Das Auskunftsbegehren gemäß Art 15 DSGVO geht sehr weit - nicht umsonst braucht es 8 Buchstaben um überhaupt den ersten Absatz zu gliedern. Solche Auskunftsbegehren binden - abhängig von der Komplexität der Verarbeitung und dem Grad der Digitalisierung im Unternehmen - sehr viele Ressourcen.
Auskunftsbegehren die Arbeitszeit im Wert von mehreren Tausenden Euro bedeuten sind keine Seltenheit, vor allem wenn mehrere Abteilungen involviert werden.

Praxis bei den deutschen Rundfunkbeitragservices

Aus diesem Grund werden von den deutschen Rundfunkbeitragsservice, Auskunftsbegehren generell nicht von vornherein vollumfänglich beauskunftet sondern in einem 2-stufigen Verfahren. Die Erstauskunft umfasst nur die wichtigsten Informationen über die Datenverarbeitung, wie vor allem die Herkunft der Daten, die Kategorien und die Zwecke der Verarbeitung - grundsätzlich auch alles Informationen die sich in der Regel auch in den Datenschutzhinweisen finden.

Als Rechtsgrundlage für diese Art der Beauskunftung stützt sich der Datenschutzbeauftragte neben dem Wirtschaftlichkeitsgebot für öffentliche Stellen und dt. bundesländischen Datenschutzregelungen vor allem auf den ErwG 63 DSGVO. Nach diesem Erwägungsgrund kann ein Verantwortlicher um Präzisierung des Ansuchen bitten, sofern er große Mengen von Informationen der betroffenen Person verarbeitet (aus unserer Erfahrung trifft dies regelmäßig bei mehrjährigen Mitarbeitern zu).

Man könnte nun fragen: Wie kann man ohne vorherige Prüfung des Datensatzes überhaupt wissen ob von der betroffenen Person "große Mengen an Informationen" verarbeitet werden? Dies bleibt leider offen!
Es wird argumentiert, dass ein Beitragservice große Datensätze bearbeiten muss.
Der ErwG zielt jedoch auf die einzelne Person ab... auch sonst lässt sich aus dem Wortlaut (leider) kein generelles Recht auf ein zweistufiges Verfahren ableiten.

Warten auf eine letztinstanzliche Gerichtsentscheidung

Ohne eine (letztinstanzliche) Gerichtsentscheidung wie solche Auskunftsbegehren beauskunftet werden müssen bleibt - wieder einmal - ein Dunstnebel über dem rechtssicheren Vorgehen.
Grundsätzlich - und dies entspricht auch unserer Erfahrung - verwenden Betroffene häufig komplexe juristische Muster für ihre Auskunftsbegehren obwohl sie eigentlich nur einen groben Überblick erhalten möchte. Beantwortet man diese Ansuchen sehr detalliert bindet dies sehr viele Ressourcen und "erschlägt" den Betroffenen möglicherweise mit Informationen. Womit man im schlimmsten Fall abermals gegen die DSGVO verstößt - in diesem Fall gegen das Transparenzgebot ;)

FAZIT

Grundsätzlich kann also über ein zweistufiges Verfahren tatsächlich nachgedacht werden (sofern man mit der Rechtsunsicherheit leben kann). Wenn der (nicht im einvernehmen gegangene) Ex-Mitarbeiter der auch noch den Datenschutz im Unternehmen implementieren "durfte" eine solche Anfrage stellt, sollte man dann aber doch eher auf ein "verkürztes Verfahren" verzichten und die große Beauskunftung in die Wege leiten.

Praxistipp: Bei der verkürzten Beauskunftung nicht vergessen, die Betroffenen über die hier angewandte Art des Verfahrens zu informieren und einräumen, dass sie sich die Auskunft vervollständigen lassen können.

Praxistipp II: Bei der Beauskunftung kann sehr gut mit dem Verfahrensverzeichnis gearbeitet werden, da dieses in der Regel sehr kompakt, übersichtlich und hoffentlich aktuell ist und die relevantesten Informationen wie Zweck, Kategorie, Herkunft der Daten etc. bereit hält. In den Meisten Fällen (zumindest bauen wir unsere Verarbeitungsverzeichnisse so auf) reicht es, ein paar Punkte (wie z.B. den verantwortlichen Mitarbeiter) aus dem VV zu entfernen und der Großteil des Antwortschreibens ist bereits erledigt.