Worauf bezieht sich die „Kopie“ nach Art. 15 Abs. 3 S. 1 DSGVO?

Zur Stärkung der Rechte der Betroffenen regelt die Datenschutzgrundverordnung (DSGVO) in ihrem Kapitel III („Rechte der betroffenen Person“) umfassende Rechte der von einer Datenverarbeitung betroffenen Person. Vielfach kann der Betroffene von seinen Rechten aber nur dann Gebrauch machen, wenn er überhaupt weiß, dass personenbezogene Daten über ihn verarbeitet werden. Um also in Erfahrung bringen zu können ob, und wenn ja, in welchem Umfang personenbezogene Daten verarbeitet werden, gewährt die DSGVO dem Betroffenen in Art. 15 DSGVO ein umfassendes Auskunftsrecht. Die Auskunft stellt somit eine wesentliche Voraussetzung dafür dar, dass der Betroffene seine weiteren Rechte geltend machen kann. Das sind zum Beispiel das Recht auf Berichtung oder Löschung der über ihn gespeicherten personenbezogenen Daten.

Worauf müssen Unternehmen allgemein achten?

Für Unternehmen, die personenbezogene Daten z.B. ihrer Kunden oder Mitarbeiter verarbeiten, stellen die Rechte der Betroffenen und insbesondere das Auskunftsrecht dagegen eine enorme Herausforderung dar. Die Herausforderung besteht zum einen aus der Vielzahl an Betroffenen, die von ihren Rechten Gebrauch machen können und somit wichtige Ressourcen bei den Unternehmen binden. Eine weitere Herausforderung ergibt sich vor allem aber auch daraus, dass sich der Umfang der einzelnen Pflichten im Rahmen der Auskunft nicht eindeutig aus dem Wortlaut der Verordnung entnehmen lassen. Durch diese Unklarheiten besteht für Unternehmen das Risiko einer unvollständigen oder gar falschen Auskunft. Dies wiederum bedeutet, dass Unternehmen Gefahr laufen, von der zuständigen Aufsichtsbehörde nach Art. 83 Abs. 5 lit. b) DSGVO mit einem empfindlichen Bußgeld belegt zu werden. Vor diesem Hintergrund ist es für Unternehmen besonders wichtig, bereits im Vorfeld Verfahren zu implementieren, um die zunehmenden Auskunftsersuchen in der gesetzlichen vorgegeben Form und Frist beantworten zu können.

Herausgabe einer Kopie sämtlicher Unterlagen mit Personenbezug?

Eine besondere Herausforderung für Unternehmen ergibt sich zudem aus der Regelung in Art. 15 Abs. 3 S. 1 DSGVO. Danach stellt der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“. Bislang gerichtlich nicht geklärt ist dabei die Frage, worauf sich die Pflicht zur Bereitstellung einer Kopie konkret bezieht. Eine in der datenschutzrechtlichen Literatur weit verbreitete Ansicht geht davon aus, dass dem Betroffenen in diesem Zusammenhang eine Kopie der Dokumente bzw. Dateien herauszugeben ist, welche die personenbezogenen Daten enthalten.

Diese Auffassung begegnet allerdings sowohl praktischen als auch rechtlichen Bedenken. In praktischer Hinsicht wären Unternehmen gezwungen, Kopien sämtlicher Unterlagen anzufertigen und auszuhändigen, die das personenbezogene Datum des Betroffenen enthalten. Dies führt im Zweifel jedoch zu einem organisatorischen Mehraufwand bei den Unternehmen, der vom Verordnungsgeber nicht intendiert sein kann.

Wortlaut spricht nur von Kopien der personenbezogenen Daten

Gegen diese Auffassung spricht auch der Wortlaut der Vorschrift, der von einer Kopie der „personenbezogenen Daten“ als solchen spricht und gerade nicht von einer Kopie der Dokumente, in denen diese personenbezogenen Daten enthalten sind. Eine solche Unterscheidung von „personenbezogenen Daten“ und den „Dokumenten“, in denen sie enthalten sind, kennt auch die DSGVO. So trennt die DSGVO in Erwägungsgrund 154 sowie in Art. 86 DSGVO ganz ausdrücklich zwischen den personenbezogenen Daten und den Dokumenten, in denen sie enthalten sind. Es ist nicht ersichtlich, dass dem Betroffenen über das Auskunftsrecht nach Art. 15 DSGVO ein umfassendes Recht auf Akteneinsicht gewährt werden sollte. Ein solches Akteneinsichtsrecht hatte der EuGH bereits für das Auskunftsrecht nach der Datenschutzrichtlinie verneint (vgl. EuGH, Urt. v. 17.7.2014 – C-141/12). Dass der Verordnungsgeber in Kenntnis dieser Rechtsprechung mit Art. 15 Abs. 3 S. 1 DSGVO dem Betroffenen faktisch auch ein Recht auf Einsicht in Akten gewähren wollte, erscheint fernliegend. Naheliegender erscheint es, dass mit „Kopie“ nicht eine Abschrift eines Originals gemeint ist, sondern vielmehr ein eigenständiges Exemplar des betreffenden Datums gemeint ist. Eine solche Auslegung ließe sich auch mit einer anderen Übersetzung der englischen Formulierung „a copy of the personal data“ begründen, denn „a copy of sth.“ bedeutet in der Übersetzung nicht zwangsläufig eine „Kopie“, sondern eben auch ein eigenständiges Exemplar. Vor diesem Hintergrund wird auch vertreten, dass mit Art. 15 Abs. 3 S. 1 DSGVO in Abgrenzung zu Art. 20 DSGVO (Recht auf Datenportabilität) lediglich klargestellt wird, dass die personenbezogenen Daten als solche nicht übertragen werden, sondern lediglich eine Kopie hiervon bzw. ein eigenständiges Exemplar. Daher definiert Art. 15 Abs. 3 S. 1 DSGVO gerade nicht eine besondere Form der Auskunft.

Hinweis für die Praxis

Auch wenn die überzeugenden Gründe dafür sprechen, dass mit Art. 15 Abs. 3 S. 1 DGVO keine Pflicht besteht, Kopien sämtlicher Dokumente anzufertigen, in denen die personenbezogenen Daten enthalten sind, ist diese Frage höchst umstritten und noch nicht gerichtlich entschieden. Vor diesem Hintergrund sollten Unternehmen dies bei der Erstellung eines Verfahrens zur Beantwortung von Auskunftsersuchen berücksichtigen. Insoweit empfiehlt es sich auch, sich eng mit der zuständigen Aufsichtsbehörde abzustimmen und diese Frage vorab zu klären. Zwar sind Gerichte an die Verlautbarungen der Aufsichtsbehörden rechtlich nicht gebunden, sie bieten jedoch einen guten Anhaltspunkt dafür, ob die für das eigene Unternehmen zuständige Aufsichtsbehörde das eigene Verfahren zur Beantwortung von Auskunftsersuchen als datenschutzkonform einstuft oder nicht.

Update:

In einem aktuellen Beitrag in der Kommunikation und Recht (K&R) haben mein Kollege, Adrian Hoppe, und ich noch einmal ausführlich zum Umfang der Pflicht zur Herausgabe einer Kopie der personenbezogenen Daten ein paar Gedanken aufgeschrieben. Der Beitrag ist im Volltext hier lesbar.

 

Veröffentlicht von Sebastian Laoutoumai

Rechtsanwalt und Fachanwalt für IT-Recht, Löffel Abrar Rechtsanwälte