Diesen Artikel als PDF beziehen?
Laden Sie kostenlos den Artikel herunter:
"Art. 15 DSGVO Auskunftsrecht – Anforderungen, Fristen und Bußgeld"


* Pflichtfeld Anmelden

Bitte geben Sie Ihre E-Mail-Adresse ein.

Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Weitere Informationen finden Sie in unserer Datenschutzerklärung: forum-verlag.com/datenschutz Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtigen Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an service@forum-verlag.com.

Vielen Dank für Ihr Interesse !

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt.Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link.Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

Um Ihre Daten abzusenden, sollte mindestens ein Feld befüllt sein. Vielen Dank

Art. 15 DSGVO Auskunftsrecht – Anforderungen, Fristen und Bußgeld

© magele-picture – stock.adobe.com

Das Auskunftsrecht nach Art. 15 DSGVO wird noch nicht von allen Unternehmen und Organisationen datenschutzkonform umgesetzt. Erst kürzlich wurde ein Telekommunikationsanbieter mit einem Bußgeld in Millionenhöhe abgestraft, weil die Anforderungen unzureichend umgesetzt waren. Hier die wichtigsten Rechte und Pflichten des Art. 15 DSGVO sowie Tipps zur Identitätsprüfung.

Inhaltsverzeichnis

  1. Wer hat einen Anspruch auf Auskunft und wer muss Auskunft erteilen?
  2. Wie machen Verantwortliche die Identitätsprüfung?
  3. Über welche personenbezogenen Daten muss der Verantwortliche Auskunft erteilen?
  4. Welche Frist gilt für das Auskunftsrecht nach Art. 15 DSGVO?
  5. Gibt Art. 15 DSGVO Betroffenen ein Recht auf Kopie?
  6. Gibt es Einschränkungen des Auskunftsrechts?
  7. Welches Bußgeld droht bei Verletzung des Auskunftsrechts nach Art. 15 DSGVO?

Wer hat einen Anspruch auf Auskunft und wer muss Auskunft erteilen? 

Mit Art. 15 DSGVO haben betroffene Personen ein Recht auf Auskunft, d. h., sie können Auskunft über ihre in einem Unternehmen gespeicherten personenbezogenen Daten verlangen. Unternehmen sind verpflichtet, diese Auskunft umfassend, unverzüglich und in der Regel kostenlos zu erteilen. Nur der Verantwortliche hat der anfragenden betroffenen Person Auskunft zu geben. Wird ein Antrag auf Auskunft irrtümlich an den Auftragsverarbeiter verschickt, sollte dieser die Auskunftspflicht an den Verantwortlichen weiterleiten. 

Auskunftsanspruch hat jede betroffene Person. Hegt der Verantwortliche berechtigte Zweifel an der Identität der anfragenden Person, ist er berechtigt, zusätzliche Informationen zum Abgleich und zur Bestätigung der Identität des Betroffenen anzufordern (z. B. Geburtsdatum, Postanschrift oder Ausweiskopie). 

Gilt Art. 15 DSGVO auch für Arbeitnehmer? 

Auch Arbeitnehmer haben nach Art. 15 DSGVO ein Auskunftsrecht gegenüber ihrem Arbeitgeber. Der Arbeitgeber unterliegt also einer Auskunftspflicht hinsichtlich der personenbezogenen Daten der Arbeitnehmer. Das Auskunftsrecht von Arbeitnehmern ist als Recht proaktiv in der innerbetrieblichen Organisation auf Basis des Art. 24 Abs. 1 DSGVO als Routinemaßnahme mit stets aktualisiertem Datenbestand zu implizieren. 

Gilt Art. 15 DSGVO auch für Auskunftsersuchen bei der Polizei?  

Neben Art. 15 DSGVO gibt es für den öffentlichen Bereich definierte Besonderheiten zu den Rechten der betroffenen Personen (z. B. Art. 10 BayDSG). Zudem gibt es Regelungen im Bereich der europäischen Datenschutzrichtlinie für Polizei und Strafjustiz, in welcher die Auskunftsrechte eigenständig national geregelt sind. Außerdem sind einschlägige Bestimmungen zur Auskunft in der Strafprozessordnung, im Gesetz über Ordnungswidrigkeiten, dem Polizeiaufgabengesetz sowie in den Strafvollzugsgesetzen der Bundesländer enthalten. 

Wie machen Verantwortliche die Identitätsprüfung?

Zu viele Unternehmen gehen fahrlässig mit der Identitätsprüfung um. Eine Studie aus England zeigt, dass 72 % der 150 getesteten Unternehmen auf gefälschte E-Mail-Adressen antworteten, ohne die Identität zu prüfen. 24 % der antwortenden Unternehmen übermittelten die bei Ihnen gespeicherten personenbezogenen Daten. In mehreren Fällen wurden sogar höchstpersönliche Daten wie Kontodaten weitergegeben.   

Damit Unternehmen wissen, wie wichtig eine Identitätsprüfung ist, hat der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW) die wichtigsten Punkte in seinem Beitrag zur Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO zusammengefasst. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) definiert folgende Anforderungen an die Identitätsprüfung: 

  • Die Vorlage eines Personaldokuments gilt als zulässig. Dabei sind nur die Angaben „Name", „Anschrift", „Geburtsdatum" und „Gültigkeitsdauer" nötig. Alle anderen Daten können auf der Ausweiskopie geschwärzt werden.
  • Die „nachgeforderten" Daten dürfen nur für den Zweck der Identitätsprüfung verwendet werden und sind anschließend sofort zu löschen. 
  • Eine Ausweiskopie ist aber nicht immer erforderlich. In vielen Fällen reicht es schon aus, zusätzliche Informationen wie Kfz-Kennzeichen oder Kundennummer zu erfragen. 

Über welche personenbezogenen Daten muss der Verantwortliche Auskunft erteilen? 

Hat ein Unternehmen personenbezogene Daten über den Antragsteller gespeichert, wird die Auskunftspflicht ausgelöst und der Verantwortliche muss nach Art. 15 Abs. 1 und 2 DSGVO folgende Informationen verpflichtend übermitteln: 

  • die konkret verarbeiteten Daten 
  • Verarbeitungszwecke 
  • Kategorien der personenbezogenen Daten, die das Unternehmen verarbeitet
  • Empfänger und Kategorien von Empfängern, einschließlich Auftragsverarbeiter 
  • (geplante) Speicherdauer bzw. Kriterien für die Festlegung dieser Dauer
  • Herkunft der Daten
  • ggf. Informationen über Logik, Tragweite und angestrebte Auswirkungen bei einer automatisierten Entscheidungsfindung (inkl. Profiling) 
  • ggf. geeignete Garantien hinsichtlich der Datenübermittlung in ein Drittland
  • Betroffenenrechte
  • Beschwerderecht bei einer Aufsichtsbehörde

Muster zur Negativauskunft  

Werden im angefragten Unternehmen keine personenbezogenen Daten des Betroffenen gespeichert oder verarbeitet, muss der Verantwortliche auch das mitteilen. Dies geschieht in Form einer sog. Negativauskunft. Ein Muster für die Negativauskunft sowie zahlreiche weitere Checklisten, Merkblätter und Nachweise enthält die „Dokumentenmappe: Datenschutz im Unternehmen"

Welche Frist gilt für das Auskunftsrecht nach Art. 15 DSGVO? 

Unternehmen bzw. die Verantwortlichen müssen sich hinsichtlich ihrer Auskunftspflicht an die in Art. 12 Abs. 3 DSGVO festgelegten Fristen halten. Demnach muss die Auskunft unverzüglich, d. h. ohne schuldhaftes Zögern erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. 

In Fällen, in denen sich die Beantwortung als komplex herausstellt oder die Antwort sich aufgrund der hohen Anzahl an Anträgen verzögert, kann die Frist um zwei weitere Monate verlängert werden. Dies ist dem Betroffenen jedoch innerhalb der ersten Frist von einem Monat mitzuteilen.  

Gibt Art. 15 DSGVO Betroffenen ein Recht auf Kopie?

Gemäß Art. 15 DSGVO hat der Betroffene ein Recht auf eine Kopie der im Unternehmen gespeicherten personenbezogenen Daten. Wird der Antrag elektronisch gestellt, muss der Verantwortliche auch die Informationen in einem gängigen elektronischen Format zur Verfügung stellen, sofern die betroffene Person keine anderen Angaben machen. Dieses Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. 

Verlangt die betroffene Person eine weitere Kopie, ist das Unternehmen berechtigt, für die zusätzliche Kopie angemessenes Entgelt zu verlangen. 

Der Betroffene muss nicht zwingend von seinem Recht auf Kopie Gebrauch machen. Auf Wunsch kann die Auskunft auch mündlich erfolgen, sofern die Identität in anderer Form nachgewiesen wurde.  

Gibt es Einschränkungen des Auskunftsrechts? 

Das Auskunftsrecht ist nicht grenzenlos. Art. 15 Abs. 4 DSGVO stellt klar, dass durch die Auskunft nicht die Rechte und Freiheiten Dritter beeinträchtigt werden dürfen. Aus diesem Grund sind die bereitgestellten Informationen grundsätzlich auf die Person beschränkt, die von ihrem Auskunftsrecht Gebrauch macht. Enthalten Auskünfte also personenbezogene Daten Dritter, sind diese vor Versendung an den Antragsteller zu entfernen. 

Gemäß Erwägungsgrund 63 DSGVO zählen Geschäfts- bzw. Betriebsgeheimnisse (auch des Verantwortlichen) und das Recht am geistigen Eigentum ebenfalls zu den schutzwürdigen Interessen, die das Auskunftsrecht einschränken können.  

Welches Bußgeld droht bei Verletzung des Auskunftsrechts nach Art. 15 DSGVO?  

Ergreift ein Unternehmen unzureichende technisch-organisatorische Maßnahmen (TOM), um Datenpannen bei der Auskunftserteilung zu vermeiden, ist die Auskunft nicht vollständig bzw. inhaltlich fehlerhaft oder ist die betroffene Person der Meinung, dass ihr Auskunftsrecht verletzt wurde, müssen Verantwortliche mit einem Bußgeld rechnen.

Bei Verletzung des Auskunftsrechts drohen Unternehmen gemäß Art. 83 Abs. 5 b) DSGVO Bußgelder in Höhe von bis zu 20 Mio. Euro oder 4 % ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem welcher der Beträge höher ist. 

So musste der Telekommunikationsdienstleister 1&1 Telecom GmbH Ende 2019 ein Bußgeld in Höhe von 9.550.000 Euro bezahlen, weil es keine hinreichenden TOM ergriffen hatte, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Quellen: „Dokumentenmappe: Datenschutz im Unternehmen", „Infodienst Datenschutz für Praktiker" (Ausgabe: Februar 2020), Studie von James Pavur „GDPArrrrr: Using Privacy Laws to Steal Identities“ (Dezember 2019)

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Das könnte Sie auch interessieren

Schlagwörter

DSGVO

Die mit einem * markierten Felder sind Pflichtfelder.