Im Vorfeld der Geltung der DSGVO waren sämtliche Unternehmen in der Pflicht, ihre internen datenschutzrelevanten Abläufe zu überprüfen und notfalls an die neuen Vorgaben anzupassen. Treiber für groß angelegte „DSGVO Implementierungsprojekte“ war vor allem die Angst vor hohen Bußgeldern. 

Gut zwei Jahre nach vollständiger Geltung der DSGVO zeigt sich, dass ein oft vernachlässigtes Thema für nahezu jedes Unternehmen aufgrund der hiermit bestehenden Risiken eine besondere Praxisrelevanz erlangt hat. Das Recht auf Auskunft nach Art. 15 DSGVO ist in seinem Umfang höchst umstritten. Sind Unternehmen zudem nicht durch geeignete Vorfeldmaßnahmen auf solche Auskunftsersuchen eingestellt, drohen nicht nur Bußgelder der Behörden, auch die betroffene Person selbst kann hohe Schadensersatzsummen für nicht oder nicht ordnungsgemäße Auskünfte verlangen.

Bedeutung des Rechts auf Auskunft

Das Auskunftsrecht ist für die von einer Datenverarbeitung betroffenen Personen von besonderer Bedeutung. Nur wer weiß, ob und wenn ja, welche Daten zu welchem Zweck über einen verarbeitet werden, kann überprüfen, ob diese Datenverarbeitung überhaupt rechtmäßig erfolgt. Auch ist es einer betroffenen Person nur mithilfe eines Auskunftsanspruches möglich zu erfahren, ob die Daten, die über diese Person verarbeitet werden, zutreffend und noch aktuell sind. Die Ansprüche auf Berichtigung und Löschung können also regelmäßig nur dann erfolgreich durchgesetzt werden, wenn sichere Kenntnis über Art und Umfang der Datenverarbeitung vorliegt. Das Gleiche gilt im Ergebnis auch für die Geltendmachung von Ansprüchen auf Schadensersatz nach Art. 82 DSGVO. Dieser Bedeutung entsprechend lässt sich beobachten, dass immer häufiger umfangreiche Auskunftsersuchen bei den Unternehmen gestellt werden. Dabei fallen zwei Szenarien besonders auf: Zum einen werden Auskunftsersuchen zunehmend nach öffentlich bekannt gewordenen Datenschutzskandalen geltend gemacht, um im Anschluss einen Schadensersatz geltend machen zu können. Zum anderen werden fast schon standardmäßig Auskunftsersuchen im Rahmen von Kündigungsprozessen gegenüber dem alten Arbeitgeber geltend gemacht. Ziel ist dann, zum einen wertvolle Informationen zu erhalten, die einer Kündigung entgegenstanden aber zum anderen auch, die Vergleichsbereitschaft dadurch zu erhöhen, dass der Aufwand für die Auskunftserteilung hoch gehalten wird.

Inhalt des Rechts auf Auskunft

Das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO ist zweistufig aufgebaut. Auf der ersten Stufe hat die betroffene Person das Recht zu erfahren, ob überhaupt personenbezogene Daten über diese verarbeitet werden. Ist das ausnahmsweise nicht der Fall, muss das Unternehmen gleichwohl auf das Auskunftsverlangen mit einer sog. Negativauskunft antworten und mitteilen, dass über die betroffene Person keine personenbezogene Daten gespeichert sind. Ist die Auskunft auf der ersten Stufe allerdings positiv, kann die betroffene Person auf der zweiten Stufe in Erfahrung bringen, auf welche Art und in welchem Umfang personenbezogene Daten über sie gespeichert und verarbeitet werden. Zunächst hat das Unternehmen Auskunft über die konkret verarbeiteten Daten zu erteilen. Das betrifft sämtliche Daten über die betroffene Person, die im Zeitpunkt des Auskunftsverlangen bei dem Unternehmen verarbeitet werden. Über vergangene Daten, die mittlerweile gelöscht wurden, ist somit keine Auskunft zu erteilen. Sodann hat das Unternehmen Auskunft über nachfolgende Metainformationen zu erteilen:

  • Verarbeitungszwecke;
  • Kategorien personenbezogener Daten, die verarbeitet werden;
  • Empfänger bzw. Kategorien von Empfängern der Daten;
  • Speicherdauer bzw. Kriterien für die Festlegung der Speicherdauer;
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung;
  • Widerspruchsrecht;
  • Beschwerderechte;
  • Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung;
  • ggf. Informationen bei einem geplanten Drittlandstransfer.

Was bedeutet Recht auf Kopie?

Art. 15 Abs. 3 DSGVO gewährt der betroffenen Person ein Recht auf Erhalt einer Kopie der gespeicherten Daten. Inhalt und Umfang dieses Rechts auf Kopie sind derzeit höchst umstritten. Unternehmen, die sich einer solchen Anfrage ausgesetzt sehen, ist derzeit zu empfehlen, der insoweit strengsten Auffassung zu folgen, und eine Kopie sämtlicher Daten an die betroffene Person herauszugeben auch wenn dies mit einem erheblichen Mehraufwand verbunden sein sollte. Das folgt einer einfachen Risikobewertung:

  • erteilt man eine Auskunft, die inhaltlich mehr enthält, als gesetzlich vorgesehen, führt dies nicht zu einer Benachteiligung der betroffenen Person;
  • erteilt man hingegen eine Auskunft, die inhaltlich hinter den gesetzlichen Pflichten zurückbleibt, gilt die Auskunft als nicht ordnungsgemäß erteilt und die betroffene Person kann

hieraus nicht nur einen Schadensersatz nach Art. 82 DSGVO fordern, sie kann diesen Vorgang auch der zuständigen Aufsichtsbehörde melden, die dann ein empfindliches Bußgeld verhängen kann.

Die Erteilung der Auskunft

Eine bestimmte Form ist für die Auskunftserteilung nicht vorgesehen. Die Form der Auskunftserteilung ergibt sich häufig vielmehr aus der gewählten Form des Auskunftsersuchen. Wird das Auskunftsersuchen per normalem Brief gestellt, sollte auch die Auskunftserteilung in der gleichen Form erfolgen. Das Gleiche gilt im Grundsatz auch für ein Auskunftsersuchen per E-Mail. Auch hier darf per E-Mail geantwortet werden. Ausnahmsweise gilt aber immer dann etwas anderes, wenn sich aus der Art der Daten (z.B. besonders sensible Daten) ergibt, dass eine Übermittlung mit einfacher E-Mail nicht sicher wäre. Eine weitere Ausnahme ergibt sich vor allem dann, wenn die betroffene Person ausdrücklich um eine Versendung der Auskunft per Brief verlangt. Im Übrigen ist die Auskunft in einer

  • transparenten,
  • verständlichen,
  • und leicht zugänglichen

Form zu erteilen. Der betroffenen Person dürfen also keine sprachlichen oder sonstigen Barrieren aufgestellt werden, um an ihre Auskunft zu gelangen. Diese Fehler sollten bei einem Auskunftsverlangen unter anderem vermieden werden:

  • Auskunftserteilung von der Angabe von Gründen abhängig machen;
  • Gebühren für die Auskunftserteilung erheben;
  • Erteilung einer Auskunft an eine nicht zweifelsfrei identifizierte Person;
  • bewusstes Zurückhalten von Informationen, die der Auskunftspflicht unterliegen;
  • Löschen sämtlicher Daten zum Zweck, eine Negativauskunft erteilen zu können.

Folgen bei fehlerhafter oder nicht erfolgter Auskunftserteilung

Wird die Auskunft nicht oder nicht richtig erteilt, drohen empfindliche Strafen. Neben einem behördlichen Bußgeldverfahren droht vor allem die gerichtliche Inanspruchnahme durch die betroffene Person selbst. Dabei kann die betroffene Person grundsätzlich zwei Ziele (nebeneinander) verfolgen:

  • Verurteilung zur Erteilung der Auskunft;
  • Verurteilung zur Zahlung eines Schadensersatzes.

Gerade die Verurteilung zur Zahlung eines Schadensersatzes nach Art. 82 DSGVO kann für das Unternehmen sehr empfindlich sein. So hatte das Arbeitsgericht Düsseldorf als eines der ersten Gerichte (v. 5.3.2020 – 9 Ca 6557/18) der betroffenen Person einen Schadensersatz in Höhe von 5.000,00 EUR (als Schmerzensgeld) zugesprochen, weil das verklagte Unternehmen zwei wesentliche Informationen im Rahmen der Auskunftserteilung nicht offenbart hatte. Bei der Bemessung des Schadensersatzes sind Art, Umfang und Dauer des Verstoßes zu berücksichtigen. Je schwerwiegender der Verstoß also ist, umso höher kann im Einzelfall der Schadensersatz ausfallen. Immer mehr Gerichte müssen sich mit einem Schadensersatzanspruch aus Art. 82 DSGVO nach einer nicht oder nicht ordnungsgemäßen Auskunft befassen:

Der Einwand des Rechtsmissbrauchs

Mit Art. 15 DSGVO haben betroffene Personen, wie gezeigt, ein umfangreiches Recht auf Auskunft erhalten. Die Reichweite der Informationen, über die eine Auskunft erteilt werden muss, ist in Literatur und Rechtsprechung umstritten, jedoch geht die wohl überwiegende Ansicht von einem weiten Verständnis aus. Auch nach einer Entscheidung des BGH (BGH, Urt. v. 15.6.2021 – VI ZR 576/19) solle Art. 15 DSGVO nicht einschränkend ausgelegt werden. Vielmehr sollen vom Auskunftsrecht alle Informationen umfasst sein, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Dieses weite Verständnis des Auskunftsrechts bringt verantwortliche Unternehmen bei der Erteilung der Auskunft teilweise faktisch an ihre Grenzen. Erschwerend kommt hinzu, dass das Auskunftsrecht zunehmend als taktisches Mittel eingesetzt wird, um Ziele zu verfolgen, die mit den originären Zielen des Auskunftsrechtes, wie sie beispielsweise in Erwägungsgrund 63 beschrieben werden, nicht mehr viel zu tun haben. So wird beispielsweise im Beschäftigungskontext nach einer Kündigung fast schon reflexartig Auskunft verlangt, um im Rahmen etwaiger Vergleichsverhandlungen im Kündigungsschutzverfahren eine bessere Ausgangsposition zu erlangen. Auch wird das Auskunftsrecht eingesetzt, um im Rahmen eines drohenden oder bereits anhängigen Rechtsstreits an Informationen zu gelangen, die für die eigene Position hilfreich sind (so im Falle LG Frankenthal, Grund- und Teilurteil v. 12.1.2021 – 1 HK O 4/19 – Stichwort „pretrial discovery“). In anderen Konstellationen wird das Auskunftsrecht eingesetzt, um das verantwortliche Unternehmen einerseits zu schikanieren oder andererseits zu einem Fehler zu veranlassen, um im Anschluss daran einen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO geltend machen zu können.

In all diesen Fällen stellt sich für die verantwortlichen Unternehmen die Frage, ob dem Auskunftsanspruch der Einwand des Rechtsmissbrauchs entgegengehalten werden kann, um das weite Auskunftsrecht auf dieser Ebene ein Stück weit einzuschränken. Ob verantwortliche Unternehmen den Einwand des Rechtsmissbrauch erheben können, ist umstritten, denn weder der Wortlaut von Art. 15 DSGVO noch von Art. 12 Abs. 5 DSGVO noch der Wortlaut von Erwägungsgrund 63 räumen einen solchen Einwand ausdrücklich ein. Einige Gerichte haben den Einwand mittlerweile zugelassen, entweder über einen Rückgriff auf § 242 BGB oder über eine einschränkende Anwendung von Art. 15 DSGVO nach dem Zweck des Auskunftsrechts.

Urteile die einen Rechtsmissbrauch bejaht haben

Begründet wird der zulässige Einwand des Rechtsmissbrauchs regelmäßig mit der Verfolgung verordnungswidriger Zwecke, vgl.:

„Der geltend gemachte Auskunftsanspruch ergibt sich schließlich auch nicht aus Art. 15 Abs. 1 DS-GVO. Denn der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 12 Rn. 43; Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 12 DS-GVO Rn. 66 m.w.N.).

Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23). Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber ersichtlich nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr - wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt - ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (vgl. OLG Hamm, BeckRS 2021,40312 Rn. 11; LG Wuppertal, r+s 2021, 696 Rn. 33).“

Aus Sicht der verantwortlichen Unternehmen ist das Ergebnis durchaus zu begrüßen, denn nur so ließe sich das sehr weite Auskunftsrecht nach Art. 15 DSGVO einigermaßen begrenzen. Die Herleitung dieses Ergebnis wirft allerdings Fragen auf. Richtig ist, dass Art. 15 DSGVO über Erwägungsgrund 63 einen bestimmten Zweck verfolgt. Aber auch Erwägungsgrund 63 beschränkt das Auskunftsrecht nicht in der Weise, dass nur die dort genannten Zwecke verfolgt werden dürfen. Erwägungsgrund 63 nennt im Gegenteil ausdrücklich Gründe, wann das Auskunftsrecht ausnahmsweise beschränkt werden darf. Die Verfolgung verordnungsfremder Zwecke ist dort nicht genannt.

Auch die Begründung, dass der Einwand des Rechtsmissbrauchs über Art. 12 Abs. 5 DSGVO hergeleitet werden könnte, weil es sich hierbei um einen Unterfall des Exzesses handelt, überzeugt nicht so recht. Der „insbesondere“-Zusatz bezieht sich ausdrücklich nur auf die Variante „Exzess“ und meint damit häufig wiederkehrende Auskunftsersuchen. Will man hierin eine beispielhafte Aufzählung sehen, die nicht abschließend ist, so müssten andere Ausschlussgründe dem inhaltlich ähnlich sein. Das einmalige, verordnungswidrige Verlangen nach Auskunft, ohne bspw. schikanöse Absichten, ist allerdings nicht mit häufig wiederkehrenden Auskunftsersuchen vergleichbar.

Die Antwort auf die Frage eines zulässigen Rechtsmissbrauchseinwand ist von enormer praktischer Bedeutung. Das berechtigte Anliegen auf Auskunft darf einerseits nicht zu vorschnell eingeschränkt werden. Andererseits darf das im Kern voraussetzungslose Auskunftsrecht auch nicht in missbräuchlicher Absicht eingesetzt werden. Die Rechtsordnung missbilligt ein solches Verhalten und dieser Grundsatz muss auch für die Rechte von Betroffenen unter der DSGVO gelten. In Einzelfällen kann die schikanöse Geltendmachung von Auskunftsersuchen auch einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb bedeuten.

Für verantwortliche Unternehmen bedeutet das Berufen auf ein missbräuchliches Vorgehen der betroffenen Person ein erhebliches Risiko. Kommt es einem Auskunftsverlangen unter Hinweis auf den Einwand des Rechtsmissbrauch nicht nach, droht nicht nur eine Klage auf Auskunftserteilung, sondern auch auf Schadenersatz nach Art. 82 DSGVO wegen einer nicht erteilten Auskunft. Eine solche Verweigerung sollte vielmehr nur in den wenigen Ausnahmefällen in Betracht gezogen werden, in denen ein missbräuchliches Vorgehen offensichtlich und gerichtlich nachweisbar ist. 

Mehr Klarheit wird sich erst ergeben, wenn der EuGH zu der Frage Stellung genommen hat, ob dem Auskunftsersuchen der Einwand des Rechtsmissbrauchs entgegen gehalten werden kann. Mit Beschluss vom 29. März 2022 (VI ZR 1352/20) hat der BGH diese Frage dem EuGH jetzt vorgelegt. So lautet die Vorlagefrage wörtlich:

Ist Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 DS-GVO dahingehend auszulegen, dass der Verantwortliche (hier: der behandelnde Arzt) nicht verpflichtet ist, dem Betroffenen (hier: dem Patienten) eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 Satz 1 zur DS-GVO genannten Zwecke begehrt, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, sondern einen anderen - datenschutzfremden, aber legitimen - Zweck (hier: die Prüfung des Bestehens arzthaftungsrechtlicher Ansprüche) verfolgt?

In Randziffer 15 stellt der BGH die teilweise vertretene Ansicht vor, dass die Verfoglung verordnungsfremder Zwecke den Einwand des Rechtsmissbrauchs begründen könne. An dieser Ansicht hat der BGH Zweifel und führt in den Randziffern 16 ff. hierzu aus:

bb) Der Senat hat jedoch Zweifel, ob diese Sichtweise zutreffend ist.

(1) Richtig ist zwar, dass die in Art. 15 DS-GVO bestimmten Rechte des Betroffenen und Pflichten des Verantwortlichen dem Zweck dienen, dass die betroffene Person sich der Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen kann (vgl. Erwägungsgrund 63 Satz 1 zur DS-GVO; Art. 8 Abs. 2 Satz 2 GRCh; zum entsprechenden Zweck des Auskunftsrechts nach Art. 12 Buchst. a der Richtlinie 95/46/EG vgl. nur EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16, ECLI:EU:C:2017:994, NJW 2018, 767 Rn. 57 mwN). Auch ist nach ständiger Rechtsprechung des Gerichtshofs die missbräuchliche Berufung auf Unionsrecht nicht gestattet (vgl. etwa EuGH, Urteile vom 26. Februar 2019 Rs. C-115/16, C-118/16, C-119/16 und C-299/16, ECLI:EU:C:2019:134, juris Rn. 96; vom 28. Juli 2016 Rs. C-423/15, ECLI:EU:C:2016:604, juris Rn. 37; jeweils mwN). Das gilt auch im Verhältnis unter Privaten (vgl. EuGH, Urteil vom 28. Juli 2016 Rs. C-423/15, ECLI:EU:C:2016:604, juris Rn. 2, 37).

Art. 15 DS-GVO macht seinem Wortlaut nach das Bestehen der dort geregelten Rechte und Pflichten aber nicht von einer dem oben genannten Schutzzweck entsprechenden Motivation des Betroffenen abhängig und verlangt von dem Betroffenen nicht, sein Begehren auf Erteilung von Auskunft und Kopie zu begründen. Dies deutet nach Ansicht des Senats darauf hin, dass der Unionsgesetzgeber es grundsätzlich dem freien Willen des Betroffenen überlassen wollte, ob und aus welchen Gründen er seine Rechte aus Art. 15 DS-GVO einfordert.

Dafür spricht auch, dass die betroffene Person sich durch die Erteilung von Auskunft und Kopie auf der Grundlage von Art. 15 DS-GVO der Datenverarbeitung auch dann bewusst werden und deren Rechtmäßigkeit überprüfen kann, wenn sie diese aus anderen Gründen verlangt hat, der Zweck der Vorschrift also letztlich unabhängig von der Motivation des Betroffenen erreicht werden kann.

Daher dürfte nach Auffassung des Senats allein aufgrund des Umstandes, dass das Verlangen des Betroffenen nach einer Kopie der verarbeiteten Daten gemäß Art. 15 Abs. 3 Satz 1 DS-GVO nicht durch den Schutzzweck der Vorschrift motiviert ist, weder auf einen offenkundig unbegründeten oder exzessiven Antrag im Sinne des Art. 12 Abs. 5 Satz 2 DS-GVO geschlossen noch nach allgemeinen Grundsätzen ein dem Anspruch des Betroffenen entgegenstehender Rechts[1]missbrauch bejaht werden können (so für den Fall der Anforderung einer Kopie der Patientenakte zur Prüfung arzthaftungsrechtlicher Ansprüche im Ergebnis auch LG Dresden, ECLI:DE:LGDRESD:2020:0529.6O76.20.0A, CR 2021, 163 Rn. 9; OGH, ECLI:AT:OGH0002:2020:0060OB00138.20T.1217.000, BeckRS 2020, 43015 Rn. 2, 43). Die Annahme von Rechtsmissbrauch kommt dagegen etwa dann in Betracht, wenn der Betroffene mit seinem Begehren von der Rechtsordnung missbilligte Ziele verfolgt, arglistig oder schikanös handelt (vgl. BGH, Urteil vom 16. März 2016 - VIII ZR 146/15, ECLI:DE:BGH:2016:160316UVIIIZR146.15.0, VersR 2016, 929 Rn. 16; Wybitul/Brams, NZA 2019, 672, 674). Dies steht im Streitfall jedoch nicht in Rede.

Nach Ansicht des BGH kommt ein Rechtsmissbrauch nur im Einzelfall in Betracht und zwar erst dann, wenn Zwecke verfolgt werden, die von der Rechtsordnung nicht gebilligt werden. Beispielhaft nennt der BGH ein arglistiges oder auch schikanöses Vorgehen. Damit bliebe der Anwendungsbereich für einen zulässigen Einwand des Rechtsmissbrauchs recht klein, sollte der EuGH der Auffassung des BGH folgen. Jedenfalls würde - wie bereits oben beschrieben - das einmalige, verordnungsfremde Auskunftsverlangen noch nicht ausreichen, um die Erteilung der Auskunft unter Hinweis eines Rechtsmissbrauchs zu verweigern.  

In dieser Richtung hat nun auch das OLG Köln (Urt. v. 13.5.2022 - 20 U 295/21) entschieden und einen Rechtsmissbrauch verneint. So führt der Senat hierzu in seiner Entscheidung wörtlich aus:

Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle. 

Gerade die letzten beiden Sätze können für die Praxis noch von Bedeutung werden, denn das OLG Köln erlaubt damit Auskunftsersuchen, die unter anderem auch dem Zweck dienen, einen (Zivil-) Prozess gegen den Verantwortlichen führen zu können. 

Tipps für die Praxis

Aufgrund der überragenden Bedeutung des Auskunftsrecht für den Betroffenen und den erheblichen Haftungsrisiken für die Unternehmen, sollten Unternehmen bereits im Vorfeld einen Prozess implementieren, der das gesamten Verfahren von dem Auskunftsersuchen bis hin zur finalen Auskunftserteilung abbildet. Hierdurch kann gewährleistet werden, dass auch bei zahlreichen zeitgleich eingehender Auskunftsersuchen, alle innerhalb der gesetzlich vorgesehenen Fristen ordnungsgemäß beantwortet werden können. Auch kann so sichergestellt werden, dass bei der Auskunftserteilung nichts wesentliches vergessen wird. Teil dieses internen Prozesses kann zum Beispiel sein, innerhalb des Unternehmens eine zentrale Anlaufstelle zu installieren, die für die Koordinierung und die Erteilung der ersuchten Auskünfte verantwortlich ist. Auch wenn das verlockend und naheliegend sein mag, der Datenschutzbeauftragte sollte diese zentrale Anlaufstelle nicht sein, denn er ist von seiner Funktion auf die Beratung und Kontrolle des Unternehmens beschränkt.

Sowohl das Auskunftsersuchen als auch die Erteilung der Auskunft sollten schriftlich festgehalten und dokumentiert werden. Nur so kann dokumentiert werden, wenn ein Betroffener in kurzen Abständen zahlreiche Auskunftsersuchen stellt, bei denen sich der Verdacht eines missbräuchlichen Vorgehens aufdrängt. Zudem sollte jeder Schritt bis zur Auskunftserteilung genau dokumentiert werden, also zum Beispiel die Gründe für einen Fristverlängerungsantrag oder die Gründe für das Anfordern weiterer Informationen zur Identifizierung der anfragenden Person. Nur so lässt sich im Streitfall darlegen, dass diese Maßnahmen erforderlich waren und gerade nicht willkürlich erfolgten. Das gilt dann erst Recht für die Gründe einer Ablehnung der Auskunftserteilung. Hier empfiehlt es sich, die Gründe so detailliert wie möglich zu dokumentieren, um einem Gericht oder einer Aufsichtsbehörde die Rechtmäßigkeit der Ablehnung besser einschätzen zu können.