IT-Recht Kanzlei erweitert Muster zur Negativauskunft über Datenverarbeitung

Stellt ein Online-Händler bei Bearbeitung eines Datenauskunftsantrags fest, dass zur Person des Antragstellers überhaupt keine Daten verarbeitet werden oder wurden, muss er diesen mit einer Mitteilung entsprechenden Inhalts negativ verbescheiden. Doch was ist der zwingende Inhalt einer solchen Negativauskunft? Müssen auch hier – zumindest teilweise – die gleichen Informationspflichten befolgt werden wie bei einer positiven Auskunftserteilung? Rein vorsorglich hat die IT-Recht Kanzlei vor diesem Hintergrund das Muster zur negativen Datenauskunft im Mandantenportal aktualisiert und klärt im folgenden Beitrag über die Thematik auf.

I. Fallbeispiel und Problemstellung

Um die Problematik greifbar und die nachstehenden Ausführungen verständlich zu machen, vorab ein kleines Fallbeispiel:

Grundlegende Einigkeit herrscht zumindest dahingehend, dass bei einer Negativauskunft nicht über Umstände zu belehren ist, die eine tatsächliche Datenverarbeitung betreffen (Verarbeitungszwecke, Kategorien der betroffenen Daten, Empfängerkategorien etc.).

Dies deshalb, weil im Falle einer Negativauskunft ja überhaupt keine personenbezogenen Daten des Antragstellers verarbeitet wurden.

Einige Anwälte sind nun aber der Ansicht, dass bei einer Negativauskunft zumindest auch über die verschiedenen Betroffenenrechte und das Recht der Beschwerde bei einer Aufsichtsbehörde nach Art. 15 Abs. 1 Buchstabe e und f DSGVO zu informieren ist. Der IT-Recht Kanzlei liegt hierzu sogar eine aktuelle Abmahnung vor.

II. Altes Muster der IT-Recht Kanzlei zur negativen Datenauskunft

Das bisherige Muster der IT-Recht Kanzlei für eine negative Datenauskunft beinhaltete lediglich die Information, dass personenbezogene Daten des Antragstellers nicht verarbeitet werden. Pflichtinformationen nach Art. 15 Abs. 1 Buchstabe e und f DSGVO über Betroffenenrechte waren bis dato noch kein Bestandteil der Mitteilung.

III. Rechtliche Würdigung: Information über Betroffenenrechte in Negativauskunft erforderlich?

Doch war das alte Muster dadurch rechtlich angreifbar? Besteht tatsächlich – wie derzeit vereinzelt vertreten – auch bei Negativauskünften zumindest die Pflicht, den Betroffenen zusätzlich über seine Rechte aufzuklären?

1.) Wortlaut: Pflichtinformationen nur für Positivauskunft

Gegen das Eingreifen erweiterter Informationspflichten für eine negative Datenauskunft, die sich auch auf die Belehrung über Betroffenenrechte erstreckt, spricht zunächst der eindeutige Wortlaut des Art. 15 Abs. 1 DSGVO.

Dort heißt es:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen …"

Wie der zweite Halbsatz nach dem Semikolon mit der Formulierung „ist dies der Fall“ (in der englischen Fassung “where that is the case“) verständlich macht, soll der Betroffene ein Recht auf die Pflichtinformationen des Art. 15 DSGVO nur haben, wenn der Verantwortliche tatsächlich personenbezogene Daten des Betroffenen verarbeitet. Ist dies im Gegenteil nicht der Fall, so besteht einerseits kein Recht des Betroffenen auf die Pflichtinformationen und damit zusammenhängend im Umkehrschluss auch keine Pflicht des Verantwortlichen, diese bereitzustellen.

Weil aber die Betroffenenrechte vom EU-Gesetzgeber in Art. 15 Abs. 1 Buchstabe e und f DSGVO ausdrücklich dem Informationskatalog zugeordnet werden, der nur „im Falle“ der positiven Datenauskunft beachtet werden muss, können diese nicht aus ihrem Kontext gerissen und für die Negativauskunft vorausgesetzt werden.

2.) Sinn und Zweck: Informationen über Betroffenenrechte nur bei tatsächlicher Datenverarbeitung sinnhaft

Zum gleichen Ergebnis gelangt man, wenn man den Zweck der Betroffenenrechte in den Auskunftskontext selbst gegenüberstellt. Die Rechte sollen dem Betroffenen die Möglichkeit geben, sich gegen die unrichtige, fehlerhafte oder unrechtmäßige Verarbeitung personenbezogener Daten zunächst gegenüber dem Verantwortlichen selbst zu wehren und schließlich im Falle der Nichtabhilfe eine zuständige Aufsichtsbehörde zu kontaktieren.

Die Betroffenenrechte – ebenso wie eine Information über diese – machen insofern nur dort Sinn, wo tatsächlich personenbezogene Daten verarbeitet werden. Erhält ein Auskunftssuchender aber Auskunft, dass keinerlei Daten zu seiner Person von einer Verarbeitung betroffen sind, fehlt es den Betroffenenrechten schon an einer gegenständlichen Grundlage und sie gingen zwangsweise ins Leere.

Aus diesem Grund leuchtet es auch ein, dass der EU-Gesetzgeber die Pflichtinformationen über die Betroffenenrechte in Art. 15 Abs. 1 Buchstabe e und f DSGVO in einen strengen inhaltlichen Kontext zu weiteren Informationen über die Art und Weise einer Datenverarbeitung (Art. 15 Abs. 1 Buchstabe a-d und Buchstabe g und h DSGVO), weil diese sich gegenseitig bedingen.

Wo aber – wie im Falle der negativen Datenauskunft – Betroffenenrechte von vornherein einer Grundlage (nämlich einer Datenverarbeitung belehren), kann auch keine Pflicht bestehen, auf diese hinzuweisen.

3.) Exkurs: Erfassung und Bearbeitung eines Auskunftsantrags als eigenständige Datenverarbeitung?

Nicht nur zu einem Gleichlauf der Informationspflichten über Betroffenenrechte, sondern zu einer Geltung sämtlicher, auch verarbeitungsspezifischer Pflichthinweise im Rahmen der Negativauskunft käme man, wenn man die Erfassung und Bearbeitung eines Auskunftsantrags als eigenständige Verarbeitung personenbezogener Daten sähe, über die sodann – selbst für den Fall der Nichtverarbeitung sonstiger Daten – im Rahmen eines Auskunftsgesuchs informiert werden müsste.

Dieser Standpunkt ist allerdings kaum haltbar, weil er zu einem vom EU-Gesetzgeber nicht beabsichtigten Zirkelschluss führen und die Negativauskunft stets zwangsweise in eine Positivauskunft umwandeln würde.

Die nach Art. 15 Abs. 1 DSGVO für den Umfang der Auskunft entscheidende Frage, ob personenbezogene Daten verarbeitet werden, kann nur auf Verarbeitungsvorgänge bezogen werden, die zeitlich vor dem Auskunftsverlangen liegen bzw. nicht mit diesem im Zusammenhang stehen. Die Bearbeitung des Auskunftsverlangens selbst als Datenverarbeitung darf für die Einordnung indes keine Rolle spielen, weil nur so die in Art. 15 Abs. 1 DSGVO angelegte Unterscheidung zwischen Positiv- und Negativauskunft sinnhaft ausgeübt werden kann. Sähe man auch die Bearbeitung des Auskunftsverlangens selbst als Datenverarbeitung liefe die vom EU-Gesetzgeber vorgesehene Möglichkeit einer Negativauskunft ohne weitergehende Informationspflichten praktisch stets leer.

IV. Safety First: IT-Recht Kanzlei aktualisiert Muster für negative Datenauskunft

Auch wenn sich mit den obigen Ausführungen die Nichterforderlichkeit von Pflichtinformationen über Betroffenenrechte für die negative Datenauskunft rechtlich stichhaltig begründen lässt, ist nicht auszuschließen, dass auf dem Gebiet der Datenauskünfte weitere, die Gegenauffassung vertretene Abmahnungen folgen. Ausgehend davon, dass ein zusätzlicher Hinweis auf die Betroffenenrechte als „Zusatzinformation“ innerhalb der Negativauskunft immerhin nicht rechtsschädlich sein kann, hat die IT-Recht Kanzlei, um Ihren Mandanten zeit- und kostenaufwändige rechtliche Auseinandersetzungen zu ersparen, jüngst die Muster für die Negativauskunft in deutscher, englischer und französischer Sprache aktualisiert und Hinweise auf die Betroffenenrechte ergänzt. Die überarbeiteten Muster sind bereits im Mandantenportal hinterlegt, reduzieren die Angriffsfläche und sorgen so für Rechtssicherheit.

Mandanten der IT-Recht Kanzlei wird empfohlen, bis zur gerichtlichen Ausräumung der Abmahnansicht nur mehr ausschließlich die aktualisierten Muster zu verwenden.

V. Fazit

Die in derzeit kursierenden Abmahnungen vertretene Ansicht, auch eine negative Datenauskunft setzte die Information über die Betroffenenrechte zwingend voraus, ist sowohl nach dem Wortlaut des anzuwendenden Art. 15 DSGVO als auch nach dem Funktionszweck der Betroffenenrechte selbst kaum haltbar. Sowohl der Wortlaut als auch der Rechtszweck setzen für die zwingende Information nämlich eine tatsächliche Verarbeitung personenbezogener Daten voraus, während Bedingung für die Negativauskunft gerade deren Fehlen ist.

Dennoch hat die IT-Recht Kanzlei aus Gründen der Rechtssicherheit die Muster für negative Datenauskünfte im Mandantenportal um Hinweise auf die Betroffenenrechte erweitert, um potenziellen Abmahnern von vornherein den Wind aus den Segeln zu nehmen.

Bei weiteren Fragen zum Auskunftsrecht nach der DSGVO steht Ihnen die IT-Recht Kanzlei gerne persönlich zur Verfügung.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.