Grob zusammengefasst die zwei Positionen:

Die einen sind sehr restriktiv und sagen, dass ein Auskunftsanspruch (bzw. die DSGVO an sich) eine betroffene Person lediglich dazu berechtigt, dass man eine Auskunft darüber was mit den eigenen Daten gemacht wird nur in Form einer Art "Zusammenfassung" bekommt. Beispielsweise muss man nicht genau darüber informiert werden welches Unternehmen letztendlich mit eigenen Daten hantiert. Vielmehr reicht es wenn man hier die "Kategorien" nennt. Auch die "eigenen" Daten kann man - laut Befürwortern dieser Ansicht - nicht einsehen oder herausverlangen.

Ganz anders sehen es hingegen die (Achtung Wortwitz incoming!) "anderen". Nach dieser Ansicht kann so eine Auskunft in Form einer zusammenfassenden Darstellung (zB ein Auszug aus einem Verarbeitungsverzeichnis) höchstens ein erster Schritt sein. Letztlich gewährt einem Art 15 DSGVO (bzw. die DSGVO an sich) aber jedenfalls einen Rechtsanspruch darauf, dass man "seine eigenen" Daten vom Verantwortlichen bekommt.

Aber was stimmt jetzt ?

Die Frage, welche dieser beiden Positionen letztlich stimmt, wurde vor Kurzem (wieder mal) diskutiert. Und zwar im schönen Nachbarland Deutschland:
Dort stellte nämlich ein (GASP! SCHOCK!) Wirtschaftsjurist ein Auskunftsbegehren gegenüber seinem ehemaligen Arbeitgeber und forderte darin den Arbeitgeber eindeutig auf, dass auch die Herausgabe / Kopie sämtlicher E-Mails, welche während dem aufrechten Beschäftigungsverhältnis die "er in seiner Anstellung verschickt oder empfangen hatte" gefordert sind. Auch umfasst war die Herausgabe sämtlicher Mails, in denen er namentlich Erwähnung findet."

Nach einem klaren "Jein" durch die erste Instanz wanderte die Causa zum Bundesarbeitsgericht. Dort hat man sich - in Anlehnung an das Orakel von Delphi - gekonnt um die erwartete klare Stellungnahme herausgewieselt, da vom BAG bemängelt wurde, dass man ja gern helfen würde, aber leider steht in der Klage (i.e. dem Auskunftsbegehren) nicht genau drinnen um welche E-Mails es denn geht.

Unser Fazit hierzu:

Also vorab wollen wir vom Team DSGVO.CARE gleich mal sagen, dass wir in der Frage "wie weit denn ein Auskunftsanspruch reicht?" klar ein wenig voreingenommen sind. Spoiler-Alarm: wir bevorzugen die Ansicht, dass man ein Recht auf seine Daten hat.
So zumindest als Grundregel! Dass man letztlich als Verantwortlicher sich mit der Berufung auf Geschäftsgeheimnisse oder den Schutz von Rechtsansprüchen, sowie auf den Schutz von anderen betroffenen Personen oftmals wieder aus der Verantwortung jetzt tatsächlich Kopien von E-Mails herauszusuchen herausstehlen kann, leugnen wir auch nicht.

Liest man jedoch solche Begründungen wie in der gegenständlichen Pressemitteilung des BAG, dann kann man wirklich nur noch Kopfschütteln. Vor allem dann, wenn man bedenkt, dass bereits die alte Datenschutz-RICHTLINIE definitiv ein Recht auf die Kopie von seinen eigenen Daten ermöglicht hat. Unter anderem gab es da so einen Fall von einem österreichischen Studenten der tonnenweise Daten von Facebook bekommen hat.