Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 15 DSGVO: Auskunftsrecht der betroffenen Person

Änderungsdienst
veröffentlicht am

25.11.2023

Änderung

Hinweise zum Auskunftsrecht als Verwaltungsakt ergänzt
Dokumentdaten
Stand06.11.2023
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 15 DSGVO

Version004.00

Inhalt der Regelung

Art. 15 DSGVO regelt das Auskunftsrecht einer betroffenen Person auf Antrag gegenüber dem Verantwortlichen hinsichtlich der für sie verarbeiteten personenbezogenen Daten.

Art. 15 Abs. 1 DSGVO regelt, welche Informationen einer betroffenen Person auf Verlangen übermittelt werden müssen.

Art. 15 Abs. 2 DSGVO regelt das Auskunftsrecht bei einem möglichen Transfer der personenbezogenen Daten an einen Drittstaat oder an eine internationale Organisation.

In Art. 15 Abs. 3 DSGVO wird die Form der vom Verantwortlichen zur Verfügung zu stellenden Auskunft beschrieben.

Art. 15 Abs. 4 DSGVO enthält eine Einschränkung des Auskunftsrechts der betroffenen Person bei Beeinträchtigung der Rechte und Freiheiten anderer Personen.

nach oben

Ergänzende/korrespondierende Regelungen

Art. 15 DSGVO ergänzt mit Art. 13 DSGVO und Art. 14 DSGVO die Informationsrechte der betroffenen Person.

Art. 12 DSGVO regelt die Modalitäten für die Erteilung der Auskunft.

Art. 15 DSGVO steht darüber hinaus in engem Zusammenhang mit dem Recht auf Akteneinsicht nach § 25 SGB X.

Nach Art. 23 DSGVO kann das Recht auf Auskunft durch die nationale Gesetzgebung beschränkt werden.

§ 83 SGB X schränkt das Auskunftsrecht nach Art. 15 DSGVO unter Hinweis auf § 82a SGB X ein.

Weitere Erläuterungen finden sich in den Erwägungsgründen ErwG 63 DSGVO und ErwG 64 DSGVO.

nach oben

Recht auf Auskunft (Art. 15 Abs. 1 DSGVO)

Nach Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, mit formlosem Antrag und ohne Begründung von der Deutschen Rentenversicherung Auskunft über die für sie verarbeiteten personenbezogenen Daten zu verlangen. Ein Recht auf Akteneinsicht nach § 25 SGB X geht mit dem Auskunftsrecht des Art. 15 DSGVO nicht einher. Die Auskunft dient dazu, gezielt weitere Betroffenenrechte (Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Beschwerderecht bei der Aufsichtsbehörde) geltend zu machen und die Rechtmäßigkeit der Datenverarbeitung überprüfen zu können.

Wendet sich eine betroffene Person an einen bestimmten Rentenversicherungsträger, so hat dieser als Verantwortlicher die Auskunftspflicht nach Art. 15 DSGVO zu erfüllen, unabhängig davon, ob er aktueller Kontoführer ist. Die Auskunft erfolgt nur mit den diesem Träger vorliegenden personenbezogenen Daten. Mit dieser Auskunft darf auch ein Hinweis auf den aktuellen Kontoführer gegeben werden. Wird das Auskunftsersuchen allgemein an die Deutsche Rentenversicherung gestellt (beispielsweise an die DSRV), ist das Auskunftsersuchen an den zuständigen Rentenversicherungsträger weiterzuleiten (AGGDS 1/2020, TOP 7).

Bei Anträgen auf Auskünfte nach Art. 15 DSGVO außerhalb des Sozialrechts (beispielweise von Beschäftigten) ist zu prüfen, ob in den bundesgesetzlichen oder landesgesetzlichen Datenschutzgesetzen einschränkende oder näher ausgestaltende Regelungen vorhanden sind, die je nach Rentenversicherungsträger gegebenenfalls zu beachten wären.

nach oben

Umfang der Auskunft

Nach Art. 15 Abs. 1 DSGVO steht der betroffenen Person ein abgestuftes Auskunftsrecht zu.

Zum einen kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies nicht der Fall oder sind deren personenbezogene Daten unumkehrbar anonymisiert, muss der Verantwortliche der betroffenen Person eine Negativauskunft erteilen.

Grundsätzlich muss der Verantwortliche jedoch keine Auskunft über Daten erteilen, die er in der Vergangenheit verarbeitet hat, über die er jedoch zum Zeitpunkt des Antrags auf Auskunft nicht mehr verfügt.

Zum anderen kann die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden. Dies können beispielsweise Angaben zum Namen oder Vornamen, zur Anschrift, Versicherungszeiten, Daten über Leistungen zur Teilhabe oder Rentenzahlungen sein, aber auch medizinische Befunde.

Darüber hinaus hat die betroffene Person das Recht auf folgende Informationen:

  • Verarbeitungszwecke (Abschnitt 3.1),
  • Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten und so weiter) (Abschnitt 3.2),
  • Empfänger beziehungsweise Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden (Abschnitt 3.3),
  • geplante Speicherdauer beziehungsweise die Kriterien für die Festlegung der Speicherdauer (Abschnitt 3.4),
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung (Abschnitt 3.5),
  • Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO (Abschnitt 3.5),
  • Beschwerderecht für die betroffene Person bei einer Aufsichtsbehörde (Abschnitt 3.5),
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden (Abschnitt 3.6) und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren für die betroffene Person (Abschnitt 3.7).

Die Auskunft muss auf jedes Auskunftsersuchen vollständig erteilt werden. Der Verantwortliche darf sich nicht darauf beschränken, lediglich über die Veränderungen seines Datenbestandes seit der letzten Auskunftserteilung zu informieren.

Zu den weiteren Beschränkungen des Rechts auf Auskunft siehe auch GRA zu § 83 SGB X.

Hinweis:

Das Recht auf Akteneinsicht nach § 25 SGB X wird durch Art. 15 DSGVO nicht berührt.

nach oben

Verarbeitungszwecke (Art. 15 Abs. 1 Buchst. a DSGVO)

Die betroffene Person hat ein Recht auf Auskunft über die Zwecke der Datenverarbeitung. Dies dient der Überprüfung der in Art. 5 Abs. 1 Buchst. b DSGVO festgelegten Zweckbindung.

nach oben

Datenkategorien (Art. 15 Abs. 1 Buchst. b DSGVO)

Der Verantwortliche hat der betroffenen Person auch die Kategorien der sie betreffenden und verarbeiteten personenbezogenen Daten mitzuteilen. Besondere Kategorien personenbezogener Daten ergeben sich aus Art. 9 DSGVO.

nach oben

Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 Buchst. c DSGVO)

Der Verantwortliche muss die betroffene Person vollständig darüber informieren, an wen er welche Daten bereits offengelegt hat oder noch offenzulegen plant. Hierbei ist sowohl eine reine Benennung von Kategorien von Empfängern als auch die exakte Benennung der Empfänger zulässig, es sei denn, dass die antragstellende Person ausdrücklich die spezifische Benennung der Empfänger beantragt.

Das Recht auf diese Auskunft besteht nach § 83 Abs. 1 SGB X nicht, soweit die betroffene Person nach § 82a Abs. 4 SGB X in Verbindung mit § 82 Abs. 1 SGB X nicht zu informieren ist (vergleiche GRA zu § 83 SGB X).

Handelt es sich bei den Empfängern von personenbezogenen Daten um Staatsanwaltschaften, Gerichte im Bereich der Strafverfolgung, Polizei- oder Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, dürfen diese Stellen nur mit deren Zustimmung an die betroffene Person gemeldet werden (§ 83 Abs. 5 SGB X).

nach oben

Speicherdauer (Art. 15 Abs. 1 Buchst. d DSGVO)

Der Verantwortliche muss die betroffene Person über die Dauer der Speicherung der personenbezogenen Daten beziehungsweise über die Kriterien für die Festlegung der Speicherdauer informieren.

nach oben

Betroffenenrechte (Art. 15 Abs. 1 Buchst. e und f DSGVO)

Der Verantwortliche muss die betroffene Person bei der Auskunftserteilung über ihre Betroffenenrechte und ihr Beschwerderecht informieren.

Die Unterrichtungspflicht umfasst folgende Rechte:

nach oben

Datenquelle (Art. 15 Abs. 1 Buchst. g DSGVO)

Soweit der Verantwortliche die verarbeiteten Daten nicht bei der betroffenen Person erhoben hat, muss er sie über die Herkunft der Daten informieren.

Art. 14 Abs. 2 Buchst. f DSGVO gilt entsprechend. Nach § 83 Abs. 1 SGB X gelten die Ausnahmen von der Informationspflicht nach § 82a Abs. 1, 4 und 5 SGB X (vergleiche GRA zu § 83 SGB X).

nach oben

Automatisierte Entscheidungsfindung einschließlich Profiling (Art. 15 Abs. 1 Buchst. h DSGVO)

Der Verantwortliche muss die betroffene Person über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO informieren und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person geben.

Die Deutsche Rentenversicherung verwendet derzeit keine vollautomatisierten Verfahren, die zu beschwerenden Verwaltungsentscheidungen gegenüber Anspruchsberechtigten führen könnten (vergleiche GRA zu Art. 22 DSGVO).

nach oben

Drittstaatentransfer (Art. 15 Abs. 2 DSGVO)

Im Falle der Datenübermittlung in Drittländer oder an eine internationale Organisation ist über die insoweit gegebenen Garantien gemäß Art. 46 DSGVO zu informieren (zum Beispiel vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, das heißt Binding Corporate Rules). Keine Drittländer sind die EU-Mitgliedstaaten und die Vertragsstaaten des EWR. Bei den Rentenversicherungsträgern finden regelmäßige Datentransfers in Vertragsstaaten außerhalb der EU im Rahmen der Anwendung von zwischen- oder überstaatlichem Recht statt.

nach oben

Form der Auskunft

Die Informationen sind transparent und verständlich der betroffenen Person zur Verfügung zu stellen. Dazu stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Dies kann mittels der Ausgabe auf einem Datenträger (Papier, optische oder elektronische Speichermedien) erfolgen. Ein rein elektronisches Format wäre jedoch auch möglich. Hierzu sollte der Verantwortliche insoweit einen Fernzugang zu einem sicheren System bereitstellen können (ErwG 63 DSGVO), der der betroffenen Person einen direkten Zugang zu ihren personenbezogenen Daten ermöglicht.

Die Deutsche Rentenversicherung arbeitet derzeit daran, die Auskunft nach Art. 15 DSGVO über ihre online Systeme in elektronischer Form zur Verfügung zu stellen.

nach oben

Frist für die Auskunftserteilung

Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats nach Eingang des Antrags.

Nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden. Darüber ist die betroffene Person zu informieren (Art. 12 Abs. 3 S. 2 und 3 DSGVO).

Der Verantwortliche muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann (Art. 12 Abs. 1 S. 1 DSGVO und Art. 5 Abs. 2 DSGVO).

nach oben

Rechtsbehelfsbelehrung

Sofern die von der betroffenen Person erwünschte Auskunft nach Art. 15 DSGVO verweigert wird, handelt es sich um einen Verwaltungsakt. Da eine solche Entscheidung der Behörde die Rechte der betroffenen Person einschränkt, ist ein Bescheid mit Rechtsbehelfsklausel zu erteilen.

Inwieweit es sich bei einer positiven Entscheidung über die Erteilung einer Auskunft nach Art. 15 DSGVO um einen Verwaltungsakt handelt, ist in der Rechtspraxis umstritten. Bis zur höchstrichterlichen Klärung anhängiger Verfahren, geht die DRV davon aus, dass durch die Auskunftserteilung keine Regelung für die betroffene Person erfolgt, sondern lediglich der Ist-Zustand wiedergegeben wird. Das Recht auf Berichtigung der Daten nach Art. 16 DSGVO bleibt der betroffenen Person unbenommen. Aus Gründen der Verwaltungsvereinfachung wird hier bis auf Weiteres auf eine Rechtsbehelfsklausel verzichtet, es sei denn, die betroffene Person besteht auf einen rechtsmittelfähigen Bescheid.

nach oben

Entgelt (Art. 15 Abs. 3 DSGVO)

Die Auskunftserteilung an die betroffene Person (zum Beispiel als Kopie) muss durch den Verantwortlichen regelmäßig unentgeltlich erfolgen (Art. 12 Abs. 5 S. 1 DSGVO). Kopien sind einmal jährlich unentgeltlich zur Verfügung zu stellen. Für weitere Kopien kann der Verantwortliche ein angemessenes Entgelt fordern (Art. 15 Abs. 3 S. 2 DSGVO). Außerdem kann bei offenkundig unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt für die Auskunft verlangt werden (Art. 12 Abs. 5 S. 2 DSGVO).

nach oben

Identitätsprüfung

Es muss sichergestellt werden, dass die zu übermittelnden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist bei jeder Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DSGVO zusätzliche Informationen zur Bestätigung der Identität anfordern (siehe auch ErwG 64 DSGVO).

nach oben

Grenzen des Auskunftsrechts

Bei einer großen Menge von gespeicherten Informationen über die betroffene Person kann der Verantwortliche verlangen, dass präzisiert wird, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht (ErwG 63 DSGVO).

Offenkundig unbegründete oder exzessive Anträge einer betroffenen Person können zur Ablehnung oder zu einer Kostenerstattungspflicht führen (Art. 12 Abs. 5 S. 2 DSGVO).

Die betroffene Person muss jedoch (und zwar kostenfrei) ihr Recht in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (ErwG 63 DSGVO).

Eine Ablehnung oder Kostenerstattung kommt daher nur in Ausnahmefällen in Betracht. Der Verantwortliche trägt die Beweislast für das Vorliegen eines unbegründeten oder exzessiven Antrags (Art. 12 Abs. 5 S. 3 DSGVO). Er muss der betroffenen Person in der Regel die Gründe für die Verweigerung der Auskunft mitteilen und sie über Rechtsschutzmöglichkeiten informieren (Art. 12 Abs. 4 DSGVO).

nach oben

Beachtung Rechte Dritter (Art. 15 Abs. 4 DSGVO)

Die Auskunftserteilung an die betroffene Person darf nach Art. 15 Abs. 4 DSGVO sowie ErwG 63 DSGVO die Rechte des Verantwortlichen oder anderer Personen nicht beeinträchtigen, was bei Betriebs- und Geschäftsgeheimnissen oder bei Daten mit Bezug auch auf andere Personen der Fall sein kann. Entsprechende Angaben können sich zum Beispiel in medizinischen Gutachten oder der Regressakte befinden. Dies darf im Ergebnis aber nicht dazu führen, dass jegliche Auskunft verweigert wird.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 L 119/1

Die Datenschutzgrundverordnung (VO (EU) 2016/679) trat am 24.05.2016 in Kraft und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Zusatzinformationen

Rechtsgrundlage

Art. 15 DSGVO