprüfung der eigenen Auskunftspraxis herangezogen werden. Sie lassen sich als Rahmen für eine datenschutzrechtskonforme Auskunftspraxis nutzbar machen, die die aufsichtsbehördlichen Maßstäbe berücksichtigt.
Sollten Sie Fragen zu Auskunftsersuchen nach Art. 15 DSGVO oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht