31. August 2022, von Jutta Sonja Oberlin
Die Betroffenenrechte und das damit einhergehende Transparenzgebot sind ein Eckpfeiler moderner Datenschutzgesetze, namentlich der DSGVO sowie des geltenden und revidierten Schweizer DSG. Datenverarbeitungsprozesse bringen mit jeder technischen Neuerung Chancen und neue Anwendungsmöglichkeiten, gleichzeitig werden diese aber auch immer komplexer.
Je komplexer die Datenverarbeitungsaktivität, desto transparenter sollte die generelle Information über die Verarbeitungsaktivität selbst, aber auch jene über die Betroffenenrechte sein. Dem Erhalt der Selbstbestimmung des Datensubjektes ist in diesem Sinne die höchste Priorität einzuräumen. Mit den Bestimmungen zu den Betroffenenrechten bzw. zur transparenten Datenverarbeitung soll unter anderem auch Art. 8 GRCh¹ Rechnung getragen werden. Kommt der Verantwortliche bspw. dem Transparenzgebot nicht nach, ist dies unter der DSGVO strafbewehrt² und kann dazu führen, dass eine Aufsichtsbehörde die Datenverarbeitungsaktivität verbietet³.
Das Transparenzgebot schlägt sich nicht nur in den Informationspflichten gemäß Art. 13 und 14 DSGVO nieder, sondern auch in den Mitteilungs- und Informationspflichten, welche der Verantwortliche den Betroffenen gegenüber gemäß Art. 15 bis 22 und bei Art. 34 DSGVO wahrnehmen muss. Das Transparenzgebot wacht sozusagen über alle Informationspflichten, denen der Verantwortliche dem Datensubjekt gegenüber nachzukommen hat.⁴
Seinen Informationspflichten nach Art. 13 und 14 DSGVO muss der Verantwortliche zum Zeitpunkt der Datenerhebung (Art. 13) oder innert bestimmter Fristen danach (Art. 14) nachkommen. Will sich der Verantwortliche für die Rechtmässigkeit der Verarbeitungsaktivität auf die Einwilligung des Datensubjekts abstützen,⁵ muss er das Datensubjekt über die Verarbeitungsaktivität informieren, bevor das Datensubjekt zustimmt. Eine Einwilligung ist nur gültig, wenn das Datensubjekt “in informierter Weise” einwilligt.⁶ Die Einwilligung muss vorliegen, bevor der Verantwortliche Daten gestützt auf eine Einwilligung des Datensubjekts verarbeitet.
Art. 12 DSGVO regelt ausdrücklich die Form und Sprache, in welcher die Informationen zu erteilen sind.⁷ Diese Formvorschriften gelten ungeachtet dessen, ob Informationen nach Art. 13, Art. 14, Art. 15-22 oder Art. 34 DSGVO zu erteilen sind.
Jedoch sollte nicht nur die transparente Mitteilung gewährleistet sein, sondern auch beachtet werden, dass beim Datensubjekt keine Informationsüberlastung entsteht. So ist auch die inhaltliche Ausgestaltung der zu erteilenden Information an formale Vorgaben gebunden.⁸ Art. 12 Abs. 1 DSGVO normiert die formalen Vorgaben, die in Erwägungsgrund 58 spezifiziert werden, um eine angemessene und gleichzeitig verständliche Information des Datensubjekts sicherzustellen.
In Nachachtung des Grundsatzes der Transparenz verlangt Erwägungsgrund 58, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden.⁹ Ein Beispiel einer solchen Visualisierung sind die “Privacy Icons”, die so aussehen (es gibt noch zahlreiche weitere Icons):¹⁰
Erwägungsgrund 58 spezifiziert auch, dass Informationen und Hinweise aufgrund der besonderen Schutzwürdigkeit von Kindern in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann, wenn sich die Verarbeitung an Kinder richtet.¹¹ Gerade in diesem Fall können je nach Datenverarbeitungsaktivität auch die erwähnten Privacy Icons geeignet sein.
Einfach und klar ist eine Erklärung der Datenverarbeitungsaktivität, die einerseits adressatengerecht ist und andererseits die Datenverarbeitungsaktivität so konkret beschreibt, dass die betroffene Person ausreichend informiert ist. Dabei sind mehrdeutige Begriffe, komplexe, verschachtelte Sätze und eine komplizierte Sprache oder Fachjargon, welche nur mit dem entsprechenden fachlichen Hintergrund verstanden werden können, zu vermeiden. Im Einzelfall kann die passende Formulierung ein Balanceakt sein.
Eine Datenverarbeitung ist zudem nur dann transparent und fair, wenn dem Datensubjekt die Betroffenenrechte gewährt werden und dem Datensubjekt im Vorfeld erläutert wird, welche Rechte es hat. Nach Art. 15 ff. DSGVO haben Betroffene insbesondere das Recht, Auskunft, die Berichtigung, die Löschung oder die Einschränkung der Verarbeitung ihrer Daten zu verlangen, die Bereitstellung ihrer Daten in einem übertragbaren Format zu verlangen und einer Verarbeitung ihrer Daten zu widersprechen.
Mit dem in der Praxis besonders bedeutsamen Auskunftsrecht¹² (kann ein Datensubjekt von einem Verantwortlichen Auskunft darüber verlangen, ob er personenbezogene Daten des um Auskunft ersuchenden Datensubjekts verarbeitet oder nicht. Ist dies der Fall, kann das Datensubjekt zudem Auskunft darüber verlangen, welche personenbezogenen Daten das sind, zu welchem Zweck sie verarbeitet wurden, wem gegenüber sie offengelegt werden, und weitere mit der Verarbeitung zusammenhängende Informationen erhältlich machen.
Erhält ein Verantwortlicher ein solches Auskunftsbegehren, muss er sich als erstes vergewissern, dass es sich tatsächlich um eine Anfrage durch die betroffene Person handelt und eine Identitätsprüfung durchzuführen. Dies soll verhindern, dass das Auskunftsbegehren von einer anderen, nicht berechtigten Person missbraucht wird, um an wertvolle Daten zu gelangen. Muss der Verantwortliche zur Identitätsprüfung weitere Daten des Datensubjekts erfassen, müssen diese nach Abschluss der Prüfung umgehend gelöscht werden. Die Verarbeitung zusätzlicher, zur Identifizierung des um Auskunft ersuchenden Datensubjekts notwendigen Daten verstößt nicht gegen den Grundsatz der Datensparsamkeit, ein Verantwortlicher darf allerdings nicht “auf Vorrat” Daten speichern, um auf künftige mögliche Auskunftsbegehren reagieren zu können.¹³
Das Auskunftsbegehren ist an keine Form gebunden. In der Praxis bewährt, gesetzlich aber nicht zwingend notwendig, hat sich das Bereitstellen eines digitalen Antragsformulars, etwa auf der Website des Verantwortlichen. Auf dieses Formular kann bei Verarbeitungsaktivität verwiesen werden.
Der betroffenen Person kann auch ein physisches Dokument ausgehändigt oder zugesandt werden, um ihr Auskunftsbegehren zu stellen. Oder die betroffene Person kann selbst ein entsprechendes Schreiben ausfertigen.
Der Verantwortliche darf die Auskunft nur verweigern, wenn die Auskunftsanfrage offenkundig unbegründet oder exzessiv ist oder – dies ist bei Auskunftsbegehren allerdings in der Praxis selten der Fall – er glaubhaft darlegen kann, dass er nicht in der Lage ist, den um Auskunft Ersuchenden zu identifizieren.¹⁴
Werden durch die Auskunftserteilung Rechte anderer Personen, wie z.B. Geschäftsgeheimnisse, Urheberrechte oder andere IP-Rechte, beeinträchtigt,¹⁵ und überwiegt das Interesse am Schutz dieser Rechte das Recht auf Auskunft, darf der Verantwortliche die betreffenden Informationen unkenntlich machen, zum Beispiel indem er sie schwärzt, bevor er die Auskunft erteilt. Der Verantwortliche darf die Auskunft in einem solchen Fall aber nicht ganz verweigern.
Die gesetzlich vorgesehene Frist, um auf ein Auskunftsbegehren zu reagieren, ist mit grundsätzlich einem Monat nach Eingang¹⁶ kurz bemessen.¹⁷ In der Praxis zeigt sich, dass diese Frist nur eingehalten werden kann, wenn der Verantwortliche ein gutes und nachgeführtes Datenverarbeitungsverzeichnis hat und gestützt darauf einen Überblick hat, welche personenbezogenen Daten welche Stelle innerhalb des Unternehmens zu welchen Zwecken usw. verarbeitet. Entsprechende Prozesse zur Sammlung der über ein bestimmtes Datensubjekt verarbeiteten personenbezogenen Daten müssen implementiert sein. Software kann dafür hilfreich, wenn nicht unabdingbar, sein.
Der Verantwortliche kann die Auskunft schriftlich oder, wenn die betroffene Person dies verlangt, auch mündlich erteilen. Der Verantwortliche muss jedoch stets beachten, dass das Datensubjekt nicht mit einer Informationsüberlastung konfrontiert ist, was bei einer mündlichen Auskunft vermehrt der Fall sein kann. Nach Möglichkeit sollte er die Daten elektronisch bereitstellen und der betroffenen Person darauf Zugriff geben.¹⁸ Sofern die Auskunft keine Negativauskunft (d.h. eine Bestätigung, dass keine über den um Auskunft Ersuchenden verarbeitet werden) ist, wird in der Praxis kaum je mündlich Auskunft erteilt, da dies gerade bei umfangreichen Auskunftsersuchen nicht praktikabel ist und der Verantwortliche angesichts der Strafandrohung für eine nicht, nicht vollständig oder nicht korrekt erteilte Auskunft einen Beweis schaffen will, dass er dem Auskunftsbegehren entsprochen hat.
Verletzt der Verantwortliche nämlich das Auskunftsrecht, kann er gemäß Art. 83 Abs. 5 lit. b DSGVO mit einer Busse von bis zu CHF 20 Mio. oder, falls höher, bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bestraft werden. Dabei handelt es sich um abstrakte Höchststrafen, die in der Praxis für Verletzungen des Auskunftsrechts ausgesprochenen Bussen liegen deutlich tiefer. Unabhängig vom Bussenbetrag sind ausgesprochene Strafen allerdings auch reputationsschädigend.
Fälle offenkundig unbegründeter oder exzessiver (z.B. wiederholter) Ausübung des Auskunftsrechts vorbehalten, ist die Auskunft kostenlos zu erteilen.
Die jüngste Gerichtspraxis deutet auf eine Ausweitung des Auskunftsrechts in materieller Hinsicht hin: So hat der deutsche Bundesgerichtshof im Juni 2021 entschieden, dass Verantwortliche auch interne Abklärungen, Aktennotizen und Kommunikation bzw. Einschätzungen oder dem Betroffenen bereits bekannte Informationen sind dem um Auskunft begehrenden Datensubjekt zuzustellen.¹⁹ Im konkreten Fall ging es um interne Vermerke einer Versicherungsgesellschaft.
Der BGH verdeutlicht in seinem Urteil, dass gestützt auf ein Auskunftsbegehren auch Telefonate und Informationen, die aus persönlichen Gesprächen gewonnen wurden. Dies kann nach unserer Auffassung nur gelten, wenn von solchen Telefonaten und persönlichen Gesprächen Aktennotizen erstellt werden, Art. 15 Abs. 1 DSGVO begründet, aber keine Pflicht, solche Aktennotizen zu erstellen.
Bei Art. 15 Abs. 1 DSGVO gibt es nach Auffassung des BGH folglich, entgegen der Ansicht der Vorinstanz, keine Ausnahmen vom Auskunftsrecht für „interne Vorgänge“ mehr. Der BGH erkennt, dass diese Ausnahme vom Gesetz so weder normiert noch nach teleologischer Auslegung vorgesehen war.
¹ Charta der Grundrechte der Europäischen Union.
² Vgl. Art. 83 Abs. 5 lit. a DSGVO.
³ Art. 58 Abs. 2 lit. f DSGVO.
⁴ Ehmann/Selmayr-Heckmann/Paschke, Rn. 9.
⁵ Art. 6 Abs. 1 lit. a DSGVO.
⁶ Art. 4 Ziff. 11 DSGVO.
⁷ Gilt für private und für öffentliche Verantwortliche und zudem auch für Auftragsverarbeiter gemäss Art. 28 Abs. 3 lit. e DSGVO.
⁸ Paal/Pauly-Paal, Rn. 5.
⁹ Erwägungsgrund 58 DSGVO.
¹⁰ Siehe dazu: https://privacy-icons.ch/en/, aufgerufen am 18. August 2022.
¹¹ Erwägungsgrund 58 DSGVO.
¹² Art. 15 DSGVO.
¹³ Vgl. Erwägungsgrund 64.
¹⁴ Vgl. Art. 12 Abs. 2 DSGVO; Schwartmann/Jaspers/Thuesing/Kugelmann, S. 495.
¹⁵ Vgl. Erwägungsgrund 63.
¹⁶ Art. 12 Abs. 3 DSGVO.
¹⁷ Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Auskunftsbegehren erforderlich ist. Will ein Verantwortlicher von dieser Möglichkeit zur Fristverlängerung Gebrauch machen, muss er die betroffene Person innerhalb eines Monats nach Eingang des Auskunftsbegehrens über die Fristverlängerung und die Gründe für die Verzögerung informieren.
¹⁸ Vgl. Erwägungsgrund 63.
¹⁹ Urteil vom 15.06.2021, Az. VI ZR 576/19.
