nach Art. 15 DSGVO
Das allgemeine Datengeheimnis ist im Bundesdatenschutzgesetz verankert und zusammen mit der Datenschutzgrundverordnung gemeinsam anwendbar. Im Rahmen der Verwendung von personenbezogenen Daten ist die Erhebung und die Nutzung von diesen nur zulässig, wenn das Bundesdatenschutzgesetz oder andere Rechtsnormen dies ausdrücklich erlaubt, anordnet oder die betroffene Person, seine oder ihre Einwilligung in die Nutzung gegeben hat.
Da die Nutzung unter der Prämisse der Erlaubnis steht, ist es Personen nicht gestattet, die Daten unbefugt zu erheben, diese danach zu verarbeiten oder zu nutzen und zu verbreiten. Im Rahmen eines Arbeitsverhältnisses und einer Tätigkeit, die mit der Nutzung der Daten einhergeht, besteht ein Verbot auch dann, wenn man nicht mehr für den Arbeitgeber arbeitet und seine Tätigkeit nicht mehr ausführt. Beispielhaft zu nennen wäre hier eine Tätigkeit im Rahmen einer Personalstelle.
Zu unterscheiden ist somit zwischen Datenschutzrichtlinien, Datenschutzgesetzen und Datenschutzverordnungen. Eine Datenschutzrichtlinie gibt hierbei eine gewisse Richtung vor, die auf der nationalen Ebene in ein Datenschutzgesetz wie dem BDSG (Bundesdatenschutzgesetz) mündet. Das Datenschutzgesetz unterscheidet sich somit von Land zu Land und kann immer etwas unterschiedlich sein. Im Rahmen der Datenschutzverordnungen sind diese allerdings auf internationaler Ebene für alle europäischen Länder bzw. EU-Mitgliedsstaaten gleich bindend und somit zur Einhaltung dieser Verordnung verpflichtet.
Das deutsche Bundesdatenschutzgesetz gibt es in seiner Form seit 2018. Dieses ist im Rahmen der Datenschutzgrundverordnung erlassen worden und konkretisiert diese europäische Verordnung noch einmal etwas. Somit wurden explizit Vorschriften formuliert und spezielle Sonderregelungen für Deutschland getroffen. So sind in dem Bundesdatenschutzgesetz Inhalte geregelt, die die DSGVO (Datenschutzgrundverordnung) nicht beschreibt oder extra offen gelassen hat. Allerdings gibt es auch auf Länderebene nochmal explizite Datenschutzgesetze wie das DSG NRW (Datenschutzgesetz NRW).
Fraglos bleibt die Betrachtung der DSGVO (Datenschutzgrundverordnung) dahingehend aber noch spannend, da sie einem das persönliche Recht gibt, bei den Stellen, die die eigenen personenbezogenen Daten verarbeiten, eine Auskunft über diese Daten zu verlangen.
Der Art. 15 der Datenschutzgrundverordnung garantiert einem jeden Einzelnen ein bedeutsames Recht. Nach diesem Artikel steht es den betroffenen Personen zu, von einem Unternehmen oder Stelle Auskunft zu verlangen, welche Daten über sie gespeichert oder verarbeitet werden. Zumeist werden dem Betroffenen ebenfalls Informationen über den Zweck der Verarbeitung, die Herkunft der Daten oder den Empfänger der Daten übermittelt.
Das Recht zur Auskunft besteht hierbei gegenüber öffentlicher Stellen wie beispielsweise Behörden und allen anderen Stellen wie Unternehmen, Verbänden oder auch Vereinen. Ziel dieser Auskunft sollte es sein, einen generellen Überblick und eine gewisse Kontrolle zu erhalten, welche genauen Daten verarbeitet und gespeichert werden.
Der Art. 15 DSGVO schafft für Sie eine Grundlage, gezielt Rechte wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder auch Widerrufsrecht zur Verarbeitung überhaupt geltend zu machen. Somit besteht die Möglichkeit, von dem Verantwortlichen für die Erhebung und Verarbeitung eine Auskunft zu erhalten, ob dieser Daten verarbeitet und wenn zutreffend, welche. Erfasst sind die Daten, welche die Person betreffen. Näheres erläutert der Art. 4 Abs. 1 Nr. 1 der DSGVO.
Begriffsbestimmungen
„Personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Somit wird der Begriff der Daten ausgeweitet und bezieht sich nicht nur lediglich auf Stammdaten der Person, wie etwa Name, Adresse oder Geburtsdatum. Ebenfalls sind somit auch Daten betroffen, wie bereits beendete Kommunikationen oder Vermerke und Dokumente. Das Auskunftsersuchen ist für Sie dabei grundsätzlich kostenlos. Ausnahme hiervor wäre es, wenn es sich bei der Anfrage um eine offenkundig unbegründete Anfrage handelt oder es zu einer exzessiven Häufung von Anfragen kommt. Dann darf für die Auskunft ein Entgelt verlangt werden.
Das Recht auf Berichtigung geht aus dem Art. 16 der DSGVO hervor. Sollte Ihnen auffallen, dass Ihre personenbezogenen Daten falsch sind, dann haben die das Recht gegenüber der verarbeitenden Stelle, dass diese Ihre Daten unverzüglich korrigiert. Dies muss im Rahmen der „Unverzüglichkeit“, also ohne schuldhaftes Zögern geschehen.
Recht auf Berichtigung
„Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.“
Ihnen steht ebenfalls das Recht auf Löschung bzw. Einschränkung der Verarbeitung gegenüber der Stelle zu. Das Recht auf Löschung und Einschränkung steht Ihnen insbesondere dann zu, wenn die Verarbeitung Ihrer Daten nicht mehr notwendig ist oder die Erhebung nicht rechtmäßig war, Sie einen Widerruf gegen die Verarbeitung verfasst haben oder einen Widerspruch gegen die Verarbeitung eingelegt haben. Zudem besteht das Recht, wenn die Löschung aufgrund von Rechtsgrundlagen erforderlich ist oder gar beispielsweise ein Jugendlicher sich bei einem sozialen Netz angemeldet hat. Zu finden sind alle Gründe, die für eine Löschung sprechen, in Artikel 17 der DSGVO.
Als Ausnahme auf das oben genannte Recht muss erwähnt werden, dass eine Löschung oder Einschränkung dann nicht erfolgt, wenn die Verarbeitung der Daten einer öffentlichen Aufgabe oder dem öffentlichen Interesse dient. Eine weitere Ausnahme ist es, wenn die Verarbeitung der Daten zum Zweck der Forschung, Wissenschaft oder Statistik erfolgt und erforderlich ist. Als Beispiel für die Statistik und die Wohnungssituation in Deutschland kann ganz aktuell der „Zensus 2022“ genannt werden. Die Teilnahme an diesem ist verpflichtend und eine nicht Erfüllung der Mitteilung kann mit bis zu 5.000,00 € bestraft werden. Im äußersten Falle kann die Herausgabe der Daten sogar erzwungen werden.
Damit die Sicherheit der Daten gewährleistet wird, unterliegen alle Mitarbeiter der Erhebungsstellen der Schweigepflicht und die Online-Datenermittlung ist verschlüsselt. Ebenso werden die Daten nicht an Dritte weitergeleitet.
Sollten Sie eine Auskunft nach §15 DSGVO von einer Stelle wünschen, dann muss Ihnen folgendes mitgeteilt werden.
Das Recht auf Auskunft nach dem Art. 15 DSGVO wird gezielt nicht grenzenlos gewährt. Grenze der Auskunft sind vor allem die Rechte und Freiheiten von anderen Personen. Einfacher gesagt, handelt es sich hier um personenbezogener Daten Dritter oder Betriebs- und Geschäftsgeheimnisse. So darf der Auskunftgebende die Auskunft regelmäßig aber nicht immer und vollständig verweigern. Ihm bleibt logischerweise immer die Möglichkeit, die Daten von Dritten oder Geheimnisse zu schwärzen, um deren Identität ausreichend zu schützen. Weiter Einschränkungen können sich aus dem Bundesdatenschutzgesetz oder aber auch aus dem Sozialgesetzbuch X ergeben.
Beispielhaft kann hier der Schutz der öffentlichen Sicherheit genannt werden. Darunter versteht man wiederum den Schutz der geschriebenen Rechtsordnung, des Staates und seiner Institutionen bzw. die individuellen Rechtsgüter der Bürger.
Des Weiteren gibt es die Pflicht zur Aufbewahrung von personenbezogenen Daten dann, wenn die Nutzung beispielsweise aufgrund von steuerrechtlichen oder Handelsrechtlichen Vorschriften passiert. In der Regel besteht dann kein Recht zur Auskunft, wenn diese mit einem unverhältnismäßig hohen Aufwand verbunden ist und der Auskunftgebende die Zweckbindung der Sicherung der Daten durch geeignete technische oder organisatorische Maßnahmen sicherstellen kann. Näheres zur Einschränkung des Auskunftsrechts regelt der § 34 BDSG.
Das Recht zur Auskunft besteht dann nicht, wenn die betroffene Person nicht zu informieren ist oder die Daten aufgrund gesetzlicher Vorschriften nicht gelöscht werden dürfen, bzw. ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Beide Varianten müssen, damit das Ersuchen verweigert werden kann, eben einen unverhältnismäßig hohen Aufwand erfordern.
Den Antrag selbst mit Nennung des Auskunftsrechts können sie in einem formlosen Antrag ohne eine notwendige Begründung bei entsprechender Stelle gelten machen und einreichen. Sollten Sie bei der Stelle persönlich vorsprechen oder um eine telefonische Auskunft bitten, wird diese in der Regel nicht gewährt oder möglich sein. Bei einer telefonischen Anfrage kann meistens nicht sichergestellt werden, dass die Identifizierung der berechtigten Person erfolgreich ist. Dies geht aus dem Grundsatz hervor, dass die Stelle, die die personenbezogenen Daten verarbeitet, sicherzustellen hat, dass die Daten nicht an unbefugte Dritte herausgegeben werden.
Somit sollte der Antrag an die Stelle immer schriftlich oder per sicherer elektronischer Form, wie DE-Mail erfolgen. Sollte die Stelle einen objektiv begründeten Zweifel an der Identität haben, so kann diese zusätzliche Informationen zur Bestätigung der Identität verlangen. Dies geht aus Art. 12 Abs. 6 der DSGVO hervor.
Rechtmäßigkeit der Verarbeitung
„Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zu Bestätigung der Identität der betroffenen Person erforderlich sind.“
So ist es nicht selten, dass die angefragte Stelle eine Kopie des Personalausweises verlangt, um eine solche Bestätigung vorzunehmen. Somit stellt der Antragende zumindest sicher, dass Name, Anschrift und Geburtsdatum abgeglichen werden können. Nicht kundgeben müssen Sie das Bild, die Staatsangehörigkeit oder die Ausweisnummer. Diese Daten dürfen bei einer Anfrage des Ausweises geschwärzt werden. Die Stelle muss sicherstellen, dass die Daten aus dem Ausweisdokument lediglich zur Kontrolle der Identität genutzt werden und nicht in den Datenbestand der Stelle mit einfließen. Bei einem Antrag ist daher besonders ratsam, dass Sie genau beschreiben, welche Auskünfte Sie erhalten wollen und worüber genau. Dies ermöglicht eine schnellere und vor allem gezielte Auskunft.
Zwar selten, aber dennoch denkbar, ist die finale Verweigerung der Auskunft gegenüber der natürlichen Person. In diesen Fällen stehe es Ihnen offen, sich mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde zu wenden. Wichtig ist, dass Sie der Beschwerde auf jeden Fall den bis dahin geführten Schriftwechsel mit der Stelle beilegen. Daher ist es wichtig, dass Sie diesen unbedingt aufbewahren. Auch aus diesem Grund empfiehlt es sich immer, von telefonischen oder persönlichen Anfragen an die Stelle abzusehen. Die zuständige Aufsichtsbehörde, beispielhaft für das Land NRW, ist die LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit).
Häufige Fehler der Stellen, die im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO erfolgen, sind dass das Auskunftsbegehren einfach ignoriert wird, die Antwort nur die Stammdaten umfasst, der Antrag innerhalb der Stelle nicht weitergeleitet wird oder aber die Auskunft nicht rechtzeitig erfolgt.
Wenn eine Auskunft nach Art. 15 DSGVO begehrt wird, dann kann der reguläre Ablauf in verschiedene Phasen unterteilt werden. In Phase 1 wird der Antrag auf Auskunft an die bestimmte Stelle gesendet. Innerhalb der Stelle wird der Antrag an den zuständigen Mitarbeiter weitergeleitet. In Phase 2 geht es in der Regel darum, eine Identitätsprüfung des Antragenden durchzuführen. Phase 3 ist die Bearbeitungsphase, in der alle Informationen der personenbezogenen Daten zusammengetragen werden. Phase 4 ist die Beantwortung, zumeist innerhalb eines Monats. In Phase 5 ist das Verfahren abgeschlossen und eine Dokumentation mit Festlegung und Speicherfrist ist die Folge.
Nach dem Art. 15 der DSGVO ist ein Antrag auf Auskunft immer etwas, wovon auch nur Betroffene Gebrauch machen dürfen. Es handelt sich hier um einen persönlichen Anspruch. Allerdings spricht nichts gegen eine Vertretung, beispielsweise durch einen Anwalt des Vertrauens. Da es sich bei der Auskunft um personenbezogene Daten handelt, hat der jeweilige Anwalt auch immer eine Vollmacht einzuholen und diese der Stelle vorzulegen. Es geht also um die gezielte Legitimation des Vertreters gegenüber der Stelle.
Eine erteilte Vollmacht an den Anwalt muss sich daher konkret auf den gewünschten Auskunftsanspruch nach Art. 15 DSGVO beziehen. Das Ergebnis der Auskunft wird sodann auch an den Anwalt übermittelt. Da keine Anforderungen an die Vollmacht selbst gelten, kann diese beispielsweise schriftlich, elektronisch oder auch mündlich erteilt werden. Damit der Anspruch auf Auskunft auch Erfolg hat, wird die zuständige Stelle sich immer die nötige Vollmacht des Auskunftersuchenden vorlegen lassen. Daraus darf allerdings nicht resultieren, dass dem Betroffenen der Antrag erschwert wird, sobald er ihn nicht selbst geltend machen will.
Die DSGVO schreibt ebenso vor, dass die Auskunft, wie die Berichtigung und Löschung der Daten, unverzüglich geschehen muss. Spätestens muss sie aber innerhalb eines Monats erfolgt sein. Wenn dies nicht der Fall sein sollte, können Ansprüche auf Schmerzensgeld oder Schadenersatz die Folge sein. Dies regelt vergleichsweise der Art. 12 Abs. 3 DSGVO.
Transparente Information […] der betroffenen Person
„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“
Verstößt die zuständige Stelle gegen diese Pflicht, liegt darin ein Rechtsverstoß, wodurch nach den Vorschriften der DSGVO sowohl ein Bußgeld gegen die Stelle, als auch ein Anspruch auf Schadenersatz bzw. Schmerzensgeld (immaterieller Schaden) gegen den Betroffenen eine Rechtsfolge sein können. Dies ergeht aus dem Art. 82 der DSGVO.
Haftung und Recht auf Schadenersatz
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“.
Bereits das Arbeitsgericht aus Düsseldorf hat entschieden, dass aufgrund einer nicht erfolgten, beziehungsweise mangelhaften Auskunft nach Art. 15 DSGVO einen Anspruch auf Schadenersatz besteht. So wurde festgestellt, dass aufgrund einer Verspätung von zwei Monaten ein Betrag von jeweils 500,00 € Schmerzensgeld angemessen ist. Für weitere drei Monate Verzug betrug das Schmerzensgeld jeweils 1.000,00 € und für eine mangelhafte Auskunft, was den Inhalt betraf, in zwei Fällen jeweils weitere 500,00 €. Der Beklagte musste dem Betroffenen somit 5.000,00 € zahlen. Nachzulesen unter dem Zeichen: ArbG Düsseldorf, ZD 2020,649.
Zusammenfassend lässt sich sagen, dass in Bezug auf die nach der Datenschutzgrundverordnung (DSGVO) gewünschten Auskünfte, ein Rechtsbeistand immer zu empfehlen ist, wenn die Auskunft gar nicht, zu spät oder mangelhaft übersendet worden ist.
Ferner empfiehlt es sich, in besonders komplexen Fällen direkt einen Anwalt zu konsultieren, damit dieser den Antrag zur Auskunft nach Art. 15 DSGVO stellen kann. Die Möglichkeit besteht, dass wie oben bereits genannt, Ansprüche auf Schadenersatz oder Schmerzensgeld entstehen, welche durch ein gerichtliches Verfahren von einem Anwalt geltend gemacht werden können. Ebenfalls wird so sichergestellt, falls die zuständige Stelle in Zukunft ordnungsgemäß mit Ihren personenbezogenen Daten umgeht.
Gerne sind wir für Sie der richtige Ansprechpartner und kümmern uns vollumfänglich um Ihr persönliches datenschutzrechtliches Anliegen.
Hauptkanzlei – Kerpen
Herr Rechtsanwalt Patrick Baumfalk
Hauptstraße 147
50169 Kerpen
Deutschland
Zweigstelle – Witten
Herr Rechtsanwalt Patrick Baumfalk
Berliner Straße 4
58452 Witten
Deutschland
Unser Kooperationspartner in den USA, FL, Merritt Island, Spacecoast und Miami, USA:
Mr. Alexander Thorlton, Esq. – German American Real Estate & Immigration Law Center, LLC
Webdesign & SEO von Baumfalk Services