Recht auf Dateneinsicht: Herausforderungen in der Anwendung von Artikel 15 DSGVO

Das Recht auf Zugriff auf die eigenen personenbezogenen Daten ist ein Eckpfeiler des europäischen Datenschutzrechts. Artikel 15 der Datenschutzgrundverordnung (DSGVO) garantiert dieses Recht und verleiht Bürgerinnen und Bürgern ein wichtiges Instrument, um Kontrolle über ihre Daten auszuüben.
In einem aktuellen Fallkommentar zum Recht auf Auskunft (Art. 15 DSGVO) des "Support Pool of Experts" (SPE) Programm des Europäischen Datenschutzausschusses (EDSA) analysiert Professorin Dr. Hanne Marie Motzfeldt Entscheidungen nationaler Aufsichtsbehörden im Rahmen des One-Stop-Shop-Mechanismus. In diesem Blogbeitrag gehen wir auf die wichtigsten inhaltlichen Aspekte ein.

Grundlagen: Artikel 15 DSGVO im Überblick

Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Verantwortlichen Auskunft darüber zu verlangen, ob dieser sie betreffende personenbezogene Daten verarbeitet. Im Falle einer solchen Verarbeitung hat die betroffene Person Anspruch auf Zugang zu diesen Daten sowie auf umfassende Informationen über die Verarbeitung, die über den reinen Datenzugang hinausgehen.

Diese Informationen umfassen unter anderem:

• die Zwecke der Verarbeitung,
• die Kategorien der verarbeiteten personenbezogenen Daten,
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
• die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer,
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
• alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden,
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Fallbeispiele: Anwendung von Artikel 15 DSGVO

Die Analyse der Entscheidungen nationaler Aufsichtsbehörden zeigt, dass die praktische Anwendung von Artikel 15 DSGVO in der Realität vor diverse Herausforderungen stellt. Ein Bericht, der im Rahmen des SPE-Programms erstellt wurde, analysiert Entscheidungen im Zusammenhang mit Artikel 15 der DSGVO. Der Bericht, verfasst von Professorin Dr. Hanne Marie Motzfeldt, wurde im November 2024 eingereicht.

Bestätigung der Datenverarbeitung
Oftmals liegt der Beschwerdegrund darin, dass Verantwortliche überhaupt nicht auf Auskunftsersuchen reagieren. Dies kann verschiedene Ursachen haben: Möglicherweise liegt es an menschlichem Versagen, wie im Fall von OSS 2020:159, in dem ein Mitarbeiter eines Flugunternehmens vergaß, ein Auskunftsersuchen weiterzuleiten, bevor er seinen Arbeitsplatz verließ. Aber auch unklare interne Prozesse und unzureichende Schulungen von Mitarbeitern können dazu führen, dass Anfragen nicht rechtzeitig oder gar nicht bearbeitet werden.

Zugriff auf Daten
Häufig führen auch verweigerte Datenzugriffe zu Beschwerden. Verantwortliche berufen sich in diesen Fällen oftmals darauf, dass die Daten zum Zeitpunkt des Auskunftsersuchens bereits gelöscht wurden. Problematisch ist dies insbesondere dann, wenn die Löschung erst nach Eingang der Anfrage erfolgt, wie in OSS 2020:159, in dem die Aufzeichnung eines Telefonats erst nach Eingang des Auskunftsersuchens aufgrund einer internen Verzögerung gelöscht wurde.

Bereitstellung von Kontextinformationen
Auch die Bereitstellung der vorgeschriebenen Kontextinformationen über die Verarbeitung der personenbezogenen Daten ist in der Praxis nicht immer reibungslos. Verantwortliche müssen beispielsweise die tatsächlichen Empfänger von Daten benennen, wenn dies möglich ist, und dürfen sich nicht auf die Angabe von Kategorien beschränken.

In OSS 2022:367 weigerte sich ein Verantwortlicher, die konkreten Empfänger von Daten offenzulegen und argumentierte, die Nennung der Kategorien sei ausreichend. Die zuständige Aufsichtsbehörde stellte jedoch klar, dass die betroffene Person in diesem Fall Anspruch auf die Information über die tatsächlichen Empfänger hat, es sei denn, die Bereitstellung dieser Information erweist sich als unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden.

Ausnahmen und Einschränkungen des Rechts auf Dateneinsicht
Artikel 15 Absatz 4 DSGVO sieht vor, dass das Recht auf Erhalt einer Kopie der personenbezogenen Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Diese Einschränkung findet insbesondere dann Anwendung, wenn die Herausgabe von Daten Geschäftsgeheimnisse, geistiges Eigentum oder Urheberrechte Dritter verletzen würde.

Schwierigkeiten bereitet in der Praxis die Abgrenzung zwischen den Rechten des Betroffenen und den Rechten und Freiheiten anderer. So war im Fall OSS 2022:457 strittig, ob ein Online-Gaming-Anbieter dem Betroffenen, der wegen angeblichen Betrugs vom Spiel ausgeschlossen wurde, Zugang zu Chatnachrichten und Anti-Cheat-Informationen gewähren muss. Die zuständige Aufsichtsbehörde entschied, dass der Anbieter die Herausgabe von Anti-Cheat-Informationen verweigern darf, da die Offenlegung dieser Informationen anderen Spielern die Möglichkeit zum Betrug eröffnen und damit dem Unternehmen und anderen Spielern Schaden zufügen könnte.

Anders sah es bei den Chatnachrichten aus: Hier entschied die Aufsichtsbehörde, dass der Betroffene Anspruch auf die Nachrichten hat, die direkt an ihn gerichtet waren oder von ihm selbst versendet wurden. Bei Nachrichten aus Gruppenchats sei eine Ausnahme vom Recht auf Dateneinsicht hingegen denkbar, da andere Teilnehmer an diesen Konversationen ein berechtigtes Interesse an der Vertraulichkeit ihrer Äußerungen haben könnten.

Unbegründete oder exzessive Anfragen
Artikel 12 Absatz 5 DSGVO räumt Verantwortlichen die Möglichkeit ein, offensichtlich unbegründete oder exzessive Anfragen abzulehnen oder eine angemessene Gebühr für die Bearbeitung zu erheben.

Ein Beispiel für eine offensichtlich unbegründete Anfrage wäre ein Auskunftsersuchen, das einzig und allein dazu dient, Druck auf einen Verantwortlichen auszuüben, um eine Forderung durchzusetzen. So auch im Fall OSS 2021:218. Ein Betroffener hatte Auskunft über seine Zahlungsdaten und E-Mail-Korrespondenz im Zusammenhang mit einer strittigen Buchung verlangt und gleichzeitig angekündigt, auf die Auskunft zu verzichten, wenn der Verantwortliche stattdessen seiner Forderung nach Rückerstattung nachkommt. Die zuständige Aufsichtsbehörde wertete dies als Rechtsmissbrauch und stellte klar, dass das Recht auf Dateneinsicht in solchen Fällen verwirkt werden kann.

Ob eine Anfrage als exzessiv einzustufen ist, hängt von den Umständen des Einzelfalls ab. Wenn ein Verantwortlicher elektronische Selbstbedienungssysteme für die Ausübung von Datenschutzrechten anbietet, ist eine wiederholte Nutzung dieser Systeme in der Regel nicht als exzessiv anzusehen.

Tendenzen und Herausforderungen

Die Analyse der Entscheidungen der Aufsichtsbehörden offenbart neben konkreten Anwendungsproblemen auch einige interessante Tendenzen in der Entwicklung des Rechts auf Dateneinsicht.

Fokus auf die Privatwirtschaft
Auffällig ist, dass die überwiegende Mehrheit der untersuchten Entscheidungen Beschwerden gegen private Unternehmen und Organisationen betrifft. Der öffentliche Sektor ist hingegen deutlich unterrepräsentiert. Dies ist insofern problematisch, als dass datenschutzrechtliche Aspekte im öffentlichen Bereich dadurch möglicherweise vernachlässigt werden.

Soziale Medien und Online-Umgebungen im Fokus
Ein Großteil der Entscheidungen befasst sich mit sozialen Medien und anderen Online-Plattformen, häufig in Verbindung mit kommerziellen Aspekten. Dies verdeutlicht die wachsende Bedeutung dieser Bereiche für unseren Alltag und die damit einhergehenden datenschutzrechtlichen Herausforderungen.

Herausforderungen durch One-Stop-Shops
Die zunehmende Verbreitung von One-Stop-Shops für die Ausübung von Datenschutzrechten birgt sowohl Chancen als auch Herausforderungen. Einerseits ermöglichen diese Systeme den Betroffenen einen schnellen und unkomplizierten Zugang zu ihren Daten. Andererseits können sie für Personen, die mit der Bedienung solcher Systeme nicht vertraut sind oder über unzureichende digitale Kompetenzen verfügen, ein Hindernis darstellen.

Der "Support Pool of Experts"

Das "Support Pool of Experts" (SPE) Programm wurde entwickelt, um Datenschutzbehörden (DSB) zu helfen, ihre Durchsetzungskapazitäten zu erhöhen, indem gemeinsame Werkzeuge entwickelt und ihnen Zugang zu einem breiten Pool von Experten ermöglicht wird. Ziel des Programms ist die Durchführung von ca. 10 Projekten pro Jahr mit externen Experten auf einem bestimmten Gebiet. Die Projekte werden entweder von einzelnen DSB oder vom EDSA koordiniert.

Experten können sich für die Teilnahme am SPE-Programm bewerben, indem sie eine Interessenbekundung einreichen. Die Bewerbungsfrist endet am 10. November 2025. Experten, die in die Reserveliste aufgenommen werden, können dies auf ihren beruflichen Profilen online oder im Lebenslauf angeben, müssen allerdings deutlich machen, dass sie keine EDSA-Mitarbeiter sind und ihnen kein Vertrag angeboten wurde (es sei denn, dies ist der Fall).

Auswahl der Experten für ein Projekt
Wenn ein Projekt geplant wird, erstellt der EDSA eine Aufgabenbeschreibung, um die spezifische Arbeit, die zu erledigen ist, die zu berücksichtigenden Anforderungen (insbesondere in Bezug auf Sprachen) und die zu erstellenden Ergebnisse zu beschreiben. Dieser Vorschlag wird von den an der SPE-Initiative teilnehmenden DSB kommentiert und von einem Gremium, dem der/die Vorsitzende/r und die stellvertretenden Vorsitzenden angehören, validiert.
Anhand der Aufgabenbeschreibung werden dann die am besten qualifizierten Experten ausgewählt.

Fazit: Ein Recht im Wandel

Die Entscheidungen der Aufsichtsbehörden verdeutlichen, dass das Recht auf Dateneinsicht in der Praxis ernst genommen und aktiv durchgesetzt wird. Gleichzeitig zeigen sie aber auch, dass die Anwendung von Artikel 15 DSGVO in der Praxis vor vielfältige Herausforderungen stellt.

Die fortschreitende Digitalisierung und die damit einhergehende Nutzung neuer Technologien erfordern neue Ansätze und Lösungen, um den Schutz personenbezogener Daten auch in Zukunft zu gewährleisten. Die Entscheidungen der Aufsichtsbehörden liefern wertvolle Anhaltspunkte für die Interpretation und Anwendung der DSGVO und leisten damit einen wichtigen Beitrag zur Stärkung des Datenschutzes in Europa.

Hinweis zur Transparenz

Dieser Blogbeitrag basiert auf einer Analyse von Professorin Dr. Hanne Marie Motzfeldt. Diese kann hier gelesen werden. Am Ende der Analyse findet sich auch ein Verzeichnis aller genannter Urteile.

Dieser Beitrag stellt unsere Interpretation der Analyse dar und gibt weder die Meinung der Europäischen Datenschutzbehörde (EDPB) noch die der Professorin Dr. Hanne Marie Motzfeldt wieder. Obwohl wir uns um Richtigkeit bemühen, übernehmen wir keine Gewähr für die rechtliche Korrektheit der Zusammenfassung.

Der AI Act: Europas Weg zu einer sicheren und verantwortungsvollen KI

Im August 2024 trat der AI Act der EU in Kraft. Dieses Gesetz reguliert KI-Systeme und fördert Innovationen, während es Sicherheit und Grundrechte schützt. Der risikobasierte Ansatz unterteilt Anwendungen in vier Kategorien und legt Anforderungen für Hochrisiko-Systeme fest.

Debug Diary - IT-Sicherheit, Datenschutz und ProgrammierungPius Werner