zur Übersicht

Auskunftsersuchen nach Art. 15 DSGVO – erfüllen oder ablehnen?

Auskunftsersuchen nach Art. 15 DSGVO sind ein zentrales Instrument für betroffene Personen, um Transparenz über die Verarbeitung ihrer personenbezogenen Daten zu erhalten und deren Rechtmäßigkeit zu überprüfen.

In der Praxis stellt sich Unternehmen, bei denen Auskunftsersuchen eingehen, jedoch häufig die Frage, ob diesen in jedem Fall stattgegeben werden muss. Störgefühle stellen sich insbesondere dann ein, wenn ersichtlich datenschutzfremde Motive verfolgt werden, Auskunftsersuchen bspw. im Rahmen arbeitsrechtlicher Verfahren oder Verhandlungen als Druckmittel dienen.

Die DSGVO bietet Verantwortlichen auch in wenigen Ausnahmen die Möglichkeit, dem Auskunftsanspruch eingeschränkt oder gar nicht nachzukommen.

Wann können Auskunftsersuchen nach Art. 15 DSGVO abgelehnt werden?

Von besonderer Relevanz ist hierbei Art. 12 Abs. 5 S. 2 lit. b) DSGVO, wonach offenkundig unbegründete oder exzessive Anträge einer betroffenen Person verweigert werden können.

Offenkundig unbegründete Auskunftsersuchen

Ein Antrag ist „offenkundig unbegründet“, wenn für jedermann erkennbar die Voraussetzungen des jeweiligen Betroffenenrechts nicht erfüllt sind. Nämlich z. B. dann, wenn

  • er von einer Person in Bezug auf Daten einer anderen Person gestellt wird und keine Anhaltspunkte für eine Vertretungsberechtigung vorliegen.
  • die betroffene Person vor Stellung des Auskunftsersuchens bereits eine Bestätigung nach Art. 15 Abs. 1 Hs. 1 DSGVO erhalten hat, dass der Verantwortliche von ihr keine personenbezogenen Daten verarbeitet.

Exzessive Auskunftsersuchen

Art. 12 Abs. 5 S. 2 DSGVO erlaubt es dem Verantwortlichen ferner, bei exzessiven Anträgen, insbesondere bei häufiger Wiederholung, entweder ein angemessenes Entgelt zu verlangen oder die Bearbeitung des Antrags zu verweigern. Erwägungsgrund 63 S. 1 DSGVO unterstreicht jedoch gleichzeitig das Recht der betroffenen Person, in regelmäßigen Abständen Auskunft zu erhalten, um die Richtigkeit der verarbeiteten personenbezogenen Daten zu überprüfen.

Allein ein wiederholtes oder umfangreiches Auskunftsersuchen nach Art. 15 DSGVO kann somit nicht als exzessiv angesehen werden. Es bedarf regelmäßig einer Einzelfallbetrachtung. Nicht zuletzt, da der Verantwortliche nachweisen können muss, dass ein Auskunftsantrag offenkundig unbegründet oder exzessiv ist.

Folgende Aspekte helfen bei der Einordnung:

  • Zeitlicher Abstand i. V. m. Änderungen der Datenverarbeitung: Was als „regelmäßige Abstände“ gilt, hängt vom Kontext ab. Bei sich schnell ändernden Datenverarbeitungen können kürzere Intervalle gerechtfertigt sein. Generell wird eine Anfrage pro Quartal als nicht exzessiv angesehen. Auskunftsersuchen in kurzen zeitlichen Abständen jedoch, ohne dass sich die Datenverarbeitung geändert hat, können als exzessiv abgelehnt werden.
  • Umfang der Anfragen: Überspezifische oder sehr umfassende Anfragen, die einen unverhältnismäßigen Aufwand erfordern, können im Einzelfall als exzessiv betrachtet werden.
  • Missbräuchliche Motivation: Wird die Anfrage nachvollziehbar mit der alleinigen Absicht gestellt, dem Unternehmen Schaden zuzufügen, es zu schikanieren oder den Geschäftsablauf zu stören, kann dies als exzessiv gelten. Anzeichen hierfür sind z. B. ein Angebot der betroffenen Person, die Anfrage gegen einen Vorteil zurückzuziehen, oder systematische Auskunftsersuchen im Rahmen einer offensichtlichen Kampagne gegen das Unternehmen.

Ungeklärt ist bisher, ob die Absicht, Schadenersatzsansprüche nach § 82 DSGVO zu provozieren (vor allem im Rahmen eines in öffentlichen Quellen nachvollziehbaren Geschäftsmodells), einen Ablehnungsgrund darstellen kann. Diese Frage liegt aktuell dem EuGH durch das AG Arnsberg (Beschluss vom 31.07.2024, Az.: 42 C 434/23) zur Klärung vor.

Sonstige Ablehnungsgründe

Als Grund für die Nicht- oder nur Teilbeantwortung eines Auskunftsersuchens nach Art. 15 DSGVO können ferner folgende im BDSG geregelte Spezialfälle gelten:

  • Geheimhaltungsinteresse, also soweit die Auskunft Informationen offenbaren würde, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen, § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG. Speziell Berufsgeheimnisträger können sich hierauf berufen.
  • reinem Archivstatus, also wenn die Daten ausschließlich aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert bleiben müssen (z. B. aus steuerlichen Gründen) oder sie ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen (z. B. Logfiles oder Backups) und eine Auskunft unverhältnismäßig aufwendig wäre (z. B. bei Tape-Backup) § 34 Abs. 1 BDSG
  • der Verarbeitung von Daten zu statistischen Zwecken oder für die wissenschaftliche oder historische Forschung unter bestimmten Voraussetzungen § 27 Abs. 2 BDSG
  • der Verarbeitung von Daten durch Archive im öffentlichen Interesse, insbesondere wenn das Archivgut nicht durch den Namen der Person erschlossen ist § 28 Abs. 2 BDSG
  • der Verarbeitung von Daten durch Behörden, wenn ihre Auskunft zu einer Gefährdung führen würde, § 33 Abs. 1 Nr. 1 BDSG

Auch bei Rückgriff auf diese Gründe hilft eine gute Dokumentation der Einzelfallbetrachtung und Entscheidungsfindung, da der Verantwortliche den Nachweis erbringen können muss, aus welchem Grund ein Auskunftsersuchen abgelehnt wird.

Wann können Auskunftsersuchen nach Art. 15 DSGVO nicht abgelehnt werden?

Nicht ausreichend für eine Ablehnung sind hingegen Gründe, wie:

  • eine fehlende Angabe von Gründen für das Auskunftsersuchen
  • unangemessene oder unhöfliche Formulierungen
  • allein datenschutzfremde Motive, wenn kein offenkundig unbegründeter oder exzessiver Antrag oder rechtsmissbräuchliches Verhalten vorliegt (EuGH Urt. v. 26.10.2023, Rs. C-307/22), bspw. in Zusammenhang mit der Einsicht in die eigene Patientenakte.

Fazit

Auskunftsersuchen nach Art. 15 DSGVO sollten in jedem Fall ernst genommen werden, ob sie als ungerechtfertigt empfunden werden oder nicht. Unvollständige, unterlassene oder zu späte Antworten führen zu Ärger und eventuell zu Geldbußen. Die Ausnahmen sind, wie gezeigt, stark eingeschränkt und vor allem gut nachvollziehbar zu belegen.

Grundsätzlich muss ohnehin auf jedes Auskunftsersuchen reagiert werden. Dabei sollte stets zunächst erwogen werden, ob zuvor genannte Ausnahmen einschlägig sein könnten, und, wenn ja, für welche personenbezogenen Daten bzw. Unterlagen/Informationen.

Bei Unsicherheiten holen Sie am besten rechtlichen Rat ein, da – wie oft im Datenschutzrecht – Auslegungen im Fluss sind und daher mit (noch) bestehenden Rechtsunsicherheiten sorgfältig umgegangen werden sollte. Gerne bei uns.  

Wer auf dem Laufenden bleiben möchte, kann auch unseren Newsletter abonnieren.