Position zu Auskunftsverlangen gegenüber Telekommunikationsdienstleistern

Allgemeines

Betroffene können grundsätzlich nach Art. 15 Abs. 1 Auskünfte verlangen. Außerdem sind Sie berechtigt nach Art. 15 Abs. 3 DSGVO diese Auskunft in Form einer Kopie der personenbezogenen Daten anzufordern. Das Recht beschränkt sich auf Daten die Gegenstand der Verarbeitung sind. Es sind dabei die Einschränkungen des Art. 15 Abs. 4 DSGVO zu beachten. Das Recht auf Kopie regelt die Umsetzung der Auskunftserteilung. Es verschafft der betroffenen Person einen Anspruch auf Erhalt einer Verköperung der Auskunft. Das kann z. B. eine Auflistung der verarbeiteten Daten sein. Diese muss allerdings vollständig sein und sämtliche personenbezogene Daten enthalten, die vom Antrag umfasst sind. Beim Recht auf Kopie handelt es sich daher um kein zusätzliches Recht der betroffenen Person auf Auskunft, sondern die Vorschrift reicht vom Umfang her genauso weit wie das Auskunftsrecht selbst.

Der Umfang der Datenkopien richtet sich nach dem Gegenstand der Auskunft und umfasst alle verarbeiteten personenbezogenen Daten. Es ist also grundsätzlich ein Zugang zu allen Daten zu ermöglichen, unabhängig davon, in welcher Form die Daten vorliegen. "Personenbezogene Daten" nach Art. 4 Nr. 1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Ein solcher Bezug besteht, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist. Das Auskunftsrecht bezieht sich auf die Daten selbst und nicht auf eine generelle Beschreibung der Art der verarbeiteten Daten. Zu dem Thema hat der Europäische Datenschutzausschuss (EDSA) Guidelines erlassen.

Motivlage des Betroffenen: Rechtsmissbrauch als Grenze des Auskunftsrechts

Für die Motivlage des Auskunftsberechtigten reicht es aus, wenn die betroffene Person sich der Verarbeitung ihrer Daten bewusstwerden will oder die Rechtmäßigkeit überprüfen möchte. Mit dem Auskunftsrecht sollen die Betroffenen die Möglichkeit erhalten, einen Überblick über die Art und Weise der Verarbeitung ihrer Daten bei der verantwortlichen Stelle zu erhalten, um beurteilen zu können, ob die Datenverarbeitung rechtmäßig erfolgt. Dazu gehört ein vollständiger Überblick über die gespeicherten Daten.

Einer Auskunft steht auch eine drohende oder bereits laufende gerichtliche Auseinandersetzung nicht entgegen. Es spielt keine Rolle, dass ein Betroffener sich hierdurch Unterlagen für einen eventuellen Gerichtsprozess beschaffen möchte. Die Motivation der betroffenen Person ist im Rahmen von Art. 15 DSGVO grundsätzlich irrelevant.

Für die datenverarbeitende Stelle besteht aber die Möglichkeit, einer offenkundig unbegründeten und damit missbräuchlichen Inanspruchnahme des Rechts auf Auskunft zu begegnen. Nach in Art. 12 Abs. 5 DSGVO liegt Rechtsmissbrauch nur in besonderen Ausnahmefällen vor. Dies gilt z. B. dann wenn eine betroffene Person gezielt versucht, durch exzessive Auskunftsanträge einen hohen Aufwand zu provozieren, um dies als Druckmittel für eine bessere Verhandlungsposition in einem Gerichtsverfahren zu nutzen.

Exzessiv ist beispielsweise ein Einsatz als Droh- und Erpressungsmittel oder wenn die betroffene Person in anderer Form arglistig oder schikanös handelt. Mehr Informationen finden Sie in den EDSA Guidelines 01/2022 in der Nr. 2.1.

Der BfDI ist sich bewusst, dass die Grenzen des Rechtsmissbrauchs nach derzeitiger Gesetzeslage sehr eng sind und sich teilweise ein sehr hoher Arbeitsaufwand für die verantwortliche Stelle ergeben kann.

Gestuftes Verfahren

Ist das Auskunftsbegehren zunächst nicht genau umschrieben, bestehen keine Bedenken, in einem ersten Schritt eine allgemeine Standardauskunft über die (konkreten) Bestandsdaten wie Name, Anschriften, Kundennummer, Telefonnummer und Vertragsnummer zu erteilen und die betroffene Person zu bitten ggf. zu konkretisieren, welche weiteren Auskünfte sie begehrt.

Ebenfalls bestehen keine Bedenken, in einem ersten Schritt z. B. eine Liste mit den wichtigsten Empfängern der Daten, verbunden mit Informationen zur Art der von diesen verarbeiteten Daten und dem Zweck der Verarbeitung zu übermitteln. Dieses Prozedere entspricht dem Transparenzgedanken aus Art. 12 Abs. 1 DSGVO. Die betroffene Person erhält durch eine kategorische Darstellung zunächst eine übersichtliche Auskunft. Sie kann sich so einen schnelleren und leichteren Überblick über die Empfänger ihrer Daten verschaffen und entsprechend der Konkretisierungsbitte der verantwortlichen Stelle genauer erklären, welche weiteren Detailauskünfte sie ggf. zusätzlich begehrt. Im Fall eines dann folgenden konkreten Auskunftsbegehrens, aber auch, wenn der Betroffene bereits zu Beginn ausdrücklich eine umfassende und vollständige Auskunft begehrt, sind alle Daten zu beauskunften, sofern keine Hinderungsgründe (z. B. Rechte Dritter oder gesetzliche Ausnahmetatbestände) greifen.

Empfänger oder Kategorien von Empfängern

Grundsätzlich müssen alle zu einem Betroffenen gespeicherten Daten mitgeteilt werden. Dies betrifft neben den Adress- und Vertragsinformationen auch die konkreten Angaben darüber, an wen Informationen weitergegeben wurden und von wem Informationen erlangt wurden. Eine bloße Nennung der Kategorien von Empfängern im Sinne von Art. 15 Abs. 1 lit. c) DSGVO kommt nur dann in Betracht, wenn – etwa wegen eines gerade erst geschlossenen Vertrags – noch keine tatsächliche Weitergabe erfolgt ist. Ist aber eine tatsächliche Weitergabe erfolgt, so ist der konkrete Empfänger (sofern bekannt) zu nennen. Die Auskunft über die Empfänger muss generell so konkret wie möglich erfolgen. Dies entspricht dem vom EDSA empfohlenen Vorgehen.

Konkret bedeutet dies:

Die Auskunft muss (sofern vorhanden) die tatsächlich verarbeiteten Daten enthalten. Eine Information nur zur Kategorie der verarbeiteten Daten genügt nicht.

Bei der Weitergabe der Daten genügt die abstrakte Information über die Kategorien von Empfängern und typische Zwecke nicht, sondern die Auskünfte sind so konkret wie möglich zu erteilen. Dies bedeutet beispielsweise:

• Bei der Weitergabe an Behörden ist die konkrete Weitergabe und deren gesetzliche Grundlage zu beauskunften, sofern es nicht gesetzliche Hinderungsgründe gibt, die entsprechend zu erläutern wären.
• Eine tatsächliche Weitergabe an Auskunfteien ist zu beauskunften. Es muss dann auch konkret benannt werden, welche Daten weitergegeben worden sind.
• Bei der Weitergabe an Subunternehmen oder andere Unternehmen im Konzern sind diese konkret zu benennen und es ist der konkrete Zweck der Weitergabe anzugeben.

Diese Grundsätze hat aktuell auch der EuGH in seinem Urteil vom 12. Januar 2023 (C-154/21) bestätigt. Danach ist Art. 15 Abs. 1 lit. c) DSGVO dahin auszulegen, dass

„das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen

Keine gesonderten Aufzeichnungen für Zwecke der Erfüllung des Auskunftsanspruchs

Teilweise richtet sich das Auskunftsbegehren darauf, bei der Weitergabe von personenbezogenen Daten den konkreten Empfänger sowie den konkreten Datensatz mit Zeitangabe zu erhalten. Solche Begehren dürften darauf gerichtet sein, den konkreten Weg bestimmter personenbezogener Daten (beispielsweise der E-Mail-Adresse) nachvollziehen zu können, um herauszufinden, woher beispielsweise unerwünschte Werbung stammt.

Diese Daten sind möglicherweise aber so detailliert nicht gespeichert, sondern es gibt zum Beispiel bei Auftragsverarbeitern nur jeweils einen Auftragsverarbeitungsvertrag, in dessen Rahmen die Daten verarbeitet werden. Es ist aber möglich, dass die auskunftsverpflichtete Stelle keine Aufzeichnungen mit Bezug auf den einzelnen Kunden hat. Aus Sicht des BfDI ist dies nachvollziehbar, wenn dies die betrieblichen Prozesse nicht vorsehen und nur bekannt ist, wer Auftragsverarbeiter ist und welche Arten von Kundendaten er für welche Zwecke generell verarbeitet werden. Es genügt dann diese Auskunft im Rahmen Beantwortung zu geben.

Zwar besteht grundsätzlich eine Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 DSGVO, wonach er dokumentieren können muss, dass die personenbezogenen Daten rechtmäßig verarbeitet werden. Diese Rechenschaftspflicht kann aber im Rahmen üblicher betrieblicher Prozessregelungen erfüllt werden. Sind prinzipielle Regelungen für eine ordnungsmäßige Datenverarbeitung vorgesehen, muss nicht jedes einzelne Datum für jeden isolierten Moment nachvollziehbar gemacht werden. Hier ergäben sich auch wieder Schwierigkeiten mit Blick auf das Prinzip der Datenminimierung. Eine Verpflichtung, jedes einzelne personenbezogene Datum auf jeden isolierten Verarbeitungsschritt hin aufzuzeichnen, ergibt sich dann auch nicht aus Art. 15 DSGVO. Hier ist der Gedanke des Art. 11 Abs. 1 DSGVO heranzuziehen. Danach sollen sich aus der DSGVO selbst keine zusätzlichen Aufbewahrungsverpflichtungen von Daten ergeben.

Es reicht also in diesen Fällen aus, die Auskunft so konkret wie möglich aus den betrieblich vorhandenen Daten zu liefern. Eine besondere Aufzeichnungspflicht nur für Zwecke des Art. 15 DSGVO besteht nicht. Weitere Informationen könnte die betroffene Person dann ggf. bei datenempfangenden Dritten erfragen (oder bei Auftragsverarbeitern, wenn dies so in der Auftragsvereinbarung vorgesehen ist bzw. eine entsprechende Weisungslage besteht). Die Auskunft muss im Einzelfall so ausgestaltet sein, dass der betroffenen Person derartige Auskunftsbegehren sinnvoll möglich sind.

Fristen

Die Auskunft muss gemäß Art. 12 Abs. 3 DSGVO grundsätzlich innerhalb eines Monats erteilt werden. Eine Fristverlängerung um maximal zwei weitere Monate kommt nur unter Berücksichtigung der Komplexität und der Anzahl von Anträgen in Betracht. Dabei müssen stets beide Kriterien in die Betrachtung einbezogen werden. Für die Ausnahme muss nicht zwingend sowohl eine hohe Komplexität als auch eine hohe Anzahl an Anträgen vorliegen. Aber je geringer die Komplexität, desto höher muss die Anzahl an Anträgen sein und umgekehrt. Diese Kriterien müssen dann im Einzelfall auch nachgewiesen werden können.

Telefonmitschnitte

Regelmäßig wird mit einer Auskunft nach Art. 15 DSGVO die Herausgabe von Telefonmitschnitten des Telekommunikationsunternehmens begehrt, zum Beispiel, weil zwischen den Parteien streitig ist, ob tatsächlich am Telefon ein Vertrag zustande gekommen ist. Die Telefonmitschnitte sind grundsätzlich herauszugeben.

Wird die Auskunft zu Telefonmitschnitten begehrt, um die Frage des Vertragsabschlusses zu klären, wird durch die Herausgabe des Mitschnitts ein gleiches Informationslevel für beide Parteien hergestellt. Die Betroffenenrechte nach der DSGVO dienen gerade dem Ziel, prinzipiell bestehende Ungleichgewichte in Bezug auf Informationen auszuräumen.

Die Mitschnitte sind grundsätzlich vollständig herauszugeben. Teilschwärzungen bzw. sequentielle Löschungen kommen nicht in Betracht. Zum einen könnte dadurch der Inhalt verfälscht werden und zum anderen ist auch der Gesamtkontext für eine Beurteilung relevant.

Betroffene sind ihrerseits als Datenempfänger von Daten der Mitarbeitenden der Telekommunikationsunternehmen anzusehen. Im Falle eines Auskunftsantrags eines Beschäftigten wäre dann auch die Identität des Kunden gem. Art. 15 Abs. 1 lit c DSGVO mitzuteilen.

Entgegenstehende Rechte Dritter (Art. 15 Abs. 4 DSGVO)

Die verantwortliche Stelle trifft die Pflicht, bei der Erteilung einer Auskunft bzw. der Übermittlung einer Kopie auf die Rechte und Freiheiten anderer zu achten und bei einer Kollision eine Abwägung der Interessen durchzuführen. Dies ist die logische Folge davon, dass das Auskunftsrecht nicht absolut gilt und gegen andere (Grund)-Rechte abgewogen werden muss (Erwägungsgrund 4 DSGVO und Art. 52 Abs. 1 GRCh). Der Europäische Datenschutzausschuss empfiehlt dazu eine mehrstufige Prüfung der verantwortlichen Stelle: Erkennen, abwägen, entscheiden und dem gewichtigeren Recht den Vorzug gewähren.

Mit Blick auf Telefonmitschnitte ist nach dieser Abwägung grundsätzlich den Rechten der betroffenen Personen gegenüber den Interessen der Mitarbeitenden der Vorzug zu geben. Die Mitarbeitenden handeln anders als die Betroffenen in aller Regel nicht privat, sondern in der Sphäre ihres Arbeitgebers und agieren typischerweise anhand von Standard-Antworten und Musterprozessen, die neben der Stimme selbst wenig Persönliches enthalten.

Die Abwägung kann möglicherweise im konkreten Einzelfall anders ausfallen. Im Ausnahmefall kann mit besonderer Begründung eine Auskunft z. B. in der Form eines Transkripts in Betracht kommen, die ein für die Mitarbeiterin oder den Mitarbeiter milderes Mittel darstellt. Auch mit Blick auf den Namen des Mitarbeitenden soll die verantwortliche Stelle Modalitäten wählen, die die Rechte und Freiheiten der Mitarbeitenden nicht verletzen. Dabei ist zu berücksichtigen, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird, wie der EuGH in einem Urteil klarstellt (C-579/21).