Auskunftsrecht gem. Art. 15 DSGVO

Das passive Auskunftsrecht nach Art. 15 DSGVO ist das Pendant zur aktiven Informationspflicht, der jeder Verarbeiter personenbezogener Daten gemäss Art. 13 und Art. 14 DSGVO nachkommen muss. Dass jeder auf Anfrage Auskunft über die verarbeiteten personenbezogenen Daten erhalten kann, ist oftmals auch die Voraussetzung dafür, dass man in der Folge weitere Betroffenenrechte, wie etwa das Recht auf Berichtigung oder Löschung der Daten, geltend machen kann. Somit kommt diesem Auskunftsrecht im Datenschutz grundlegende Bedeutung zu.

  • Wer darf von wem eine Auskunft verlangen?

    Jede natürliche Person hat das Recht, bei Behörden, Unternehmen oder sonstigen Organisationen Auskunft über die zu ihrer Person verarbeiteten personenbezogenen Daten zu verlangen. Falls gar keine Daten verarbeitet werden, erschöpft sich die Anfrage in einer Negativauskunft. Falls doch, trifft den für die Verarbeitung der personenbezogenen Daten Verantwortlichen eine umfassende Auskunftspflicht.

  • Welche Auskunft kann verlangt werden?

    Der Verantwortliche muss der betroffenen Person gemäss Art. 15 DSGVO umfassend und verständlich Auskunft darüber erteilen,

    • ob überhaupt Daten über die Person verarbeitet werden (Abs. 1),
    • welche konkreten Daten verarbeitet werden (Abs. 1),
    Mit konkreten Daten sind die verarbeiteten Daten selbst gemeint, also z.B. der Name, die Adresse oder das Geburtsdatum der betroffenen Person, aber auch die Korrespondenz mit ihr, Dokumente die in Zusammenhang mit ihr erstellt wurden, etc.
    • zu welchen Zwecken (und aufgrund welcher Rechtsgrundlage1) die Daten verarbeitet werden (Abs. 1 Bst. a),
    • um welche Kategorien von Daten es sich handelt (Abs. 1 Bst. b),
    • wer die Empfänger (-Kategorien) der Daten sind (z.B. Namen der Auftragsverarbeiter)2 (Abs. 1 Bst. c),
    • wie lange die Speicherdauer für die Daten ist (oder was die Kriterien für die Festlegung dieser Frist sind) (Abs. 1 Bst. d),
    • welche Betroffenenrechte (Berichtigung oder Löschung der Daten (Art. 16 und 17 DSGVO), Einschränkung der oder Widerspruch gegen die Datenverarbeitung (Art. 18 und 21 DSGVO) und welche Beschwerderechte die betroffene Person hat (Abs. 1 Bst. e und f),
    • woher die Daten stammen bzw. von wem sie erhoben wurden (Abs. 1 Bst. g),
    • ob mit den Daten eine automatisierte Entscheidungsfindung einschliesslich Profiling durchgeführt wurde und falls ja, genauere Angaben zur angewandten Methodik, den Ergebnissen und der Tragweite bzw. den Auswirkungen der darauf basierenden Entscheidungen (Abs. 1 Bst. h),
    Beispiel – automatisierte Entscheidungsfindung mit Tragweite für die betroffene Person: Die Berechnung der Prämie gewisser Motorfahrzeug-Versicherungspolicen hängt auch vom Fahrverhalten des Lenkers ab. Dieses wird mit Einverständnis des Versicherungsnehmers automatisch gemessen und ausgewertet. Eine riskante Fahrweise kann eine höhere Prämie zur Folge haben.
    • ob die Daten an ein Drittland oder eine internationale Organisation weitergeleitet wurden (oder werden) und was für geeignete Garantien (z.B. Standardvertragsklauseln) für diesen Transfer bestehen (Abs. 2).

    Beauskunftet werden müssen also sowohl die eigentlichen Daten selbst, welche zum Zeitpunkt der Anfrage beim Verantwortlichen vorhanden sind, als auch Zusatzinformationen dazu, so genannte Metadaten (siehe Liste oben). Keine Auskunft muss über in der Vergangenheit verarbeitete personenbezogene Daten erteilt werden, welche längst gelöscht sind. Der Umfang der Auskunft ist demnach abhängig vom Zeitpunkt des Auskunftsbegehrens.

    1 Die Auskunft über die die Datenverarbeitung begründenden Rechtsgrundlagen wird in Art. 15 DSGVO nicht explizit gefordert.  Sie sollte dem Betroffenen auch aufgrund der Informationspflichten aus Art. 13 und 14 DSGVO bereits bekannt sein. Jedoch geht die herrschende Meinung davon aus, dass die Auskunft darüber dennoch erteilt werden sollte. Andernfalls könnte die Rechtmässigkeit einer Datenverarbeitung kaum überprüft werden, was wiederum Ziel und Zweck des Auskunftsrechts widersprechen würde.
    2 Die Benennung von Datenempfängern oder Empfängerkategorien durch den Verantwortlichen stehen grundsätzlich parallel nebeneinander. Im Interesse der Transparenz sollte der Verantwortliche jedoch – sofern bekannt – stets auch den genauen Name der Empfänger (in der Vergangenheit wie in Zukunft) bekannt geben. Nicht zu den Empfängern zählen Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters, welche die Daten verarbeiten.

     

  • Wie geht man vor, um Auskunft zu erhalten?

    Um Auskunft zu erhalten, muss der oder die Betroffene zunächst einen entsprechenden Antrag beim für die Datenverarbeitung Verantwortlichen stellen. Dieses Auskunftsbegehren unterliegt keinen Formvorschriften und muss auch nicht speziell begründet werden.

    Den Betroffenen trifft insoweit eine gewisse Mitwirkungspflicht (Obliegenheit), als er insbesondere bei umfangreichen Datenverarbeitungen gegenüber dem Verantwortlichen präzisieren sollte, auf welche Informationen bzw. Verarbeitungsvorgänge sich sein Auskunftsbegehren genau bezieht. Es steht ihm aber frei, sämtliche Daten zu verlangen.

    Darüber hinaus muss sich der Betroffene gegenüber dem für die Auskunft Verantwortlichen eindeutig identifizieren. Erfolgt dies nur unzureichend, kann der Verantwortliche die betroffene Person auffordern, noch weitere Nachweise ihrer Identität beizubringen. Falls auch weiterhin keine eindeutige Identifikation möglich ist, ist der Verantwortliche nicht zur Auskunft verpflichtet.

    Der Verantwortliche hat die gewünschte Auskunft der betroffenen Person sodann innerhalb eines Monats zur Verfügung zu stellen. In komplexen oder sehr umfangreichen Datenverarbeitungsfällen kann er diese Frist mit Begründung auf drei Monate erstrecken. Falls der Verantwortliche die Auskunft nur eingeschränkt erteilt oder gänzlich ablehnt, hat er dies ebenfalls zu begründen, damit dies allenfalls von den Behörden überprüft werden kann. (siehe unten) Er kann sich aber nicht durch ein unmittelbares Löschen von Daten nach Eingang eines Auskunftsbegehrens seiner Auskunftspflicht entziehen.

     Auskunftsbegehren

  • In welcher Form erhält man Auskunft und was kostet sie?

    Die betroffene Person hat grundsätzlich Anspruch auf eine vollständige Kopie der über sie verarbeiteten personenbezogenen Daten, wie sie zum Zeitpunkt des Auskunftsersuchens beim Verantwortlichen vorhanden sind (Abs. 3 und 4). Eine reine Differenzauskunft mit den seit der letzten Anfrage geänderten Daten ist unzulässig.

    In welcher physischen Form diese Kopie auszuhändigen ist, richtet sich primär nach dem Wunsch des Betroffenen. Speziell wenn er seinen Antrag in elektronischer Form gestellt hat, kann er auch eine Auskunft in elektronischer Form erwarten, sofern er nichts anderes verlangt. Dies kann beispielsweise über einen Fernzugriff auf ein sicheres, elektronisches System des Verantwortlichen erfolgen, wo die Daten abrufbar sind. Abgesehen von einer Kontrolle und Anpassung in Hinblick auf personenbezogene Daten Dritter (Abs. 4) dürfen die Daten der Kopie keine weitere Aufbereitung erfahren.

    Zu beachten ist, dass die Daten dennoch in verständlicher Form zur Verfügung gestellt werden müssen. Der Betroffene muss die gelieferten Daten in vertretbarer Zeit und mit vertretbarem Aufwand verstehen können, sodass er seine weiteren Betroffenenrechte umfassend wahrnehmen kann. Das bedeutet, insbesondere bei umfangreichen Datensätzen oder bei Verwendung von nicht allgemeinverständlichen Begriffen muss vom Verantwortlichen allenfalls eine Erläuterung zu den Daten mitgeliefert werden.

    Schliesslich hat die betroffene Person Anspruch auf unentgeltliche Auskunft. Die erste Kopie des Datensatzes muss der Verantwortliche somit kostenlos zur Verfügung stellen. Für jede weitere, gleichzeitig (oder solange sich der Datenbestand noch nicht signifikant verändert hat) verlangte Kopie darf er jedoch ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen.

    Das Recht auf Kopie umfasst nicht die Herausgabe einer Fotokopie sämtlicher Schriftstücke, in denen personenbezogene Daten der betroffenen Person erwähnt werden, sondern entspricht vielmehr einer geordneten Darstellung der verarbeiteten personenbezogenen Daten. Eine (Foto-)Kopie der Dokumente kann hingegen nicht der Regelfall sein. Zudem sind nur jene Kopien herauszugeben, die notwendig sind, damit die betroffene Person die Rechtmässigkeit der Verarbeitung ihrer Daten überprüfen und gegebenenfalls ihre Rechte wahrnehmen kann. Die Beurteilung der Herausgabe von Kopien ist gemäss jüngster Rechtsprechung jedoch – abgesehen von rechtlichen Analysen und Beurteilungen sowie Daten über Provisionszahlungen an Dritte, die gemäss EuGH keine personenbezogenen Daten darstellen – jeweils weit, zugunsten der betroffenen Person vorzunehmen. Zu beachten bleiben aber die Einschränkungen des Auskunftsrechts, wie im folgenden Absatz beschrieben.
  • In welchen Fällen besteht kein Anspruch auf Auskunft?

    Das Auskunftsrecht kommt zunächst an seine Grenze, wenn davon offenkundig unbegründet oder übermässig (exzessiv) Gebrauch gemacht wird. Dies kann zu einer Abschwächung oder gar einem Wegfall der Auskunftsverpflichtung des Verantwortlichen führen. Zumindest aber hat der Verantwortliche in solch einem Fall das Recht, ein angemessenes Entgelt für die Auskunft zu verlangen.

    Weiter kommt das Recht auf Auskunft dort an seine Grenze, wo Rechte und Freiheiten anderer Personen beeinträchtigt werden (Abs. 4). Dies kann einerseits bedeuten, dass der Verantwortliche diejenigen Teile von Datensätzen, in denen personenbezogene Daten anderer vorkommen, unkenntlich machen („schwärzen“) muss. Andererseits können auch seine eigenen Rechte, wie etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums (z.B. Urheberrecht an Software), betroffen sein. In einem solchen Kollisionsfall trifft den Verantwortlichen die Beweislast für eine entsprechende Einschränkung der Auskunft.

    Die DSGVO selbst enthält keine weiteren verordnungsunmittelbaren Beschränkungen des Auskunftsrechts. Allerdings kann es mit Unionsrecht oder nach Massgabe von Art. 23 DSGVO im jeweiligen nationalen Recht teilweise oder vollständig beschränkt werden, wenn es mit anderen privaten Rechten oder mit öffentlichen Interessen kollidiert. Eine solche Interessenskollision kann zum Beispiel beim Bestehen von speziellen Verschwiegenheitspflichten (z.B. Arztgeheimnis, Anwaltsgeheimnis) oder bei der Erfüllung einer hoheitlichen Aufgabe durch eine Behörde entstehen (z.B. Amt für Soziale Dienste). Daraus abgeleitete Beschränkungen des Auskunftsrechts bedürfen jedoch immer einer sorgfältigen Interessenabwägung. Ausserdem müssen sie hinreichend bestimmt und verhältnismässig sein und dürfen das Auskunftsrecht keinesfalls vollständig wirkungslos machen. Der Verantwortliche muss eine entsprechende Beschränkung zudem begründen, damit sie gegebenenfalls von Aufsichtsbehörden oder Gerichten überprüft werden kann. (Dieser Verpflichtung wiederum kann er sich nur entziehen, wenn bereits dadurch das Ziel der Auskunftsverweigerung beeinträchtigt würde.)

    • Einschränkungen des Auskunftsrechts aufgrund von Geheimhaltungspflichten (Art. 30 Abs. 1 Bst. b DSG):  Existiert eine gesetzliche Geheimhaltungspflicht wie beispielsweise im Bankengesetz (z.B. Art. 14c und Art. 31a  BankG) oder aber ein Berufsgeheimnis wie z.B. für Ärzte, Anwälte oder Treuhänder (Art. 18 Ärztegesetz, Art. 19 RAG, Art. 21 TrHG), oder bestehen überwiegende berechtigte Interessen eines Dritten an der Geheimhaltung bestimmter, vom Wesen nach geheimer Informationen, so kann die Auskunft eingeschränkt werden.
    Beispiel – Auskünfte zu Gesundheitsdaten: Ärzte unterliegen einer umfassenden Dokumentationspflicht und dem Berufsgeheimnis. Dritte dürfen nur nach der ausdrücklich erteilten Einwilligung des betroffenen Patienten Auskunft erhalten, während der Patient selbst jederzeit das Recht auf Auskunft gegenüber den behandelnden Ärzten und auch gegenüber seinen Versicherungen hat. Dies schliesst handschriftliche Notizen zum Patientendossier mit ein. Einschränkungen können höchstens nach sorgfältiger Abwägung im Einzelfall zulässig sein, sofern sie verhältnismässig und aufgrund besonderer Umstände sowie zum Wohl des Patienten unvermeidlich sind.
    • Einschränkungen des Auskunftsrechts aufgrund von öffentlicher Sicherheit und Ordnung, Landeswohl und Staatsschutz (Art. 34 Abs. 1 Bst. a DSG): Die Auskunft der betroffenen Person kann auch beschränkt oder verweigert werden, wenn dadurch die öffentliche Sicherheit oder Ordnung oder das Landeswohl gefährdet wäre, oder wenn sie polizeiliche Aufgaben im Rahmen des Staatsschutzes betrifft. Zum Auskunftsrecht bei behördlicher Datenverarbeitung zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung siehe auch Art. 75 DSG.
       
    • Weitere Einschränkungen des Auskunftsrechts (Art. 34 Abs. 1 Bst. b DSG): Die Auskunftserteilung kann schliesslich auch beschränkt werden, wenn die Daten nur noch wegen gesetzlicher oder satzungsmässiger Aufbewahrungsvorschriften gespeichert werden, oder wenn sie nur noch der Datensicherung oder Datenschutzkontrolle dienen, sofern die Auskunftserteilung einen unverhältnismässig grossen Aufwand bedeuten würde und eine weitere Verarbeitung zu anderen Zwecken ausgeschlossen ist. Die Bestimmung des verhältnismässigen Aufwands ist jedoch angesichts der vielfältigen technischen Möglichkeiten sehr zurückhaltend auszulegen, weswegen grundsätzlich auch zu diesem Zeitpunkt noch von einer weitgehenden Auskunftspflicht des Verantwortlichen auszugehen ist. Allerdings kann er auch hier eine Präzisierung der gewünschten Auskunft von der betroffenen Person verlangen.

    Darüber hinaus kann das Auskunftsrecht gemäss DSGVO auch aufgrund von im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken eingeschränkt werden (Art. 89 DSGVO). Ausserdem kann es zum Schutz der Meinungsäusserungs- und Informationsfreiheit eingeschränkt werden (Art. 85 DSGVO). Entsprechende Ausnahmen sind ebenfalls detailliert im Landesrecht geregelt (z.B. Art. 27 Abs. 4 DSG, Art. 32 ff. LUG; Art. 25 DSG, Art. 16 & 19 Mediengesetz).

    Beispiel – Einschränkung des Auskunftsrechts aufgrund von Meinungsäusserungs- und Informationsfreiheit: Künstler oder Medienschaffende können das Auskunftsrecht zum Schutz der Meinungsäusserungs- und Informationsfreiheit einschränken oder verweigern, wenn sie damit zum Beispiel ihre Quellen schützen wollen.

    Generell gehen spezialgesetzliche Regelungen dem Auskunftsrecht nach Art. 15 DSGVO und auch nach DSG vor (Art. 2 Abs. 2 DSG). 

  • Was ist zu tun, wenn die Auskunft zu Unrecht eingeschränkt oder verweigert wird?

    Grundsätzlich sollte eine betroffene Person, die mit der Art oder dem Umfang der Auskunftserteilung nicht zufrieden ist, dies zunächst direkt beim für die Datenverarbeitung Verantwortlichen beanstanden und um Korrektur ersuchen.

    Wird eine Auskunft auch danach nicht, unzureichend oder nur beschränkt erteilt, kann dies von der nationalen Aufsichtsbehörde und den Gerichten überprüft werden. Schliesslich ist eine Auskunft Grundvoraussetzung dafür, dass eine betroffene Person auch die damit zusammenhängenden, weiteren Betroffenenrechte ausüben kann. Dazu zählen die Berichtigung oder Löschung der Daten, die Einschränkung ihrer Verarbeitung oder der gänzliche Widerspruch dagegen (Art. 16 ff. DSGVO).

    In Liechtenstein ist für die Überprüfung einer womöglich ungenügenden Auskunft die Datenschutzstelle (DSS) als Aufsichtsbehörde zuständig, bei der eine betroffene Person mit relativ geringem Aufwand Beschwerde einreichen kann (Art. 55 iVm 77 DSGVO sowie Art. 15 Abs. 1 Bst. f DSG). Hat der Verantwortliche tatsächlich in ungenügender Weise Auskunft erteilt, kann die DSS ihn zur vollständigen Auskunftserteilung verpflichten (Art. 58 DSGVO). Ausserdem kann sie Verletzungen des Auskunftsrechts durch private Akteure mit Geldbussen ahnden (Art. 58 Abs. 2 Bst. i iVm Art. 83 Abs. 5 Bst. b DSGVO sowie  Art. 40 DSG).

    Die DSS muss ihren Entscheid zu einer Beschwerde im Normalfall innerhalb von drei Monaten fällen, begründen und der betroffenen Person wie auch dem Verantwortlichen bekanntgeben, einschliesslich eines wirksamen gerichtlichen Rechtsbehelfs (Art. 78 DSGVO). Bei komplexen oder internationalen Fällen hat sie zumindest regelmässig über den Fortgang der Untersuchung zu berichten und diese innerhalb einer angemessenen Frist abzuschliessen. Gegen Entscheidungen der DSS kann bei der Beschwerdekommission für Verwaltungsangelegenheiten Beschwerde erhoben werden, und dagegen wiederum beim Verwaltungsgerichtshof (Art. 20 DSG).

    Beschwerdeformular / (PDF

    Daneben kann eine betroffene Person gegen eine Verletzung ihres Auskunftsrechts und der damit zusammenhängenden eigenen Rechte auch immer unmittelbar gerichtlich vorgehen (Art. 79 DSGVO). Eine Verletzung rein objektiver Vorschriften, welche die Rechte der betroffenen Person nicht konkret beeinträchtigen, kann auf diesem Rechtsweg allerdings nicht vorgebracht werden (z.B. die fehlende Benennung eines Datenschutzbeauftragten, die mangelhafte Durchführung einer Datenschutz-Folgenabschätzung oder das Fehlen eines detaillierten Vertrages mit dem Auftragsverarbeiter). In Liechtenstein ist dieser Rechtsweg mittels zivilrechtlicher Klage vor dem Landgericht gewährleistet. Dieses kann nebst der Durchsetzung der Auskunft der betroffenen Person auch Schadenersatz zusprechen, sofern ihr durch die mangelhafte Auskunft ein Schaden entstanden ist (Art. 82 DSGVO und Art. 44 Abs. 1 DSG).

  • Spezialfall: Auskunft über personenbezogene Daten verstorbener Personen

    Gemäss ErwG. 27 gilt die DSGVO nicht für personenbezogene Daten Verstorbener. Die Mitgliedstaaten können aber entsprechende Vorschriften erlassen.

    In Liechtenstein galt nach bisherigem Datenschutzrecht, dass die Auskunft über personenbezogene Daten verstorbener Personen zu erteilen war, wenn der Antragsteller ein Interesse an der Auskunft nachweisen konnte und keine überwiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten dem entgegenstanden. Nahe Verwandtschaft sowie die Ehe mit der verstorbenen Person konnten ein entsprechendes Auskunftsinteresse begründen. Im neuen Datenschutzgesetz und der zugehörigen Verordnung findet sich jedoch keine entsprechende Bestimmung mehr. Dennoch kann man sich auch heute noch an diesem Grundsatz der Interessenabwägung orientieren. Die rechtliche Basis eines allfälligen Auskunftsanspruchs bildet jedoch nicht mehr der Datenschutz, der mit dem Tod einer Person endet, sondern das Persönlichkeitsrecht der auskunftssuchenden Person.

    Viele Unternehmen, wie Banken oder Versicherungen, kennen jedoch auch eigene, standardisierte Vorgehensweisen im Umgang mit personenbezogenen Daten Verstorbener, insbesondere bei der Auskunftserteilung an Erben und Willensvollstrecker. Die meisten sozialen Medien wiederum haben Möglichkeiten geschaffen, um ein Benutzerkonto von berechtigten Angehörigen inaktiv schalten und löschen zu lassen (z.B. Facebook, Twitter, Google, Xing, WhatsApp usw.). Google bietet darüber hinaus die Möglichkeit, mit einem Inaktivitätsmanager für den Ernstfall vorzusorgen und anderen Personen Zugriff zu gewähren. In den meisten Fällen erhalten Angehörige jedoch keine vollen Zugangsinformationen zu den Konten, um selbst aktiv Veränderungen darin vorzunehmen (z.B. Daten herunterzuladen). Es erscheint daher ratsam, Zugangsdaten zu Benutzerkonten und allfällige Wünsche für den Umgang mit deren Inhalten schon zu Lebzeiten an einem sicheren Ort zu hinterlegen, z.B. im Testament, Bankschliessfach oder bei einer Vertrauensperson, damit Angehörige sie im Ernstfall erhalten können. Besonders wichtig ist dies beim E-Mail-Konto, da über dieses auch die Zugangsdaten von vielen anderen Benutzerkonten zurückgesetzt werden können.