• Art. 15 DS-GVO findet auf jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten Anwendung sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
• Anspruchsberechtigt ist jede betroffene Person, unabhängig ihrer Staatsangehörigkeit, sobald der Anwendungsbereich der DS-GVO eröffnet ist.
• Der Antrag auf Auskunft ist formfrei möglich und kann sich auf das „ob“ einer Verarbeitung oder auf konkrete Verarbeitungsvorgänge beziehen. Es besteht keine Pflicht, die Auskunft näher zu konkretisieren oder den Antrag zu begründen.

Ein verbindlicher Leitfaden der Datenschutzkonferenz, wie Unternehmen Anfragen betroffener Personen rechtskonform beauskunften können, existiert bedauerlicherweise bislang nicht.

Allerdings enthält der 47. Tätigkeitsbericht des hessischen Beauftragten für Datenschutz und Informationsfreiheit eine detaillierte Stellungnahme:

• Nach Auffassung des Datenschutzbeauftragten meint Kopie im Sinne von Art. 15 Abs. 3 DS-GVO regelmäßig eine „sinnvoll strukturierte Zusammenfassung“. 
• Ein Anspruch auf Kopie einzelner Schriftstücke könne ausnahmsweise bestehen, wenn eine Rechtmäßigkeitsprüfung des Betroffenen untrennbar damit verbunden ist. 
• Es müssten daher regelmäßig nicht sämtliche Dokumente kopiert und zugesendet werden. Dies wird zum einen mit der Intention des Auskunftsanspruchs (EG 63) begründet, der dazu diene, dem Betroffenen ein Bewusstsein über die Verarbeitung der Daten zu vermitteln, um ihre Rechtmäßigkeit überprüfen und etwaige Rechte wie Berichtigung und Löschung ausüben zu können. Durch die Zusammenstellung der Daten in einer Übersicht werde dem Betroffenen der Kontext der Verarbeitung vor Augen geführt und so die Ausübung seiner Rechte erleichtert. Dies entspräche auch der Wertung des Art. 12 Abs. 1 DS-GVO, wonach die Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
• Bei einer weiten Auslegung des Begriffs „Kopie“ bestünde die Gefahr, dass das Recht als Akteneinsichtsrecht oder allgemeines Informationsrecht missbraucht werde und somit andere Ziele als die der DS-GVO verfolgt würden. Systematisch sei ein weiteres Herausgaberecht neben Art. 20 DS-GVO nicht ersichtlich. 
• Auch das Risiko, Rechte Dritter durch die Herausgabe einer Kopie zu beeinträchtigen, sei bei einer Zusammenstellung geringer, da nicht schlicht Kopien von Dokumenten herausgegeben, sondern die Daten strukturiert zusammengefasst würden.
• Zudem stellt der Datenschutzbeauftragte fest, dass das Recht auf eine Kopie der Daten kein zusätzliches Recht neben Art. 15 Abs. 1 DS-GVO darstelle, sondern das Auskunftsrecht nach Art. 15 Abs. 1 lit. b DS-GVO insofern konkretisiere und präzisiere, als dass nicht nur die Kategorien, sondern auch die spezifischen Daten mitzuteilen seien.

Das Bayerische Landesamt für Datenschutzaufsicht stellt in seinem Tätigkeitsbericht 2017/18 klar, dass der Auskunftsanspruch keinen allgemeinen Anspruch auf Kopien von Dokumenten oder Akten beinhaltet

• Argumentiert wird mit dem Wortlaut des Art. 15 Abs. 3 DS-GVO, nach welchem nur eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ zur Verfügung zu stellen ist. Der Wortlaut schließe demnach sonstige Unterlagen aus, die nicht Teil des Verarbeitungsvorgangs sind (etwa E-Mails).
• Aufgrund der Vergleichbarkeit der Regelung in Art. 15 Abs. 1 DS-GVO mit der EU-Datenschutzrichtlinie sei die Auffassung des EuGH (Urteil vom 17.07.2014, Az. C-141/12 und C-372/12) weiterhin zutreffend, dass eine vollständige Übersicht der in den rechtlichen Analysen enthaltenen personenbezogenen Daten dem Auskunftsanspruch genügt, soweit der Betroffene mithilfe dieser Übersicht seine Rechte ausüben kann.

Bislang sind drei veröffentlichte Entscheidungen bekannt, in denen der Auskunftsanspruch konkretisiert worden ist:

LAG Baden-Württemberg (Urt. v. 20.12.2018 – 17 Sa 11/18)

• Das Gericht hat einem Arbeitnehmer einen Anspruch auf Auskunft über die außerhalb seiner Personalakte zu seiner Person gespeicherten Daten und die Herkunft dieser Daten hinsichtlich seiner Leistung und seines Verhaltens zugesprochen. Weiterhin verurteilte das Gericht das Unternehmen dazu, seinem Arbeitnehmer nicht nur Kategorien von Empfängern, sondern jeden einzelnen bisherigen und künftigen Empfänger der Daten mitzuteilen.
• Mangels Konkretisierung des Begriffs „Kopie“ kann das Urteil nicht für die Auslegung von Art. 15 Abs. 3 DS-GVO herangezogen werden.

LG Köln (Urt. v. 19.6.2019 – 26 S 13/18 und Teilurteil vom 18. März 2019 – 26 O 25/18)

• Nach beiden Entscheidungen diene der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen, weswegen dieser keine Kopien eines ihm bereits bekannten Schriftwechsels herausverlangen könne. Der Auskunftsanspruch richte sich nicht auf interne Vorgänge des Unternehmens, wie z.B. Vermerke.
• Rechtliche Bewertungen oder Analysen der Beklagten seien keine zu beauskunftenden personenbezogenen Daten (LG Köln, Teilurteil vom 18. März 2019 – 26 O 25/18).
• Eine tabellarische „Datenübersicht“ und eine ergänzende Auskunft würden den Auskunftsanspruch vollständig erfüllen. Ein weitergehender Anspruch auf Überlassung von Kopien bestehe nicht (LG Köln Urt. v. 19.6.2019 – 26 S 13/18).
• Das LG Köln führt damit die Rechtsprechung des OLG Köln (OLG Köln, Hinweisbeschluss vom 26.7.2018 – 9 W 15/18) und des EuGH (EuGH, Urteil vom 17.7.2014 - C-141/12 und C-372/12) zu § 34 BDSG a.F. bzw. Art. 12 der EU-Datenschutzrichtlinie (RL 95/46/EG) fort, wonach rechtliche Bewertungen oder Analysen sowie die Herausgabe von Unterlagen nicht von dem Auskunftsanspruch erfasst sind.

• Die Informationen können schriftlich oder in elektronischer Form erteilt werden.
• Verlangt die betroffene Person eine mündliche Auskunft, so kann das Unternehmen die Auskunft mündlich erteilen, soweit die Identität der betroffenen Person zweifelsfrei festgestellt werden kann.
• Stellt die betroffene Person ihren Antrag elektronisch und macht keine Angaben dazu, in welcher Form sie die Kopien haben möchte, so sind sie ihr in einem gängigen elektronischen Format zur Verfügung zu stellen.
• Die Bereitstellung der Informationen und Kopien erfolgt dabei grundsätzlich kostenfrei für die betroffene Person. Ausnahmsweise hat das Unternehmen einen Ersatzanspruch für Zweitkopien. Im Falle exzessiver oder unbegründeter Anträge kann das Unternehmen die Auskunft von der Bezahlung eines angemessenen Verwaltungsentgelts abhängig machen oder die Auskunft verweigern. Das Unternehmen muss jedoch nachweisen können, dass es sich um einen exzessiven oder unbegründeten Antrag handelt.

• Über die Frist der Auskunftserteilung (Art. 12 Abs. 3 DS-GVO) besteht Uneinigkeit im Schrifttum und eine gerichtliche oder behördliche Entscheidung blieb bislang aus. Einigkeit besteht darüber, dass das Unternehmen verpflichtet ist, dem Betroffenen unverzüglich, spätestens innerhalb eines Monats ab Zugang des Antrags, mitzuteilen, ob personenbezogene Daten von ihm verarbeitet werden. Ob die Monatsfrist auch für die Auskunft über die Daten selbst gilt, ist unklar. Daher empfiehlt es sich, die Auskunft unverzüglich, also so schnell wie möglich, zu erteilen, und hierfür unmittelbar nach Bestätigung der Datenverarbeitung an den Betroffenen mit der Zusammenstellung der Daten zu beginnen.
• Die Monatsfrist ist eine Höchstfrist, die ausnahmsweise um zwei weitere Monate verlängert werden kann, wenn dies aufgrund der Komplexität oder Anzahl der Anträge erforderlich ist. Der Betroffene muss über die Verlängerung und die Gründe hierfür innerhalb der Monatsfrist unterrichtet werden (Art. 12 Abs. 3 DS-GVO).

• Ist es dem Unternehmen nicht möglich, die betroffene Person zweifelsfrei zu identifizieren, kann sie die Auskunft verweigern.
• Daten, die lediglich zu Datenschutz- und Datensicherungszwecken durch das Unternehmen aufbewahrt werden, sind von der Auskunftspflicht (und damit von der Verpflichtung zur Herausgabe einer Kopie) ausgenommen (Art. 15 Abs. 3 S. 1 DS-GVO, § 34 Abs. 1 Nr. 2 lit. b BDSG).
• Die Auskunftspflicht und das Recht auf Kopie entfällt ebenfalls, wenn Daten nur noch aufgrund von gesetzlichen Aufbewahrungspflichten gespeichert werden (§ 34 Abs. 1 Nr. 2 lit. a BDSG), beispielsweise steuer- oder handelsrechtlicher Art.
• Die Auskunftsrechte sind letztlich unter bestimmten Voraussetzungen bei Daten der wissenschaftlichen Forschung und Archivdaten ausgeschlossen (§ 27 Abs. 2, § 28 Abs. 2 BDSG).
• Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Erhalt einer Kopie nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Dies verpflichtet das Unternehmen zunächst, personenbezogene Daten Dritter in den Kopien zu schwärzen oder anderweitig unkenntlich zu machen. Auch können Geschäftsgeheimnisse oder Rechte an geistigem Eigentum Dritter den Anspruch auf Kopien beschränken. Eine Weigerung ist auch zum Schutz von Informanten und Hinweisgebern denkbar. Der Verantwortliche kann aber nicht mit Hinweis auf Rechte oder Freiheiten Dritter pauschal die Herausgabe der Kopie verweigern. Vielmehr muss zwischen den Rechten des Betroffenen und des Dritten stets abgewogen werden. Der Betroffene ist über eine etwaige Einschränkung zu informieren.